企業ユーザーのクラウド導入に向けては,技術だけでは解消できない課題も多く残っている。例えばパブリック・クラウドではデータの保存先が海外に分散し,ユーザーはどの場所にデータを預けたのか確認できないケースがある。企業にとって制度をきちんと守れているのかどうか頭を悩ますケースがあるのだ。
預けるデータが個人情報である場合,データの国外移転の可否について,実は個人情報保護法や業界ガイドラインには明確に記載されていない。ただ少なくとも個人情報保護法の第22条にある「委託先の監督義務」が生じ,ユーザーはクラウド事業者に対して「個人情報の保護の水準を満たしているか評価すること」を義務付けられる。預けるデータが先進的な技術情報であった場合は,外国為替及び外国貿易法の規制を受ける。こちらは国外にデータを保管する場合,経済産業大臣の許可が求められる。
このようにちぐはぐとした結果を招いているのは,これらの制度がクラウドの登場以前に成立したものであり,クラウドの利用を想定していないからだ。
もっともデータの国外保存については,国内制度の問題とは別に,リスクを生む可能性もある。例えば米国のパトリオット法のように,米国内のデータ類を令状無しで差し押さえられるようなケースがあり得る(図1)。さらには,「裁判の管轄権はデータを保存している国に帰属する可能性があり,注意が必要」(ベライゾン ビジネスの岡田正人グローバル サービス本部ビジネスディベロップメントマネージャー)という指摘もある。企業にとって,データがどこに保存されるのか分からないサービスは,安心して使えるものとは言えない。
総務省が環境整備へ乗り出す
こうした制度面の課題について,総務省が解決に向けた動きを速めている(図2)。総務省のスマート・クラウド研究会の中間取りまとめ(案)では,個人情報保護法のガイドラインや外国為替法などの制度について,クラウド利用を想定して制度運用の明確化を図るべきとした。同研究会が終了する2010年6月以降,工程表をまとめ,国家としてのクラウド戦略策定を予定している。この中で具体的な動きが進みそうだ。
例えば総務省は2009年7月に,医療分野の情報を取り扱うSaaS事業者向けのガイドラインとして「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」を策定した。このガイドラインでは,災害時などに所管官庁に資料を提出できるように,サービスに用いるアプリケーションやサーバー,ストレージは「国内法の運用が及ぶ場所に設置すること」と記している。これと同様の指針を他の業界に向けたSaaS,あるいはPaaSや IaaSの分野にも広げたい考えだ。この指針ができれば,ユーザーは各種データの預け場所が国内がよいのか,国外でも問題ないのかを判断できるようになる。スマート・クラウド研究会を担当する総務省情報通信政策課の谷脇康彦課長は,「ユーザー自身がデータの預け場所をコントロールできることが重要」だと話す。
さらに同研究会の取りまとめ案では,クラウド普及を促すために,民間主導で利用者向けのモデル契約約款とガイドラインを策定すべきとしている。モデル契約約款は,利用者がクラウド事業者の突然のサービス終了などによって不利益を被らないように,事前のサービス終了の告知やデータの利用者への返還や削除を約款とすべきという提言だ。ガイドラインは,クラウドのメリットやデメリット,リスクなどを示した文書になる。このような制度面の取り組みは,企業ユーザーにとっても役立つ。クラウド利用の不安を解くことにつながり,適材適所でクラウドを使い分けやすくなる。
国際的なコンセンサス作りも
最近では,「データの預け先を選びたい」というユーザーのニーズに答えるため,利用するデータ・センターの場所を選択できるサービスが増えてきた。例えば米ベライゾンビジネスが提供するPaaSは,ログイン画面でオランダと米国のどちらのデータ・センターを利用するのかを選べる(写真1)。マイクロソフトの Windows Azureも同様に,利用するデータ・センターをユーザーが選べるようになっている。
それでも,クラウドがボーダレスなサービスである以上,国内外の法令の違いは残ったままだ。そこでスマート・クラウド研究会は,提言として,クラウド・サービスに適用される国内法規とデータ・センターの設置場所の法規との関係を整理し,国際的なコンセンサスを作っていく方針も示している。まずはAPECやOECDなどで問題提起する考えだ。
