2010年11月18日 08時00分 公開
特集/連載

クラウドコンピューティングに対する法的不安を取り除くには技術者の論理的な声を弁護士や経営者に届けよう

「雲の中のコンピューティング」は未知の法的危険に対する不安に満ちている。そうした不安と技術的理解の欠如が組み合わされば、クラウド導入計画が頓挫しかねない。

[Julie Tower-Pierce,TechTarget]

 弁護士たちの間でクラウドコンピューティングが話題になっている。社外データストレージとサービスはとても新しい概念とは言い難いが(SkypeやYahoo! Mailを考えてみるといい)、昔からずっと遅れて技術を追い掛けてきた法律の目は、「クラウドコンピューティング」、つまりSaaS(Software as a Service:サービスとしてのソフトウェア)、IaaS(Infrastructure as a Service:サービスとしてのインフラ)、PaaS(Platform as a Service:サービスとしてのプラットフォーム)といった分散型のオンラインサービスにくぎ付けになっている。

 企業がコスト削減に目を向け、サービスと膨大なストレージ/データバックアップを柔軟かつ便利に利用できる選択肢に目を向ける中、クラウドコンピューティングへの関心が急上昇するのは納得できる。しかし「雲(クラウド)の中のコンピューティング」は、法的神秘、つまり未知の不確実な法的危険に対する不安に満ちている。

 クラウドコンピューティングの仕組みについて技術面と実用面を理解し、クラウドへの移行が顧客と企業にどんな法的影響を与えるかを理解しても、それはクラウドコンピューティングにまつわる法的な不安のほんの一端でしかない。結局のところ、無知が致命的になるかもしれず、少なくとも会社にとって深刻なリスクをもたらしかねない。こうした技術的理解の欠如と、プライバシー不安やクラウドにおける米国憲法修正第4条(合理性のない捜索や押収を憲法で禁止する措置)の有効性、知られざる政府介入、第三者によるアクセス、国際主権、セキュリティ、証拠収集とeディスカバリー(電子証拠開示)、災害復旧、確立された法的前例(判例)が存在しないことなどにまつわる数々の不安とが組み合わされば、例えば会社としてのGoogle Apps採用などクラウド導入に向けた技術計画や最善の情報セキュリティでさえも頓挫しかねない。

関連記事

国内企業のクラウドコンピューティングに関する懸念については以下の記事も参照してほしい。

調査結果から見る中堅・中小企業のクラウドセキュリティに対する懸念

期待と不安は雲のよう? セキュリティから見たクラウドとの付き合い方


 クラウドコンピューティングに付きまとう不安や警戒心には、誤解に基づくものと理にかなったものの両方がありそうだ。Webベースアプリケーションとサービス、そしてクラウドコンピューティングのリスク/セキュリティにまつわる神秘性を解消することが、クラウドに対する障壁を取り除く鍵となる。

 まず手始めに、企業の法務担当者に法的リスクを判断させるためには「クラウド」について理解する手助けが要りそうだ。すなわちクラウドの仕組みやデータの所在、データ保存とアクセス、取得の複雑さ、セキュリティといったことだ。ローカルデータストレージやセキュリティ問題といった技術を理解して現行法を適用するだけでも十分困難だが、それに加えてクラウドコンピューティングには、企業やビジネスを訴訟リスクから守ろうとする法務担当者にとってもう1つ複雑かつ困難な側面がある。特にデータが全国あるいは世界各地に保存される場合、クラウドコンピューティングに当てはめる新規制がまとまるのを待つ間、あるいは電子通信プライバシー法(ECPA)、コンピュータ不正行為防止法(CFAA)といった現行法の改正を待つ間、そのデータの完全性とプライバシーについての保証が欲しいと思うだろう。もちろん、ハッキングがニュースを騒がせる現状に照らして、クラウドのセキュリティやプライバシーをどう向上させるかを理解するという点においても法務担当者は明確さを求めている。

 弁護士や非技術系の経営陣と接するITおよびセキュリティの専門家は、クラウドにまつわる多くの不安を一掃する立場にある。直接的、実際的な説明と実社会になぞらえた実例を用い、技術に立ち入り過ぎた説明は可能な限り控えれば、クラウドコンピューティングの仕組みについて確固とした理解を浸透させ、弁護士に全体像を把握してもらう手助けができる。その技術力を使えば、データプライバシーや第三者による無許可のアクセスといった厄介な問題について、弁護士や非技術系の経営陣の理解を助けられる。例えば会社がGoogle Appsへの移行を検討しているが、第三者によるアクセスや政府による不合理な介入あるいは押収、災害復旧などへの不安から反対が出ている場合、データの保存・処理方法(例えば暗号化など)、第三者によるアクセスの現実性、予期しないリスクに対処するための技術プロセスについて、弁護士や経営陣の理解を助ける極めて重要な役割を果たし得る。クラウドサービス事業者には、こうした疑問に対して確実に答えさせる必要がある。もちろんその結果として、技術面とセキュリティ面で自分の目的も達成しやすくなる。

 クラウドコンピューティングに関する経営陣の「もし仮に」という質問もけん制することが可能だ。例えば、「もし政府の令状や召喚状がクラウドコンピューティングのデータに対して執行されれば会社のサービス利用に支障を来しかねない」と法務部門が心配している場合、支障が出るのを防ぐためにどのような予防措置が取られているかを知ってもらう。ここでもサービス事業者にしっかり詳細を提示させる。クラウドに対する主な懸念が災害復旧にある場合は、リスク回避のためのプロセスを説明し、GoogleAmazonなどのクラウド事業者が災害復旧を念頭に置いて設計したサービス提供を保証していることに触れてもいい。さらに、クラウド技術のリスク不安について弁護士と経営陣に一通り説明し、クラウドに保存しているデータの裁判分析を実施する必要性の問題、あるいはストレージメディアによってデータの完全性が損なわれ、法廷での証拠価値が失われた場合の問題などに応えることで、ポリシー策定を支援できる。

 法科大学院を出ていなくても、実社会の技術に精通していれば、それを武器に弁護士を手助けして、理にかなった実際的なクラウドコンピューティング法の形成と会社のポリシー策定に貢献できる。そうしなければ、こうした不安が新技術の受け入れと快適さに影響を及ぼしかねない。ぜひ積極的に、技術者の論理的な声を法に反映させてほしい。

本稿筆者のジュリー・タワー・ピアース氏は弁護士で、サイバー犯罪とサイバー法を専門とする元教授。共著書に『Virtual Incorporation』がある。

ITmedia マーケティング新着記事

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。

news153.jpg

日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。

news030.jpg

経営にSDGsを取り入れるために必要な考え方とは? 眞鍋和博氏(北九州市立大学教授)と語る【前編】
企業がSDGsを推進するために何が必要なのか。北九州市立大学の眞鍋和博教授と語り合った。