先週PCが突然再起動を繰り返すようになり
ついには電源が入らなくなった。

単純に電源ユニットが壊れただけなら良かったが
突発的な再起動を繰り返したせいか
OSのシステム領域が破損してしまい、起動出来なくなってしまった
ひどい。


仕方ないので、PCを新調する事になったが
いかんせん、前のPCにあるデータのサルベージと移行作業に手間取っている。

懲罰委員会の議事録やら役会の資料などある為、
サルベージとデータの移行作業を人任せに出来ない。
しかも、長年仕事をしているせいか、溜め込んでいたデータ量が結構あり
新しいPCのディスク容量が今までのより少ない為、データを丸ごとコピーする訳にもいかない。
その為、仕方なくデータの取捨選択が必要となってくる。

まる３日ぐらい時間が空いていれば、データのサルベージ位は終わりそうだが
会議がある為、そうもいかない

仕方ないので、とりあえずはメールとWebが利用出来る状態で作業は止まっている。


仕事柄、暇なときはまる一日ジェンガをやって
暇つぶしをしている時もあるくらいなのだが
何故か最近は中途半端に仕事が入る。


しかし、ディスクの故障に対してはRAID１と日毎のバックアップで対応していたが
電源ユニットの故障対策は完全に見落としていた。

ただ、サーバならともかく一般のPCで電源の冗長化なんか出来るのだろうか？
少し調べてみるか。

とある自営業の社長さんと夕食をとっていると
「なんで、こんな税金を払わねばならんのか」といった話題が出てきた。

「税金を支払った対価は何だ？」
「少なくても支払った税金によって受けられる行政サービスが良くなったとは思えない」
「税金は行政サービスの対価でないか？」


今年度から復興特別取得税や復興特別法人税が強制的にかかってくるものだから
中小企業の経営者からしたら、実質的な増税状態はたまったものでは無い。
これで消費税まで増税されたら、泣きっ面に蜂である。

現実的には、増税分を請求額に上乗せして請求する訳にもいかない。
護送船団方式で守られている訳で無いのに、
競争原理の中にいる中小企業がおいそれと出来る訳もない。


まあ、どうでもよい講学的な机上の空論は
どっかの学者連中に延々とやってもらえば良いとして


自分の今まで支払った税金の対価を等価で受け取っている人はどの程度いるのだろうか？

自ら納めた税金の累計額を知っていますか？
そしての貴方にどんな対価が支払われましたか？
あるいは支払われる予定ですか？

気が向いたら周りに問質してみても良いかも知れない。


不条理。

さて、短いお盆休みも終わり出社してみれば、
殆ど人がいない。

まあ、今週から本格的なお盆休みに入る為、７割位は休んでいる為、仕方ない。


出社しているのは経理財務部やシステムメンテをしに来ているＳＥ部隊と
家にいると家族サービスをやらされる為、逃げてきた役員位なものだ。

昼間から役員室でビールを飲んでいるが
まあ、暇つぶしに来ているだけだから、どうでも良い。



さて、９割方雑談で終わる役会で、
金儲けの為にＣＳＲをする事はどうなのだろうかという話があった。

企業として営利目的でＣＳＲに取組むのは当たり前であり、
自社の不利益に繋がるようであれば、基本的にＣＳＲなどしない。

ブランドイメージの向上につながれば、
変わり映えのしない製品であっても
消費者はブランドイメージの強い方を選択する傾向が強い。

消費者の大半は製品品質など理解も出来ないし、理解しようともしない。
その為、基本的にブランドイメージの強い方を選択する。

企業にとってブランドイメージの向上は、自社製品の売り上げに直結する為
基本的にはＣＳＲなどの一見すると社会貢献をやっているような事に、
力を入れている企業に対しては良いイメージを持つ。

その為、企業にとっては「ＣＳＲを行うと金になる」という図式が成立する。


消費者は「社会貢献＝良い事」といった短絡的な理解で見ているのだろう。

その為、営業本部は売上向上の為に積極的に広告を行っていたりする。

まあ、実際は寄付金をバラ撒いたり、自分が理事を務めているＮＰＯに仕事を丸投げし、
キックバックしたりしているのだが。

実態を調べずに勝手に良い事を積極的に行っている企業だと思い込んでいる方も、どっこいどっこいだろう。


もう少し突っ込んで行くと、
そもそも社会貢献の活動は行政が行うべきものであり
支払っている税金もそれを含んだ上でのものとなっている。


企業に対して積極的に社会貢献をしろと、頭の悪い事を言っている人間は
そうした事をまるで理解していないバカな人間である。
（行政がまともにサービスを行わないのは、消費者にも問題がある）

本来、行政が行う仕事を、民間が行うという意味を少しは勉強すべきだろう。


結局のところ、そういったバカ相手にブランドイメージを向上させようとしたら
建前上立派なＣＳＲを行うことで、ブランドイメージの向上を図ることになる。

そして、企業の資本を投下したということは、当然、投下分は回収するために
価格に反映する事になる。

営利団体である企業は、ＣＳＲで収益増を求める事は当然である。
そしてそれは資本主義経済においては企業として当然の姿でもある。

暑い。
暑すぎる。

特に明け方でも暑い為、寝苦しくてたまったものでは無い。
30代の頃はまだ体がもったが、歳を取るにつれ回復力が低下した為か夏バテ状態となってしまう。

さらにクーラーの効いている部屋にいると喉が痛くなり、さらに体の調子が悪くなる。

無理が利かなり、おまけに思考が鈍り、久しぶりに委員会で居眠りをしてしまった。
歳は取りたくないものだ。



さて、愚痴はこの辺にしよう。

国内法に関して触れようかと思っていたが
先にマネジメントに関しての話があった事から
法的リスクのマネジメントに関して少々触れて行きたいと思う。


もっとも基本的な内容は元SEの監査人が述べていた事に対して
私の個人的な見解を踏まえて触れて行く事になる。


ただ、やたら詳しく話していたので、気になって確認したところ
どうやら最近、法務リスクに関して執筆を行っていたらしい。

いかんせん社内の機密情報をもとに執筆しているようで
寄稿前には内容の精査をする必要があるだろうが、まあ本人の勉強にもなっていたようであるし
企業内の事例をもとに行っているのであれば、今後同種のリスクに関しては援用が可能になるだろうから
相互利益があるとして、墨消し作業をしっかり行っているのが確認出来れば、とりあえず良し。


さて、企業における法的リスクに関しては
以前触れたように、以下の4種類があげられる。

①法解釈上の不透明性による法令違反リスク
②訴訟リスク
③契約上の法的解釈をめぐる紛争リスク
④法改正による法律違反

そして、クラウドに関する法的リスクは準拠法、裁判管轄権、その他国内法があり、
それぞれが上記の4種類に関連していく事になる。
もっとも、企業経営において法律と無関係でいることは基本的に無いため、
必ず、大なり小なり訴訟リスクが付きまとう。

その為、種類分け自体は法務関係の人間以外ではあまり意味をなさない。

企業経営においては何を根拠法令として、法的リスクが発生するのか、
どんな損害が想定されるのか等を認識すべきである事から、
その視点から法的リスクのマネジメントに関しては触れて行く事にする。


ではそのリスクに対するマネジメント方法の検討を行う。

ただし裁判例、関係法令に対する法的解釈は法学者や弁護士によってそれぞれ異なり
かつ争点の主体が異なる場合の議論も存在する。
その為、上記で述べたようにマネジメント方法は研究企業の立場から、対応方法を検討するものとする。

また、あくまで法的リスクのマネジメント方法である為、
優先順位は法的リスクの回避を第一に検討するが、損害予測で軽微のものに関してはリスクを保有することもある。


簡単な要件定義をまとめたところで、また次回。

たまには違ったお話し


企業における法的リスクに関して
企業法務担当と顧問弁護士の価値観は根本的に違う。

結論から述べると、
企業法務は訴訟を起こされる事自体を法的リスクとして捉えるが
顧問弁護士は顕現化したリスクによって敗訴し、契約が打ち切られる事自体をリスクとして捉える傾向が強い。

訴訟が起きる事により顧問契約料以外の収入が得られ、自身の存在意義を高められるため
積極的には訴訟リスクを回避しようとはしない傾向が見て取れる。
もっとも企業経営の視点からはそうした行為は基本的にＮＧである。

訴訟が起きれば、それ自体が企業イメージの低下に繋がり
そもそも訴訟への対応コストが発生する為、そのコスト自体が損害と同義となる。
手段は問わず、訴訟を避ける事を最優先で考えてもらう必要がある。


また、顧問弁護士以外（ノラ弁護士）はそもそも高額訴訟が起きて初めて、お金に結びつくため
基本的には高額訴訟は大歓迎であり、意図的に誘導する場合がある。

簡単に行動パターンを述べると
法務担当は法的リスクに対して予防的処置を主体的に行うが
顧問弁護士やノラ弁護士は事後的処置を主体的に行う。


この価値観の違いは時にして、それ自体が法的リスクとして顕現化する場合がある
そもそも根本的な原因は帰属意識の違い、雇用形態の違いに起因するところが大きい。

企業の法務担当は常に社内にいる為、組織との一体感が強い。
また、賃金自体も企業から支払われており、それらが帰属意識を強める事に繋がっている。

一方、顧問弁護士はと言うと基本的に用事がなければ会社に来る事はなく
彼等から見れば顧問先企業は単なる顧客の1つでしかない。
その為、そこが潰れたところで取引先が一つ無くなる程度の意識しかない。
また、企業から見れば滅多に来ない顧問弁護士は外部からやってくるお客さんに過ぎず
それ以上の存在ではなく、あくまで企業の人間ではなく、外部の人間としか見る事はない。


話しはズレたが、まとめると
企業にとっては「企業法務担当は企業内の人間で仲間」、「顧問弁護士は外部の人間でお客さん」といった事になる。


本来的には顧問弁護士は法務担当より広く深い対応を望まれるのだが
現実的に彼等は自身の経済行為を優先する傾向がある。

しかしながら慈善事業でない限り、経済行為を優先するその事自体は否定すべきではないだろう。

よほど大手の法律事務所でない限りは、大半の法律事務所は自転車操業に近いうえ
5分程度の書類交換の為にワザワザ裁判所まで行って、その他の事務作業を行う手間を考えれば
数十万程度の少額訴訟では割が合わないだろう。（時給計算したら千円以下の場合も決して少なくない。）



それらの点を踏まえ企業の経営層は弁護士が必ずしも企業利益を優先する訳では無く
自らの利益を優先する場合もそれなりにある事を認識し、
企業にとって彼らの助言自体が法的リスクになりえる事を十分に留意すべきであろう。

元SEの監査人の人から、情報技術の視点から補足が来ていたので
取りあえず、前回の補足回。

そもそも、データ主体はどこに存在するのか？
どこの国の物理サーバに存在するのかという点を争点とした場合の考察


まず、EUデータ保護指令の定義では「データ主体」以下となる。

「データ主体」とは「識別された自然人」、又は「管理者、若しくは他の自然人若しくは
法人によって合理的に利用される可能性の高い手段によって、直接的若しくは間接的に、
とりわけ識別号、位置データ、オンライン識別子、若しくは当該人物の肉体的、生理学的、
遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な
1つ以上の要素を参照することによって、識別されうる自然人」を意味する。


では、定義された「データ主体」はクラウドを使用する際にどこに存在するのか？

論理的にはクラウドのサービスが展開されているその上に存在する事となる。
アマゾンのクラウドであれば論理的には、そのサービス上に「データ主体」存在する。


物理的にはどこに存在する？

クラウドで使用される技術的特性上、データは各物理サーバ上にデータが分散されており、
分散された単位で断片的にデータが存在する場合が多い。
その為、断片のみでは一意性は無いと判断する事も不可能ではない。

ただし、クラウドのサービスとして技術的にはデータの一意性保証を行っており、
そもそもデータの分散単位を主体として、判断して良いものかは疑問の余地がある。

もっとも、純粋に電子的情報がどの物理サーバに内包されているのかと言う点においては
どの物理サーバに存在するか明示する事は可能であり、
その事によりサーバの所在国の国内法が適用される事もまた考えられる。
ただし、この点においては電子的情報の流動性の高さや、
電子的情報の複製が容易である点からも検討が必要である。

また、クラウドはネットワークで繋がっているが、複数の国を跨いだ物理サーバに対して情報が頻繁に行きかっている。
情報が血液のように流れているのである。
ただし人体とは異なるのが、物理的な頭脳の不在である。
存在するのはあくまで論理的頭脳の存在であり、それを構成する物理的サーバが死んだところでどこかにある代替機が稼働する事になる。



さて、法律や規則において、法的論理構成あるが、あくまで法的解釈を体系的に把握するためのものであり、
情報技術で使用される論理的概念は存在しない。仮想化の概念も当然存在しない。

その為、ITの世界で使用されるn対mの概念は法的解釈おいては難しいというよりは存在しない概念であり、
情報技術が絡んだ判例において法学者や弁護士同士でも異なる解釈をする原因はそこにある。

その世界において存在しない概念を無理やり置き換えている為、ある意味で当然であり
法的視点からのみで法的リスクを判断する事は非常に偏った判断を生む事となる。

情報技術の側面と法的側面の複数の視点から観察して、初めて確度の高い法的リスクを識別する事が出来るのである。

出社人数が少なく、会議も無いとやはり緊張感が無くやはりだれてくる。

特に一日の大半が委員会や役会などの打合せで終わる為、
午前中しか会議が無いと緊張感がまるでなく、完全にだれてくる。
まあ、例年通りお盆明けまでこんな調子だろう。


しかし、気晴らしに株価の推移を見ていると相変わらず、
海外投資機関による株価の不正操作が横行しているのが解る。
基本的に日本の証券取引等監視委員会は株価が上がる分には
海外投資機関による不正操作を黙認する。
（ようするに手抜き）

摘発するのは国内の個人投資家やあからさまな粉飾決算を行った企業くらいである。

もっともアメリカ証券取引委員会は少しでも不正操作疑惑があれば機関投資家だろうとなんだろうと、
直ぐに調査に乗り出し、即座に不正を解明しようとする。

能力的に日本の証券取引等監視委員会はアメリカ証券取引委員会の足元にも及ばないだろう。

まあ基本的に財務省の天下り先の一つである為、無能集団になるのは仕方ない事である。


さて、無能なバカ共の話は置いておいて
前回からの続きで、EUデータ保護指令に関して少々触れて行こうと思う。

この法自体は大雑把に言うと、ＥＵ加盟諸国内に存在する個人情報を国外へ持ち出す際に
ＥＵ当局が許可した国以外へは個人情報を持ちだす事を禁じる法律である。
ちなみに日本は情報保護・管理能力が無いとしてＥＵ当局から、ＥＵから日本への個人情報の移動を禁じている。
また、一定の要件のもと「忘れられる権利」すなわち、自分に関する情報の消去を求める権利を有する事も条文内で定めている。


EUデータ保護事例に関しては個人情報保護の観点からよく話に上がる方であるが、
論理サーバを構成する物理サーバのうち一台でもEUのデータセンタを利用していると問題が非常にグレーとなる。


個人情報の移動は以下のように日本からEUはOK、EUから日本はNGとなっている。

日本　→　EU　○　
EU　→　日本　×

さて、EU域外となる日本企業に対する適用範囲に関してだが
以下の場合がが主な適用範囲にあたる。

１）EUに居住する個人に商品やサービスを提供している場合
２）EUに居住する個人の行動をモニターしている場合

要するに、現地の従業員情報やEU国内へクラウドなどのオンラインサービスを提供している企業が対象となる。
（googleやフェイスブック、amazonなど）
その為、EU市民に対してスマートフォンアプリやオンラインサービスを提供していなければ
域外企業はあまり問題視する必要はないが、ネットビジネスを行っている以上、EUのみ対象外となる事はまずあり得ない。

何故か？
EUからインターネットを介してアクセス可能なサービスに関しては
意図する、しないに関わらず提供されている事にあたる為である。


さらにAmazonクラウドを利用して従業員データや顧客データを管理していた場合、どうなのか？

結論から触れるとクラウドサービス事業者にはEU規則が適用される。
ただし、海外展開を全く行っていない日本の国内企業が従業員データを管理する分には
問題視される事は基本的には無いと考えて良いだろう。

まあ、もっともEU市民が日本の企業に対してアンケートメールなどで
住所・氏名・年齢を含めた個人情報を答えた場合、
そのデータに対してEU規則が適用される事になるようなので、注意が必要だろう。


さて、以上を踏まえて、クラウドを構築するサーバの一部がEU国内のデータセンタを利用していた場合、
どうなるかという点だが、弁護士や法務担当に確認したところ、
「場合によってはEU規則が適用される恐れがあるが技術的な解釈例や判例が乏しい為、明確な答えが出せない。
その為、可能であれば国内のデータセンタのみを利用したクラウドサービスを使用することを推奨する。」との事だった。

要するに、よく解らんという事らしい、困ったものである。


まあ、解らないモノを聞いてもしょうがないので
次回以降は国内のデータセンタを利用しているクラウドの法的リスクに
触れて行きたいと思う。

バックオフィス系以外は分散して夏休みをとる事になっているのだが、
それでも出社する人が減るとやはり静かになってくる。

特にリフレッシュスペースは昼でもガラガラで非常に静か
おかげで、のんびり役員同士で小一時間くらいテレビを見ることが出来る。

部下が休みで居ないと、全く働かないダメ上司の典型かもしれないが
まあ、たまには良いだろう。



さて、前回の続きとして潜在的な法的リスクに触れていく。

クラウドの特性は前回話した通りだが、比較的わかり易い法的リスクからあげていく。

ネットワークで接続さえ可能であれば設置場所の制約が緩い事から、災害対策や拠点の運用コスト削減の観点から
物理サーバの設置拠点が国をまたぐ事も当然ある。

基本的にデータセンタの運用費は国内であれば都内よりは北海道や九州などの地方のほうが格段に安い場合があり、
場合によっては国内より台湾やアメリカなどの海外のデータ線を利用したほうが格段に安いことが多い。

この辺りの事情はシステム監査やセキュリティ監査をした事のある監査人は全般統制で関わり、それなりに詳しいだろうから割愛する。


では複数の拠点をまたぐと、どのような法的リスクが存在するか
通信経路がセンタ構内で終始せず外部ネットワークとの接続が必要となる事から
スニッフィングによる機密情報の漏えいがある。
情報の種類としては不正競争防止法における営業秘密、個人情報保護法における個人情報、個人データ、保有個人データ、等が想定される。
（営業秘密や個人情報保護法に関してはそのうちどっかで説明するとしようと思う。）

実際に漏えいした際の対応に関しては拠点自体が国内であれば国内法の適用が可能であり、
事前に情報漏えい保険でも入っていれば弁護士費用や賠償費用に関してヘッジする事は可能かも知れない。
（もっとも善意無過失である事が前提ではある。）
また、営業秘密で守られていた情報が相手の故意や過失で漏れた際は相手や相手の企業に対して
損害賠償請求権をもとに損害賠償を求めることが出来、差し止め請求権の行使も可能となる。


しかし拠点が国をまたいだ場合、準拠法と裁判管轄権の問題が発生する為、そもそもの法的対応がとりづらい状態になる。

特に最近では米国が国ぐるみでスニッフィングを行っており漏えいした情報の対応に関して、
米国政府自体を訴える訳にもいかず企業は非常に難しい対応を迫られている。

また、拠点自体が国外にある場合にはその拠点は当然、設置国の法が適用される事になる。
その為、その国の法自体がリスクとなる事がある。
例としてスニッフィングと関係するが米国愛国者法がある。

この法律自体は当局が必要と判断すれば予告なしに強制的に捜査や押収を可能とするものであり、
以前この方が使用されたデータセンタでは稼働していたサーバの殆どが巻き添えで押収されたうえ
サーバ内のＤＢのデータや他のデータの返却もなされなかった。

企業のデータがある日、突然押収され消失したら、その企業は業務を続ける事が可能だろうか、
BCPをきっちり行っていれば可能だろうがそれでも縮退運転は避けられないだろう。

国内法ではありえない事が他国の法では有り得る。
そうした法的リスクが国をまたぐ場合は存在する。

次回は国をまたぐ法的リスクの関係として、そろそろ改訂されるＥＵデータ保護指令に関して触れていきたいと思う。

稟議書に大量の添付書類があると非常にツライ。

決済時の判断資料として添付資料は当然必要だが
毎回何十ページも添付してあると、監査で内容確認する方も結構な労力が発生する。
内部統制上の観点から辞めろとは言えないところがツライ。


SE出身の監査人に話を聞いていると新規技術に対する法的解釈はやはり意見が分かれる所のようだ。

曰く、基本的にクラウドで使用される仮想化技術やそれに伴うハードウエアの技術的処理に関しては、
現行法が全く追いついておらず、法的解釈は恐らく類似するだろうと思われる判例をもとに、恐らくこういう法的解釈が成立つのであろう。
といった状態が続いているようだ。


しかし実務において、法的リスクの分析をするうえで講学上の不透明極まりない解釈では全く話にならず、
どこぞの法学者や弁護士が行う玉虫色の判例解釈では実務上ほとんど役に立たない。


実際問題として、法的リスクが顕現化したとしても殆どが和解するか泣寝入するかが大半で
判例として残るケースが殆ど無いそうだ。
その為、現時点で使用している新規技術がどの様な法的リスクに成るのか、
それを明確に判断する基準自体が乏しく、そもそも法務部や弁護士が新規技術を理解しきれずにいる為、
本当にリスクかどうかの判断がつかない状態でいる事が多いようだ。
また、実際にそのリスクが顕現化した際の対応も実例が乏しい事から対応ノウハウが無いという状態でもある。

その為、弁護士や法務担当は過去に発生したネットビジネスに関する判例をもとに類推せざるをえないのが現状であり、
類似しないモノは法的リスクとは判断し辛い状態にある。

「法解釈上の不透明性による法令違反リスク」という点においては
クラウドは潜在リスクがひしめいている状態である。



さて前置きはこの位にして、クラウドの特性に触れて行く。

・技術的特性として
クラウドは基本的には仮想化技術をもとに構築されており、その多くはハイパーバイザー型で構築されている。
（ただし、この点においてはクラウドサービス業者によっては従来からあるASPサービスの名称を
クラウドと変更しただけのものが多くあるが、全てをフォローする訳にもいかない事から、
ここでは原則としてクラウドは仮想化OSを使用しているものとする。）

そして仮想化技術の採用により、分散処理の導入が容易となり、
複数の物理サーバを一つの論理サーバとして使用する事を容易にし
物理的な負荷分散、耐障害性の向上など恩恵をもたらす事となった。


もっともＮ対１(物理サーバ対論理サーバ)となる関係はそのサーバで取り扱う情報の複製化を容易にし、
且つ情報の複製された情報 or 複製元の情報の存在自体を見え辛くする事となった。

また、複数の物理サーバが容易に論理化する事が出来るようになった事からネットワーク的に接続さえ可能であれば、
同一拠点に物理サーバを置く必要が無く、地理的条件は殆ど無いに等しい。
その為、1つの論理サーバを構築する物理サーバが国境を跨いで存在する事を可能とした。

そして、業者が提供するクラウドサービスにおいては、1つの論理サーバ上で複数のＯＳの利用を可能とし、
サービスのマルチテナント化も可能としていった。


さて、基本的にメリットがあれば当然デメリットもある。
次回以降は特に前置き触れた顕現化し辛い法的リスクについて触れて行きたいと思う。