クラウド・コンピューティングをめぐる法律問題(2)パブリック・クラウドでは情報管理状況の把握が困難

 前回は、クラウド・コンピューティングに関する法律問題を検討する場合には、SaaS、PaaS等のクラウド・サービスの種類による分類ではなく、サーバの設置場所によって、プライベート・クラウドとパブリック・クラウドに分類し、パブリック・クラウドを採用した場合、サーバの運用・保守状況や情報管理状況の把握が困難であることに起因して法律問題が発生することになるという点について説明しました。

 では、具体的には、どのような問題が発生するのでしょうか。まずは、情報管理の視点から検討してみようと思います。情報は、法律上、原則として誰もが自由に利用できることになっています。

 しかし、法律上、特別に規定が設けられ、特殊な扱いをすることは明示されている情報として、個人情報と営業秘密があります。 従って、ここでは、クラウド・コンピューティングを採用した場合、個人情報と営業秘密の取扱いについて、どのような点に留意しなければならないのかという点について、検討してみようと思います。

 

1 クラウド・コンピューティングで個人情報を管理する場合

 まず、特別な規定がされている情報として、個人情報をとりあげます。個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」をいいます(個人情報保護法第2条第1項)。そして、個人情報を取り扱う個人情報取扱事業者には、下記のとおり、個人情報保護法上、個人データの安全管理のために必要かつ適切な措置」(以下「安全管理措置」という。)を講じることが義務付けられています。

 

個人情報保護法(第20条 安全管理措置)

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 

 

  そして、この規定を受けて、「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)(以下「ガイドライン」といいます。)では、組織的安全管理措置(従業者の権限の設定、規定や手順書の整備等)、人的安全管理措置(従業員に対する教育・訓練等)、物理的安全管理措置(入退室の管理、個人データの盗難防止等の措置)、技術的安全管理措置(情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等)について詳細に記載されています。

  更に、個人データの取扱いを第三者に委託する場合、個人情報保護法上、以下のように委託先を監督することが義務付けられています。

 

第22条委託先の監督)

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 

 そして、この規定を受け、「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)(以下「ガイドライン」といいます。)では、「委託先における個人データ取扱状況の把握」が要求されているほか、「個人データの取扱を委託する場合に盛り込むことが望まれる事項」として「契約内容が遵守されていることの確認(例えば情報セキュリティ監査なども含まれる。)」と記載されています。パブリック・クラウドのユーザ企業が、社内で利用する基幹システムにクラウド事業者が提供するサーバを利用する場合や、第三者に提供するサービス(たとえばECサイトの運用等)にクラウド事業者が提供するサーバを利用する場合、クラウド事業者に個人情報の管理も含めた運用・保守業務を委託することになるのではないかと思います。このような場合、パブリック・クラウドを利用するユーザ企業は、「個人情報保護に関する法律」の第20条(安全管理措置)、第22条(委託先の監督)や、これを受けて策定されたガイドラインを遵守するために、クラウド事業者に対し、各種の安全管理措置を講じるように義務付けるとともに、ユーザ企業のクラウド事業者に対する一定の監督業務を可能とするためクラウド事業者に一定の協力義務を課す必要もあるのではないかと思います。しかし、クラウド事業者が、各種の安全管理措置を講じることに応じることができるか否かは、各クラウド事業者によって異なるでしょう。また、ガイドラインが個人情報取扱事業者に講じることが望ましいと指摘している「情報セキュリティ監査」や「個人データの取扱状況に関する委託元への報告の内容及び頻度」を実現することも各クラウド事業者によって異なる対応が予想されるところではないかと思います。

 従って、ユーザ企業が、パブリック・クラウドのクラウド事業者が提供するサーバ上で個人情報を管理するのであれば、クラウド事業者が、個人情報保護法及びガイドラインで規定された内容について、クラウド事業者が対応可能であるか否かを確認する必要性が高まることになりそうです。

 

 クラウド・コンピューティングで営業秘密を管理する場合

 次ぎに、不正競争防止法上の「営業秘密」をとりあげようと思います。営業秘密とは、同法第2条6項で下記のとおり定義されているように、@秘密管理性、A有用性B非公知性を要件として認められる情報です。

 

不正競争防止法第2条6項(営業秘密)この法律において「営業秘密」とは、@秘密として管理されている生産方法、販売方法その他の事業活動にA有用な技術上又は営業上の情報であって、B公然と知られていないものをいう。

 

A有用性とB非公知性は、情報自体の属性に起因する要件ですので、どのような管理がされているのかということによって、影響を受けるものではありません。しかし、@秘密管理性については、管理方法によって影響を受ける要件ですので、特に注意が必要です。この点について、裁判所は、以下のように判示しています。

 

名古屋地裁平成20年3月13日判決
「秘密として管理されている」とは,当該営業秘密について従業員及び外部者から認識可能な程度に客観的に秘密としての管理状態を維持していることをいい,具体的には
(ア)当該情報にアクセスできる者が制限されていること(イ)当該情報にアクセスした者が当該情報が営業秘密であることを客観的に認識できるようにしていることなどが必要と解され,要求される情報管理の程度や態様は,秘密として管理される情報の性質,保有形態,企業の規模等によって決せられるものというべきである

 

 従って、クラウド・サービス(特にパブリック・クラウド)を利用するユーザ企業が、クラウド事業者に営業秘密の管理を委託する場合には、少なくとも(ア)当該情報にアクセスできる者が制限されていること(イ)当該情報にアクセスした者が、当該情報が営業秘密であることを客観的に認識できるようにしていることを満足するよう、契約上の工夫をする必要があることになります。

 

3 利益相反に関する問題

最後に、クラウド事業者の利益相反の問題について言及しておこうと思います。ユーザ企業Aとユーザ企業Bがライバル企業であった場合に、両方のユーザ企業が同一のクラウド事業者に情報を預けるというケースが生じ得ます。我々弁護士の場合も、クライアントAとクライアントBがライバル企業であった場合に、クライアントAの仕事を受任すると、クライアントBからの依頼を受けにくいという場合があります。これと同じようなことは、クラウド事業者にもいえるのかも知れません。ユーザ企業Aとユーザ企業Bが同一のクラウド事業者に預けていた場合、クラウド事業者がユーザ企業Aが管理している個人情報や秘密情報をユーザ企業Bに漏洩させるといった事件が起こりやすくなるのかも知れません。このようなことは、パブリック・クラウドで、サーバの運用保守業務をクラウド事業者に委託する場合も起こりえることではありますが、ユーザ企業の目が届きにくいパブリック・クラウドでは、そのリスクは高まるように思います。

 

4 まとめ

今回は、クラウド・コンピューティングを利用した場合における、情報管理の注意事項について言及しました。次回は、クラウド・コンピューティングと稼動保証の問題について検討してみようと思います。

以上

▲このページのトップに戻る