クラウドが直面する各国の法制度 〜パトリオット法の影響とは？：クラウドガバナンス現在進行形【第4回・後編】

パブリックおよびハイブリッドクラウドを実現した際に、必ず直面する世界の法制度問題。日本と同等または個人情報保護体制がより整備されていそうな国・地域を絞るとともに、パトリオット法が与える影響を考えた。

[川田大輔]

　ハイブリッドクラウドの実現に向け、技術的・法的課題は何か。前編「クラウドはオンプレミスとデータ連携ができる？　どうなる連携コスト」では、オンプレミスとクラウドのデータ連携についての課題や技術的構造を整理した。将来ハイブリッドクラウドが実現した際にあらゆる利用者が必ず直面し、既に国際展開を果たしている先進的利用者は今まさに取り組んでいる、世界の法制度の問題について状況を整理してみたい。

　第3回「クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは」の最後に軽く触れた通り、クラウド利用の一般化が全世界に広がれば、資源選択などのダイバーシティが確保され、特定地域の災害リスクなどからデータやサービス資産が自由になる。その半面、世界各国・地域の法制度など、これまで国内でICT利用が完結してきた事業者、利用者にとっては未知のリスクに直面することになる。

　第3回で掲載したガバナンスレイヤーケーキモデル（図4）に基づいて考えると、実装＝アーキテクチャによって解決すべきドメインの外側に法令順守と監査対応、さらに事業継続性確保と災害対策ドメインがある。クラウド事業者であれ、利用者であれ、本連載「クラウドガバナンス現在進行形」では日本に活動基盤がある読者を想定しているので、ここでは日本の事業者・利用者にとって事業性が確保できる法の範囲を割り出すこととする。

図4　既知のリスクをガバナンス視点でレイヤー分けした図（CSAのSecurity Guidance for Critical Areas of Focus in Cloud Computing v2.1を基に作成）

　アーキテクチャにおいて法が直接に関連するのは、法務・電子証拠開示と個人情報・アクセス管理ドメインの2つだ。法務・電子証拠開示ドメインについては、技術的に日本の事業者・利用者にとって受け入れ可能な要求であるならフォレンジック技術（※2）の問題として脇に置いておける。しかし、個人情報・アクセス管理ドメインについては個人情報保護法制の問題と直結しているので、日本と同等かそれ以上の法制度が整備されていない国の法律によって管轄されるサービスの利用や事業進出は慎重に検討する必要が出てくる。

（※2）フォレンジック技術：不正アクセスや機密情報漏えいなど、コンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術。