「信頼できるクラウドへ」── 法律の専門家が陰で支える Microsoft Azure

日本マイクロソフトの法務・政策企画統括本部で副本部長を務める舟山弁護士は「IT をめぐる法制度は動きがダイナミック」と興味を持ち、10年前に日本マイクロソフトに入社する。ここ数年はクラウドに関する法的な相談が急増しており、「米国愛国者法」を巡る大きな誤解もある。「直接、技術やサービスで顧客に貢献することはできなくても、法律の専門家として、信頼できるクラウドの提供に努めたい」と話す。
（アイティメディア エグゼクティブ・エディター 浅井 英二)

11.18.2014 　The Lounge Special Topics

　「米国愛国者法を巡る議論には大きな誤解がある」── そう話すのは、日本マイクロソフトの法務・政策企画統括本部の業務執行役員統括副本部長、舟山聡弁護士だ。

この愛国者法によって、日本企業のあいだでは「米国のクラウド事業者のサービスを利用すると、米国政府機関によって自由にデータにアクセスされてしまうのではないか」という懸念が一人歩きしてきた。一時期、政府の各種報告書が海外のクラウド事業者を利用するリスクを指摘したこともあって、「とてもじゃないが、これでは大切な会社のデータを預けるわけにはいかない」と躊躇するのは当然だった。

しかし、そもそもこの法律の正式な名称は、「2001 年度テロ行為を傍受・妨害するために必要となる適切な手段を提供することによって米国を団結し強化する法律」 (Uniting and Strengtheing America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001) であり、後半の頭文字「PATRIOT」を取って一般には愛国者法と呼ばれているものである。そうであれば、企業が通常のビジネス活動を行う限り、テロ行為とは無関係で、この法律手続きとも無縁のはずだ。

「この法律は、ばらばらだった対テロ捜査に関する刑事法上の手続きを一定程度緩和し、集約したもので、誤解されているような、米国政府が自由にデータにアクセスできることを認める法律ではない」と舟山氏は説明する。

日本では企業で働く弁護士は少ないが、舟山氏は「IT をめぐる法制度は動きがダイナミック」と興味を持ち、10年前に日本マイクロソフトに入社する。ここ数年はクラウド サービスに関する法的な懸念や相談が急増しており、顧客を訪問し、海外の法制度などを説明する機会も増えたという。

「契約のレビューだけでは気がつかないことばかり。お客様から学ぶことは多い」と舟山氏は話す。

●Microsoft は顧客を守るためなら最高裁まで争う

Microsoft は 1990 年代の終わりから長期にわたり、米国司法省や欧州当局らと法廷で争った過去がある。市場での支配的な立場を利用し、ライバルたちとの競争を優位に展開したとされたが、2002 年に米国司法省と和解、2009 年には欧州委員会とも和解が成立した。

「かつては司法当局と対立した Microsoft だが、現在では彼らと折り合いを付け、信頼に足る製品やサービスの提供につとめている。また、IT 普及のために法制度が追いついていないのであれば、お客様のために、お客様や業界団体と連携しながら、法整備を促すなどの活動もしている」と舟山氏。同社では世界で 1000 人を超える法務業務、政策企画業務の専門家が働いているという。

信頼に足るクラウド サービスを提供すべく、Microsoft では顧客と交わす利用契約において、顧客が保管するデータに関して政府機関から開示の要請があったとしても、その適法性を精査したうえで、可能なかぎり顧客から情報開示してもらうようにするプロセスが明記されている。顧客のデータはあくまで顧客のもので、顧客がコントロールすべきであるという考え方である。仮に当局から「Microsoft から直接情報開示してほしい」と法的に強制された場合にも精査し、原則として当該顧客に通知したうえで行われるという。

「適法性」については、顧客の立場で念入りに検討され、譲れないと判断した場合は法廷での争いも辞さない。実際、アイルランドのデータセンターに保管されていた顧客企業のデータをニューヨーク連邦地裁が発した令状で情報開示を求められたケースでは、裁判所を相手取った訴訟で係争中だ。

「データセンターの所在地であるアイルランドの令状でなければ効力はない。顧客が信頼できるクラウド サービスを提供するという観点から、1 つの国の主権がデータに及ぼす範囲に関する問題は、その根幹にかかわるものと考えている。そもそも国際的な条約上の手続きを踏めばそれも可能になるところ、そうした国際的制度をないがしろにするこのようなやり方に対しては、連邦最高裁まで争ってでも Microsoft は顧客のデータを守る」 (舟山氏)

一時期は、政府機関によってデータセンターが丸ごと差し押さえられ、利用企業の業務が止まってしまうというリスクまで、まことしやかに喧伝されたが、広大なキャンパスにコンテナー型のデータセンターを並べるしくみが主流になっている「メガ データセンター」では、丸ごと差し押さえることは実際的でなく、常時異なる拠点に冗長化されているため、懸念には及ばないはずだ。

●粘り強い交渉で EU データ保護指令もクリア

このようにクラウド事業者はしばしば、他の拠点にデータを移して冗長性を確保するが、そうすると新たな懸念も生まれる。「EU データ保護指令」に抵触しないか、というものだ。

EU データ保護指令によれば、EU 域内の個人情報を EU 域外に出すことは、その持ち出し先の国で十分な保護水準が維持されていないかぎり認められない。データセンターの所在が特定できない「クラウド」というサービスの性質からすると難しい問題と捉えられてきたが、Microsoft では EU 当局と粘り強い交渉を行い、欧州各国のデータ保護局が参加する 29 条作業部会で初のお墨付きを得ることができた。

「Microsoft のデータセンターに個人情報を保管するかぎり、Microsoft がデータ転送をしても EU データ保護指令に抵触するという心配はない」と舟山氏は話す。

それでも日本の企業顧客は国内データセンターの開設を要望し、アプリケーション サービスも国内の拠点から提供してほしいと考える。

「お客様から多くの相談があり、Office 365 について日本の拠点からサービスしなければならないものなのか、法律的見地から調査を行ったことがあるが、日本法上国内データセンターが必須となると明記したものはなかった。グローバルに展開している企業では、各国各地域でルールが異なるため、特定の国の法制度に関して、当該国の法務担当者と一緒に法令を調べ、お客様の判断を支援するための情報提供をした経験もある」と舟山氏。

もちろん、法制度に照らしてクリアになれば十分というわけではない。データを近くに置きたい、という顧客の考え方もあるし、技術的なレイテンシの課題もある。今後は、IoT (Internet of Things) によってさまざまなモノが接続されていく。日本マイクロソフトはこの 2 月に Microsoft Azure の国内のデータセンターを開設し、顧客の幅広いニーズに応えられるようにし、契約の準拠法も日本法を指定している。万が一、係争になった場合にも、東京地裁で判断してもらうことを契約に明記している。

舟山氏は、「法律の解釈にはその国の文化が絡む。直接、技術やサービスで顧客に貢献することはできなくても、お客様に信頼できるクラウドをお届けするため、法令・コンプライアンス対応においても、それを反映させた契約においても、少しでも安心してもらえるように努めたい」と話す。