クラウドコンピューティングとEUデータ保護指令
クラウドコンピューティングのリスクというと「どこにデータが保存されるかわからない」という点がよく指摘されます。そんなあやふやなものにデータを預けられない、と思うことは自然のことです。無理をしてクラウド上にデータを置くことはありませんので、例えば個人情報など高い管理レベルを必要とする情報は今までと同じようにオンプレミスに管理し、それ以外の情報をクラウド上に置くというやり方が現実的です。(マイクロソフトの砂金さんらが執筆された書籍「Microsoftのクラウドコンピューティング Windows Azure入門」にも同様の主張があります。)
今日のところはそのあたりをさておき、EUのデータ保護指令について調べてみました。日本にはプライバシーマーク制度があります。プライバシーマーク制度のサイトではこのように記述されています。
加盟国間の違いを埋めるために、EUは1995年(平成7年)10月24日、『個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令』を採択しました。
いわゆる、「EUデータ保護指令」と呼ばれているものです。(中略)
指令の第25条には、EU加盟国から域外の第三国へ個人データを移転する際の規定がありました。
その規定とは、個人データの保護に関する措置が、EUデータ保護指令の水準に満たしていない第三国やその国の企業には個人データを移転してはならないというものでした。この規定こそが、EU域外の各国に対して、個人情報保護制度の確立を急がせた要因になったと言われています。こういった世界での動きを受け、日本では1997年(平成9年)に通商産業省(現・経済産業省)が「個人情報保護に関するガイドライン」を改定。また、翌年には「プライバシーマーク制度」が発足したほか、個人情報保護法(平成17年4月全面施行)の整備が加速されました。
要点を記すと、「個人データの保護に関する措置が、EUデータ保護指令の水準に満たしていない第三国やその国の企業にはEU加盟国から個人データを移転してはならない」ということです。これにより日本を含め多くの国で個人情報の保護制度が拡充されました。
例えばクラウドコンピューティングで複数のデータセンターが複数の国にまたがって設置されるという状況が想定されます。そのサービスがEUデータ保護指令の水準を満たしていないとなればEU加盟国からそのサービスに個人データを登録することは域外への移転となってしまいます。
ではアメリカはどうしたか、というとこちらのサイトにあるとおり、EUとアメリカとの間で取り決めを交わしました。
http://www.smiths-medical.com/site-information/privacy-japan.html
これはスミスメディカル社のプライバシーポリシーです。
米国商務省と欧州委員会はデータ保護の原則に関する枠組みとなる「セーフハーバー」協定(以下「セーフハーバー協定」とします)を策定しました。このセーフハーバー協定には、米国内の組織が個人を特定しうる情報をEUから米国に転送する際に、EUが要求する法的条件を満たすための指針が規定されています。
スミスメディカルは当セーフハーバー協定を自主的に認証しており、弊社のプライバシー保護方針において、通知、選択、転送、セキュリティ、データ統合、アクセス、施行などについてEUから米国に転送される個人データのプライバシー保護に関する基本原則を順守しております。
すなわち、EUはアメリカ商務省を認めたので、アメリカ商務省に認められた企業もOKとみなすよ、というルールです。アメリカでは商務省が認証することになっていますが、下のサイトに記載のとおりアルゼンチン、カナダ、スイス、その他いくつかの島々はEUの基準に見合っているものと判断して域内と同じ扱いになります。
http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
ここからわかることは2つです。1つ目はアルゼンチン、カナダ、スイスの国々にクラウドコンピューティングのデータセンターを作るとしたら、EUの域外の国より有利であると考えられます。実際の取り組みのレベルに違いがないとしても、域外の国では「EUのデータ保護指令の要求するレベルに達している」という点を証明しなくてはなりませんから、それだけ余計な体力が生じます。
もう1つは、非関税障壁としてデータ保護指令を運用する可能性が残されているところです。適用のさじ加減でサービスの排除が行われるとは考えたくはないですが、可能性としてはあり得る話です。過去にヨーロッパで「環境保護」や「独占禁止」の司法権が発動された際には障壁ではないかという意見が出たことがあり、見え見えの手を使う可能性は低いかもしれませんが日本発のサービスが「十分でない」として拒否される危険性は否めません。
この2点目について思うところがあります。日本では近代国家の仲間入りをする際に「司法がきちんとしているか」という点で苦労がありました。児島惟謙の大津事件として有名ですが政治の思惑を優先させるために判決を曲げようとしたら、そんなことをしては日本が近代国家として認識してもらえないから最後は損をするとして司法の独立を守ったという話です。
これは情報システムのサービスレベルの話としても言えるのではないでしょうか。日本の業務システムは世界でも非常に高いレベルの稼働率を要求し、それを実現していると言われます。しかしセキュリティはどうでしょうか。世界レベルで見てどうなのかはともかく、情報の紛失や不正持出しといったニュースは後を絶ちません。迷惑メールの送信元としてはあまりひどいほうではありませんが、ウイルスの増殖と拡散の温床となったり、ボット化したPCも少なくないように思います。これではITの先進国らしくありません。
世界に「データセンターを置くなら日本だよね」という意識を持ってもらうとしたら、そういったところから変えていく必要があるのではないでしょうか。一般的にクラウドデータセンターを置くとしたらアメリカに1拠点、ヨーロッパに1拠点、あとはアジアかオセアニアに1拠点が有力かと思います。その中でインド、中国、オーストラリアに対して日本の優位性はどのあたりにあるでしょうか。インドは優秀なIT技術者が集まりますし、中国は巨大な港を揃えるなど物流が良さそうです。インドも中国もサービスの購入者が爆発的に増える可能性があります。オーストラリアは地震が非常に少ないですし、ソーラーエネルギーへの取り組みも積極的です。(アルゼンチンはEU域内として扱われる優位性がありますが南米のIT事情ってどうなんでしょうか)
日本は人材で勝負すると言われますが、どちらかというと先端的な人材の豊富さに加えてその辺りにいる技術者のレベルの高さがその他の国とケタ違いに高い点に価値があると言われます。データセンターの運用は24時間365日を続けるものです。日ごろ我々が現実の生活で感じるのと同じように、ITに関しても治安が良い国であれば、無理なくそういった運用を続けていくことができるでしょう。反対に、いくら高レベルの技術者を輩出し、賃金の安い国であっても、様々なサービスを担当する「普通の人」にまで高い運用レベルを要求することは大変です。データセンターを運用すると言っても食事、掃除、運送、修繕と様々な人が関連しますので、その隅々にまで監視を行き届かせるために高コストになってしまうかもしれません。特に低賃金な国ほどそういった面で高コストが発生する可能性が高いと思われます。
普通の人が普通にITの治安を維持できる国、それこそ日本がクラウドコンピューティングを中心にデータセンターを誘致することに成功する要因ではないでしょうか。