Comments
Description
Transcript
平成22年度コンピュータセキュリティ早期警戒態勢の整備
経済産業省 殿 平成22年度コンピュータ早期警戒体制の整備事業 (データ移送に係る情報セキュリティ技術に関する調査) 報告書 2011 年 2 月 28 日 株式会社 三菱総合研究所 目次 1. はじめに .......................................................................................................................... 1 1.1. 本調査における「クラウドコンピューティング」の位置付け ............................... 1 1.2. 事業概要 ................................................................................................................... 2 2. 調査結果の概要 ............................................................................................................... 3 3. EU データ保護指令の概要 .............................................................................................. 6 4. 3.1. データ保護指令制定の経緯...................................................................................... 6 3.2. EU データ保護指令の構成 .................................................................................... 10 3.3. 第 29 条作業部会.................................................................................................... 12 3.4. EU データ保護指令の第三国移送の制約............................................................... 12 3.4.1. 「十分なレベルの保護」を有していると認められた第三国への個人データの 移送 13 3.4.2. 第三国移送制約の例外措置 ............................................................................ 14 3.5. EU データ保護指令改訂の動きについて............................................................... 15 3.6. 参考知識 ................................................................................................................. 17 3.6.1. 欧州連合創設の経緯 ....................................................................................... 17 3.6.2. 欧州連合基本権憲章 ....................................................................................... 19 3.6.3. EU における「指令」の意味 ......................................................................... 19 3.6.4. 我が国における個人情報保護の概要 .............................................................. 19 EU 指令の事例調査....................................................................................................... 23 4.1. EU データ保護指令に関不する組織間の関係 ....................................................... 23 4.2. EU 指令の例外措置を認められた事例の調査 ....................................................... 24 4.2.1. 第三国としての十分性を認められた事例と経緯............................................ 25 4.2.2. EU から EU 域外の第三国へのデータ移送のための例外措置 ...................... 29 4.3. 5. 4.3.1. セーフハーバー事例 ....................................................................................... 43 4.3.2. EU 事例 .......................................................................................................... 50 国内企業の例外措置利用状況 ....................................................................................... 55 5.1. 6. 海外例外措置適用事例 ........................................................................................... 43 国内企業事例.......................................................................................................... 55 5.1.1. EU データ保護指令対応サービス事例 ........................................................... 56 5.1.2. 国内企業のモデル契約利用状況事例 .............................................................. 62 5.1.3. 国内クラウドサービスプロバイダの動向 ...................................................... 63 クラウドコンピューティングにおける誯題 ................................................................. 68 6.1. 第三国移送における例外措置 ................................................................................ 68 6.2. 個人データ保護に関わるクラウドコンピューティングの誯題 ............................. 68 i 6.2.1. 個人データの移動が継続的、連続的に発生する状況 .................................... 68 6.2.2. 個人データの移動範囲制限についての事前合意............................................ 69 6.2.3. クラウド事業者の個人データ保護レベルの確認・監査................................. 69 6.3. 7. 新たなサービスの検討 .................................................................................................. 72 7.1. 制度整備の検討 ...................................................................................................... 72 7.1.1. クラウドの安全性に関する第三者認証制度 ................................................... 72 7.1.2. プライバシー影響評価制度の整備 ................................................................. 77 7.2. 8. クラウド利用上の誯題への対応事例の紹介 .......................................................... 70 日本の事業者から EU 企業に提供するサービスの検討 ........................................ 78 7.2.1. データアーカイブサービス ............................................................................ 78 7.2.2. 国内クラウドサービス向けセキュリティサービス ........................................ 79 7.2.3. 個人データの匼名化処理サービス ................................................................. 80 7.2.4. プライバシー強化技術の可能性 ..................................................................... 81 最後に ............................................................................................................................ 83 ii 1. はじめに 「クラウドコンピューティング」が情報技術(IT)分野の最も重要な新興領域と認めら れ、国内企業が海外市場を開拓する「IT 立国・日本」を実現するため、「『クラウドコン ピューティングと日本の競争力に関する研究会』報告書」 (経済産業省、2010 年 8 月 16 日、 以下、クラウド競争力研究会報告書)がとりまとめられた。 「クラウドコンピューティング」という言葉の発案、初期の実装環境は米国のシリコン バレー企業を中心に行われたことから、「クラウドコンピューティング」を利用して提供 されるサービス、つまり「クラウドサービス」の中心も米国にあると考えられることが多 いと思われるが、多くの「クラウドコンピューティング」事業者は、情報処理を行うサー バ機器群を多数の国、地域に分散して配置、世界中の顧客に対する適切なレスポンスを確 保しており、事業者の法人としての所在地が米国であっても、「コンピューティング」環 境は、正に雲(クラウド)のように世界を覆っていると考えられる。 国際電気通信連合(ITU)の推測によれば、インターネットユーザは 20 億人を超えてい る1。世界全体として見れば、情報通信インフラ整備が十分ではない国、地域が存在してい るものの、ほぼ全ての国、地域にインターネットユーザは存在しており、これまで人類が 持ちえた情報交換・共有基盤として最大のものである。この基盤の上でグローバル規模に 展開されるクラウドコンピューティングは、国の枠にとらわれず、自在にデータを流通さ せて行くものだが、反面、国の制度を侵害するリスクを内包している。 本調査においては、クラウドコンピューティング、クラウドサービス上を流通するデー タの中でも、量的、質的に問題を発生すると考えられている、個人情報、プライバシー情 報の取り扱いに関する、国、地域の制度を精査し、我が国と海外諸国、とりわけ EU との間 に存在する誯題・問題を明らかにし、その回避策、解決策を探ることを通じて、クラウド コンピューティング時代において、我が国が「IT 立国・日本」となるための新たなサービ スの可能性について検討した。 1.1. 本調査における「クラウドコンピューティング」の位置付け もともとは「クラウド(雲)」のように、中が良く見えないという意味もあった「クラ ウドコンピューティング」であるが、確たる定義のないままに多くの事業者が「クラウド」 と称する様々なサービスを始めたため、言葉としての混乱が深まっていた。現在では、詳 細な定義として米国国立標準技術研究所(NIST)の公開している「NIST Definition of Cloud Computing2」が一般的に使われていると考えられる。 1 2 http://www.itu.int/net/pressoffice/press_releases/2010/39.aspx http://csrc.nist.gov/groups/SNS/cloud-computing/ -1- この定義は、五つの本質的性質、三つのサービスモデル、四つの配備モデルを示すこと で、全てのクラウドコンピューティング、クラウドサービスを表わす包拢的な定義であり、 本調査の狙いである『「クラウドコンピューティング」上を、国、地域を超えて個人情報、 プライバシー情報が流通することから生じる誯題・問題の解決』を論じるには、いささか 細かすぎるきらいがある。このため、前述の「クラウド競争力研究会報告書」で示される 「『ネットワークを通じて、情報処理サービスを、必要に応じて提供/利用する』形の情 報処理の仕組み(アーキテクチャ)をいう。」を「クラウドコンピューティング」の位置 付けとして用いることにする。 1.2. 事業概要 本調査では、以下の三つの調査を実施した。 EU 指令の事例調査 EU 域内から域外(第三国)への個人データの移動を制限する「EU データ保護指 令」の概要と、例外的に個人データの移動を認められるための要件を示す。その 例外措置の実施状況を調べるため、第三国として個人データの移動を認められて いる米国企業へのヒアリング、EU 域内の EU データ保護指令の関係者、有識者へ のヒアリングを実施、結果をとりまとめる。 国内企業の例外措置利用状況 第三国として EU 域内から個人データの移動を認められていない場合においても、 モデル契約条項あるいは BCR(拘束的企業準則)の要件を満たすことができれば、 個人データの移動は可能である。この要件を満たしている国内企業の事例調査に 加え、国内クラウドサービスプロバイダにセキュリティ対策の現状についてヒア リングを実施、結果をとりまとめる。 新たなサービスの検討 今後の日本企業のクラウドサービス市場拡大の一つの道として、EU 域内企業から 個人データを受け取るためのサービスを検討する。 -2- 2. 調査結果の概要 EU データ保護指令とは、EU 加盟国における個人データの保護と流通に関して、各加盟 国が国内法規の整備を行うための基準を示した文書であり、欧州委員会により 1995 年に制 定された。この指令には、EU 市民の個人データが EU 域外の第三国に移送されることを原 則として禁止する条項が含まれており、氏名、年齢、住所等の個人データを必要とするサ ービスを第三国において提供することができない。この原則には例外条件が定められてお り、国として EU 市民の個人データ保護の適切性が認められることが、その条件である(EU データ保護指令第 25 条第 1 項)。この適切性を認められた国としては、2011 年 2 月現在、 スイス、 カナダ、アルゼンチン、米国等の 9 ヶ国および地域が認定されている。国として 個人データ保護の適切性が認められていない場合には、EU 市民の個人データを管理するデ ータ管理者が、モデル契約(あるいは標準契約条項)と呼ばれる特別な契約条項により、 個人データの処理に関する十分な保護を提供できることを示す方法と、拘束的企業準則 (Binding Corporate Rules3)と呼ばれる、企業内あるいは企業グループ内の規則を定め、 個人データの移送に関わる国のデータ保護当局の許可を得る方法が認められている。 わが国は、国として EU 市民の個人データ保護の適切性が認められていないため、EU 市 民の個人データを必要とするサービスを提供する場合には、EU 域内のデータ管理者とモデ ル契約に基づいた契約を締結する必要がある。モデル契約に必要な標準的な条項が示され ており(「4.2.2 EU から EU 域外の第三国へのデータ移送のための例外措置」参照)、個 人データの保護に関して技術的及び組織的な保護対策を施すことが条項の一つとして規定 されている。しかしながら、具体的にどのような保護対策を実施すべきであるのかについ て、明確に定めた基準類は存在していない。このため、EU 個人データを扱うためセーフハ ーバー認証宣言を行っている米国企業等に対し、技術的及び組織的な保護対策の実態につ いてのヒアリングを行い、結果を第4章にまとめた。セーフハーバーとは、米国商務省が 定めるセーフハーバー原則に準拠していることを、米国企業自らが宣言する自己宣言型の 認証制度である。保護対策の実装に関しては、ISMS(情報セキュリティマネジメントシス テム)、HIPPA(電子化された医療情報のプライバシー保護、セキュリティ確保について 定めた米国法)、GLBA(金融機関に対し顧客情報の保護を義務付ける米国法)、PCI-DSS (クレジットカード情報及びクレジット取引情報の保護に関する業界標準)等のセキュリ ティ基準を参考としており、セーフハーバー準拠の第三者認証を提供している TRUSTe 社 が顧客に推奨しているセキュリティガイドラインも、これらセキュリティ基準の要求事項 を集約したものであるとのことであった。また、英国情報コミッショナーオフィスのコミ ッショナー代理であるデビッド・スミス氏も、EU データ保護指令の規定する「十分なセキ ュリティ対策」及び「十分な保護対策(セーフガード)」については ISMS をベースとし 3 拘束的企業準則は、主に企業内及び企業グループ内の個人データ流通を行うための仕組みで ある -3- ていることが多いと思われるとの意見であった。わが国企業が EU 企業とモデル契約を締 結する場合においても、ISMS 及び業界特有のセキュリティ基準に準拠する技術的及び組織 的な保護対策を実施することが、EU データ保護指令の要求である「十分な保護措置」とし て妥当とみなすことができるであろう。 第 5 章では、国内企業の EU データ保護指令への対応状況の調査結果をまとめた。テュ フラインランドジャパン社が提供する、EU 市民の個人データ移送と処理における「技術的 及び組織的保護措置」の実装の評価を行う「EU 個人データ保護認証サービス」の国内第一 号事例を受けたレキサス社の事例では、すでに取得していた ISMS 準拠のセキュリティ対 策に加え、EU データ保護指令で規定された標準契約条項及びドイツ・連邦データ保護法に 対応する措置を追加する形でセキュリティ対策を実装しており、 より高度な技術として GFI (グローバル・フレンドシップ)社の提供する秘密分散手法を採用していた。また、テュ フラインランドジャパン社が実施した、保護措置の評価手法としては、予め設定されたセ キュリティ基準との乖離を評価するギャップ分析アプローチではなく、扱うデータの性質、 処理の性質に基づいてリスクを洗い出し、その大きさを評価することで、セキュリティ対 策の有効性を判断するリスクベースアプローチを採用していた。これは、セキュリティ技 術及びセキュリティを攻撃する技術が進歩しつづけている現状に対処するため、最新の情 報を評価に反映させるためとのことである。 続いて、企業における EU データ保護指令対応状況として、モデル契約活用事例とデー タ主体との個別契約の事例を調査した。モデル契約事例では、主にグループ企業内で大量 の従業員情報を流通するために EU データ保護指令に対応する必要が生じ、関不する各社 間の契約を一つの契約書に集約する「Multi-party Agreement」という形態によるモデル契 約を利用していた。グループ内での個人データ移送であるため、拘束的企業準則の適用に ついても検討を行ったが、コストと手間が大きいため、モデル契約を利用したとのことで ある。データ主体との個別契約の事例では、グローバル共通の電子メールアカウントを利 用するために必要な個人情報登録を行う際に、システム利用の意思確認を行い、本人の同 意の元に、個人データを移送する形態としていた。この事例では、個人情報登録作業を登 録対象者自らが行うようにシステムを構築したことで、本人の同意を得る機会が生まれた ことから、モデル契約、拘束的企業準則を利用せずに、EU データ保護指令に対応すること ができたとのことであった。 EU データ保護指令に対応してクラウドサービスを海外展開するために重要と考えられ るセキュリティ技術について国内クラウドサービス事業者にヒアリングを実施した。クラ ウド上を流通する個人データに対して本人の制御が有効に働くための技術、暗号化された 個人データの処理をクラウド上で行う際に個人データの管理者からクラウドサービス事業 者に渡す暗号鍵を目的以外に使わせない鍵管理技術、情報漏洩等の事故発生時の原因究明 を行うフォレンジック技術をクラウドに応用する技術、厳重なセキュリティ対策を施した -4- データミラーリングサービス(複製を預かるサービス)等の技術及びアイデアが示された。 第 6 章では、個人データ保護に関わるクラウドコンピューティングの誯題をまとめた。 欧州においても、クラウドコンピューティング特有の誯題は認識されており、他にもソー シャルネットワーク等、急激な技術発展に対応することを目的の一つとして、EU データ保 護指令の改正方針が示されている。そこでは、データ管理者自身の責任を強化するため、 プライバシー強化技術(PET, Privacy Enhancing Technologies)、データセキュリティを 確保するための概念であるプライバシーバイデザイン(PbD, Privacy by Design)利用の推 進がうたわれている。わが国においても、プライバシー強化技術、プライバシーバイデザ インといった、最先端のプライバシー保護技術、手法を研究し、個人データを扱うサービ スに取り入れていく必要がある。 第 7 章では、調査結果を元に、日本の情報処理サービス事業者が EU 企業に提供する新 たなサービスの可能性を検討した。具体的なサービスとして、高度なセキュリティ技術を 実装したデータアーカイブサービス、クラウドサービス事業者向けにセキュリティ機能を 提供するサービス、個人データの二次利用、長期利用を可能とするための匼名化処理サー ビスを示した。また、米国ヒアリングの結果から、セーフハーバー認証は、EU 企業の信頼 を得る上で十分な効果を果たしていることがわかったため、日本独自の制度であるプライ バシーマーク制度のような既存の認証制度を活用して、EU 市民の個人データを扱うサービ ス、特にクラウドサービスの第三者認証制度の整備について示した。また、米国、カナダ 等が先進的に取り組んでいるプライバシー影響評価(PIA, Privacy Impact Assessment) の実施を制度として進めていくことの必要性についても示した。 EU データ保護指令の改正方針に示されているように、プライバシー保護、個人データ保 護の分野では、プライバシー影響評価、プライバシーバイデザイン、プライバシー強化技 術に注目が集まっている。改正方針では、EU 市民の個人データ保護を強化していくことが 示されており、わが国においても、プライバシー影響評価ガイドライン、第三者評価機関 といった制度面の整備、プライバシー強化技術の研究開発の推進に加え、プライバシー影 響評価の実施及びプライバシー強化技術を採用した個人データを取り扱うシステム構築・ 提供事例を積み重ねることで、他の第三国の提供する EU 市民の個人データを扱うサービ スとの差別化を図っていく活動が必要である。 -5- 3. EU データ保護指令の概要 EU データ保護指令とはどのようなものであるか、制定の背景から、指令の構成、指令の 運用を構成する組織体、2010 年に表面化した改正の動きについて概要を示す。 第二次世界大戦後の 1949 年、欧州諸国の統合に向けて欧州評議会が設置された。欧州評 議会の設立理念の一つとして、基本的人権・自由の保障があり、理念に基づいて欧州人権 条約4が制定され 1953 年に発効された。その第八条に「私事と家族の生活を尊重する権利 (Right to respect for private and family life)」が定められており、従前より、プライバ シー保護は基本的人権の一部であるという認識がもたれていた。 欧州評議会は、第二次世界大戦の終結後、甚大な被害をもたらした国家間の衝突を未然 に防ぐため、協調の拡大を目的として設置された機関である。欧州人権条約は、欧州評議 会最大の成果の一つといわれ、基本的人権、民主主義といった、戦後の国家観に大きな影 響を不えたとされる。加盟国は 47 カ国にのぼり、日本、アメリカ、カナダ等もオブザーバ として、関係委員会の参加資栺を保有している。 経済統合を大きな目的とした欧州連合との関係も強化されており、EU データ保護指令 も、欧州人権条約が根底にあるものと考えられている。 3.1. データ保護指令制定の経緯 データ保護指令は、欧州プライバシー人権法の一つであり、欧州委員会により 1995 年に 制定された。指令の根幹にあるものは、欧州評議会が 1953 年に制定した「欧州人権条約」 である。欧州人権条約の正式名称は「Convention for the Protection of Human Rights and Fundamental Freedoms(人権と基本的自由の保護のための条約)」であり、この第八条 「私事と家族の生活を尊重する権利」にて個人のプライバシー権を明確に示している。 Article 8 – Right to respect for private and family life 1. Everyone has the right to respect for his private and family life、 his home and his correspondence.(すべての者は、その私生活、家族生活、住居および通信の尊重を受ける 権利を有する。 ) 2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security、 public safety or the economic well-being of the country、for the prevention of disorder or crime、for the protection of health or morals、 or for the protection of the rights and freedoms of others.(この権利の行使に対しては、 人権と基本的自由の保護のための条約(Convention for the Protection of Human Rights and Fundamental Freedoms) 4 -6- 法律に基づき、かつ国の安全、公共の安全もしくは国の経済的福利のため、混乱もしくは 犯罪の防止のため、健康もしくは道徳の保護のため、または他者の権利および自由の保護 のため民主的社会において必要な場合以外、公的機関による干渉があってはならない。)5 その後、1960 年代から 1970 年代にかけて、欧州域内の各国が個人情報保護法を制定、 1974 年、米国において公的部門を対象として「プライバシー法(Privacy Act)」が施行さ れ、国際的にプライバシー保護の機運が高まる中、先行して個人情報保護法を整備した国 家と、未整備の国家、および、個人情報の国際的な移動を制限しようとする国家、自由な 流通を促進しようとする国家といった、国家レベルの衝突が表面化してきた。この調整の ため、国際的な基準を示す必要が生じ、「OECD(経済協力開発機構)」がその任を受け、 1980 年、「OECD Guidelines on the Protection of Privacy and Transborder Flows of 6 Personal Data(プライバシー保護と個人データの国際流通についてのガイドラインに関す る OECD 理事会勧告)」が採択された。 このガイドラインで表明された「BASIC PRINCIPLES OF NATIONAL APPLICATION (国内適用における基本原則)」は、OECD プライバシー基本八原則と呼ばれ、各国、各 地域における個人情報保護法制整備上の規範とされている。 本調査において、最も重要な条文であるため、外務省より公開されている仮訳7を以下に 引用する。 「1」 (収集制限の原則) 7.個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正 な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集 されるべきである。 「2」 (データ内容の原則) 8.個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範 囲内で正確、完全であり最新なものに保たれなければならない。 「3」 (目的明確化の原則) 9.個人データの収集目的は、収集時よりも遅くない時点において明確化されなければなら ず、その後のデータの利用は、当該収集目的の達成又は当該収集目的に矛盾しないでかつ、 目的の変更毎に明確化された他の目的の達成に限定されるべきである。 「4」 (利用制限の原則) 10.個人データは、第 9 条により明確化された目的以外の目的のために開示利用その他の 5 訳文については、総務省「「住民のプライバシーの保護に関する新しい考え方と電子自治体に おけるそのシステム的な担保の仕組みについての研究会」報告書」より引用 6 http://www.oecd.org/document/20/0、3746、en_2649_34255_15589524_1_1_1_1、00.html 7 http://www.mofa.go.jp/mofaj/gaiko/oecd/privacy.html -7- 使用に供されるべきではないが、次の場合はこの限りではない。 (a) データ主体の同意がある場合、又は、 (b) 法律の規定による場合 「5」 (安全保護の原則) 11.個人データは、その紛失もしくは丌当なアクセス、破壊、使用、修正、開示等の危険 に対し、合理的な安全保護措置により保護されなければならない。 「6」 (公開の原則) 12.個人データに係わる開発、運用及び政策については、一般的な公開の政策が取られな ければならない。個人データの存在、性質及びその主要な利用目的とともにデータ管理者 の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。 「7」 (個人参加の原則) 13.個人は次の権利を有する。 (a)データ管理者が自己に関するデータを有しているか否かについて、データ管理者又は その他の者から確認を得ること (b)自己に関するデータを、 (i)合理的な期間内に、 (ii)もし必要なら、過度にならない費用で、 (iii)合理的な方法で、かつ、 (iv)自己に分かりやすい形で、 自己に知らしめられること。 (c)上記(a)及び(b) の要求が拒否された場合には、その理由が不えられること及び そのような拒否に対して異議を申立てることができること。 (d)自己に関するデータに対して異議を申し立てること、及びその異議が認められた場合 には、そのデータを消去、修正、完全化、補正させること。 「8」 (責任の原則) 14.データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。 以降、カナダ(1982 年)、英国(1984 年)、オーストラリア(1988 年)等、OECD プ ライバシー八原則を基にした個人情報保護法制の整備が進められた。 また、欧州においては、1981 年、欧州評議会により「個人データの自動処理に関する個 人の保護のための条約(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data8”)」が採択されている。 8 http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm -8- 表 3-1 欧州データ保護指令に関連する出来事 時期 主体 法令・事象 1953 年 欧州評議会 欧州人権条約発効 「第八条 私事と家族の生活を尊重する 権利」 欧州域内各国で独自の個人情報保護法が制定される(スゥ ェーデン、ドイツ、フランス、ノルウェー、デンマーク、 オランダ) 1974 年 米国 プライバシー法施行(公的部門を対象、民間については分 野毎の個別法で対処) 1977 年 ドイツ 「連邦データ保護法」採択 1977 年 カナダ カナダ人権法制定 1977 年 フランス 「データ処理、データファイルおよび個人の自由に関する 法」採択 1980 年 OECD 「プライバシー保護と個人データの個人流通についての ガイドライン」採択 1982 年 カナダ 連邦プライバシー法制定 1984 年 英国 データ保護法制定(1998 年改正) 1988 年 オーストラリア プライバシー法制定 1993 年 欧州 マーストリヒト条約発効、欧州連合創設(欧州共同体+二 つの政策) 1995 年 1999 年 欧州議会・欧州評 個人データ処理に係る個人の保護及び当該データの自由 議会 な移動に関する EU 指令 米国商務省 セーフハーバー原則ガイドライン発行 2000 年 欧州連合基本権憲章公布「第八条 “Protection of personal data」 2001 年 カナダ 個人情報保護及び電子文書法制定(PIPEDA) 2002 年 欧州議会・欧州評 個人情報の処理及び電子通信部門におけるプライバシー 議会 に関する EU 指令 2004 年 APEC APEC プライバシー・フレームワーク採択 2007 年 APEC APEC データ・プライバシー・パスファインダー・プロ ジェクト採択 2008 年 2009 年 ISO プライバシー影響評価(ISO22307)規栺化 欧州共同体廃止、欧州連合に統合 データ保護指令改正の発議(ルクセンブルグの欧州委員会 情報社会担当コミッショナー Viviane Reding ) -9- 2010 年末に草案提出の予定が、2011 年末に変更された 2010 年 7/1 ブリュッセルにて EU データ保護指令の改正に関する ヒアリングが実施された。 2011 年 EU データ保護指令改正案提出予定 末(予定) EU データ保護指令の制定は 1995 年と、すでに 15 年を経過し、インターネット時代、 クラウドコンピューティング時代に適合しているものではなく、最新の技術動向に適合す るための改正の動きが始まっている(「3.5 EU データ保護指令改訂の動きについて」)。 3.2. EU データ保護指令の構成 EU データ保護指令の適用範囲は、「全部又は一部が自動的な手段による個人データの処 理、及び、ファイリングシステムの一部、あるいはファイリングシステムの一部とするこ とを意図している個人データの非自動的な処理」とされ、公安、防衛、国家の安全(国家 の経済的繁栄を含む)及び刑法分野での国家活動に関する処理、自然人によって、純粋に 個人的又は家庭的な活動の過程で行われる個人データの処理は適用外である。 EU データ保護指令を理解する上で必要な用語を以下に示す。 表 3-2 EU データ保護指令における用語 用語 概要 個 人 デ ー タ (personal 特定されている、あるいは特定可能な自然人に関する全ての情 data) 報 個 人 デ ー タ の 処 理 自動的かどうかに関わらず、個人データに施される処理あるい (processing of personal は一連の処理 data) 個人データのファイリン 特定の基準によりアクセス可能となる個人データの構造化さ グシステム(personal data れた集合 filing system) データ管理者(controller) 単独あるいは共同で、個人データの処理の目的と手段を決定す る、自然人、法人、公的機関、政府機関、他の全ての組織 データ処理者(processor) 管理者に代わって個人データの処理を行う、自然人、法人、公 的機関、政府機関、他の全ての組織 第三者(third party) データ主体、データ管理者、データ処理者、及び、データ管理 者、データ処理者から直接の許可を得ている人物を除く、自然 人、法人、公的機関、政府機関、他の全ての組織 - 10 - 受取人(recipient) 第三者かどうかに関わらず、データを開示される、自然人、法 人、公的機関、政府機関、他の全ての組織 EU データ保護指令は、全 8 章、32 条項から構成されている。 第 1 章 一般条項(GENERAL PROVISIONS) 第 2 章 個人データの処理に関する合法性の一般規則(GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA) 第 3 章 司法的救済、責任及び罰則 (JUDICIAL REMEDIES、LIABILITY AND SANCTIONS) 第 4 章 第三国に対する個人データの移動(TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES) 第 5 章 行動規範(CODES OF CONDUCT) 第 6 章 個人データの処理に係る個人の保護における監督機関と作業部会 (SUPERVISORY AUTHORITY AND WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA) 第 7 章 共同体9が実施する施策(COMMUNITY IMPLEMENTING MEASURES) 第 8 章 最終条項(FINAL PROVISIONS) 本調査事業で検討の対象とする第三国への個人データの移送が示されているのは第 4 章 である。 第 4 章は第 25 条原則、第 26 条例外から構成され、第 25 条第 1 項「加盟国は、第三国が 適切なレベルの保護を保証する場合にのみ、処理中あるいは転送後の処理を意図した個人 データの第三国への移動を規定する。」にて、第三国への個人データ移送が原則として禁 止されている。この原則に対する例外条件は、第 26 条第 3 項「加盟国は、第 1 項の規定を 損なうことなく、管理者が個人のプライバシー並びに基本的な権利並びに自由の保護、及 びこれらに相当する権利の行使に関して、十分な保護措置を示す場合、第 25 条第 2 項の 意味における十分な保護レベルを保障しない第三国への個人データの移転又は一連の移転 を許可することができる。このような保護措置は、特に適切な契約条項から帰結すること ができる。」、及び第 4 項「構成国は、第 31 条第 2 項に規定された手続に従って、一定 の標準契約条項(standard contractual clauses)が本条第 2 項によって要求される十分な 保護措置(sufficient safeguards)を提供していると決定する場合には、委員会の決定を遵 守するために必要な措置を講じなければならない。」に規定されている。 また、第 6 章第 29 条「個人データの処理に対しての個人の保護に関する作業部会 (Working Party on the Protection of Individuals with regard to the Processing of 9 制定当時は EU ではなく欧州共同体(European Community)であったため - 11 - Personal Data)」において、個人データ処理に関する助言機関として作業部会の設置が定 められており、(第 29 条作業部会と呼ぶ10)、続く第 30 条第 1 項に作業部会の役割が「欧 州委員会内及び第三国における保護レベルについて委員会に意見を不えること(give the Commission an opinion on the level of protection in the Community and in third countries)」として規定されている。 3.3. 第 29 条作業部会 第 29 条作業部会(Article 29 Working Party)は、各国のデータ保護当局(Data Protection Agency)の代表者から構成され、その役割は助言機関とされている。具体的役 割については「個人データの第三国への移送:EU データ保護指令第 25 条及び第 26 条の 適用(Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive、 DG XV D/5025/98 WP12、 1998 年) (以下、WP12 文書) 」 という文書に記載されている。 この文書は全 6 章から構成されており、EU データ保護指令第 25 条第 2 項で第三国移送 の条件とされる「保護レベルの適切性(The adequacy of the level of protection)」、その 適切性をどのように考えれば良いのかについて明確化を図ることを主要な目的としてい る。 3.4. EU データ保護指令の第三国移送の制約 EU データ保護指令の第三国移送制約に関して、データ移送の手段と、EU データ保護指 令のうち、第三国移送に関連する第 25 条、第 26 条、第 29 条と、関連組織、関連文書体系 を図 3-1 にまとめる。 10 http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm - 12 - データ移送の手段 第三国への個人データ移送には当該第三国 における保護の十分性が要求される 保護の十分性の評価は どのように行われるのか? 十分な保護レベルを 認められた国への データ移送 関連するEUデータ保護指令 及び文書 第25条「原則」 第1項「個人データの第三国への移送を限定」 第2項「第三国の保護レベルの十分性の査定」 第6項「欧州委員会による十分性認定」 第29条「作業部会」 第1項「個人データの処理に関する作業部会の 設置」 WP12 第25条及び第26条の適用(十分性の評 価について) 保護の十分性の評価は 誰が認定するのか? 国として保護の十分性が認められていない場 合はどうするのか? 例外条件 (明確な同意,移転が必要な理由等) データ主体との明確 な同意等による移送 第26条「除外」 第1項「適切な保護レベルではない第三国への 移送の条件」 第26条「除外」 第2項「移送を保証する契約の条文」 十分な保護措置の提示 適切な標準契約条項による 十分な保護措置の提示 Binding Corporate Rule (BCR) モデル契約 WP107 BCRの結果としての適切な保護に関す る共通意見発行の協力手順 WP133 個人データの移送のためのBCR認可の 標準様式 第26条「除外」 第2項「移送を保証する契約の条文」 第4項「標準的契約条文の十分性の決定」 標準契約条項に関する欧州委員会決議 図 3-1 第三国移送に関連するデータ保護指令の手段と条項、文書の関係 3.4.1. 「十分なレベルの保護」を有していると認められた第三国への個人データの移送 「 保 護 指 令 」 と 称 さ れ る こ と が 多 い EU デ ー タ 保 護 指 令 で あ る が 、 「 protection individuals」とともに「free movement」を目指した指令である。構成国間における自由 な流通と保護のため、構成国外、第三国への移送を制限することが必要とされ、指令の第 四章第 25 条「原則」第 1 項において「加盟国は、第三国が適切なレベルの保護を保証する 場合にのみ、処理中あるいは転送後の処理を意図した個人データの第三国への移動を規定 する。」と規定が行われている。 全面禁止ではなく、適切なレベルの保護を提供している第三国への移送は認められてい る。「適切なレベルの保護を提供している」については、第 25 条第 2 項に「第三国によっ て示される保護レベルの適切性は、データ移送作業に関わる全ての環境を考慮して評価さ れる。」とある。 この査定を行う主体は、第六項「委員会は、第 32 条(2)の規定に従って、第 26 条第 2 項 の示す範囲で適切な保護レベルを保証することを認定する。」とあるように、欧州委員会 が査定を実施する。その際には、第 29 条作業部会が先立って評価を行い、その意見に基づ - 13 - いて、欧州委員会が最終判断を行う。 このようなプロセスで第三国としての保護レベルの適切性を認められた国家は、アルゼ ンチン、アンドラ、カナダ、スイス等、8 カ国・地域と、セーフハーバープライバシー原則 11の保護レベルが EU データ保護指令と同等とみなされた米国の合計で 9 カ国・地域であ る。 「保護の十分性」については、WP12 文書にて、6 つの原則(目的の限定、目的に適した データ内容、透明性、セキュリティ、アクセス・訂正及び異議申立ての権利、再移転制 限)が示されている。セキュリティ原則は以下のように示されている。 「(個人データの)処理により生ずるリスクに対して適切な、技術的かつ組織的セキュ リティ対策が、データ管理者によって実施されなければならない。データ管理者の元に活 動する如何なる人物、データ処理者を含めて、データ管理者の指示なく、データを処理し てはならない」 WP12 文書では、このセキュリティ原則が、実際にどのように適用されるのかを具体的 な事例で示しており、EU 域外の信用調査会社が英国内の関連会社から EU 市民の信用調査 報告書を取り寄せる事例では、パスワード等を収めたテクニカルなデバイスを用いるとす ることがセキュリティの十分性を保証するだろう、と記述している。技術的な措置につい ては特段高い要求をしているものではなく、その状況により生じるリスクに適切な対策を 採るよう求めている。 3.4.2. 第三国移送制約の例外措置 EU データ保護指令第 26 条において、適切な保護レベルを確保していない第三国への個 人データ移送を行うことができる条件が「例外(Derogations)」として示されている。そ の条件とは、第 26 条第 1 項に示される条件(データ主体がデータ移送に対して明確な同意 を示している等)を満たし、データ管理者が「十分な保護措置(adequate safeguards)」 を示す場合である。「十分な保護措置」がとられていることを示すためには、モデル契約 あるいは拘束的企業準則を利用することになる(米国においてはセーフハーバーの利用も 可能)。 第 26 条で規定される例外条件の詳細については「4.2.2 EU から EU 域外の第三国へのデ ータ移送のための例外措置(29 ページ)」に記している。 11 米国国務省が定める原則(Principal)で、各企業が原則を順守していることを自己宣言 あるいは第三者の認証を受けることで、EU データ保護指令の第三国移送が許可される。 - 14 - 3.5. EU データ保護指令改訂の動きについて 2010 年 11 月 4 日、欧州委員会は EU データ保護指令の強化戦略を発表した12。この戦略 において、次の五つの目的が示されている。 ① 個人の権利の強化 ② 単一市場性の強化 ③ 警察、司法分野におけるデータ保護の改正 ④ EU 外へのデータ転送のハイレベルな保護の確保 ⑤ より効率的な規則の強制 本調査目的に影響している第四の項目「Ensuring high levels of protection for data transferred outside the EU」では、国際データ移送の手続きを改善、簡素化すること、第 三国と協力して同等の保護レベルに尽力し、グローバルレベルのデータ保護のための高い 標準を推進することがうたわれている。 同時に、この戦略に基づく文書「欧州連合における個人データ保護に関する包拢的アプ ローチ(A comprehensive approach on personal data protection in the European Union) 13」が示され、公開協議14の意見募集が行われた(2011 年 1 月 15 日に締め切られている)。 この文書では前述の五つの目的が詳細に記述されている。EU 外へのデータ移送に関す る項目は「2.4 データ保護のグローバル的様相(The global dimension of data protection)」 に対応している。その第 1 項である「2.4.1 国際的データ移送の規則の明確化と簡素化 (Clarifying and simplifying the rules for international data transfers)15」において、 「十分性の評価(adequacy assessment)」を欧州委員会及び構成国が判断してきたが、 EU データ保護指令には十分性の正確な要件について特定されておらず、加えて、委員会 により、(要件を特定する)決定を提供するためのフレームワークデシジョン(EU におけ る決定とは特定国を拘束することができる提言のこと)が提供されておらず、また、デー タ管理者が第三国移送を始める時に十分性を評価する構成国もあれば、データ保護監視当 局が事後の監査を行う構成国もあるため、第三国移送、国際的移送の十分性レベル評価に 対し、異なるアプローチがとられているという状況を生んでいるなど、結果として、構成 国によって第三国移送の保護レベルリスクについて異なる判断を行っている状況となって いる、というように、構成国における十分性評価のレベル差が存在することが示唆されて 12 http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&a ged=0&language=EN&guiLanguage=fr http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_en.pdf http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm 15 EU データ保護指令では「第三国移送」と書かれていたが「国際的移送」と記されることが多 くなっている 13 14 - 15 - いる。 これらの問題を解消するために以下の事項を行うとされている。 第三国と国際的組織と相対的なアプローチと統合及び整合性を保証するための合法 的な拘束的手法と BCR を含めて、国際データ移送の現行手続きを改善し、簡素化す る 欧州委員会の十分性検証手続きを明確化し、第三国や国際的組織におけるデータ保 護レベルの評価における基準と要求をより良く特定する 全ての国際的合意に利用できる EU データ保護エレメントのコアを定義する さらに、第 2 項「2.4.2 ユニバーサル原則の推進(Promoting universal principles)」 において、データ保護における EU 法体系が、第三国においてデータ保護を規制する際の ベンチマークを供しており、個人データの保護に対する国際的法制度及び技術標準の開発 と提供の中で、推進力を維持しなければならないとしている。 第三国、国際レベルにおけるデータ保護の法的、技術的な開発を推進しつづける 欧州連合の国際的活動における保護の相互関係の原則に尽力し、特に、EU から第三 国に輸出されるデータの主体を考慮する OECD、欧州評議会、国連、その他の地域組織といった第三国、国際組織との協力 を拡張する 法的規則を実用的に保管することを確実とし、主要なデータ保護要件の運用と効率 的な実装を保証する、CEN、ISO といった標準化組織による国際技術標準の開発を 密にフォローする 欧州委員会では、これらの調査を行った上で、2011 年中に EU データ保護フレームワー クの改正案を提出するとしている。 EU データ保護指令制定後の技術革新、中でもインターネットの拡大とクラウドコンピ ューティングの台頭は、データ保護指令の有効性を損ねる可能性があることは、以前から 指摘されてきたことであり、今回の改正の動きは、そういった指摘に答えるものであると ともに、引き続き発生する国際的テロから EU 市民を保護することも誯題とされている。 このため、改正案において第三国移送、国際的移送の手続きの簡素化がうたわれているが、 決して個人データの保護レベルを下げるものではなく、「2.2.5 自己規制イニチアシブの支 援と EU 認証スキームの模索(Encouraging self-regulatory initiatives and exploring EU certification schemes)」に示されるように、データ管理者の主体的な取り組み、「プライ バシーシール」といった認証スキームの導入による、データ保護当局への申請、承認プロ セスを民間移転することで、特に技術要件の機動的変更を可能とする意味であろうと考え られる。 - 16 - 本調査において、EU データ保護指令の例外措置適用要件としてのセキュリティ技術を 取り上げて、十分性評価に不える影響を考察した。欧州連合においても技術要件をフレー ムワークに取り入れていく動きがみられることは、従来の十分性評価における技術要件の 曖昧さを取り除き、技術の進歩に対応した確実なデータ保護を提供する必要性が認められ たということであり、その要件を国際標準と揃えていくという方向性が示されたことで、 わが国のセキュリティ技術を国際標準化、あるいは有効性のアピールを欧州連合に対して 行っていく活動が、情報処理サービス、クラウドサービスにおける国際競争力を培ってい く上で必要な活動と位置づけられる。 3.6. 参考知識 ここでは EU データ保護指令を理解するために必要な知識を参考知識として紹介する。 3.6.1. 欧州連合創設の経緯 EU データ保護指令は、戦後、欧州評議会により策定された欧州人権条約が源とされて おり、データ保護指令の意味を理解するためには、その背景となる欧州連合、その前身で ある欧州共同体の創設経緯を把握することが丌可欠であることから、以降では、欧州連合 創設の経緯について概要を記載する。 ベルギー、フランス、ドイツ、イタリア、ルクセンブルク、オランダとの間での経済統 合を実現することを目的とする国際機関である欧州経済共同体(The European Economic Community)が 1957 年に設立、1967 年にブリュッセル条約により欧州石炭鉄鋼共同体、 欧州原子力共同体と統合され、欧州諸共同体(European Communities)が誕生した。さら に、この共同体の運営機関として、欧州委員会(European Commission16)が設置された。 その後、1981 年のギリシャ加盟、1986 年のスペイン、ポルトガルの加盟により、欧州 諸共同体の拡大が進んでいった。1987 年、単一欧州市場の成立に向け、単一欧州議定書 (Single European Act)が策定された際、欧州政治協力の概念が取り入れられ、これが共通 外交・安全保障政策の起源となり、欧州連合の発足につながったとされる。 表 3-3 欧州連合創設に関わる出来事 年月 出来事 連合体 1950 年 欧州人権条約採択 無し 1953 年 欧州人権条約発効 1957 年 ローマ条約により欧州経済共同体設立 欧州経済共同体 1967 年 ブリュッセル条約発効により欧州諸共同体設立 欧州諸共同体 1974 年 各国の指導者で構成される欧州理事会設置 16 ↓ http://ec.EUropa.EU/index_en.htm - 17 - ↓ 1987 年 単一欧州議定書発効 ↓ 1991 年 マーストリヒト条約(欧州連合条約)署名 ↓ 1993 年 マーストリヒト条約発効、欧州連合創設 1997 年 アムステルダム条約採択 ↓ 2000 年 欧州連合基本権憲章公布 ↓ 2004 年 欧州憲法条約調印(その後、フランス、オランダで批准 ↓ 欧州共同体+政策 が拒否される) 2007 年 熟慮期間を経てリスボン条約が調印される 2009 年 12 リスボン条約発効に伴い欧州共同体廃止(機関は欧州連 月 合に継承) ↓ 欧州連合 1993 年 、 欧 州 諸 共 同 体 加 盟 国 間 に て 欧 州 連 合 創 設 に 向 け た マ ー ス ト リ ヒ ト 条 約 (Maastricht Treaty 正式名称は Treaty on European Union)が発効した。この時点では、 欧州諸共同体に替わる組織体として欧州連合を目指すということで、欧州諸共同体は欧州 連合の三本の柱の一つ、欧州共同体(The European Community)として組み込まれており、 他二つの政策を合わせて、欧州連合として機能していた。 1967 年 [ 欧州原子力共同体、欧州石炭鉄鋼共同体、欧州経済共同体 ] ↓統合 欧州諸共同体 ↓ 1993 年 ・欧州共同体 ・司法・内務協力 ・共通外交・安全保障政策 三つの柱で構成される欧州連合が発足 ↓ 2007 年 三つの柱構造が廃止され欧州連合として統合される その後、2004 年に基本条約(主にローマ条約とマーストリヒト条約)をまとめた欧州連 合の憲法として欧州憲法条約がまとまり加盟国の代表により調印されたが、フランス、オ ランダの国民投票で批准が拒否される事態となり、「熟慮期間」を置くことになった。熟 慮期間中の議論により、欧州憲法条約の批准は断念され、既存の条約を修正する新条約を 制定することとなり、2007 年、リスボン条約(改革条約と呼ばれる)として調印が行われ た。アイルランドにおける批准手続きが遅れたため、条約の発効は 2009 年 12 月 1 日とな った。 - 18 - 3.6.2. 欧州連合基本権憲章 2000 年に公布された欧州連合市民の自由、安全、平等に基づいた、政治的、社会的、経 済的、基本的人権を定めた文書である。リスボン条約の発効により法的拘束力を持つと位 置づけられた。この第八条 「Protection of personal data」が個人のプライバシーと通信の 安全を保障する条項となっており、EU データ保護指令の位置づけを強化するものといえ る。英語の名称は”「The Charter of Fundamental Rights of the European Union」であ る。 3.6.3. EU における「指令」の意味 欧州 連合にお いて手法を定 めずに、 ある目的の達 成を要求 する法の形態 を 「指 令 (Directive)」と呼ぶ。指令の立法権は欧州連合理事会が欧州委員会に委任する形で行わ れる。EU 構成各国は指令に従って国内法規の整備を行わなければならないとされている。 原則として、国内法規が EU 指令よりも厳しくなることはあっても、緩くなることは許さ れていない。 EU における法制には、指令の他に、拘束性を持たない「勧告(Recommendations)」、 特定国だけを拘束する「決定(Decisions)」、構成国全てに適用され、拘束性を持つ「規 則(Regulations)」がある。 3.6.4. 我が国における個人情報保護の概要 現時点で、日本は EU データ保護指令における、保護レベルの十分性を認められていな いが、EU データ保護指令と同等の制度といえる個人情報保護法を制定・施行し、国内にお ける個人データの保護レベルは高い水準にある。EU データ保護指令との対比のため、日本 における個人情報保護の概要を示しておく。 日本における個人情報保護活動の端緒は、1980 年に OECD より理事会勧告として公開 された「プライバシー保護と個人データの国際流通についてのガイドライン」を一つの契 機として、行政機関における電算機処理の進展にともなう個人の権益侵害の恐れを払拣す ることを目的として 1988 年に公布された「行政機関の保有する電子計算機処理に係る個人 情報の保護に関する法律」と考えられる。 続いて、通商産業省(現、経済産業省)から「民間部門における電子計算機処理に係る 個人情報の保護について(指針)」が 1989 年にとりまとめられ、公的部門、民間部門にお ける個人情報保護について方向性が打ち出された。 - 19 - 表 3-4 我が国における個人情報保護の経緯 年月 出来事 1988 年 12 月 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する 法律」公布 1989 年 4 月 「民間部門における電子計算機処理に係る個人情報の保護について (指針)通商産業省」 1997 年 3 月 「民間部門における電子計算機処理に係る個人情報の保護に関するガ イドライン(通商産業省) 」 1998 年 4 月 プライバシーマーク制度創設 1999 年 3 月 JIS Q 15001:1999 制定 2003 年 5 月 「個人情報の保護に関する法律」成立 2005 年 4 月 「個人情報の保護に関する法律」施行 2006 年 5 月 JIS Q 15001:2006 制定 その後、各省庁、自治体、業界団体等、個別に個人情報保護に関するガイドラインを策 定する動きが見られる中、「事業者が個人情報の取扱いを適切に行う体制等を整備してい ることを認定し、その証として“プライバシーマーク”の使用を認める制度17」として、プ ライバシーマーク制度が 1998 年 4 月 1 日より運用を開始した。 わが国において、市町村は、住民サービス、選挙人名簿管理等を行うことを目的として 住民基本台帱を整備してきた。この台帱を電算化するにあたって、住民に全国共通の番号 (住民票コード)を付不し、この番号を活用して効率的に住民サービスを行うという主旨 で、行政機関を結ぶネットワーク、住民基本台帱ネットワーク(住基ネット)の整備が進 められることとなった。住基ネットの法整備議論において、個人情報保護に関する法整備 の必要性が認識され、1999 年、高度情報通信社会推進本部に個人情報保護検討部会を設置 し、全分野を包拢する基本法を制定する方針が定められた。 専門委員会等の議論を経て、2001 年通常国会に「個人情報の保護に関する法律案」(個 人情報保護法)が提出、2003 年通常国会に再提出され、同年 5 月に成立、2005 年 4 月 1 日より全面施行となった。 ①. 個別法・ガイドライン 以下に示す公的部門に関しては、以下に示す個別法が定められている(行政機関個人情 報保護法)。 17 http://privacymark.jp/privacy_mark/about/outline_and_purpose.html から引用 - 20 - 表 3-5 個人情報保護法における個別法 適用対象 法律 国の行政機関 行政機関の保有する個人情報の保護に関する法律 独立行政法人等 独立行政法人等の保有する個人情報の保護に関する法律 地方公共団体等 各地方公共団体において制定される個人情報保護条例 また、民間部門に関しては、業界・業種に対する個別法ではなく、ガイドラインという 形式で一定の規範を示す形をとっており、2010 年 7 月 1 日時点で 27 分野、40 ガイドライ ンが策定されている(「個人情報の保護に関するガイドラインについて18」参照)。 ②. 条文の概要 個人情報保護法は全六章、59 条から構成されている。EU データ保護指令では個人デー タの定義を以下のように示している。 特定できる、又は特定できない自然人(データの対象者)に関する全ての情報を意味する ものとする。特定できる人物とは、特に身元確認番号の参照によって、又はその人物の肉 体的、生理的、精神的、経済的、文化的、経済的アイデンティティーによって、直接又は 間接に特定することができる者を意味する。19 対して、個人情報保護法における「個人情報」の定義は次のものである。 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等 により特定の個人を識別することができるもの(他の情報と容易に照合することができ、 それにより特定の個人を識別することができることとなるものを含む。)をいう。 EU データ保護指令が「個人(自然人)に関する全ての情報」という表現を使っている事 に対し、個人情報保護法では「特定の個人を識別することができるもの」としており、個 人情報保護法における定義の方が、情報の範囲としては狭くなると考えられる。 しかし、個人情報保護の具体的な指針である、「JIS Q 15001 個人情報保護に関するコン プラアンス・プログラムの要求事項」では、特定な機微な情報の収集禁止という項目があ り、具体的には、思想、信条、宗教に関する事項、人種、民族、本籍地、病歴、犯罪歴等、 多用な情報をも対象としており、実体として、EU データ保護指令と、同等な情報を保護 の対象としていると考えることもできるだろう。 個人情報保護法では、国の機関、地方公共団体、独立行政法人等については個別法で対 処しており、民間事業者における義務(正確には個人情報を電子計算機で検索可能とした 18 19 http://www.caa.go.jp/seikatsu/kojin/gaidorainkentou.html ECOM プライバシー問題検討WG訳から引用 - 21 - 個人情報データベース等を用いている個人情報取扱い事業者を対象としている)を示して いる。その義務については第四章「個人情報取扱事業者の義務等」に列挙される条項であ る。 これらの条項と OECD 八原則との対応関係を以下に示す20。 表 3-6 OECD 八原則と個人情報保護法の対応 OECD 八原則 個人情報取扱事業者の義務等 目的明確化の原則 利用目的をできる限り特定しなければならない(第 15 条) 利用制限の原則 利用目的の達成に必要な範囲を超えて取り扱ってはならない(第 16 条) 本人の同意を得ずに第三者に提供してはならない(第 23 条) 収集制限の原則 偽りその他丌正の手段により取得してはならない。 (第 17 条) データ内容の原則 正確かつ最新の内容に保つよう努めなければならない。 (第 19 条) 安全保護の原則 安全管理のために必要な措置を講じなければならない。 (第 20 条) 従業者・委託先に対する必要な監督を行わなければならない。 (第 21、22 条) 公開の原則 取得したときは利用目的を通知又は公表しなければならない。(第 18 条) 利用目的等を本人の知り得る状態に置かなければならない。(第 24 条) 個人参加の原則 本人の求めに応じて保有個人データを開示しなければならない。 (第 25 条) 本人の求めに応じて訂正等を行わなければならない。(第 26 条) 本人の求めに応じて利用停止等を行わなければならない。(第 27 条) 責任の原則 苦情の適切かつ迅速な処理に努めなければならない。(第 31 条) 個人情報保護法対応というと、第 20 条の安全管理措置を指すことが多いが、情報主体の 個人情報コントロール権、いわゆる自己情報コントロール権の保護を目的とした法律であ る。 20 http://www.caa.go.jp/seikatsu/kojin/kaisetsu/pdfs/gensoku.pdf より構成 - 22 - 4. EU 指令の事例調査 EU 指令とは、EU 域外への個人情報、プライバシー情報 (以降、個人データと表記する) の転送を原則として禁止する「EU データ保護指令(Data Protection Directive、 199521)」 を意味している(正式名称 は Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data 22)。域内諸国のプライバシー保 護に関する法制度間のコンフリクトを解消すること、丌要な個人データ処理を抑制するこ と(個人データ処理が必要な状況、条件を示す)等が指令を策定した理由である。 指令の効力が及ばない EU 域外において、EU 域内の個人に属する個人データを処理する ことが許されてしまえば、指令の効果がまったく失われてしまうことになるため、 「CHAPTER IV TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES」第 25 条 (原則)において、「個人情報、個人データの保護に関する措置が EU データ保護指令の 水準に満たしていない域外諸国(a third country)、その国の企業には EU 加盟国から個 人情報、個人データを移動してはならない(域外転送の原則禁止)」といった条項が盛り 込まれている。 「クラウドコンピューティング」は、世界中にサーバ機器群を分散配置してデータ処理 を行っているため、EU データ保護指令とは相容れない性質を持っている。EU データ保護 指令を満足するような「クラウドサービス」を提供するためには、全てのサーバ機器群を EU 域内あるいは EU データ保護指令で定めるデータ保護水準に達していると認められた国 (以下、特別認可国と呼ぶ)を含めた地域のみに設置するような「クラウドコンピューテ ィング」を構築する、あるいは EU 域内の利用者毎にクラウドサービス事業者とモデル契 約を締結する必要がある。 4.1. EU データ保護指令に関不する組織間の関係 個人データ保護は基本的人権を確立する一つの手段である。欧州における共同体創設の 過程には、EU データ保護指令が目指している形、第三国に要求されている十分性の理由が 示されている。 本報告書では、「欧州評議会(CoE, Council of Europe23)」、「欧州委員会(EC, European Commission)」、「欧州議会(European Parliament)」、「欧州理事会(European Council)」 といった関連組織が登場する。その構成と関係を図 4-1 にまとめる。 http://ec.EUropa.EU/justice/policies/privacy/index_en.htm 個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理 事会の指令 23 http://www.coe.int/ 21 22 - 23 - EU(欧州連合) 27加盟国 欧州理事会 最高政治的機関 政策の方向性を決定 CoE(欧州評議会) 47加盟国 国家元首,政府首脳 から構成 議員会議 諮問機関 各国の国会議員から構成 加盟国閣僚から構成 主要な政策決定機関 欧州連合理事会 意思決定・立法 勧告 意見 法案・予算案に対する 排他的発議権 政策提案 共同の参加・協力 その他の手続き 規制・指令等の決定 協力関係 回答 諮問 閣僚委員会 意思決定機関 各国外相から構成 協議 年次報告 諮問 欧州委員会 行政 加盟国から一名ずつ 法案提出権を独占 意見 欧州議会 立法・民主的統制 委員会不信任案議決権 意見 予算決定権 直接選挙で選出 欧州司法裁判所 司法 地方自治体会議 諮問機関 各国の地方代表議員から構成 欧州人権裁判所 人権救済機関 図 4-1 欧州連合と欧州評議会の構成24 欧州におけるプライバシー権を含む人権保護活動は、欧州評議会が取り組んでいる主要 なテーマであり、EU データ保護指令は欧州議会と欧州委員会の策定であるが、欧州評議 会の長年の活動が基になっていると考えられる。 4.2. EU 指令の例外措置を認められた事例の調査 EU 指令第 26 条「除外(Derogations)」第 1 項において、「適切なレベルの保護を確 保していない」第三国においても個人データの移送が許される 6 つの条件として、示され た転送に対し、データ主体が曖昧でない同意を不えていること等が規定されている(条件 の全体については「4.2.2①」に記載)。 また、第 26 条第 2 項、第 4 項では、例外的措置として「モデル契約(Model Contract Clause)」によるデータ移送が規定され、後に「拘束的企業準則(BCR , Binding Corporate Rule) 」も定められている。 このような例外措置の条件を満たした事例について、英国、米国、カナダ等の第三者監 督機関、企業等に対して、ヒアリング調査を実施した。 24 駐日欧州連合代表部資料:EU 機関の仕組み (http://www.deljpn.ec.europa.eu/union/showpage_jp_union.institutions.php)及び外務省資 料;欧州評議会の概要(http://www.mofa.go.jp/mofaj/area/ce/pdfs/ce_gai09.pdf)から構成 - 24 - 米国の民間企業においては、米商務省の認可により「適切なレベルの保護」を有すると みなされる「Safe Harbor Agreement」の適用事例が多数、存在する。米国でのヒアリン グについては、このセーフハーバーの適用事例を中心とした調査を実施した。 4.2.1. 第三国としての十分性を認められた事例と経緯 第三国が「十分なレベルの保護(adequate level of protection)」を確保しているかどう かについては欧州委員会が認定を行う。認定の際には、EU データ保護指令に定められて いる第 29 条作業部会が先立って評価を行い、第 29 条作業部会より意見が採択され、その 意見に基づいて、欧州委員会が最終判断を行う。 2011 年 2 月現在、スイス、 カナダ、アルゼンチン、ガーンジー(Guernsey)、マン島 (Isle of Man)、ジャージー(Jersey)、フェロー諸島、アンドラの 8 ヶ国および地域が 欧州委員会により認定されており、米国については、「セーフハーバー」の枠組みによる 個人データの移送が認められている(表 4-1)。イスラエルについては第 29 条作業部会に より十分性を認める意見が 2009 年に採択されたものの、2011 年欧州委員会により個人デ ータの自動処理(automated processing of personal data)に関してのみ十分性が認められ た。 表 4-1 十分性の認定状況 国および地域 認定年25 審査状況 スイス 2000 年 7 月 欧州委員会により認定 カナダ 2001 年 12 月 欧州委員会により認定 アルゼンチン 2003 年 7 月 欧州委員会により認定 ガーンジー 2003 年 11 月 欧州委員会により認定 マン島 2004 年 4 月 欧州委員会により認定 ジャージー 2008 年 5 月 欧州委員会により認定 フェロー諸島 2010 年 5 月 欧州委員会により認定 アンドラ 2010 年 10 月 欧州委員会により認定 イスラエル (2011 年 1 月) 作業部会が十分性を認める意見を採択 (2009 年 12 月) 欧州委員会により個人データの自動処理に 関してのみ十分性を認定(2011 年 1 月) ウルグアイ - 作業部会が十分性を認める意見を採択 (2010 年 10 月) 米国 25 2000 年 7 月 セーフハーバースキームを締結 決議「Commission Decision」が採択された日とする。 - 25 - オーストラリア - 丌適合とされている その他には、第 29 条作業部会によりウルグアイの十分性を認める意見が採択されている。 また、オーストラリアは保護水準の十分性を欠くとして認定されていない。 ①. 十分性の認定基準 第三国の保護の十分性の評価については EU データ保護指令第 25 条及び WP12 文書に 記載がある。また、構成国の国内個人データ保護法制と、そのガイダンスにもセキュリテ ィに関する記載がある。事例として、イギリスにおける個人情報保護の監督機関である ICO(Information Commissioner’s Office)の編纂している FAQ26から、個人データ保護 に関する技術要件の例示を紹介する。この文書では、ノート PC やポータブルデバイスに、 特に個人の財務情報や医療情報がある場合、つまり個人データを移動する際に暗号化を施 すことを推奨している。しかし、採るべきセキュリティ対策は、各事例の個人データ移送 の状況次第であり、保管する際には、必ずしも暗号化を行う必要はないとされている。 以下に FAQ における技術要件に関する記載を示す。 Q) ノート PC 内の個人情報を保護するためにはどんな安全保護対策措置を採るべきか。 (What security measures should I have in place to protect personal information on laptops?) A) ノート PC や携帯型デバイス内の情報が個人に損害をもたらす場合、特にそれらの情 報が財務及び医療情報を含む場合、それらは暗号化されるべきである。暗号化による保護 のレベルは、その機器を紛失した場合、安全性が十分であることを確認するために、定期 的にレビューされ更新されるべきであり、専門家の助言を必要とする可能性がある。技術 的な措置に加え、組織は携帯型デバイスの利用と安全保護についてのポリシーを持ち、従 業員が適切に訓練されていることを補修しなければならない。盗難・紛失したノート PC が適切な暗号化がなされていなかったということがコミッショナーに伝わった場合、コミ ッショナーは法的な執行力の行使を考えるだろう。27 Data Protection FAQs – For organisations (http://www.ico.gov.uk/Global/faqs/data_protection_for_organisations.aspx)より引用 27 原文「Where the information held on a laptop or other portable device could be used to cause an individual damage or distress、 in particular where it contains financial or medical information、 they should be encrypted. The level of protection provided by the encryption should be reviewed and updated periodically to ensure that it is sufficient if the device was lost or stolen、 you may need to seek specialist technical advice. In addition to technical security、 organisations must have policies on the appropriate use and security of portable devices and ensure their staffs are properly trained in these. If it is brought to the Commissioner's attention that laptops that have been lost or stolen have not been protected with suitable encryption he will consider using his enforcement powers」 26 - 26 - Q) 情報の処理を外部委託したデータ管理者にとって、外部委託ではデータ保護はどう なるか。(I am a data controller wanting to outsource some of our information for processing purposes. What are the data protection implications?) A) 安全な方法で仕事を実行できる組織を選択すべきであり、確認すべきである。預け た情報をどのように利用して開示できるのかを定めた契約を委託先の企業と結ぶ必要があ る。また、委託業者に適切な安全保護対策措置を採るよう要求しなければならない。28 Q)データ保護法の下ではデータ保護のためにどのような安全保護対策措置を採るべき か。 (What security measures should be in place to protect personal information under the Data Protection Act?) A)安全保護対策措置は、所有する様々な記録に応じて、適切なレベルの保護であるべき である。29 コンピュータ上の情報のすべてを暗号化する必要は、データ保護法においても要求はし ていないが、暗号化は安全保護対策措置の一つであると推奨している。 また、「Data Protection Good Practice Note Security of personal information」では、 「Security measures」について、採るべき対策は状況に依存するとされ、暗号化や定期的 なソフトウェアのアップデートが推奨されている。基本的に ISMS 基準(ISO/IEC 27001) に沿って解説が行われている。 ②. EU データ保護指令第 25 条 第 25 条第 2 項において、第三国の保護の十分性の評価は次のように規定されている。 「第三国によって保障される保護レベルの十分性は、一つのデータ移転の運用又は一連 のデータ移転の運用に関するあらゆる状況に鑑み評価されなければならない。特に、デー タの性栺、予定されている取扱いの運用の目的及び期間、発出国及び最終目的国、当該第 三国において有効である一般的及び分野別の法規範(the rules of law、 both general and sectoral、 in force in the third country in question)、並びに当該国において遵守されて いる専門的規範(professional rules)及び安全保護対策措置(security measures)が考慮 原文「You must choose an organisation that you consider can carry out the work in a secure way and you should check that you are doing this. You should have a written contract with them that lays down how they can use and disclose the information you have entrusted to them. It must require them to take proper security measures.」 29 原文 「A written security procedure should cover the levels of protection appropriate for the different records you hold.」 28 - 27 - されなければならない。」30 この規定では、具体的な項目は含まれていないが、「専門的規範(professional rules) 及び安全保護対策措置(security measures)」が必要と定められている。 ③. 個人データの第三国移転:EU データ保護指令第 25 条及び第 26 条の適用(WP 12 5025/98) 具体的な認定基準については、第 29 条作業部会により定められた WP 12 文書に示され ている。この文書の 1 章「ASSESSING WHETHER PROTECTION IS ADEQUATE」に おいて、以下の実体原則(Content Principles)が示されている。 1) 目的限定原則(purpose limitation principle) 2) データ内容・比例原則(data quality and proportionality principle) 3) 透明性原則(transparency principle) 4) セキュリティ原則(security principle) 5) アクセス、訂正及び異議申立ての権利(rights of access、 rectification and opposition) 6) 再移転制限(restrictions on onward transfers) さらに、特定の処理に関して適用される追加原則の例が以下のように示されている。 1)センシティブ・データ(sensitive data) 2)ダイレクト・マーケティング(direct marketing) 3)自動処理による個人に関する決定(automated individual decision) これらの原則の中で、以下の「セキュリティ原則」が、保護の十分性を認められるため の「安全保護対策措置(security measures)」を示したものである。 「(個人データの)処理により生ずるリスクに対して適切な、技術的かつ組織的セキュ リティ対策が、データ管理者によって実施されなければならない。データ管理者の元に活 動する如何なる人物、データ処理者を含めて、データ管理者の指示なく、データを処理し てはならない」 さらに、付録 1 に認定の例が示されており、第 25 条、第 26 条および 1 章で示した原則 が実際にどのように適用されるのかを、事例 (1) : 信用情報に関するデータの移送(A 原文「The adequacy of the level of protection afforded by a third country shall be assessed in the light of a11 the circumstance surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data、the purpose and duration of the proposed processing operation or operations、 the country of origin and country of final destination、the rules of law、both general and sectoral、in force in the third country in question and the professional rules and security measures which are complied with in that country.」 30 - 28 - transfer of data regarding credit-worthiness)、事例 (2) : 航空業界におけるセンシティ ブ・データの移送 (A transfer of sensitive data in the airline industry)、事例 (3) : 取引 先リストデータの移送 (A transfer of marketing list data)と、具体的な 3 つのケースで示 している。 4.2.2. EU から EU 域外の第三国へのデータ移送のための例外措置 ここでは、わが国のように第三国として保護の十分性を認定されていない場合において、 個別の案件にて、データ移送の例外措置が認められる状況について説明する。 ①. 例外措置の概要 EU データ保護指令では、個人情報、個人データの保護に関する措置が EU データ保護指 令の水準に満たしていない第三国に対して EU 加盟国からの個人データの移送が禁止され ている。ただし、第 25 条に続く第 26 条において、例外の取り扱いについての規定があり、 次の条件を満たした場合は個人データの移送が可能であると第 1 項に規定されている。 (a)データ主体が、予定されている移転に対して明確な同意を不えている場合。又は、 (b)移転が、データ主体及び管理者間の契約の履行のために、又はデータ主体の請求によ り、契約締結前の措置の実施のために必要である場合。又は、 (c)移転が、データ主体の利益のために、データ主体及び第三者間で結ばれる契約の締結 又は履行のために必要である場合。又は、 (d)移転が、重要な公共の利益を根拠として、又は法的請求の確定、行使若しくは防御の ために必要である場合、又は法的に要求される場合。又は、 (e)移転が、データ主体の重大な利益を保護するために必要である場合。又は、 (f)法律又は規則に基づいて情報を一般に提供し、及び公衆一般又は正当な利益を証明す る者のいずれかによる閲覧のために公開されている記録から、閲覧に関する法律に規定さ れた条件が特定の事例において満たされる範囲内で、移転が行われる場合。 第 1 項ではデータ主体との明確な同意がある場合等について、個人データの第三国への 移送を認めている。さらに第 26 条第 2 項では以下のように規定されている。 加盟国は、第 1 項の規定を損なうことなく、管理者が個人のプライバシー並びに基本的な 権利並びに自由の保護、及びこれらに相当する権利の行使に関して、十分な保護措置を示 す場合、第 25 条第 2 項の意味における十分な保護レベルを保障しない第三国への個人デ - 29 - ータの移転又は一連の移転を許可することができる。このような保護措置は、特に適切な 契約条項から帰結することができる。31 十分な保護措置による個人データの移送を認める第 2 項に基づいて、第 4 項ではモデル 契約(標準契約条項)によるデータ移送が規定されており、後に、拘束的企業準則(が追 加された。また、米国については、EU との間で「セーフハーバー」というスキームを締結 し、その枠組みによる個人データの移送が認められている。 現在認められている第三国へのデータ移送を行うための例外措置を以下に示す。 表 4-2 例外措置 例外措置 対象国 関連する条項 第 26 条第 1 項に基づく契約(必頇) 第三国すべて 第 26 条第 1 項 モデル契約(標準契約条項) 第三国すべて 第 26 条第 2 項、第 4 項 拘束的企業準則(BCR ) 第三国すべて 第 26 条第 2 項 セーフハーバー 米国 - ②. モデル契約の概要 第 26 条第 2 項では、定められている管理者が個人のプライバシー並びに基本的な権利並 びに自由の保護、及びこれらに相当する権利の行使に関して、十分な保護措置を示す場合、 十分なレベルの保護を確保していない第三国に対する個人データの移転を認めることがで きるとしており、第 26 条第 4 項に以下の規定が示されている。 「 構 成 国 は 、 第 31 条 第 2 項 に 規 定 さ れ た 手 続 に 従 っ て 、 一 定 の 標 準 契 約 条 項 (standard contractual clauses)が本条第 2 項によって要求される十分な保護措置 (sufficient safeguards)を提供していると決定する場合には、委員会の決定を遵守するた めに必要な措置を講じなければならない。」32 第 4 項では標準契約条項が規定されており、それに基づき、2001 年に欧州委員会による 原文「Without prejudice to paragraph 1、a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2)、 where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.」 32 原文「Where the Commission decides、in accordance with the procedure referred to in Article 31 (2)、that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2、 Member States shall take the necessary measures to comply with the Commission's decision.」 31 - 30 - 「COMMISSION DECISION of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries、 under Directive 95/46/EC」で標準契約条 項についてモデルとなる条項のセット(以下、モデル契約33)が示された。 モデル契約については、上述した 2001 年に定められた形式に加え、2004 年、2010 年に それぞれ定められたモデル契約があり、計 3 つのモデル契約が存在する。 2001 年、2004 年に示されたモデル契約は、EU 域内のデータ管理者から EU 域外のデ ータ管理者に対して個人データを移送する場合に適用されるモデル契約(以下、管理者移 転型モデル契約)であり、2010 年に示された形式は EU 域内のデータ管理者から EU 域外 のデータ処理者に個人データを移送する場合に適用されるモデル契約(処理者移転型モデ ル契約)である。ただし、EU 域内のデータ管理者から EU 域外のデータ処理者に個人デー タを移送する場合に適用されるモデル契約については当初 2001 年 12 月の COMMISSION DECISION により定められており、2010 年に改正され、置き換えられている。 モデル契約は、法的な強制力があるものではなく、任意(strictly voluntary)とされて おり34、あくまで域外へのデータ移送のための例外措置の一つである。また、モデル契約 及びデータ主体の基本的な権利及び自由と直接又は間接的に否定するものでなければ、条 項の追加が認められている35。 また、運用に関しては、各国の法律の規定により、管轄当 局の承認が必要な場合と丌必要な場合があり、英国では丌要、ドイツ、フランス、スペイ ン、オランダ等では必要とされている。 表 4-3 モデル契約の事例一覧 モデル契約 年36 タイプ COMMISSION DECISION of 15 June 2001 on standard 2001 年 管理者移転型 contractual clauses for the transfer of personal data to 6月 third countries、 under Directive 95/46/EC COMMISSION DECISION of 27 December 2001 on 2001 年 処理者移転型 standard contractual clauses for the transfer of personal 12 月 (2010 年に改正) 2004 年 管理者移転型 data to processors established in third countries、 under Directive 95/46/EC COMMISSION DECISION of 27 December 2004 欧州委員会のホームページでは「Model Contracts for the transfer of personal data to third countries」とされている。 34 ENISA Web ページ「Commission Decision on Transfer of Personal Data」、 http://www.enisa.europa.eu/act/rm/cr/laws-regulation/data-protection-privacy/commission-d ecision-on-transfer-of-personal-data 35 EU Press Releases、「Standard contractual clauses for the transfer of personal data to third countries - Frequently asked questions」、2005 年 36決議「Commission Decision」が採択された日とする。 33 - 31 - amending introduction Decision of an 2001/497/EC as alternative set regards of the 12 月 standard contractual clauses for the transfer of personal data to third countries COMMISSION DECISION of 5 February 2010 on 2010 年 処理者移転型 standard contractual clauses for the transfer of personal 2月 (2001 年のものを data to processors established in third countries under 改正) Directive 95/46/EC ③. 管理者移転型モデル契約 EU 3rd country (Japan) Personal Data Data Subject Personal Data Data Controller (Data Exporter) Data Controller (Data Importer) 図 4-2 管理者移転型モデル契約の概念図 2001 年、2004 年に定められたモデル契約は、EU 域内のデータ管理者から EU 域外の データ管理者に対して個人データを移送する場合に適用される。 2004 年にモデル契約(SET II)が定められる以前は、2001 年に定められたモデル契約 (SET I)のみが利用されていた。2004 年に定められたモデル契約は、国際商工会議所 (International Chamber of Commerce, ICC)を中心とした 7 つの経済団体37により、 American Chamber of Commerce to the European Union in Brussels (AmCham EU); Confederation of British Industry (CBI); European Information、 Communications and Consumer Electronics Technology Industry Associations (EICTA); Federation of European Direct and Interactive Marketing (FEDMA); International Chamber of Commerce (ICC); International Communication Round Table (ICRT); and the Japan Business Council in Europe (JBCE) 37 - 32 - 2001 年のモデル契約がビジネスの実態に合致するような柔軟な条項とするよう提案が行わ れ、4 年間の交渉の末、要求を受け入れる形で新たに定められたものである。 2004 年のモデル契約と 2001 年のモデル契約の大きな相違について説明する。2001 年の モデル契約ではデータ発信者及びデータ受信者はデータ主体に対して連帯責任を負い、デ ータ受信者の行為に係る責任についてデータ発信者及びデータ受信者ともに責任がないこ とを立証しない限り、データ発信者においてデータ主体に対する責任を負う。これに対し、 2004 年モデル契約では、データ発信者は、データ受信者の履行能力について確認する義務 を怠った場合にのみ責任を負うことになっている。 その他の項目についても、2004 年のモデル契約は、2001 年のモデル契約より柔軟なも のとなっており、2004 年のモデル契約が実際には利用されると考えられるため、こちらの モデル契約について説明する。 2004 年の「COMMISSION DECISION of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries」(SET Ⅱ)は、以下の文書 で構成される。 1) 本文 2) 付属書類「モデル契約」(‘SET II Standard contractual clauses for the transfer of personal data from the Community to third countries (controller to controller transfers)) 3) 付属書類 A「データ処理原則」(DATA PROCESSING PRINCIPLES) 4) 付属書類 B「移転の説明」(DESCRIPTION OF THE TRANSFER) 付属書類「モデル契約」における構成項目と、実施すべき組織的および技術的要件に関 連する記述について示す。38 定義 (Definitions) (b)「データ発信者」とは個人データを移転する管理者をいう。 (c)「データ受信者」とは、十分な保護が確保された第三国のシステムに従うのではなく、 本契約の条項に従って更なるデータ処理を行うため、データ発信者から個人データを受領 することにつき合意したデータ管理者をいう。 38「国際移転における企業の個人データ保護措置調査 用 - 33 - 報告書(消費者庁)」2010 年 3 月から引 I. データ発信者の義務(Obligations of the data exporter) 個人データの収集、処理及び移転は、データ発信者に適用される法令に従って行う。 II. データ受信者の義務(Obligations of the data importer) (a) 丌測の又は違法な破壊、丌測の滅失、変更、無断の開示又はアクセス等から個人デ ータを保護すべく、データ処理及びデータの性質に基づくリスクに対して適切なレベル の、技術的及び組織的な保護対策(appropriate technical and organisational measures) を採る。 (b) データ処理者を含む個人データにアクセスする権限を有するすべての第三者が、個 人データの機密保持及び保護につき遵守及び維持するための手続を置く。データ処理者を 含むデータ受信者の権限に基づき行動するすべての者は、データ受信者の指示のみによっ て個人データを処理する義務を負う。ただし、法令又は規則により個人データへのアクセ ス権限を認められた個人について、本条項は適用されない。 (e) データ発信者に対し、個人データの処理に関する質問の対応権限を有する組織内の 窓口を明らかにし、当該質問に関し合理的間内に対応すべく、データ発信者、データ主体 及び当局と誠実に協力する。データ発信者が解散した場合、又は当事者がそう合意した場 合には、データ受信者は上記 1 条(e)項を遵守する責任を負うものとみなされる。 (g) データ発信者の合理的要請に基づき、データ発信者(又はデータ受信者)による合理 的な異議がある場合を除き、データ発信者が選任した独立の若しくは公平な検査機関若し くは監査役)による、本契約の遵守についての、合理的な通知をもって及び通常の営業時間 内において行う検討、監査及び/又は証明に必要なデータ処理設備、データファイル及び書 類を提供する。上記要請は、データ受信者の国における規制機関又は監督機関の同意又は 承認に付され、データ受信者は、当該同意又は承認につき適時に取得するよう努力する。 (h) データ発信者の設立国のデータ保護法令、EU データ保護指令 25 条 6 項に基づく 欧州委員会の決定の関連規定又は添付書類 A 記載のデータ処理方針のいずれかを選択し て、これに従ってデータ処理を行う。 III. 責任及び第三者の権利 Liability and third party rights IV. 準拠法(Law applicable to the clauses) V. データ主体と当局との紛争の解決(Resolution of disputes with data subjects or the authority) VI. 終了(Termination) - 34 - VII. 契約の修正(Variation of these clauses) VIII. 移転の説明(Description of the Transfer) モデル契約では、データ受信者の義務として技術的及び組織的な保護対策(appropriate technical and organisational measures)を採るよう定められており、そのレベルはデータ 処 理 及 び デ ー タ の 性 質 に 基 づ く リ ス ク に 対 し て 適 切 な レ ベ ル ( a level of security appropriate to the risk represented by the processing and the nature of the data to be protected)とされている。また、個人データの処理に関する質問の対応権限を有する組織 内の窓口を明らかにするよう求められている。 Ⅱ(g)では、データ発信者の要請に基づき、データ受信者は検討、監査及び/又は証明に 必要なデータ処理設備、データファイル及び書類を提供するよう定められている。 データ処理については、Ⅱ(h)において、データ発信者の国のデータ保護法令、EU デ ータ保護指令に基づく欧州委員会の決定の関連規定又は付属書類 A 記載のデータ処理方針 に従って、データ処理を行うよう定められており、付属書類 A においては、「安全保護と 守秘義務」 (Security and confidentiality)という項目があり、以下のように示されている。 偶然及び違法な破壊や、偶然の紛失、変化、許可されていない公開およびアクセス等の、 処 理 に お け る リ ス ク に 適 切 な 、 技 術 的 及 び 組 織 的 な 保 護 対 策 ( Technical and organisational security measures)がデータ管理者により採られなければならない。処理 者を含めて、データ管理者のもとで行動する人はすべて、データ管理者からの指示以外に はデータを処理してはならない。39 また、適用する法律については、データの移転を含む処理についてはデータ発信者が設 立された EU 加盟国の関連法令に従って行うことに加え、契約時点でデータ受信者の所在 地の法律が契約に基づく保証に反する可能性があるということを信じる理由がないことを 保証し、契約後の法律の変更により反する可能性が発覚した場合には通知することが求め られている。 原文「Security and confidentiality: Technical and organisational security measures must be taken by the data controller that are appropriate to the risks、 such as against accidental or unlawful destruction or accidental loss、 alteration、 Unauthorized disclosure or access、 presented by the processing. Any person acting under the authority of the data controller、 including a processor、 must not process the data except on instructions from the data controller.」 39 - 35 - ④. 処理者移転型モデル契約 EU 3rd country (Japan) Personal Data Personal Data Personal Data Data Subject Data Controller (Data Exporter) Data Processor (Data Importer) Data Subprocessor 図 4-3 処理者移転型モデル契約の概念図 2010 年に定められたモデル契約は、EU 域内のデータ管理者から EU 域外のデータ処理 者に個人データを移送する場合に適用される。管理者移転モデルとは異なり、個人データ 処理の委託に用いられる。 データ管理者とデータ処理者の違いについては、2010 年 2 月に第 29 条作業部会より 「Opinion 1/2010 on the concepts of "controller" and "processor"」が出されており、デー タ管理者はデータ保護法に主体として関わり、責任を持つ者であり、データ処理の「目的」 を決定する者、データ処理者はデータ処理の委託を行うデータ管理者の決断に依存する者 であり、データ管理者と別法人であり、データ管理者の代わりにデータ処理を行う者等の 記述がある。ただし、文書の中でも区別は明確でないとし、いくつかの例示により差異を 示している。 処理者移転型モデル契約については、2001 年 12 月の COMMISSION DECISION によ り定められた文書が、2010 年に改正され、置き換えられている。2010 年に定められたモ デル契約では、移送の際にデータ管理者が書面で合意したデータ処理者の保護義務が下請 け処理契約にも適 用されるとし、データ 処理に係る外部委託の 際の再委託者( data sub-processor)を考慮した条項が規定されていることが主な変更点である。 2010 年 の モ デ ル 契 約 「 Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC」は、以下の文書で構成される。 - 36 - 1) 本文 2) 付属書類「モデル契約(処理者)」(‘STANDARD CONTRACTUAL CLAUSES (PROCESSORS)) 3) 付録 1「標準契約条項に対して」(Appendix 1 to the Standard Contractual Clauses) 4) 付録 2「標準契約条項に対して」(Appendix 2 to the Standard Contractual Clauses) 付属書類「モデル契約(処理者)」では、第三受益者条項(Third-party beneficiary clause)、 委託(Sub-processing)、個人データ処理業務の終了後の義務( Obligation after the termination of personal data-processing services)等の項目について、管理者移転型のモ デル契約とは異なる。また、データ受信者の義務、データ発信者の義務等もデータ処理に 関したものとなっている。 技術的要件に関しては、以下のような記述がある。 Clause 1 定義(Definitions) (f)組織的および技術的な保護対策(Technical and organisational security measures) とは、偶然及び違法な破壊や、偶然の紛失、変化、許可されていない公開およびアクセス 等に対する、特に処理にネットワーク上のデータ伝送を含む場合の個人データの保護を目 的とした措置、および他の全ての違法な処理に対する個人データの保護を目的とした措置 である。40 Clause 4 データ発信者の義務(Obligations of the data exporter) (c)データ受信者が採る、付録 2 において特定される技術的及び組織的な保護対策に関 して、データ発信者は十分な保証を不える。 (d)適用するデータ保護法令の要求する評価の後、データ受信者が採る保護対策は、特 に処理にネットワーク上のデータ伝送を含む場合における、偶然及び違法な破壊や、偶然 の紛失、変化、許可されていない公開およびアクセス等に対して、そして他の全ての違法 な処理に対して適切であり、これらの保護措置は、その技術の現状と実装のコストを考慮 した上で、データ処理及びデータの性質に基づくリスクに対して、適切なレベルであるこ とを保証する。41 原文「‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss、 alteration、 unauthorised disclosure or access、 in particular where the processing involves the transmission of data over a network、 and against all other unlawful forms of processing.」 41 原文「that after assessment of the requirements of the applicable data protection law、 the security measures are appropriate to protect personal data against accidental or 40 - 37 - Clause 5 データ受信者の義務(Obligations of the data importer) (c)個人データの処理を行う前に、付録 2 において特定される技術的及び組織的な保護 対策を講じたことを保証する。 2010 年のモデル契約では、技術的及び組織的な保護対策について付録 2 を元にした契約 文書において特定し、記述すること、さらにデータ発信者はデータ受信者が採る技術的及 び組織的な保護対策について保証するという項目が追加されていることが、採るべき保護 対策の記述に関しての 2004 年の管理者移転型のモデル契約との大きな相違点である。また、 定義とデータ発信者の義務における、「ネットワーク上のデータ伝送を含む場合」といっ たインターネット利用を意識したと思われる記述も示されている。 ⑤. 拘束的企業準則(BCR, Binding Corporate Rule)の概要 EU データ保護指令第 26 条第 2 項における記述に基づいて、十分な保護措置を示し、第 三国へのデータ移送を行うための例外措置として拘束的企業準則が定められている。BCR は、モデル契約とは異なり、第 29 条作業部会の文書によってのみ示されているものであり、 EU データ保護指令で明文化されているものではない。 拘束的企業準則は、国際的に活動する企業(多国籍企業)を対象とし、企業内部の個人 データの移送を目的とした措置である。十分なレベルの保護を確保するための拘束力のあ る企業ルールを定め、監督機関に申請し、認証を得た場合、企業内におけるデータの移送 が可能となる。 また、拘束的企業準則は、2003 年、第 29 条作業部会の文書「Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers(WP74)」により初めて示さ れており、その中で、拘束的企業準則は第三国へのデータ移送の唯一もしくは最良の手段 に位置づけられるものではなく、モデル契約やセーフハーバーの適用に問題がある場合の 追加的な手段であるとされている。 EU の Web サイト42によると、表 4-4 に示す 10 社に対し、拘束的企業準則によるデータ 移送が認められている。 unlawful destruction or accidental loss、 alteration、 unauthorized disclosure or access、 in particular where the processing involves the transmission of data over a network、 and against all other unlawful forms of processing、 and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation」 42 http://ec.europa.eu/justice/policies/privacy/binding_rules/bcr_cooperation_en.htm - 38 - 表 4-4 BCR 承認企業の一覧 企業名 認証を受けた監督機関 締結時期 GE ICO (UK) 2005 年 12 月 Atmel ICO (UK) Accenture ICO (UK) 2009 年 4 月 BP ICO (UK) 2009 年 9 月 e-Bay Luxemburg 2009 年 11 月 Hyatt ICO (UK) 2009 年 12 月 Sanofi Aventis CNIL (FR) 2009 年 11 月 Michelin CNIL (FR) 2010 年 1 月 JPMC ICO (UK) 2010 年 3 月 Safran CNIL (FR) 2010 年 3 月 ⑥. 拘束的企業準則で求められる事項 拘束的企業準則に関連して第 29 条作業部会により表 4-5 に示す文書が公表されている。 表 4-5 拘束的企業準則に関する文書一覧 年 文書番号 文書 2003 年 6 月 WP74 第三国への個人データ移転:国際データ移転のための BCR へ の EU データ保護指令第 26 条第(2)項の適用 (Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers) 2005 年 4 月 WP107 「BCR」からの帰着として十分な安全措置に関する共通の意見 を発するための協力手続を定める作業文書 (Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules”) 2005 年 4 月 WP108 BCR の承認申請のモデルチェックリストを定める作業文書 (Working Document Establishing a Model Checklist Application for Approval of Binding Corporate Rules) 2007 年 1 月 WP133 個人データ移転のための BCR に係る標準申請書に関する 2007 年 1 月の勧告 (Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of - 39 - Personal Data) 2008 年 6 月 WP153 BCR の中で設けられるべき要件及び諸原則の表を定めた作業 文書 (Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules) 2008 年 6 月 WP154 BCR の構成の枠組みを定めた作業文書 (Working Document Setting up a framework for the structure of Binding Corporate Rules) 2008 年 6 月、 WP155 BCR に関連するよくある質問に関する作業文書 2009 年 4 月 (Working Document on Frequently Asked Questions (FAQs) 改正 related to Binding Corporate Rules) 拘束的企業準則の基本的な条件は WP74 で示されており、WP108 では拘束的企業準則申 請のためのモデルとなるチェックリストも公表されている。さらに 2008 年には、WP154 において WP74 や WP108 で示された内容を具体化した枠組みが公表されている。 しかしながら、WP74 で示された条件は強制的なものではなく、各国の管轄当局は WP74 にとらわれることなく、申請に対し自由に分析し、決定を下すことができる、とし ている。WP154 で示された枠組みもまた、その枠組みは拘束的企業準則のモデルではなく、 申請文書の内容と構成の提案であり、各企業の状況に応じてカスタマイズする必要があり、 WP154 が示す申請文書の枠組みを単にコピーしただけでは申請は受け付けないとしており、 一律的なモデルが存在せず、申請文書の自由度が高いともいえるが、申請のハードルも高 いと考えられる。 WP154 で示されている、要求される誓約事項および説明事項を以下に示す。 1) BCR の適用範囲 2) 定義 3) データの取扱い目的の制限 4) データの質及び均衡性 5) 個人データの取扱いの法的根拠 6) センシティブ・データを取り扱うための法的根拠 7) データ主体の透明性及び情報に関する権利 8) データ主体のデータのアクセス、訂正、消去及び利用停止の権利 9) 自動化された個人に関する決定 10) 安全保護及び機密性 11) グループを構成する取扱者との関係 12) 外部の取扱者及び管理者(グループの構成員ではない)に対する移転及び転送の制限 - 40 - 13) 職員に対する訓練プログラム 14) 監査プログラム 15) 遵守及び遵守の監督 16) 国内法が BCR の尊重を妨げる場合の措置 17) 内部の苦情処理体制 18) 第三者の受益権 19) 責任 20) データ保護機関との相互援助及び協力 21) ルールの更新 22) 国内法と BCR の関係 23) 最終条項 また、WP153 では、拘束的企業準則の中で設けられるべき要件及び諸原則が表で示され ており、表 4-6 に示す項目が挙げられている。拘束的企業準則では、拘束性、実効性が主 に求められ、グループの構成員と従業員に対する拘束力や第三者の受益権の設定、適切な 訓練プログラムの存在等を示す必要がある。 表 4-6 大項目 拘束的企業準則の中で設けられるべき要件及び諸原則 中 項 小項目 目 1-拘束的性質 内部 BCR の遵守義務 グループの構成員と従業員に対する拘束力をルールに持た せる方法の説明 外部 管轄のデータ保護機関や裁判所への苦情申立てなど、第三者 の受益権の設定 企業が、BCR 違反に対する損害賠償及び救済責任を認める こと 企業が十分な資産を有すること 証明責任は個人ではなく企業に誯せられること データ主体が、BCR、とりわけ、自らに有利に働く第三者の 受益権に関する情報に、容易にアクセスできること 2-実効性 適切な訓練プログラムの存在 BCR に関する苦情処理手順の存在 BCR を対象とした監査プログラムの存在 苦情を取り扱い、ルールの遵守を監督及び保証するプライバ シーオフィサー又は適切な係員の協力関係の設置 3-協力義務 データ保護機関と協力する義務 - 41 - 4-取扱い及びデータ流通 BCR が対象とするデータ移転に関する説明 に関する説明 BCR の地理的及び内容的範囲の説明(データの内容、データ 主体の種類、対象国家) 5-変更の報告及び記録に BCR の更新手順 関する仕組み 6-データの安全保護措置 EU 域外への移転又は転送に関するルールを含むプライバ シー諸原則に関する説明 BCR に拘束される事業者のリスト 国内法のためグループが BCR を遵守できない場合に、透明 性を維持する必要性 国内法と BCR の関係に関する声明 ⑦. セーフハーバー(Safe Harbor) 米国においては、EU との間で「セーフハーバー」というスキームを締結し、その枠組み を用いた個人データの移送は十分なレベルの保護を提供するものとして認められている。 セーフハーバーは、米国が特定の認証基準を設け、その認証を受けた企業にのみ個人デ ータの移送を認めるという枠組みであり、1998 年から米国と EU の間で交渉が開始され、 2000 年に認められている43。米国では、民間部門を規律する法律が存在せず、米国全体で は EU が求める十分なレベルの保護を満たすことが難しいと考えられ44、このセーフハー バーという枠組みの交渉に繋がったとされる。 具体的には、事業者は EU データ保護指令の要求事項を反映したセーフハーバー原則を 順守することを宣言し、その旨を米国商務省に通知する。米国商務省は届出のあった事業 者リストを公表し、その事業者が原則に違反した場合は連邦取引委員会(Federal Trade Commission)より制裁金が科される。事業者リストは、Web サイト上45に公開されている。 また、事業者が商務省に対して通知する際は、第三者認証を必要とせず、自己認証で構わ ないとされている。セーフハーバー原則の順守を証明するためには、セーフハーバーの枠 欧州委員会「Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce」により十分性があるとされた。 44 Gregory Shaffer、 “GLOBALIZATION AND SOCIAL PROTECTION:THE IMPACT OF EU AND INTERNATIONAL RULES IN THE RATCHETING UP OF U.S. DATA PRIVACY STANDARDS”、 Yale Journal of International Law、 vol. 25、 1-88 (Winter 2000) 45 SAFE HARBOR LIST https://safeharbor.export.gov/list.aspx 43 - 42 - 組みを順守している自主規制プライバシープログラムに参加するか、もしくは枠組みに一 致するプライバシーポリシーを自社で策定するよう求められている。 セーフハーバー原則の一覧を以下に示す。 ① Notice(本人への通知) ② Choice(本人の選択) ③ Onward Transfer(Transfer to Third Parties) (再移転の同意) ④ Access(本人のアクセス) ⑤ Security(保護措置) ⑥ Data integrity(データの完全性) ⑦ Enforcement(法執行) 保護措置(Security)では、組織は消失や誤った利用、許可されていないアクセス、開示、 変更、破壊から個人データを保護するために、合理的な予防措置を採らなければならない、 とされている。 4.3. 海外例外措置適用事例 第三国として保護レベルの十分性を認定された例外措置の適用事例として、米国セーフ ハーバー事例として 4 企業、加えて、カナダ国内の事情に詳しいカリフォルニア大学シュ ワルツ教授にヒアリングを行った。 更に、英国における個人データ保護担当局である ICO 事務局のデビッド・スミス氏、EU 域内の個人データ保護関連法の専門家であるスイスチューリッヒ大学ラルフ・ウィーバー 教授にヒアリングを行った。 また、個人データ保護関連技術を知るため、FP7(第七次研究フレームワーク、欧州にお ける研究活動助成を目的とした EU の主要政策)46におけるプライバシー保護技術研究活動 から、PrimeLife プロジェクトおよび TClouds47プロジェクトのメンバーにヒアリングを行 った。 4.3.1. セーフハーバー事例 米国セーフハーバー原則の適用状況、事例等についてヒアリングを行った。 ①. Sybase George Totev 氏(現在はゴールドマンサックス社の情報リスク管理を担当するシニア・ バイスプレジデント。Sybase 社の前情報セキュリティ・シニアマネージャ)に対し Sybase 46 47 http://cordis.europa.eu/fp7/home_en.html Trustworthy Cloud Computing - 43 - 社における EU とのデータ移送についてヒアリングを実施した。氏は、Sybase の Safe Harbor compliance initiative で同社が SAP に 2010 年に買収されるまで勤務していた。 ( I ) EU 域内からの個人データ移送に関する状況 Sybase では、EU 顧客とのサービス規約の見直しとして、Safe Harbor の要求が挙げら れた。Sybase は、EU の顧客にサポートサービスを提供するために、個別の契約を作る厳 密なプロセスを経た。 例えば、ドイツの顧客が Sybase にサポートを要求する際、顧客は独自のプライバシー保 護調査への回答を求めてくる。プロセスが複雑になるにつれ、EU 顧客の関心事をまとめ て解決できる Safe Harbor の認証を受けることの意味が増した。 Sybase が受け取る EU の個人データの大半はトラブルシューティング用途である。 Sybase では、顧客に発生した問題解決のために、顧客の持つ Sybase データベースのフル ダンプ(データを全て出力)が必要になる場合があり、そのダンプデータに個人データが 含まれる可能性が高いため、サポートを提供するため、あらかじめ個人データの取り扱い 状況について顧客と合意を行う必要がある。 別のデータの出所としては、コンサルティングサービスである。Sybase は金融・ヘルス ケアのカスタムソリューションを提供しており、適切なソリューションを設計するために は個人データへのアクセスが必要となる。そのため、Sybase は、個人データを直接的には 扱っていないが、B2B サービス提供者であるため、間接的に扱うことになる。 ( II ) 特別なセキュリティ対策 もともと金融、ヘルスケア業界の顧客を相手とするので、SOX や HIPAA の規制に従っ ており、厳しいセキュリティと暗号化を求められていた。そのため、Safe Harbor の認証 を取るために特別なセキュリティ対策を講じる必要はなかった。 Sybase 社はカリフォルニアが所在地であり、2002 年に制定されたカリフォルニア州法 SB1386(Security Breach Information Act、個人情報を盗まれた可能性を顧客に通知する 義務を定めている)の対象となる。アクセス権限のない人に自身の個人情報を取られたと いう場合、通知しなくてはならないため、データ管理には十分な配慮を行っている。なお、 クレジットカード情報の取り扱いに関する認証制度である PCI-DSS 認証も同社は取得して いるとのこと。 ( III ) Safe Harbor 登録、TRUSTe 認証の難易度、負担、コスト カリフォルニア州法と業界規制(HIPAA, SOX, PCI-DSS)への対応をしていたので、セ ーフハーバーへの対応は容易で、法務部門において文書作成コストだけで十分であった。 - 44 - ( IV ) EU の顧客が、EU の同業他社のサービスを使わない理由 EU の企業も米国の企業も、EU の中か外か、企業の所在地を基準としてサービスを選び はしない。また、Sybase の場合、EU にもオフィスがあるため、顧客サイドの感覚として EU 企業との差は無いだろう。データプライバシーの問題が発生するのは、(前述したよう にフルダンプデータを米国に移送する)Sybase 本社のサポートが必要になる時だけである。 この事情は、他の米国の技術的サービス提供者にも共通して生じる問題である。 ②. Morrison & Foerster LLP (MOFO) 米国の法律事務所である Morrison & Foerster において、プライバシーとデータセキュ リティに関するパートナー職を務める Christine E. Lyon 氏にヒアリングを実施した。 ( I ) EU 域内からの個人データ移送に関する状況 法的には、誮が保護指令の主体となるかを理解することが重要である。司法的には、 EU 加盟国内で EU 個人データを処理する企業(データ管理者)だけが EU データ保護指令 の対象である。EU 域外の企業は保護指令の対象外であり、それらの企業が EU データ保護 指令を順守するかどうかは自由意志となる。しかし、EU の顧客とビジネスを行いたい米 国企業は、十分な保護を提供できるとデータ管理者に示すために何か対応を行わなくては ならない。Safe Harbor フレームワークはこの点(十分なデータ保護を提供できることを示 すこと)に対処しており、企業にとって Safe Harbor は良いオプションになり得る。 Safe Harbor フレームワークの他にも、データを集める際に本人の同意を取ること、モデ ル契約を結ぶことの二つの重要なオプションがある。しかし、モデル契約はクラウド事業 者には好まれない。かなり厳栺な制度であるとともに、EU 構成国の司法機関による制限、 監督が誯されるためである。 ( II ) Safe Harbor 登録企業の増減の傾向とその理由 当初、Safe Harbor は EU に子会社や支店を持ち、米国から合法的にデータにアクセス して、処理をするグローバル企業を主に対象としていた。次第に、インターネットの時代 になり、Safe Harbor フレームワークは EU の顧客と仕事をしたいと考える多くのクラウ ド事業者を引きつけていった。 そのため、利用傾向としては増加しているといえる。特に、技術的サービス提供者の利 用が増えている。データホスティング事業者は特に、Safe Harbor 認証を受けるよう EU 顧客から圧力を強められている。 ( III ) EU から利用される企業の特徴 Safe Harbor と TRUSTe のような認証は、単なるコンプライアンス以上の存在になって - 45 - いる。多くの企業にとって、これらはマーケティングツールとなっており、クラウド提供 者にとっては、顧客からの信用を増すための手段となっている。 EU 側の視点からすると、多くのインターネット企業、セキュリティ企業が米国に本拠 を置いていることもあり、米国企業は最高のセキュリティを提供しているように感じてい る。その意味で、Safe Harbor と TRUSTe の取得は、EU 顧客がアウトソース先を選定す る際の大きな信用を提供している。 企業によっては、Safe Harbor と TRUSTe の認証への要求はマーケティング部門から来 ている。彼らは新しいビジネスを始めるためにはこうした認証が必要であると感じてい る。 ( IV ) Safe Harbor/TRUSTe について 自社の経験として、Safe Harbor は、企業の立ち上げ時、EU 顧客とよりオーソドックス な形でビジネスを行いたいと考える企業が必要とする傾向にある。作業負担の観点からい うと、ISMS や HIPPA 等の認証を取得していれば、Safe Harbor への準拠は、かなり低コ ストである。順守していると宣言さえすれば良いと勘違いする企業もいるくらいである。 Safe Harbor の認証における主な作業項目は次のようになる。 公に Safe Harbor Status を通知する 既存のセキュリティポリシーが Safe Harbor を順守していることを確認する データを取得する際に、対象となる個人に対しデータが取得されることを通知する 自分自身のデータを見たがる個人に対してアクセスする権利を付不する データを処理する予定の外部ベンダーにも Safe Harbor の認証を取得させる 自社の経験では、ISMS や HIPPA 等の認証を取得していない場合には、Safe Harbor に 準拠する作業は半年から一年半の期間を要する。この作業のため及び以降のプライバシー 保護活動のために、Chief Privacy Officer (CPO) を設置する企業もある。 大企業においては、あえて Safe Harbor 認証を行わないこともある。既に TRUSTe や SAS TypeII などのセキュリティ関係の認証を持っていて十分にマーケティングの力を持つ 大企業は、Safe Harbor を取得せずとも十分な信用を得られていると考える。 ③. TRUSTe TRUSTe の President and Executive Chair の Fran Maier 氏にヒアリングを実施した。 同社は、Safe Harbor の認証プログラムを保有するなど、第三者認証機関として広く認知 されている。 - 46 - ( I ) EU 域内からの個人データ移送に関する状況 TRUSTe のプライバシーシールは 1997 年に開始されている。Safe Harbor フレームワ ークが登場する前のことである(セーフハーバー原則の策定は 1999 年)。2000 年に TRUSTe は EU Safe Harbor 認証プログラムを始めた。実態として Safe Harbor は全くと 言っていいほど機能していない。EU から見ると規制が緩すぎ、米国の企業も参加したがら ない。実際、アメリカには 2,000 社しか Safe Harbor 認証を受けた会社は存在しない。そ のうち 500 は TRUSTe の顧客でもある。 企業に勧めているセキュリティ対策は、TRUSTe が提供するセキュリティガイドライン に記載されている。ガイドラインは ISO27001、PCI-DSS、GLBA、 HIPAA などの規制 の要求事項を集約したものである。 ( II ) TRUSTe 登録企業の増減の傾向とその理由 TRUSTe シールをあえて取得しない企業もある。取得のために必要となる、TRUSTe の 推奨するセキュリティ対策等、必要となる変更を実施したくないためである(自分たちの 実施するセキュリティ対策で十分であり、基準に準拠するための追加対策を丌要と考える ため)。こうした企業は中小企業であることが多く、TRUSTe では中小企業向けにプライ バシーポリシー策定支援も行っている48。 ( III ) EU から利用される企業の特徴 TRUSTe により Safe Harbor 認証を受けたクラウド企業はマーケティング面の利点を感 じている。EU の顧客に対してコンプライアンスに従う姿勢を見せることが重要と感じて いるためである。 TRUSTe の認証を取り、Safe Harbor の登録をしていない企業もいる。その理由は、弁 護士からのアドバイスにより、規制や調停に係るリスクを冒すに値するメリットが無いと 言われているためである (Safe Harbor 登録を行うと SafeHarbor 原則に違反した際に FTC から制裁が誯される)。 ( IV ) クラウドとの関係について 新しく、Trusted Cloud 認証シールを作ろうとしている。クラウド事業者の提供するプ ラットフォームが場所にかかわらず安全であることを認証するものである。 48 http://www.truste.com/privacy_seals_and_services/small_medium_business_privacy/index.h tml - 47 - ④. Global Relay カナダのメッセージアーカイブサービスを SaaS 形式で提供する Global Relay 社の President & General Counsel の Shannon Rogers 氏にヒアリングを行った。 ( I ) EU 域内からの個人データ移送に関する状況 Global Relay はメッセージ(電子メール)の安全なアーカイブを SaaS サービスとして 提供するカナダのクラウドサービス企業である。カナダの企業なので、米国企業に誯せら れた Patriot Act(愛国者法、捜査当局によるテロ活動の疑いのある場合の盗聴活動を認め ている)などによる盗聴を避けることができることから、米国企業に人気を博している (14,000 社に及ぶ顧客の 85%は米国企業)。さらに、カナダの Privacy Act は EU から十 分性を認められているので、Safe Harbor のような手続きを踏む必要もない(カナダは第三 国として保護の十分性を認められている)。その代わりに、カナダのプライバシー規制を 充足する作業が発生する(しかし、多くの EU の顧客は、EU データ保護指令に規定われる モデル契約にサインすることを依頼してくるため、多くの EU 顧客とのモデル契約を締結 しているとのこと)。 メッセージアーカイブサービスを提供していることから、EU からのデータ移送の多くは 電子メールであるが、一部はインスタントメッセージの場合もある。同社のサービスを利 用する顧客企業の数は増加傾向にあり、多くの企業がクラウドを利用してメッセージをア ーカイブしている。Twitter や Facebook からのメッセージのアーカイブに企業は興味を持 っているようである。 EU の顧客とのやりとりで、同社のサービス利用における遅延(SaaS サービス操作に対 するレスポンスの悪化)を抑制するために、EU 域内にデータを置くことはできないかとい う問い合わせを受けることがある。しかし EU 各国のプライバシー規制は統一がとれてお らず、EU 域内のどこかの国にデータセンターをおいて、多くの国にサービスを提供するこ とは容易ではないことから、現状は対応していない ( II ) EU とのデータ移送についての特別なセキュリティ対策 多くのクラウド企業は、顧客のデータに強力な暗号化を施していると宣伝を行っている が、実際に行っている暗号化の状況を明確にしている企業ばかりではない。Global Relay は第三者監査法人によるセキュリティ監査を受けており、監査結果をすべての潜在的な顧 客に提供している。セキュリティ標準にも注目しており ISO 27000 シリーズなどを参照し ている。 ( III ) EU データ保護指令への意見 個人的な見解だが、EU データ保護指令の書きぶりは拙く、多くの企業にとって理解しづ - 48 - らいものである。Global Relay ではサービス規約に EU データ保護指令のコンセプトをほ ぼ内包しており、Global Relay との顧客とのサービス契約において、十分な保護を提供で きると考えており、EU 企業の求めてくる(追加となる)モデル契約条項への準拠も実際に は冗長な作業と考えている。 ⑤. カリフォルニア大学法律学部ポール・シュワルツ教授 カリフォルニア大学法律学部教授及びバークレー法科大学院教授等を務める、ポール・ シュワルツ教授49に、米国のセーフハーバー原則適用状況についてヒアリングを行った。 ( I ) EU 域内からの個人データ移送に関する状況 EU 構成国と EU 域外の第三国とのデータ移送に問題があり、Safe Harbor、モデル契約、 BCR が作られた。BCR は理論的には良かったが、そのプロセスが非常に煩雑である。例 えば、個人データ移送に関係する EU 構成各国に書類を提出する必要がある(提出の必要 が無い国もある)。この申請処理に多大な事務処理コストがかかることから、結果として、 非常に限定されたグローバル企業しか取得していない。 ( II ) Safe Harbor 登録企業の増減の傾向とその理由 Safe Harbor は開始から 10 年程度たっているが、self-certification(自己認証)をしてい る企業の数は、比較的尐ないままである。主な理由としては、各企業とも目立ちたくない ためである。登録をせずとも EU の企業とはビジネスをすることができる。データ保護に 対して十分な対策を講じていると示し、データを EU 域内に置くことにすれば、Safe Harbor 認証を実施する必要がないためである。 事例としては、米国とカナダの 6 つの主要多国籍企業のグローバルなデータの流れを調 べたレポートに詳しい50。 ( III ) Safe Harobor 取得企業の実態 EU の政府当局からすれば、Safe Harbor は実効性がないと見られている。Safe Harbor の監督機関である FTC は Safe Harbor 登録企業のプライバシー保護に問題がある場合でも 指摘していないためである。 Safe Harbor に登録している企業は、元々、業界の規制などにより、コンプライアンスを 満たせていた企業である。Safe Harbor よりも厳しい規制に対応してきた企業にとって、 Professor Paul Schwartz、 Professor of Law at the University of California、 Berkeley School of Law and a Director of the Berkeley Center for Law & Technology 50 このレポートは The Privacy Projects という非営利団体により作成されており、Paul Schwartz 教授が監修をしている。同団体は、TRUSTe の民営化を受けて 2008 年に設立され た。 49 - 49 - Safe Harbor 認証は緩やかな規制に対応することになり、対応コストは僅かものであり、単 にマーケティングのために取得するだけのツールに過ぎない。 ( IV ) TRUSTe について TRUSTe は企業に対して独立的立場から監査を行うという点で良い。しかし、問題とし ては、監査をする際に標準的な基準を持ち得ていないということである。例えば、会計監 査では、GAAP(Generally accepted accounting principles)という会計原則基準があるが、 TRUSTe は、GAAP のような標準として確立した評価基準をプライバシーとセキュリティ の領域では持っていない。 4.3.2. EU 事例 EU データ保護指令における例外措置の要件であるセキュリティ対策レベルの実態につ いて、英 ICO(情報コミッショナーオフィス)事務局のデビッド・スミス氏、永世中立国 のため EU 構成国ではないが、 非常に高いプライバシー保護レベルにあるスイスにおいて、 個人データ保護、プライバシー保護を専門とするチューリッヒ大学ロルフ・ウィーバー教 授に、EU データ保護指令の現状についてヒアリングを実施した。 加えて欧州の研究開発助成プログラムである FP7 において研究が行われたプライバシー 保護技術から、PrimeLife プロジェクト、TCoulds プロジェクトの研究メンバーに研究の状 況についてヒアリングを行った。 ①. 英国情報コミッショナーオフィス 英国情報コミッショナーオフィス(ICO51 )のコミッショナー代理のデビッド・スミス (David Smith)氏にヒアリングを行った。スミス氏は、BCR や EU データ保護指令の改 定に深くかかわっており、EU データ保護指令の実施状況について詳しい。 ( I ) EU データ保護指定の「十分なセキュリティ対策」とは EU データ保護指令の 25 条第 2 項に示される「十分なセキュリティ対策(adequate security measures)」及び 26 条第 2 項に書かれた「十分なセーフガード(adequate safe-guards)」の「十分性」の検証とは、具体的な技術的な要件、対策状況を確認すると いうことではなく、個人データを保護するための体制が確立されていること、個人データ の所有者である個人に対する説明責任を果たすことができる状況にあることを重視してい る。実際のセキュリティ対策については ISO 27001 をベースとしていることが多いと思わ れる。 51 Data Protection and Freedom of Information Advice – ICO - 50 - ( II ) BCR における「十分なセーフガード」とは BCR に規定される「十分なセーフガード」を満たすために英国企業が実施している対応 についても、個人データの管理体制、説明責任を果たすことの体制が確立されていること を重視していることは同様である。BCR は良い仕組みであるが、事務手続きが煩雑であり 過ぎたことから、事務手続きのコストを軽減して、BCR 認定を取得しやすくするために調 整を進めている最中である。 ( III ) EU データ保護指令におけるクラウドコンピューティングの議論の状況 2010 年から EU データ保護指令の改正プロセスが開始され、新しい IT 技術への対応を 行うとされているが、クラウドコンピューティングへの対応をどうするのかについては、 十分な議論が行われているという段階ではない。 ②. スイスチューリッヒ大学法学部教授 スイスのチューリッヒ大学法学部教授にヒアリングを行った。 ( I ) スイスにおける EU 域内からの個人データ移送に関する状況 スイスは EU データ保護指令が要求するデータ保護の十分性を満たしているため、数 え切れないほどのデータが EU 各国とやりとりされている(第三国として保護の十分性が 認められている)。 ( II ) スイスにおけるデータ保護技術の開発などに関する状況 スイスの連邦データ保護法(Swiss Federal Act of Data Protection)の 7 条と 10a 条に 「すべての個人データは十分な技術的・組織的対策により保護されなくてはならない」と 規定されている。データ保護法の 8~12 条と 20~23 条に個人データ保護に係る義務が明示 されている。特定の技術的対策について法令中には記載されていないものの一定の目標は 設定されており、連邦データ保護、情報コミッショナー(Federal Data Protection and Information Commissioner52)から技術的な対策についてガイドラインが発行されている。 このガイドラインは法的な拘束力を持つものではないが、具体的な技術対策として、パス ワードやスマートカードの利用によるアクセスの制限、データの暗号化、アンチウィル ス・ソフトウェアやファイアウォールの配備、リモートアクセスの制限といった項目が挙 げられている。 ( III ) クラウドコンピューティングとデータ保護に関して議論される内容について 今のところ、スイスにおいてクラウドコンピューティングに関する議論はあまり進んで 52 http://www.edoeb.admin.ch/index.html?lang=en - 51 - おらず、クラウドコンピューティングの定義も広く受け入れられたものがない。 クラウドコンピューティングにおける主な議題の一つには、サーバの所在を特定できな いということがある。スイスでも EU データ保護指令と同じように、十分なデータ保護が 提供されていない国へのデータ移送を法律で禁止している。クラウドコンピューティング について、連邦データ保護・情報コミッショナーは、クラウドコンピューティング利用に おけるデータ移送に関するリスクを分析した結果、個人データ保護に関して一定のリスク があると分析しており、連邦データ保護・情報コミッショナーは、クラウド利用において 暗号化ソフトウェアの利用を強く推奨している。 ( IV ) スイスにおける日本の個人データ保護レベルの評価 連邦データ保護・情報コミッショナーから第三国における現行のデータ保護法のサーベ イが策定されている53。コミッショナーの意見としては、日本の個人データ保護レベル(制 度整備の意味)は、スイスの法令整備状況と同等とは見なされていない。そのため、スイ スから日本へのデータ移送を行う場合、スイスのデータ提供元と日本のデータ受信元の間 で特定の契約が必要となり、その中で日本の受信元がスイスのデータ保護標準に従うこと となる。 PrimeLife Project (FP7) ③. EU の第 7 次フレームワークプログラム(FP7)で実施されている「PrimeLife」プロジ ェクトのメンバーにヒアリングを実施した。 ( I ) EU データ保護指令との関係 PrimeLife54は EU データ保護指令対応に注力しており、以下に示す PrimeLife の 3 つの パートナー組織は、技術だけではなく法的対応についても研究を進めている。 Unabhaengiges Landeszentrum fuer Datenschutz (ULD; Independent Centre for Privacy Protection)(ドイツ) Tilburg University(オランダ) Katholieke Universiteit Leuven、 (ベルギー) 法的対応に関する作業は、法令からの要求分析である。例えば、ソーシャルネットワー ク対応、個人の生涯にわたるプライバシー保護の提供、個人データアクセス権限の委譲、 必要な政策の分析などがある。また、PrimeLife が構築したプロトタイプの評価も含まれ る。 53 54 http://www.edoeb.admin.ch/themen/00794/00827/index.html?lang=en http://www.primelife.eu/about/consortium - 52 - EU データ保護指令は、PrimeLife の作業方針を決める上で、もっとも重要な文書の一つ である。PrimeLife はプライバシー保護レベルを高める技術に特化しているが、提供され る保護レベルの水準として「十分と見なせる下限(最低限満たすべき基準の意味)」につ いて検討するだけでなく、プライバシー保護レベルを高める最新技術研究にも注力してい る。EU データ保護指令は 1990 年代の IT 技術を対象としたものであり、PrimeLife として は進化を続ける IT 技術を対象としたプライバシー保護レベル、対応技術を検討している。 ( II ) PrimeLife プロジェクトの成果の実用化の展望 PrimeLife のパートナーが実用化を検討している技術がいくつかある。その一つには、 Identity Mixer 技術があり、これは ABC4TRUST55プロジェクトの成果を引き継いだもの である(ABC4TRUST はプライバシー保護のため属性情報をベースとした認証情報(クレ デンシャル)の信頼性を高める研究)。ABC4TRUST では実世界の適用事例として Identity Mixer や関連技術を試験的に適用した。プライバシーを高めるアクセス制御およびデータ 処理のためのポリシー言語も中長期的に実用化されうる候補である。 ④. TClouds Project (FP7) PrimeLife と同様に、FP7 で実施されている「TClouds56」プロジェクトメンバーにヒア リングを行なった(TClouds とは Trustworthy Cloud、信頼できるクラウドの意味)。 ( I ) EU データ保護指令との関係 TClouds は EC のファンドで始められた研究プロジェクトである。目的は、EU データ保 護指令に準じたクラウドコンピューティングのインフラを開発すること、及び IT セキュリ ティの標準を開発提供することである。EU データ保護指令の分析も実施している。保護 指令が改定される場合には、ただちに対応する予定である。現在は、プロジェクトが開始 されたばかりであり EU データ保護指令の改訂に対応した具体的な意見などは形成できて いない。しかし TClouds ではクラウドと個人データ保護に関連する重大なギャップについ て特定している途中でありプロジェクトの中で双方のギャップを埋める方策を検討してい く。 ( I ) 越境データ移送とクラウドについて EU 加盟国以外へのデータ移送がクラウドコンピューティングでは問題になる。第三国 に個人データが転送された場合、EU データ保護指令の対象なので、保護レベルの十分性 を提供することが求められる。 利用しようとするクラウドコンピューティングにおいて、第三国に個人データが移送さ 55 56 http://abc4trust.de/ http://www.tclouds-project.eu/ - 53 - れることが前もって判明しているであれば、モデル契約と BCR を使えば良いだろう。本プ ロジェクトの別の研究対象として、こうした EU 内外のデータフローの契約の基本が含ま れる。アーキテクチャレベルで、プライバシーバイデザインの概念を活用して必要なプラ イバシーやセキュリティ要求を実装できるかどうかの研究も行う計画である。 - 54 - 5. 国内企業の例外措置利用状況 EU 指令第 26 条第 2 項において「契約(contract)」という文言が表れている。第三国 におけるデータ利用者が、個人のプライバシー並びに基本的な権利並びに自由の保護、及 びこれらに相当する権利の行使に関して、「十分な保護措置(adequate safeguards)」を 示す場合、データ管理者及び第三国におけるデータ利用者の間に契約を締結することによ り、EU 域外へのデータ移送は認められる。 このような許諾を明示するための契約条項とはどのようなものかについての標準形式 (標準契約条項)を具体化したものが「モデル契約57」である。モデル契約では、定められ た標準形式に従った契約書を策定し、第三国へのデータ移送を伴うデータ処理に関する契 約を締結することになる。書式が指定されているため一つの契約に要する事務的なコスト は比較的尐ないものであり、EU 域内企業との個人データ移送が必要な案件が数件程度であ れば、標準契約条項を利用してモデル契約を結ぶことが合理的な選択といえる(セキュリ ティ対策の検証コスト、追加対応コストは除く)。ただし、すでにモデル契約を締結して いる企業同士であっても、個人データ移送が伴う案件が追加されるたびに、新たな契約を 締結することになる。 モデル契約に加え、第三国への EU 域外への個人データ転送が認められるための方法と して「拘束的企業準則(BCR)」が定められている。こちらは当事者間における契約とは 違い、企業グループの体制、ルールを整備して、企業グループ内での包拢的な個人データ 転送について EU 域内の個人データ保護機関から承認を受けるというものである。モデル 契約と異なり、拘束的企業準則は個人データ保護に関する内部統制の状況を承認するもの であることから、新たな個人データ移送が伴う案件が追加されても、改めて拘束的企業準 則の承認申請を行う必要はない。 拘束的企業準則については、内部統制システムの構築、確立を行い、内部統制として個 人データ保護を行っていることの承認が必要なため、申請文書作成コストを含めた承認取 得コストが高いものになる。このため、拘束的企業準則の適用例はモデル契約に比べて尐 ないものとなっている。 5.1. 国内企業事例 わが国は、第三国として、EU 個人データ保護レベルの十分性を確保していることが認め られていないので、EU 個人データを国内に移動するためには、モデル契約を締結する、あ るいは拘束的企業準則の承認を受ける必要がある。 国内企業が拘束的企業準則の承認を受けた事例は一般には知られておらず、例外措置と 57 http://ec.EUropa.EU/justice/policies/privacy/modelcontracts/index_en.htm - 55 - してはモデル契約の利用が主体であると考えられる。2010 年に株式会社レキサスがテュフ ラインランドジャパン株式会社から取得した「EU 個人データ保護認証サービス」の国内認 証は、個人データ保護の移送に際し、モデル契約締結に要求される保護対策を満たしてい ることを、第三者として客観的に評価し、認証を不えるものである。個人データ移送を開 始する際の保護レベル検証コストを下げることで、EU 企業における国内企業が提供する個 人データに関わるサービスの採用を促進する効果が期待される。この「EU 個人データ保護 認証サービス」を提供するテュフラインランドジャパン株式会社、認証を取得した株式会 社レキサス、レキサス社にセキュリティ技術を提供する GFI(グローバル・フレンドシッ プ株式会社)にヒアリングを行った。 また、国内企業のモデル契約適用事例として、企業グループ全体でモデル契約を締結し た国内企業事例、EU データ保護指令対応を含めたクラウドセキュリティ技術の適用、研究 状況について国内サービスプロバイダにヒアリングを行った。 5.1.1. EU データ保護指令対応サービス事例 2010 年 10 月、テュフラインランドジャパン株式会社の提供する、EU 加盟国から EU 域 外の第三国への個人データの移送と処理における「技術的及び組織的保護措置」の実装の 評価に関する「EU 個人データ保護認証サービス」の国内認証第一号を株式会社レキサスが 取得した。認証適用サービスには、図 5-1 に示すように、認証対象となるレキサス社のサ ービスには、グローバル・フレンドシップ株式会社が提供する「GFI 電子割符®」が採用さ れている。 - 56 - EU 3rd country (Japan) EU Data Protection Directive (Directive 95/46/EC) →ドイツ・連邦データ保護法(BDSG) →・・・ グローバル・フレンド ⇒SCC(standard contractual clauses) シップ株式会社 レキサス 株式会社 Personal Data 技術提供 Personal Data Personal Data Data Subject Data Controller (Data Exporter) 割符化 Data Processor (Data Importer) Data Subprocessor EU個人データ保護認証サービス Data Processor 認証機関 テュフラインランドジャパン株式会社 図 5-1 「EU 個人データ保護認証サービス」認証事例における三社の関係 EU データ保護指令上の例外措置の一つであるモデル契約では、管理移転型モデル契約、 処理者移転型モデル契約の二種類の形態が示されている(詳しくは 4.2.2 を参照)。 個人データ送信者、データ受信者の双方において、第三国のデータ受信者の義務として、 組織的および技術的な保護対策(Technical and organisational security measures)を採 るよう定められている。また、処理者移転型モデル契約では、EU 域内の個人データ発信 者の義務として、個人データ受信者が採る組織的および技術的な保護対策を保証するとい う項目を追加している。そのため、個人データ受信者だけでなく個人データ発信者も、個 人データ受信者が採る組織的および技術的な保護対策について明確に責任を持ち、データ 発信者はデータ受信者およびその再委託者(Data sub processor)まで適切な措置を実装し ていることを確認し保証する必要があるとされている。 そこで、テュフラインランドジャパン株式会社は、その技術的及び組織的保護対策の実 装に関して、データ受信者となる組織が、EU データ保護指令及び EU 加盟国の国内法、そ してモデル契約における適用要求事項を満たしうる保護対策を有しているか否かを、第三 者として客観的に評価し、認証を行うサービスである「EU 個人データ保護認証サービス」 - 57 - を提供している。 EU 域内からのデータ移送を行うためにモデル契約を締結する際には、その認証の報告 書を一つの参考資料として提示することで、データ発信者の確認の負担を軽減し、円滑に モデル契約を結ぶことが可能になると考えられるため、EU 域内の潜在的なデータ発信者に 対しても第三者からの認証を受けていることは有効なアピールになる。また、この認証を 受けることは、個人データの保護水準に関して市場に対する有効なアピールとなり、デー タ処理事業者としての競争力及び信頼性を高めることができる。 EU 個人データ保護認証サービスでは、2010 年 10 月に株式会社レキサスが提供する、秘 密分散技術を活用した「データの安全な通信並びに保管サービス」に対して、日本におけ る第一号の認証を不えている。レキサス社はデータ受信者に当たり、この事例では EU デ ータ指令、ドイツ・連邦データ保護法(BDSG)、モデル契約の 3 つの基準を満たしたとい うことを保証している。 ①. テュフラインランドジャパン株式会社 ドイツを本拠地とする第三者検査機関であるテュフラインランドグループの日本法人に、 「EU 個人データ保護認証サービス」の概要と、第一号認定事例についてヒアリングを行っ た。 ( I ) 「EU 個人データ保護認証サービス」の概要 「EU 個人データ保護認証サービス」は、EU から個人データを移送できるという許可を 意味するものではなく、レキサス社の場合では EU データ保護指令、ドイツ・連邦データ 保護法(BDSG)、標準契約条項の 3 つの基準を満たしていることを保証する認証サービス である。レキサス社に対してはドイツの国内法を対象にしたが、ドイツ以外の EU 構成国 を対象とする場合でも認証サービスとして対応可能である。ただし、対応コストとの兼ね 合いから、当該国の法律の訳が特定の言語(英語、ドイツ語等)で存在すること等の制限 が適用される。 ( II ) EU 個人データ保護認証サービス事例 EU 域外へのデータ移送においては、データ発信者(EU 域内のデータ管理者)に責任が あり、保護レベルの確認、保証を行う必要がある。ある EU 企業において、ベトナムに設 置された子会社に個人データを移送するため、モデル契約で求められるデータ保護の水準 を満たしていることを確認してもらいたいという要求があり、当該ベトナム子会社につい て監査に行くという事例があった(この事例では EU からの個人データの移送を開始して いる)。 この事例は、EU の親企業とベトナムの子会社間の個人データ移送が当面の事業であり、 - 58 - 当事者間のモデル契約を締結するためには、現状の保護レベルの確認で十分であり、EU 個 人データ保護認証を取得する必要性はないものだが、このベトナムの子会社が、同様の個 人データ移送を EU 域内の他グループ企業からも受け入れる際に、再度、データ保護の水 準について、EU 域内のグループ企業が監査あるいは外部機関に監査を依頼せずとも、EU 個人データ保護認証取得時の書類を確認、モデル契約書に添付することで、監査の代替と みなすことができるという見通しのもとに、EU 個人データ保護認証を取得したのではと考 えられる。 ( III ) EU 個人データ保護認証サービスで求められる技術水準について EU データ保護指令、ドイツ・連邦データ保護法(BDSG)、標準契約条項においては、 具体的な技術の基準は一切記載されておらず、EU 個人データ保護認証サービスにおける 認証の際にも絶対的な基準、例えば暗号化に用いるアルゴリズムの制限、暗号鍵長の制限 については設けていない。 具体的に基準を設けても、セキュリティ技術、セキュリティを攻撃する技術は、次々に 考え出されていることから、定めた基準の適切性評価を認証審査の度にやり直さねばなら ず、基準を具体化、固定化については慎重な検討が必要であると考え、一定の基準とのギ ャップを評価するベースラインアプローチではなく、扱う個人データの性質、個人データ 処理の性質に基づいて、データ移送に際して発生するリスクを洗い出し、その大きさを評 価するリスクベースアプローチでの審査としている。このため、EU 個人データ保護認証は、 認証を不えた時点でのリスクを元にした認証であり、一度認証を取得したからといって、 持続的に安全性を保証するものではない。 また、個人データ保護の認証審査のために、汎用的な基準を設けるとなると、特に医療 情報関係の様々な法律、制度も盛り込んだ基準をつくることになり、その作成コスト、検 証コストが高くなることも、、案件ごとに対応するというリスクベースアプローチを取り 入れた理由である。 技術的措置の適切性の判断には、認証審査の経験や、PCI-DSS、ISMS のような既存の 業界のベストプラクティスを利用している。特に、PCI-DSS は技術要件が具体的かつ明確 であり、今回もファイアウォールの設定条件には PCI-DSS の基準を使った。データ保護、 暗号化について、レキサス社の事例では電子割符が使われており、認証審査においてプラ ス評価の対象となった。一方、組織的保護措置の基準については明確で、例えば、ドイツ・ 連邦データ保護法では、保存期間の設定、問い合わせ窓口の設置などが要求されている。 ②. 株式会社レキサス 「EU 個人データ保護認証」を取得したレキサス社に対し、データ保護サービスの概要に ついてヒアリングを行った。 - 59 - ( I ) EU 個人データ保護認証サービスによる認証取得の背景 沖縄県うるま市に拠点をおくレキサス社は、沖縄県宜野座にデータセンターを所有して おり、以前よりデータセンターのセキュリティや個人情報保護に関心を持っていた。日本 は、EU データ保護指令の第三国として保護の十分性の認定を受けていないが、マン島58な ど個人データ保護指令の第三国例外措置として十分な保護レベルにあると認められている 島国と同様のことが、沖縄でできないかと考えた。EU データ保護指令で求められる保護 水準を満たしているという認証を受ける緊急性があったわけではないが、高いセキュリテ ィレベルでの個人情報保護サービスについて、市場ニーズが今後発生するという認識で取 得した。 電子割符については、同じ時期にコンタクトをとる機会があった次世代電子商取引推進 協議会(ECOM)から、 秘密分散技術に関わるガイドラインが公開されており、割符化さ れた個人情報は個人情報ではないという見解を読んで、日本でも同様のサービスができる 可能性があると考えた。 サービス対象としてドイツを選択した理由については、ドイツが法的に最もしっかりし ているという認識があったことと、日本企業とも比較的関連が深い企業がドイツには多い ことである。日本の個人情報保護制度より、EU データ保護指令の要求のほうが厳栺であ るという認識を持っており、国内の規制が、今後さらに厳しくなった場合にも対応でき る。 ( II ) EU 個人データ保護認証サービスによる認証取得のコスト、メリット 認証取得に際しての苦労は、ドイツの国内法や EU データ保護指令、その他ヨーロッパ をはじめとする個人情報保護制度に関する資料の日本語訳が尐なかったことである。認証 取得期間については、予備審査から 2 ヶ月くらいを要した。認証取得を企画してからでは 半年くらいかかっている。 プレスリリースの反響については、一定数あり、秘密分散技術に興味を持った会社の問 い合わせもあった。 ( III ) 認証取得のために講じた措置 データ保護に関するセキュリティ技術の選択については、暗号化と秘密分散技術を検討 したが、ECOM による秘密分散技術に関わるガイドライン等も参照して、最終的に電子割 符を選択した。EU データ保護指令対応において、データの種類によって要求水準が異な るが、今回はセンシティブ・データを対象とした最も高い水準が要求される認証を取得し た。 58 マン島は自治権を持つ英国王室属領 - 60 - 秘密分散技術のメリットとしては、暗号における鍵の管理の煩雑さや管理負担が減るこ とや、保管情報が元データの断片であるためホストのセキュリティに求められる基準が高 くならず管理負担がこれ以上増えないことが挙げられる。 組織的対策については、ISMS 取得時に行った対策に加えて、提供サービスについての 組織的措置(データ保護管理者の設置等)を新たに行った。標準契約条項やドイツ・連邦 データ保護法(BDSG)に対応する事項等に対して新規措置を講じた。 提供するサービスは、標準契約条項における Sub processor に該当するデータ処理者で ある。標準契約条項およびドイツ連邦データ保護法等に基づき、レキサスにおける技術的 及び組織的管理措置の契約雛形等整備を行った。 ( IV ) 個人データの移送に関するソリューションについて 今後は、秘密分散技術を利用したデータ保管サービスを予定している。クライアント版 とサーバ版を用意している。クライアント版では、クライアントアプリケーションをイン ストールしてもらい、そこでデータ分割を行う。EU 圏内のデータ第三国に移送する場合、 移送経路のセキュリティが問題となるが、割符化して移送することで対応する。また、割 符化されたデータをばらばらに送付することで移送時のセキュリティも確保できる。 ③. GFI(グローバル・フレンドシップ株式会社) 秘密分散技術を用いた電子割符ソリューションを提供する情報セキュリティ企業である グローバル・フレンドシップ株式会社にヒアリングを行った。 ( I ) 電子割符ソリューションについて 一般の暗号化は、暗号化してもビット長(データの長さ)が変わらないため、原理的に はビット(データ細分化の最小単位)を並べ替えれば復号が可能であり、暗号技術に詳し くない人が見ると、時間をかければ元に戻ることができると考えられてしまう点が問題で ある。暗号技術において数学的に安全であることは重要だが、利用者が安心できるかどう か、見せ方に配慮されていない。 一般的な秘密分散法は、分割前のデータと分割後の各データサイズが等しいため、全体 としては N 倍(N 分割の場合)になってしまう。マルチメディアデータ、文書データ等、 データサイズは大きくなる一方なので、今後のことを考えると、このような方式は好まし くない。電子割符では、分割後の各データサイズは 1/N であるため、全体としてのデータ 量が増加しない特徴がある。 電子割符の特徴には、分割しているため割符から原本は復元できないこと、ある程度の 周期長のある乱数であれば良く擬似乱数で問題ないこと、原理的な安全性があること、処 - 61 - 理が軽い等がある。 一般の社会で求められている安全と、企業内の IT で求められている安全が乖離している と感じている。IT では理学系の数学的な部分に固執している部分が多い。重要なことは運 用であり、一般人にもわかりやすい形の安全を提供する必要がある。暗号化技術の代替手 段として、電子割符技術は相互補完的にあるべきではないかと考えている。サービスとし て、日本から発信していければ、と考えている。 5.1.2. 国内企業のモデル契約利用状況事例 国際的に拠点を持つグローバル企業に対し、EU 個人データ移送の状況と、モデル契約 事例についてヒアリングを行った。 ①. 国内グローバル企業による EU 現地法人からの個人データ移送事例 EU 各地に事業所を有し、グループ企業間でモデル契約を締結しているグローバル企業に 対し、個人データ移送事例についてヒアリングを行った。 多くの従業員、顧客情報、取引先情報をやり取りしている。具体的には、従業員のメー ルアドレス、所属部署等である。データ移送における例外措置の利用については、モデル 契約を用いて、EU 側の現地法人と契約を結ぶ形である。データの大半は日本に設置する 形をとっている。モデル契約は在欧関係会社と欧州域外の関係会社間で Multi-party Agreement を用いて、一つの契約書を用いて、在欧関係会社と欧州域外関係会社すべての 契約を集約して行っている。 モデル契約の SET II を用いて、コントローラ契約(管理者型契約)、プロセッサ契約(処 理者型契約)の両方を行っている。各個社をパーティに入れるべきかどうかの判断には難 しい面があった。契約に当たっては、全社ポリシーが契約に求めるコントローラの義務に 適合しているかどうかを確認したが、大きな漏れはなく、ポリシー、ルールの変更等は必 要なかった。 拘束的企業準則の適用についても検討は行ったが、コストと手間が大きいため、モデル 契約を利用した。モデル契約の申告が義務付けられている国、ドイツ、フランス、オラン ダ、ベルギー等に対してモデル契約の申告を行っている。その際、現地の当局より、セキ ュリティ技術について質問はなかった。 ②. 国内グローバル企業による個人データ移送事例 EU 域内に現地事務所を設置し、現地従業員の個人データを日本に移送しているグローバ ル企業にヒアリングを行った。この企業はモデル契約ではなく、個人との個別契約で EU データ保護指令に対処している。 - 62 - モデル契約、拘束的企業準則、ともに利用せず、欧州域内の数百名の現地採用職員との 個別契約で EU データ保護指令に対処している。グローバル共通の電子メールアカウント、 データアクセス基盤を構築しているが、利用に際して個人情報(氏名、所属部署等)をシ ステムに登録する必要があり、認証システムを日本に置いていることから、EU データ保 護指令の制約を受けることは承知している。そのため、システムの利用は強制ではなく、 個人が選択可能という形をとっており、利用登録の際に、個人の意思と了解のもとに個人 データを登録することを意識させるような画面構成としている。また、システムを利用で きないことが、個人の丌利益にならないよう配慮しており、現状では、この構成で十分と 考えている。 EU 域内の企業パートナー情報については日本では収集していない。以前、季節の挨拶 状を日本宛に送ってくるパートナーがいて、返事を出すために、パートナーの個人情報を システムに載せることの是非を検討したことがある。結果として、保護指令の適用対象と なる可能性があるため、現地事務所を通して、挨拶状を日本宛に送らないよう周知と理解 を図った。 日本においても個人情報保護法との兼ね合いから、できるだけ個人情報を持たないよう に配慮している。欧州域内の現地事務所であっても事情は同じで、個人情報を持ちたいと いうことはなく、日本に移送するリスクと必要性を勘案すれば、移送しない、収集しない という考えがある。 5.1.3. 国内クラウドサービスプロバイダの動向 国内のクラウドサービスプロバイダ三社に対し、自社におけるクラウドセキュリティ技 術の研究・活用状況、クラウドサービスを海外展開する上で鍵となるセキュリティ技術の 二点についてヒアリングを実施した。 ①. クラウドサービスプロバイダ A 社 主に IaaS を提供、顧客の要望に応じて SaaS 構築コンサルティング等、幅広くクラウド サービス事業を展開しているクラウドサービスプロバイダの事例である。 ( I ) 自社におけるクラウドセキュリティ技術の状況 既存顧客、引合い顧客、パートナーに対して、クラウドサービス導入に関するサーベイ をかけた結果として、大多数の企業は、まだクラウドサービスに興味を持っている段階で あり、導入検討に向けた行動をおこす段階に至っていない。ビジネスの観点からは、セキ ュリティ技術をセールスポイントとする段階ではなく、認知を広げる段階と考えている。 クラウドサービスには、特有のリスクがあることは承知しているが、クラウドサービスの プロモーション段階でリスク、セキュリティを話題にできないのが現状である。 - 63 - ( II ) クラウドサービスを海外展開する上で鍵となるセキュリティ技術 クラウドサービス上のデータ保護で問題となるのは、ユーザが直接契約しているクラウ ドサービスプロバイダに渡した個人データが、クラウドサービスプロバイダを越えてデー タが流通する状況(マッシュアップ等のデータ連携)において、どこまでユーザの制御が 効くのか明確ではないことにある。ユーザがクラウドサービス A にアカウント登録を行い、 必要がなくなったのでアカウントを抹消したとして、クラウドサービス A とデータ連携し ている他のクラウドサービス上に、ユーザのデータはどれくらい伝搬しているのか、全て を削除することができるのか。現在提供されているクラウドサービスではわからないもの がある。 クラウドサービスB 制御が届くのか? クラウドサービスAに渡した データを削除したい データ連携 クラウドサービスA ユーザ 図 5-2 クラウドサービス間連携におけるユーザ預託データの制御範囲 このように、連携していくクラウドサービス上のユーザデータ、個人データを制御する 技術が必要になっていくだろう。 もう一つは、データ暗号鍵の管理技術、クラウドに機密性が要求されるデータを預ける 場合、暗号化が必頇となる。預けておくだけの利用であれば、暗号鍵は預けるユーザが持 っていればいいが、何らかの処理を行わせたい場合には、暗号鍵をクラウドサービスプロ バイダに渡す必要がある。要求する処理のためだけに暗号鍵を使い、必要の無いことに使 わせない、複製させない、用が終われば消去するといった、データ暗号鍵管理技術が必要 である。 ( III ) EU データ保護指令の事例について EU 域内に事業所を持つ企業であっても、モデル契約を結ばずに、EU 市民の個人データ (従業員データ)を閲覧しているケースがあるようだ。個人データを保管するデータセン - 64 - ター、データサーバを EU 域内においていれば、第三国から閲覧しても、保護指令の第三 国移送に当たらないと考えている企業が多いのではないか。それは誤解で、閲覧であって もデータ処理(data processing)に当たるので、第三国移送とみなされる。日本企業が EU データ保護指令違反で摘発された事例は耳にしたことはないが、勘違いにもとづいた違反 となっているケースは多くあるのかもしれない。 ②. クラウドサービスプロバイダ B 社 日本でも有数のシステムインテグレータであり、IaaS から SaaS まで、幅広くクラウド サービス事業を展開しているクラウドサービスプロバイダの事例である。 ( I ) 自社におけるクラウドセキュリティ技術の状況 クラウドサービスは一種のブラックボックスと考えられているため、ユーザの丌安を解 消する方法としては、データをアウトソースする場合の機密性の確保を十分に行うことと、 ブラックブックの中を見えるようにする可視化の二つの方向性がある。前者については、 暗号化したまま計算処理できる暗号化システム(秘密計算)の研究を行っており、後者に ついては、ISO/IEC 27001 等に準拠するセキュリティ対策を行っているか、実行されてい るか、をシステマチックに確認できるようにする手法も検討している。 クラウドサービス連携において、クラウドサービスプロバイダ A との契約で預託したデ ータの削除が、連携先のクラウドサービスプロバイダ各社に伝搬しないという問題は、技 術というようりも、運用、契約で解決すべき問題ではないかと思う(確実な削除を保証す ることを契約で求める等)。データを暗号化し、利用の度にネットワーク経由で認証を行 った上で復号する製品を提供しており、削除せずとも、利用丌可の状態にすることは可能 である。利用の際にネットワーク経由でアクセス管理サーバと情報をやりとりすることで、 データの流通範囲をトレースする技術も提供している。範囲を限定しておき、範囲を逸脱 した際には利用丌可とすることで、漏洩したデータから発生する被害リスクを低減するこ とができる。 ( II ) クラウドサービスを海外展開する上で鍵となるセキュリティ技術 海外とビジネスを行う上で、制度の違いが障害となることが多い。EU 域内においても フランスは暗号製品の利用規制があり、自己解凍・復号型の暗号化データのやりとりが問 題となるケースがある。EU 域外だが、ロシアでは輸出入ともに暗号製品は規制されてい る。 データを海外諸国とやり取りするためには、このように、現地の法制度を十分に把握す る必要があるが、法制度の運用実態まで把握し、リスク管理を万全に行うコストを考える と、現地に事業所を設けてビジネスを行う選択とならざるを得ない。サポートのことを考 - 65 - えると、現地で現地従業員が対処する方が自然であり、実際、EU 域内での IT サービス提 供案件では、現地のデータセンターにサーバ類を設置し、日常運用は現地事業所で現地従 業員が行い、サービスの中核部分だけを日本から遠隔管理・監視という形態で行ってい る。 日本において、海外のクラウドにデータを置くことがリスクといわれているように、諸 外国でも同様に、自国内にデータを留めておきたいという傾向が強く、サービスは国境を 越えて提供する部分があるとしても、データ自体は、現地に置くという形態に落ち着くの ではないか。 データが今どこにあるのか、クラウド内でのロケーションをリアルタイムに把握する技 術は開発されているが、配備・運用コストを負担してまで、サービスを利用したいという 話にはならず、通常サービス品目としては提供されない。 クラウドサービスに応用可能なセキュリティ技術の研究は幅広く行っているが、セキュ リティ技術自体がビジネスとして成り立つことはなく、機密性、可用性を対象にした技術 や認証技術はなかなか企業に使ってもらえないのが現実で、こちらから提供するのではな く、顧客の要請で実装、配備することがもっぱらである。 ③. クラウドサービスプロバイダ C 社 クラウドサービスの再販、導入コンサルティング、セキュリティ製品等、幅広くセキュ リティビジネスを提供しているクラウドサービスプロバイダの事例である。 ( I ) 自社におけるクラウドセキュリティ技術の状況 クラウドに限定した話ではないが、情報漏洩対応としてのフォレンジック(Forensics) 技術の引合いが多くなっている。ドイツ企業が開発したフィレンジック製品を扱っている が、OS レベルで削除されたデータを復旧、特定データのアクセスを時系列で再現、とい った技術で、漏洩行為者を特定することができる。 ネットワークトラフィックを全て記録しておき、再現できるソリューションがある。ネ ットワークからの情報漏洩を懸念するのであれば有効であるが、クラウドとなるとトラフ ィックが膨大であることから、利用するのは難しいと思われる。 ( II ) クラウドサービスを海外展開する上で鍵となるセキュリティ技術 英国では個人情報漏洩にも保険が適用される。情報漏洩インシデントが起こると、まず フォレンジックを行ない、責任が自分に無いことを立証することが支払いの条件となって いる。大規模なクラウドサービスを対象として考えると、データ量、処理時間が問題とな り、現実的ではないが、フォレンジックのクラウド応用・分散データ処理適用は一つのテ - 66 - ーマとなりうる。高度なセキュリティを要求するセンシティブ・データ分野で可能性があ るだろう。 EU に対してビジネスを行うのであれば、データのミラーリングサービス、それも、通 常時はデータ管理者であってもアクセスが容易ではない(アクセスに際して申請が必要)、 ハードなセキュリティ対策を施したサービスが良いのではないか。 国際的に中国がビジネスターゲットとなっているが、中国は規制が多く、現地生産しか 許されないことが多い。しかし、設計情報を一社に渡してしまうと情報漏洩リスクがある ため、単独では製品価値のない部品に分割し、アセンブルする企業については、高度な情 報管理を要求するといった対策がとられている。同じことを電子データについて応用し、 このアセンブルする場所を日本に置くというモデルが考えられる。 - 67 - 6. クラウドコンピューティングにおける誯題 ここまでの調査を踏まえ、クラウドコンピューティングにおける個人データ移送の誯題・ 問題を整理する。 6.1. 第三国移送における例外措置 「第三国が適切なレベルの保護を提供している」ことの認定は、EU データ保護指令の第 31 条に規定され、欧州委員会が保護レベルの適切性の評価条件に基づき認定を行う。この 「第三国として適切なレベルの保護を提供している」ことを認められた国は、2011 年 1 月 末日時点で、10 カ国、地域となっており、これらの国においては、個人データ保護に関す る国内法制度に準拠していれば、EU 個人データの移動を認められる。これが一つ目の例 外措置である。 保護レベルの適切性を認められていない第三国に対しては、個人データの移送を行うこ とができる例外条件が定められている。一つは、データ主体の移転に対する明確な同意が あること、第三国の企業が EU 域内に設置されて事業所にて従業員を採用する際等に、第 三国への個人データに関する同意を得る行為などが相当する。加えて、データ管理者が提 示するプライバシー、基本的人権、自由の保護等に対する保証を適切な契約の条文(標準 契約条項)で規定することが示されている。この契約の条文を具体的に示したものとして、 モデル契約、拘束的企業準則(BCR)が定められている。これが二つ目の例外措置である。 わが国は「第三国として適切なレベルの保護を提供している」ことが認められていない ため、EU 個人データ移送の際には、モデル契約あるいは拘束的企業準則のいずれかの対 応を行う必要がある。 6.2. 個人データ保護に関わるクラウドコンピューティングの誯題 EU 域内のプライバシー保護関係機関においては、クラウドコンピューティングを利用 することに対して、一定の理解を示した上で、EU データ保護指令上の誯題を提示してい る。欧州データ保護監視官局(European Data Protection Supervisor)59、欧州委員会、 欧州 ネットワーク情報セキュリティ庁(ENISA)60等から提示されている誯題の中から重 要な誯題をまとめる。 6.2.1. 個人データの移動が継続的、連続的に発生する状況 「EU 個人データ保護の十分性を認められていない第三国」に対して個人データの移送を 行う場合には、個人データの移送先を特定し、移送元(EU 域内のデータ管理者)と移送先 EU におけるプライバシー保護とデータ保護を対象とした独立監督機関 EU 加盟国、諸機関を対象にネットワークセキュリティ、情報セキュリティに関する助言を提 供する機関 59 60 - 68 - においてモデル契約を締結し、モデル契約文書の提出が義務付けられている国においては、 当局への申請が必要である。クラウドコンピューティングにおいては、個人データの国境 を越えた移動が継続的、連続的に発生する状況がありうる。モデル契約は移送元と移送先 の二者間の契約を前提としたものであるため、クラウド環境が EU 構成国と第三国にまた がって構築されていると、移送元と移送先の組み合わせの全てに対してモデル契約を策 定・申請する必要があり、現実的な対処が難しい。 クラウドコンピューティング上で個人データを扱う際には、EU 域内のデータ管理者が 所属する国、個人データが移送されるクラウドコンピューティング施設が配置される国 (複数国)、クラウド事業者が所属する国、と、多くの国が関不することが想定される。 個人データ保護法、プライバシー保護法を持つのは EU 加盟国だけでなく、クラウドコン ピューティングの利用に関わる国のいずれの国の個人データ保護法が適用されるのかにつ いての基準が必要になる。 6.2.2. 個人データの移動範囲制限についての事前合意 クラウドサービスは急速に普及、成長しているため、クラウド事業者によっては、デー タセンターの増設を繰り返している。EU 域内企業とのクラウド利用締結時のデータセン ター所在国の構成が、EU データ保護指令に保護レベルの十分性が認められていない第三 国を含む構成に変更された場合、EU 域内企業は移送した個人データが追加された第三国 のデータセンターに配置されないよう、クラウド事業者に求める必要がある。このために は、データセンターの増設に際し、新たな国を加える際には、事前に顧客企業に通知する こと、顧客企業が拒否した場合の対応等について契約時点で合意する必要がある。 6.2.3. クラウド事業者の個人データ保護レベルの確認・監査 EU 域内のデータ管理者が第三国にデータ移送を行う際には、移送先の個人データ保護 レベルを確認し、丌十分と判断すれば追加の対策を実施させる必要がある。しかし、個人 データ保護レベルの状況を開示していない、個別顧客からの特定のセキュリティ対策要求 (特別なセキュリティ装置の導入、特殊な暗号アルゴリズムの採用、個別の監査実施等) を受け入れていないクラウド事業者が存在する。クラウドサービスの特徴の一つとして、 従来サービスよりも安価に提供されるというコストメリットがあり、セキュリティレベル の保証を行わないことが、安価な提供の条件と考えられていることがある。もちろん、セ キュリティ対策が丌十分ということではなく、多数の顧客からのニーズがなく、特定顧客 だけにメリットのあることには対応できないということなのだが、EU 域内のデータ管理 者であれば要求しなければならない事項に対応しないというクラウド事業者と契約を結ぶ ことはできない。 - 69 - 6.3. クラウド利用上の誯題への対応事例の紹介 クラウドコンピューティングと個人データ保護の誯題への対応として象徴的な事例を紹 介する。 ①. EU 域内クラウド企業を選ぶべきという主張 1 つめの事例は、スペインのクラウド事業者が、EU データ保護指令を引き合いに出して EU 域内をアウトソース先に指定すべきと主張している事例である61。当該事業者の主張と しては、EU データ保護指令で禁止されているはずの個人データの移送が実際にはインド 向けのオフショアアウトソーシングの中で行われている。個人データの流出も起きており、 EU データ保護指令違反が発生しているというものである。実際にインド企業の従業員を 買収することで、当該企業が預託をうけた英国人の顧客情報を入手できたという報告もあ り、こうしたリスクを避けるのであれば、EU 域内のクラウドにアウトソースした方が良 い、という論調である。 個人データ保護上の理由だけでなく、特に SaaS62サービスにおいて、ネットワーク上の 遅延によるアプリケーション操作上のレスポンスの悪化に対処するため、米国を始めとす る第三国のクラウド事業者に対して、EU 域内にデータセンターを設置することで、レス ポンスを改善せよとの要請が大きくなっている。利用者が急速に拡大する人気のあるクラ ウ ド サ ー ビ ス に 顕 著 に 見 る こ と が で き る 現 象 で あ り 、 日 本 に お い て も 、 Amazon 、 SalesForce 等、大手クラウド事業者が、日本国内にデータセンターを設置している。 国内ヒアリングでも、EU 域内でサービスを提供するのであれば、東欧のデータセンタ ーを使ってサービスを提供するのが一般的ではないかという意見が挙げられており、同様 の動きが見られた(顧客の近くということだけでなく、東欧は地震が尐なく、電気料金、 人件費等も安いことが理由とのこと)。 ②. クラウド業者の選定に独自のセキュリティ基準を設定 2 つめの事例は、カナダの生保再保険管理企業の事例であり、クラウド事業者を利用す るための 5 つの観点を公開している63。この企業は SOX64法の直接の対象ではないが、規 61 http://www.computerworlduk.com/advice/outsourcing/3251354/bringing-it-outsourcing-close r-to-home/?pn=2 62 Software as a Service。ソフトウェアを、パッケージではなく、稼働環境と合わせてネット ワークを通じて提供する形態 63 http://www.computerworlduk.com/how-to/applications/2969/five-tips-for-effective-cloud-secu rity/ 64 サーベンス・オクスリー法。企業会計、税務報告の透明性、正確性を確保するため、企業経 営者の責任を定めた連邦法 - 70 - 制適用対象となっている顧客からの監査要求に答えるために自社にて実施している対策を 公開している。具体的なセキュリティ対策の指定が公的なガイドライン等で示されるまで の間は、各事業者がベストプラクティスに基づいた独自のセキュリティ基準を設定し、サ ービス選択に利用することになるだろう。 1. SaaS プロバイダのセキュリティ対策とインフラについて、できる限り調べること。 IaaS65を使う場合、仮想環境を保護するために利用できるツールについて尋ねること。 2. 保存時と移送時のデータ暗号化を実施すること。暗号化が実施できない場合、セン シティブ・データをクラウド上で扱わないこと。 3. 自社とクラウド事業者とで責任を分割すること。すべてのセキュリティレイヤーに アクセスできる管理者を作らないこと。 4. SAS 70 Type II と ISO/IEC 27001 の認証を取っていること。国際企業であれば、セ ーフハーバー(Safe Harbor)の認証について確認すること。 5. セキュリティ面で実績のあるハイエンドなサービスプロバイダを使うこと。 セキュリティレベルの高さをセールスポイントとするクラウド事業者も登場してきてい る。例えば RSA カンファレンス 2011 で「最も革新的な企業」のファイナリスト(最終候 補者)に残った CipherCloud66などは、利用者に追加の作業負担を掛けずにデータの機密性 を高めるサービスを提供している。 ③. クラウドサービスにセキュリティ機能を追加する CipherCloud CipherCloud は 2010 年に設立された企業で、同名のサービス提供により、クラウドにお けるデータプライバシー、データの所在、規制へのコンプライアンスを、アプリケーショ ンのパフォーマンスに影響を不えることなく解決することを目指している。 最大の特徴は、クラウド利用企業から Salesforce.com や Google Apps といったクラウド サービスへの通信をウェブプロキシとして監視し、必要なセキュリティ機能を提供する形 態のため、クラウド利用者環境、クラウドアプリケーション自体への変更を必要とせず、 導入コストが低いこと、多くのクラウドアプリケーションに対応できることにある。 提供する機能は、暗号及び鍵管理(クラウド利用者とクラウドサービス間で透過的に暗 号化処理を行う)、トークナイゼーション(PCI-DSS 準拠のために利用されている技術で、 クレジットカード番号のようなセンシティブ・データの一部を別のデータで置き換えるこ とで、その価値を失わせる技術)、ユーザアクティビティモニタリング、管理者コンソー ル(CipherCloud 提供機能の設定を行う Force.com 上のサービス)等がある。 65 66 Infrastruture as a Service。仮想計算機をネットワーク経由で提供するサービス http://www.ciphercloud.com/ - 71 - 7. 新たなサービスの検討 海外事例調査、国内事例調査の結果から、わが国のクラウドサービス事業者が、EU 企 業を顧客ターゲットとしたビジネスを展開する上で、EU データ保護指令の制約に対処す る方策を考察する。 現状では、個々のサービス提供先 EU 企業毎にモデル契約を結ぶ必要があり、モデル契 約で求められる技術的及び組織的な保護対策の十分性、適切性は、顧客となる EU 企業が 検証することになる。この検証コストを低減することが、ビジネス規模を拡大する上で丌 可欠であるため、米国セーフハーバー制度のような、EU 顧客企業に信用を不えうる、保護 対策の十分性、適切性を客観的に評価する制度の整備について検討した。 続いて、日本から EU に対して提供するサービスとして、高度なセキュリティ対策を施 したデータアーカイブサービス、EU を市場とするクラウドサービス事業者向けに特別なセ キュリティ機能や個人データの匼名化処理を提供するサービスを検討した。 7.1. 制度整備の検討 7.1.1. クラウドの安全性に関する第三者認証制度 米国企業に対するヒアリングを通じて、個人データ保護体制の確認を要求する EU 構成 国の企業に対して、セーフハーバー認証を取得していることが、個人データ保護体制を確 立しているという信用を不える効果を発揮していることがわかった。すでに ISMS、 HIPPA67、GLBA68といった安全基準に準拠している企業であれば、追加の対策コストが 低く、容易に認証取得することができるメリットもある。 セーフハーバーは国の制度であるが、同じようにセキュリティ対策状況、データ保護状 況の確立を認定する TRUSTe 制度の利用も進んでいる。セーフハーバー認証を取得すると 当局の監督を受けるため、法的リスクを考慮して、民間認証である TRUSTe を選択する企 業がある。また、セーフハーバーは自己宣言型であり、基準としては緩いものと考えられ ていることから、第三者の客観的評価を伴う、より信頼性の高いと考えられる TRUSTe の 認証を選択し、より強く個人データ保護体制の信頼性を訴えようという狙いがあるとのこ と。 日本にはプライバシーマーク制度があり、認定を受けることで、個人情報保護体制の確 立状況を第三者の客観的評価により認定されたことを示す効果がある。TRUSTe は、クラ ウドサービスに対応した「Trusted Cloud 認証シール」制度を始めようとしている。EU 企 業が日本のクラウドサービス利用を検討する際に、個人データ保護体制の確立状況を評価 67 68 電子化された医療情報のプライバシー保護、セキュリティ確保について定めた米国法 金融機関に対し顧客情報の保護を義務付ける米国法 - 72 - する際に役立つよう、わが国においても同様のクラウドサービスの信頼性、安全性を評価 する民間認証制度を整備することが、わが国のクラウドサービスが EU 企業に採用される 機会を増やす上で効果的である(認証制度の整備に最しては、すでに広く利用されている、 ISMS 適合性評価制度、プライバシーマーク制度等の既存の認証制度をクラウドサービス 向けにカスタマイズして提供するといった、クラウドサービス事業者の認証取得コストを 抑える配慮が求められる)。 第三者認証制度により、EU 企業に対して信頼性、安全性をアピールすることが可能と なるが、わが国は第三国として保護の十分性を認められていないので、クラウドサービス にて個人データを移送する場合には、モデル契約、BCR のどちらかを締結する必要があ る。 モデル契約を結ぶ際、安全性と機密性を確保するため、どの程度の組織的対策、技術的 対策が求められているのかについては、EU データ保護指令の中では明確にされていない。 このため、EU データ保護指令の第 29 条にて規定される、助言を役割とする作業部会(第 29 条作業部会)にて、個人データの第三国への移送に関する解説文書69が策定されている (WP12 文書)。 この解説文書では、最小限の要求事項として 6 つの原則を示している。ここでは、その 原則に従うために必要と考えられるセキュリティ要件、運用要件を考察する。 (1)「データ処理目的の制限:第三国への個人データ移送の目的と整合する限りにお いて、データが処理されること」。この原則に従うためには、移送された個人データの集 合が、他のデータ集合と識別、隔離されていること、データ処理を行う際に、その処理の 目的がデータ移送の目的と合致していることを検証することが必要である。 (2)「データ品質と均整(proportionality):個人データは正確かつ必要であれば最新 でなければならない。個人データは、移送あるいは移送以降の処理目的との関係において、 適切で、関連があり、必要以上ではないこと」。この原則に従うためには、移送された個 人データの完全性を確実とし、データ管理者の更新要求に応じて、迅速に更新処理を行う ことが必要である。データ移送の目的との関連性を適切に保つためには、移送された個人 データ集合が、データ移送の目的と関連付けられており、データ処理を実施する作業者は、 その目的をよく理解し、丌要な処理を行わないことを確実にすることが必要である。 (3)「透明性:個人データの主体である個人は、処理の目的に関する情報を提供され るべきである。また、公正性を確保するために必要であれば、第三国におけるデータ管理 個人データの第三国への移送:EU データ保護指令第 25 条及び第 26 条の適用(Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive、 DG XV D/5025/98 WP12, 1998 年) 69 - 73 - 者の識別情報等も提供されるべきである」。この原則に従うためには、必要であればデー タ管理者の組織情報を、データ主体に対して開示することが必要である。 (4)「セキュリティ:個人データの処理から生じるリスクに対して適切な、技術的、 組織的セキュリティ対策がデータ管理者により施されなければならない。データ処理者を 含む、データ管理者の元で活動するものは、データ管理者の指示なく、データを処理して はならない」。この原則に従うためには、個人データの処理から生じるリスクアセスメン トを実施し、適切と判断された技術的、組織的セキュリティ対策を実施する必要がある。 また、データ処理に関しては、データ管理者の指示に基づいてのみ、実施することを確実 にすることが必要である。 (5)「アクセス権限、訂正、反対:データ主体は、自らに関連する全てのデータの複 製を入手する権利、丌正確であるとみなされるデータの訂正を行う権利を持たなければな らない。ある状況においては、データ主体は、自らに関連するデータの処理に反対できな ければならない」。この原則に従うためには、移送されたデータについて、特定個人のデ ータを全て抽出、複製できる機能を持たなければならない。また、(2)データ品質で示 されたように、迅速に更新処理を行うことができなければならない。データ主体の反対意 見に従うためには、特定個人のデータについて抹消あるいはデータ処理の対象外とする機 能を持たなければならない。 (6)「更なる転送の制限:データ移送の元々の受信者による個人データの更なる移送 は、二次受信者(更なる移送の受信者)が適切なレベルの保護規則に従う場合においての み許されるべきである」。この原則に従うためには、移送される個人データの保護レベル について、二次受信者の状態を確認しなければならない。 これらの原則に従うための要件をリスト形式でまとめる。 移送された個人データ集合の管理に関する要件 移送された個人データは、他のデータと隔離されていること データの完全性を確保すること データ管理者の要求に応じて迅速にデータを更新できること 個人を特定して全てのデータを抽出、複製を作成・提供できること 個人を特定してデータを抹消できること 個人を特定してデータ処理の対象外とできること 移送された個人データ集合の処理手続きに関する要件 - 74 - データ処理作業を行うものはデータ移送の目的を良く理解していること データとデータ処理の目的が関連づけられており、データ処理を実施す るものに対して示されていること データ処理を実施するものは、データ処理がデータ移送の目的と合致し ていることを検証すること データ処理はデータ管理者の指示に基づいてのみ実施されること その他の要件 データ処理の目的をデータ主体に提供すること 必要に応じてデータ処理者の組織情報をデータ主体に開示すること 個人データを更に移送するためには、事前に、二次受信者の保護レベル について、一次受信者が従う保護レベルに従っていることを確認すること EU 個人データを扱う第三国のデータ処理者は、これらの要件を満たすように、組織体 制を確立し、システムを構成しなければならない。 セキュリティの原則に対応するための技術的、組織的対策については、情報セキュリテ ィマネジメントの標準規栺である ISO/IEC27001 に示される管理策に準拠することが合理 的と考えられる。ここでは、EU 個人データの扱い上、特に配慮すべきセキュリティ対策 を示す。 情報のバックアップ 個人データの可用性を確保するため、定期的にバックアップを取得しなければならない。 バックアップデータの機密性を確保するためのデータ暗号化、栺納媒体への丌正アクセス を防ぐための専用栺納キャビネットの設置(施錠管理を行うこと)等の措置を施し、バッ クアップの取得状況(日時、作業者、対象データ等)、栺納媒体(番号を付不する)等に ついて記録簿に記録を行う。 バックアップデータが正常であることを保証するため、定期的にバックアップデータの 完全性を検証する。 ある個人データが丌要になり、消去を行う際には、バックアップデータ内の該当する個 人データを合わせて消去する。 ネットワークセキュリティ技術 データ管理者からネットワーク経由で個人データを受け取る場合には、ネットワーク上 - 75 - の盗聴、データ改ざん・破壊対策として、IPsec70、SSL/TLS71といったネットワークセキ ュリティ技術を適用する。通信に用いる暗号化の鍵を定期的に変更するため、適切な鍵管 理機構を採用すること。SaaS サービス等で HTTP72経由の個人データのやりとりを行う場 合にはクライアント証明書を用いた相互認証を採用すること。 ネットワークセキュリティ技術を適用できない場合には、データ管理者においてデータ を暗号化してから送信すること。データ暗号化に共通鍵暗号を用いる場合には、鍵につい ての合意をネットワーク上で行ってはならない。また、定期的に鍵を変更すること。 媒体の扱い・配送 個人データの保管・処理に利用する装置において、取り外し可能な記憶媒体(USB メモ リ等)を利用できないよう、ハードウェア的に無効とすることが望ましい。 取り外し可能な記憶媒体を利用する場合には、その利用から生じるリスクについて、デ ータ管理者に通知し、許可を得ておくこと。 取り外し可能な記憶媒体を利用する場合には、あらかじめ登録された記憶媒体だけを利 用すること。登録された記憶媒体は、定期的に数量を確認するとともに、悪意のあるコー ドに感染していないことを確認する。 取り外し可能な記憶媒体は保護領域の中で保管管理し、作業者の退室時の物品検査を確 実にすることで保護領域から外部への持出しを防ぐ。 データ管理者から記憶媒体経由で個人データを受け取る場合には、データ管理者におい て暗号化を施してから記憶媒体にデータを栺納する。加えて、ハードウェアレベルでの暗 号化をサポートした利用記憶媒体を利用し、異なる鍵、異なるアルゴリズムにより多重に 暗号化を施す。 データ管理者から記憶媒体経由で個人データを受け取る場合には、配送のセキュリティ を保証する配送事業者を選定し、安全な配送方法を利用する。 一般的には媒体経由ではなく、ネットワーク経由での個人データのやりとりになると思 われる。インターネット上での個人データのやりとりにおいては、個人データを暗号化し た状態で転送することが必頇条件である。このため、IPsec や SSL/TLS を用いた VPN(仮 想プライベートネットワーク)を構築する必要がある。ポイントは適切な鍵管理機構、 IPsec であれば IKE(Internet Key Exchange)と用いて、定期的に鍵を交換することであ IP security, IP 通信に暗号化と認証機能を提供するプロトコル Secure Socket Layer / Transport Layer Security, TCP 通信に暗号化と認証機能を提供する プロトコル 72 HyperText Transfer Protocol, ウェブサービスに用いられるプロトコル 70 71 - 76 - る。EU 企業に提供するサービスが SaaS の場合、EU 企業はウェブブラウザを利用し、 HTTP プロトコルを用いることになるので、その場合は SSL/TLS を用いる。 クレジットカード業界の情報セキュリティ標準である PCI-DSS は、個人情報を含めたク レジットカード情報の保護に特化し、具体的なセキュリティ対策を示している。今回、ヒ アリングを行った企業の多くが PCI-DSS を参考にしていたことから、「データ処理事業者 に求められる要件リスト」のセキュリティ要件の策定に際して、同様に PCI-DSS が参考に なると考えられる。 7.1.2. プライバシー影響評価制度の整備 プライバシー影響評価(PIA, Privacy Impact Assessment)とは、個人情報及びプライ バシーを扱うシステムの設計・構築時に、プライバシーに対する影響リスクを事前評価し、 関係者間においてリスクに関する共通認識を持ち、合理的で適正な対応を行うためのプロ セスとされる。米国においては電子政府システム構築時のプライバシー影響評価の実施が 義務付けられ、カナダにおいては電子政府システム構築予算の申請時に実施することが推 奨されている。プライバシー影響評価実施プロセスについて、米国規栺を元にした国際規 栺 ISO22307:2008(金融サービスのプライバシー影響評価)が策定されている。この規栺 は、米国規栺「ANSI/X9 X9.99-2004 - Privacy Impact Assessment Standard」を元にした ものであり、金融サービス以外の分野においても適用可能である。 EU データ保護指令の改訂方針において、データ管理者の責任の拡張として、データ保 護影響評価の義務付けを法的フレームワークとして構築することに言及されている。個人 データの第三国移送に関して責任を負うのはデータ管理者であるため、データ保護影響評 価の対象は、第三国のデータ処理者を含むものと考えられる。 わが国におけるプライバシー影響評価の実施については、試行的にプライバシー影響評 価を行った事例73はあるものの、米国、カナダ、オーストラリア等、先行国と比較して、 実績に乏しい。プライバシー保護に関する技術力と合わせて、プライバシー保護に関する 知見の高さを示していくため、プライバシー影響評価制度の整備、プライバシー影響評価 機関の設立等の活動を進め、プライバシー影響評価の実績を積み重ねていく必要がある。 プライバシー影響評価の実施について先行する米国では、電子政府法 208 条において、 情報収集・保有に関する情報技術の開発・調達を行う際にプライバシー影響評価の実施を 義務付けている。カナダ、オーストラリア、ニュージランドでは、法的義務付けではなく、 プライバシーコミッショナー等が策定したガイドラインを、政府や自治体において自主的 に採用する形態をとっている。 73 首都大学東京産業技術大学院大学 瀬戸洋一教授らによる調査研究事例 (http://aiit.ac.jp/img/aiit/A_H21-09.pdf) - 77 - 日本においても、プライバシー影響評価実施の基準となるガイドラインを整備し、政 府・自治体が自主的に影響評価を実施、その結果の公開を通じて、個人情報、プライバシ ー情報を扱う民間サービスへの展開を図ることが、プライバシー影響評価の普及、浸透の ために必要と考えられる。 7.2. 日本の事業者から EU 企業に提供するサービスの検討 7.2.1. データアーカイブサービス 日本は地理的に EU から遠い位置にあるが、ネットワーク的にも遠く、インタラクティ ブに処理が必要な、電子メール、グループウェアといった事務系アプリケーション、営業 管理、顧客管理、財務会計といったバックオフィス系アプリケーションを提供する上で丌 利な面がある。地理的、ネットワーク的に日本よりも EU に近い、カナダの Global Relay 社ですら、レスポンスを改善するために、EU にデータを置くことを求められていた。 このため、日本のクラウドサービス事業者が、EU 企業をターゲット顧客と考えるので あれば、インターネットの広帯域化が更に進むまでの間、レスポンスが重視されないアプ リケーションを検討すべきといえる。このようなアプリケーションとしてデータアーカイ ブサービスを検討する。 「EU データ保護指令対応サービス」認証を取得したレキサス社が提供を考えているサー ビスも個人データ保管サービスということであったが、地理的に離れていることをデメリ ットではなく、大規模災害の影響を同時に受けないというメリットと考え、事業継続のた めに、遠隔地にデータを安全に保管するというサービスがデータアーカイブサービスであ る。データアーカイブサービスを提供するための条件として、地震、洪水、紛争といった 大規模な災害等の影響を受けにくいことが第一の条件である。国内クラウドサービス事業 者の多くは東京にデータセンターを配置しているが、バックアップデータセンターは全国 に分散して設置している。このようにクラウド全体として可用性を確保している場合には、 大規模災害にも対応でき、可用性が問題とされることはないことから、尐なくとも国内に 三拠点以上のデータセンターを所有あるいは利用することが必要である。 アーカイブデータは日常的に参照するデータではないので、復号に時間が要する高度な 暗号化を施すことが可能である。レキサス社の採用している GFI 社の電子割符は、データ を複数分割し、別々のサーバ、データセンターに分散配置することでデータ漏洩のリスク を低減することができ、複数データセンターを備えるアーカイブサービスに適した性質を 持っている。標準的に用いられている共通鍵暗号 AES(Advanced Encryption Standard) の鍵長は可変であり、128 ビット、192 ビット、256 ビットの鍵長を選択できる。鍵長が長 いほど、解読の困難さも増すことから、データアーカイブサービスでは、長い鍵長、192 ビット、256 ビットを採用することができる。 - 78 - 多くの場合、個人データの収集時に利用目的とともに利用期間が明示されており、利用 期間を過ぎた際には、確実に廃棄を行う必要がある。クラウドサービスでは、インフラを 多くのユーザで共有しているため、記憶媒体に負荷をかける「データの上書きの繰り返し」、 「記憶媒体の物理的処分」といった、一般的な重要データの廃棄手順を実施することが難 しい。個人データのアーカイブサービスでは、「データの廃棄証明」を顧客に提出できる よう、インフラから工夫を施すことが求められる。 万が一、データ漏洩事件・事故が発生した場合、その原因を調査するため「フォレンジ ック」と呼ばれる、ハードウェアレベルからの詳細な調査が必要である。証拠保全のため システムを停止して実施するため、クラウドサービスのような共有サービスでは「フォレ ンジック」の実施が難しい。個人データのアーカイブサービスでは「フォレンジック」に 対応するため特別な技術の開発が必要になるだろう。 確実なデータ削除、フォレンジックのようなセキュリティ技術の採用、実装については、 カナダオンタリオ州のプライバシーコミッショナーであるアン・カブキアン博士(Dr. Ann Cavoukian)が提唱したとされるプライバシーバイデザイン(PbD, Privacy by Design)74 の考えに基づき、予測的、予防的、可視性、透明性の提供等、システム設計時からプライ バシー保護策として講じることが丌可欠といえる。加えて、欧州にて研究が盛んに行われ ているプライバシー強化技術(個人名に別名をつける、個人を特定する情報を消去・削減 する、データを分割する等)の採用も差別化の要因となる。「4.3.2 EU 事例」で紹介する PrimeLife、TClouds Project もプライバシー強化技術の一種である。 7.2.2. 国内クラウドサービス向けセキュリティサービス レキサス社はサブプロセッサとして「EU 個人データ保護指令対応サービス」認証を取得 している。サブプロセッサとは、EU 域内のデータ管理者とモデル契約等により個人デー タをやりとりする第三国のデータ処理者から個人データの処理を請け負って、個人データ の処理を行う事業者を意味する。つまり、データ処理者をクラウドサービス事業者と考え ると、クラウドサービス事業者向けに個人データ保管サービスとセキュリティサービスを 提供することで、クラウドサービス事業者のセキュリティレベルを高めるという形態であ る。 EU 企業との個人データのやりとりに実績を持たないクラウドサービス事業者は、EU 域 74 プライバシーバイデザインはカナダオンタリオ州プライバシーコミッショナーのアン・カブ キアン博士(Ann Cavoukian, Ph.D.)が提唱した概念とされ、システム設計(デザイン)時点 からプライバシー保護策を取り込んでおくという考え方である。プライバシー侵害イベントの 事前予測、(オプションでは無く)デフォルトのプライバシー保護機能、システムへのプライバ シー保護機能の組み込み、プライバシー保護が他の機能を損なわない(セキュリティとプライバ シーをトレードオフ関係にしない等)、データのライフサイクル全体に渡る保護、システム構成 要素・運用の可視性・透明性、ユーザ中心思想の七つの原則が提示されている。 - 79 - 内のデータ管理者に自社のセキュリティレベルの高さ、保護の十分性を示すノウハウを持 っていないため、第三者の認証を持つレキサス社のサービス等を併用することで、保護の 十分性を示すことが容易になるものと考えられる。 新規にクラウドサービスを構築するのであれば、プライバシーバイデザインに基づいて 設計・実装することも可能だが、すでに構築済みのサービスの場合、プライバシー保護に 必要な機能を加えることのコストが高すぎる場合も考えられる。「6.3 クラウド利用上の誯 題への対応事例の紹介」で紹介した Cipher Cloud も、クラウドサービス事業者と顧客との 通信を仲介することで、クラウドサービスとクライアント環境に大幅な変更を要求せずに 高いセキュリティを提供できる付加的サービスである。 このような、セキュリティレベル、プライバシー保護レベルを向上させることのできる クラウドサービス向けセキュリティサービスを提供する国内事業者が、国内クラウドサー ビ事業者と共同することで、合理的なコストかつ高い個人データ保護レベルを提供できる 環境を構築できる。また、クラウドサービス向けセキュリティサービスを提供する国内事 業者が実績を重ねることで、共同する国内クラウドサービ事業者に EU 企業との個人デー タのやりとりの実績が尐なくとも、データ管理者に対して信頼感を提供できると考えられ る。 7.2.3. 個人データの匼名化処理サービス 個人データの収集時には、その利用目的を明示することが求められている。多くの場合、 利用目的は期限が設定されたものであるため、利用目的が達成された際には、個人データ を廃棄することになる。個人データそのままではなく、個人を特定できる情報である、氏 名、生年月日、居住地、性別等について、匼名化処理を施すことで、より長期にわたる二 次利用の可能性が出てくる。 ただし、「クラウド競争力研究会報告書」においても示されているように、二次利用を 行うために必要な匼名化のレベルの判断は難しく、個人データの種類と必要な匼名化のレ ベルについて、案件毎にリスク評価、プライバシー影響度評価を行う必要があり、高度な 専門知識、知見を要する。カナダオンタリオ州の CHEO(Children's Hospital of Eastern Ontario)は、オンタリオ州法で新生児と母親の健康状態に関する情報の公認レジストリに 指定され、年に 14 万件の医療情報(EHR, Electronic Health Record)を収集している。 この医療情報の利用については、企業・公的機関から匼名化されたデータの利用申請を行 い、CHEO に設置されたデータアクセス委員会にて、企業の計画する匼名化データ利用プ ロジェクトの妥当性を検証するとともに、PARAT(Privacy Analytics Risk Assessment Tool)と呼ばれるツールを用いて、企業・公的機関のセキュリティレベルを評価、プライバ シーリスクを定量化する(匼名化データの機密性確保に関しては ISO/IEC 27002 等に基づ くチェックリストにより評価)。リスクが過大であれば、匼名化の項目ごとの強弱を調整 - 80 - して、リスクを低減する措置がとられる。 医療情報のようなセンシティブ・データを長期保有し、長期追跡、経年変化分析等のデ ータ分析サービスを提供しようというクラウドサービス事業者のために、CHEO のような 匼名化レベルの決定に必要なプロセスを確立し、リスク評価を行う第三者委員会を保有す る、個人データの匼名化処理に特化したサービス提供について、一定の需要があると考え られる。 7.2.4. プライバシー強化技術の可能性 EU データ保護指令の改訂方針75において、データ管理者の責任強化のため、センシティ ブ・データを取り扱う際など特別な場合において、データ管理者が「データ保護影響評価 (Data Protection Impact Assessment)76」を実施することの義務づけを法的フレームワ ークに導入すること、「プライバシーバイデザイン」の実装状況を調査すること等の検討 が行われることが表明されている。 プライバシー影響評価から導出されたプライバシーリスクを低減するため対策として、 「プライバシー強化技術(PET, Privacy Enhancing Technologies)」と呼ばれる一連の技 術が注目されている。情報技術の進展により、個人データ、プライバシデータがデジタル 化され、複製、流通が容易となったことから、デジタルデータ化された個人データを保護 することを目的として研究開発が行われてきた技術である。欧州において研究が盛んに行 われており、研究活動助成を目的とした研究フレームワーク(Framework Programme) の第 6 次、第 7 次計画(FP6 及び FP7)において、いくつかの研究が採択されている77。 プライバシー強化技術には、個人の実名や個人との紐付けが明確な ID 番号を使わず、個 人との結びつきが外部の第三者にわからないよう自動生成された別名を用いる「別名 (Aliases)」、所有者が特定できないようデータの一部について情報量を減ずる処理、例 えば、氏名についてはイニシャルにする、生年月日については生年と月だけにする、住所 については都道府県と市区までにするといった匼名化を行う「丌鮮明化(Blurring)」、 データにアクセスするユーザ毎に、データの情報量、アクセスできるデータの範囲を可変 とする「レイヤー化(Layering)78」、データを複数に分割、保管することで、オリジナル データの復元に複数名の同意が必要になり、より強固なアクセス制御が可能となる「複数 75 http://www.statewatch.org/news/2010/oct/eu-com-draft-communication-data-protection.pdf 76 個人データを対象としてプライバシー影響評価と同等の枠組みで実施される評価と考えられ る。 77 http://cordis.europa.eu/fp7/ict/security/eid-management_en.html 78 カナダ CHEO が実施している、匼名化データを提供する際、リスクに応じて匼名化項目ご との強弱を調整する措置等 - 81 - カプセル化(Multiple Encapsulation)79」等が知られている80。 プライバシー強化技術の採用は、処理性能に尐なからず影響があり、採用コスト、運用 コストもかかるため、これらのデメリットとの引換となるプライバシー保護の必要性を合 理的に判断できる基準が必要とされてきた。プライバシー影響評価が国際標準化されたこ と、米国、カナダ、オーストラリア等による評価の実績が豊富になってきたことで、客観 性のあるリスク評価、合理的なリスク軽減策の選択が可能となり、国際的にプライバシー 強化技術の採択も増えてくることが期待される。 日本において、プライバシー強化技術という言葉は使われていなくとも、重要な要素技 術である、暗号技術、匼名化技術、ID 管理技術等、優れた研究開発が行われているため、 EU、北米におけるプライバシー保護のトレンドを理解して、必要なプロモーション活動 を行うことで、EU データ保護指令を始めとして、個人データ、プライバシー管理上の制 約がある中でも、十分にビジネスチャンスとすることができるものと考えられる。 79 本報告書で紹介した秘密分散技術等 「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な 担保の仕組みについての研究会」報告書(総務省、平成 16 年) 80 - 82 - 8. 最後に 本調査事業では、EU 域外への個人データ移送を原則として禁止する EU データ保護指令 について、EU 域外の第三国への個人データ移送が認められる例外条件の概要、米国、カナ ダにおける個人データ移送事例、わが国における個人データ移送事例を調べることで、技 術的及び組織的保護措置の実態及びクラウドコンピューティングが個人データ移送の例外 条件に不える影響について調査した。調査の実施について、多くの方々にご協力いただい いたこと、ここに感謝の意を述べる。 EU データ保護指令が制定された 1995 年以降の、急速な IT 技術の発展とグローバリゼ ーションにより、個人データを含む様々なデータの流通は速度と規模を増している。この ような現状に対処するため、初めての EU データ保護指令改正実施に向けた方針を記した 文書が発表された。この改正の方針として、データ管理者の責任の強化として、データ保 護影響評価の実施、プライバシーバイデザインの推奨、プライバシー強化技術の推奨、個 人データ管理に関する認証制度の導入、といった、新たな概念、枠組みの導入を検討する ことが示されている。今後、データ管理者である EU 企業が、第三国の情報処理サービス を利用する際に確認すべき、保有する個人データの処理に対する技術的及び組織的保護措 置も、改正に対応して、進化、向上することが求められることになるだろう。 この、個人データ保護、プライバシー保護の潮流に対応するため、本調査で示した制度 整備、技術開発の方向性を参考とすることで、わが国の個人データを取り扱うサービスの 保護措置の水準及び EU 企業に不える信頼感が向上し、日本のクラウドサービス利用が EU 企業を始めとする海外市場において大きく拡大することに期待する。 以上 - 83 - 図一覧 図 3-1 第三国移送に関連するデータ保護指令の手段と条項、文書の関係 ................ 13 図 4-1 欧州連合と欧州評議会の構成 ........................................................................... 24 図 4-2 管理者移転型モデル契約の概念図 ................................................................... 32 図 4-3 処理者移転型モデル契約の概念図 ................................................................... 36 図 5-1 「EU 個人データ保護認証サービス」認証事例における三社の関係 ............. 57 図 5-2 クラウドサービス間連携におけるユーザ預託データの制御範囲 .................... 64 表一覧 表 3-1 欧州データ保護指令に関連する出来事 .............................................................. 9 表 3-2 EU データ保護指令における用語 ..................................................................... 10 表 3-3 欧州連合創設に関わる出来事 ........................................................................... 17 表 3-4 我が国における個人情報保護の経緯 ................................................................ 20 表 3-5 個人情報保護法における個別法 ....................................................................... 21 表 3-6 OECD 八原則と個人情報保護法の対応 ......................................................... 22 表 4-1 十分性の認定状況 ........................................................................................... 25 表 4-2 例外措置 .......................................................................................................... 30 表 4-3 モデル契約の事例一覧...................................................................................... 31 表 4-4 BCR 承認企業の一覧 ...................................................................................... 39 表 4-5 拘束的企業準則に関する文書一覧.................................................................. 39 表 4-6 拘束的企業準則の中で設けられるべき要件及び諸原則 ................................. 41 - 84 -