クラウド・コンピューティングをめぐる法律問題(4)海外クラウド・サービス固有の法律問題

 前回までは、クラウド・コンピューティング(パブリック・クラウド)について、クラウド事業者が運用するサーバが国内に設置されていることを前提に検討してきました。しかし、パブリック・クラウドのサービスを提供している多くの企業は、マイクロソフトやアマゾンなどの外資系企業であり、サーバが、海外に設置されている場合も少なくありません。そこで、今回は、パブリック・クラウドにおいて、なおかつ、サーバが海外に設置されている場合には、どのような法律問題が生じるのかという点について、検討してみようと思います。

 

  

   米国愛国者法に関する問題 

 まず、クラウド・コンピューティングとの関係で懸念されている法律として、米国愛国者法を紹介しておきます。米国愛国者法とは、2001年9月11日に発生した同時多発テロを契機にして、2001年10月に成立した、捜査機関における権限の拡大等を目的にした法律です。

 この法律の適用によって、米国に設置されたサーバが捜査の対象とされやすくなることにより、クラウド・サービスが提供できなくなることが懸念されています。外国に設置されているサーバ等が、捜査の対象となること自体は、米国以外の国でも起こりうることで、日本国内においても発生しうる事象です。しかし、日本国内のサーバに記録されているデータを捜査するためには、裁判所が発行する令状が必要とされるのに対し、米国愛国者法のもとでは、裁判所が関与することなく、捜査機関が捜査できるという点が異なります。

 従って、米国にクラウド・サーバを設置した場合、米国愛国者法が適用される結果、捜査の対象とされる可能性が高まるといえます。クラウド・サーバが、捜査の対象とされた場合、そのサーバを利用したクラウド・サービスの提供は、停止を余儀なくされることが通常ですので、稼動保証の問題が発生することになるわけです。

 しかも、パブリック・クラウドであれば、複数のサービスが一つのサーバ上で提供されることになりますから、第三者が、提供しているサービスに対する捜査に巻き込まれ、自己のサービスも提供できなくなるという状況も考えられます。 

 クラウド・サービスを利用して社内又は第三者に対するサービスを提供するユーザ企業としては、クラウド事業者との契約において、自己のサービスが提供されるサーバに、第三者が提供するサービスとして、どのようなサービスが存在するのか等について、事前に開示を求めることも必要なのかも知れません。

 

 

2 EUのデータ保護指令に関する問題

 次に、個人情報に関する規制として、EUのデータ保護指令(Data Protection Directive)を紹介します。

 データ保護指令では、EU内の住民の個人情報を、データの保護レベルが十分ではない第三国へ移動することを禁じています。 

 従って、あまりこのようなケースはないのかも知れませんが、EU内においてクラウド・サーバを設置し、そこで、EU内の住民の個人情報が蓄積されたとすると、これを、後から違う地域のサーバに移動しようとしても、移動先の第三国のデータ保護レベルが低いと、データ保護指令に違反するということになりますので注意が必要です。

 

 

3 外国為替及び外国貿易法に関する問題

 最後に、外国為替及び外国貿易法(以下「外為法」という。)に関する注意点を指摘しておきます。最近では、資金決済法の施行にともない、耳にする機会が増えた法律で、外国との決済に関する法律であると認識されている方は、クラウド・サービスと、外為法がなぜ関連するのか疑問に思われるかもしれません。

 しかし、この法律は、「対外取引の正常な発展」のみならず、「我が国又は国際社会の平和及び安全の維持」(外為法第1条)をも目的として成立した法律で、兵器等に使用される可能性がある技術についての輸出を規制しているため、クラウド・コンピューティングとも関連してくるのです。

 具体的には、外為法第23条3項では、「特定技術を内容とする情報の送受信」をしようとする者に対し、経済産業大臣はその許可を受ける義務を課することができるとしています。

 そして、ここでいう「特定技術」とは、「国際的な平和及び安全の維持を妨げることとなると認められるものとして政令で定める特定の種類の貨物の設計、製造若しくは使用に係る技術」(外為法第23条1項)と定義され、2010年8月16日付で経済産業省が発表した「クラウドコンピューティングと日本の競争力に関する研究会」と題する資料では、「特定技術」について、

 

「核兵器等の大量破壊兵器や通常兵器に関連した技術を指しており、例えばこの技術の中には暗号技術などの汎用的な技術も多く含まれるため、これらの情報を取り扱う際には留意が必要である。」

 

と結論付けています。従って、クラウド事業者及びクラウド事業者が提供するクラウド・サービスを利用するユーザ企業は、クラウド・サービスにおいて送受信する情報が、特定技術に該当するか否かを確認する必要性があるとともに、該当した場合には、経済産業大臣の許可を得るための手続きを講じる必要があることになりますので、注意が必要です。

 

4 まとめ

 今回は、海外にクラウド・サーバを設置した場合における法律的な注意点について検討してみました。もっとも、海外にクラウド・サーバを設置する場合には、上記のような法律的な問題に加え、海外のオペレータが日本語で対応してくれないというような、事実上の問題もあるように思います。

 従って、海外のクラウド・サービスを利用するためには、法律的な問題のみならず、言語等の問題も含め、事前に総合的な検討をしておく必要性があるように思います。

以上

▲このページのトップに戻る