「 SaaS にアップロードしたデータって誰のもの?」と社内の法務担当者に質問したら「日本の法律においてデータそのものに所有権という概念はない」とばっさり回答いただき、法務関連の知識不足を痛感しました。
そこで勧められたのが『クラウド情報管理の法律実務』(以下、「本書」)です。
- 作者:松尾 剛行
- 発売日: 2016/09/27
- メディア: 単行本
本書はクラウドサービスにアップロードされる「データの管理」について、ユーザ企業(クラウドサービス利用者)の法務担当視点でポイントを解説するものです。
発行(2016年)以降の情報が反映されていないことや、日本法をベースとした解説であること(国外クラウドサービスは国外の法令が適用されることがある)には注意が必要ですが、基礎となる考え方を学ぶには十分な良書だと思います。
クラウドサービスの導入を検討する情シスの方はもちろん、サービスを提供するクラウドベンダ側の方々にも「自社が預かる情報」が法的にどう位置づけられているのかを認識するために、ぜひ読んでいただきたいです。
目次
以下の構成で約400ページのボリュームです。
- 第1部 総論
- 第2部 各論[1] - 平時対応
- 第3部 各論[2] - 有事対応
- 終章 クラウド時代の先を見据えて
第1章 クラウドとは何か
この章では NIST や経済産業省、 IPA 等の公開情報をもとにクラウドサービスの定義や特徴を解説しながら、クラウドサービスの利用における法務部門の役割として以下の4点を挙げています。
- クラウドサービスで扱う情報の種類(個人情報、営業秘密、等)ごとに適用される法規制の検討
- クラウドサービス契約におけるリスクの洗い出し
- 金融業界や業法等による特別な規制の考慮
- 導入の意思決定における法的要求の最低ラインの担保(「経営判断の原則」の担保)
「経営判断の原則」は初めて知る観点で、以下のように説明されています。(詳細は2章で。)
法的問題や技術的問題を考慮した上でのクラウド導入または指針決定等の判断については、経営判断の原則が働くものの、法務部門は、経営者は正確な情報を収集した上で、特に保護される情報資産の性質等の個別事情を考慮しながら、適切な判断が行われたことを確保し、最悪の場合でも、経営者が責任を負うことがないようにサポートする必要がある。
第2章 クラウドのリスクと情報セキュリティ
情報セキュリティの三原則( CIA )やリスクマネジメント、関連法令、情報管理体制の考え方を説明し、「クラウドベンダのコンプライアンス・ガバナンス」とセキュリティの関連を解説しています。
一般的なクラウドサービス (複数ユーザ企業がクラウドベンダの提供リソースを共有する形態)は、ユーザが保管したデータをクラウドベンダが集中管理し、ユーザ側の独自のコントロール施策を適用することは難しいです。
そのため SLA や SLO 、ホワイトペーパー等に記載されているセキュリティ対策を確認するのですが、実態としてそれらの運用が遵守されていないと意味がありません。
「セキュリティ対策の運用が遵守されていると認められるだけの仕組みが、組織として担保されているか?」を確認することがガバナンスのチェックであり、法務観点からも重視されています。
経営判断の法則
経済産業省がとりまとめた「サイバーセキュリティ経営ガイドライン」では、セキュリティへの取り組みは経営者の役割としています。
経営者が行うべき重要な役割の一つとして、企業価値や競争力を向上させるために積極的な IT 投資を進めていく中で、事業の基盤として用いるシステムや営業秘密等の重要な情報に対する企業戦略上の価値・役割を認識し、サイバー攻撃によるリスク対処に係る方針を明確にすることがあげられる。
本書では経営者との関係が深いクラウドサービス特有のリスクのうち、以下の4点を法務部門がサポートすべきとしています。
第1章でも触れた「経営判断の原則」とは「経営判断に対して裁判所は事後的に介入しないというルール」で、以下の3点を満たす場合に「経営判断が結果的に会社に損失を与えたとしても善管注意義務に違反しないものとみなす仕組み」とのこと。
- 当該行為が経営上の専門的判断に委ねられた事項であること
- 意思決定の過程に著しい不合理性がないこと
- 意思決定の似合いように著しい不合理性がないこと
そのためには情報収集や比較検討等の記録を残すことが重要になりそうです。
クラウドサービスの導入に、必要性と許容性に著しい不合理性がなく、意思決定の過程で適切に情報収集、調査、分析を行い比較検討の上で意思決定を行って記録がきちんと残されていれば、その過程・内容が著しく不合理でない限り善管注意義務等の違反はないとされる。
その他の項目については以下が参考になりました。
第3章 クラウドサービス契約
本章ではいくつかの判例をあげながら、クラウドの利用契約が「準委任契約の性質を持つ」という法的性質の解釈を述べています。
Q ...そもそもクラウドサービス契約とは、民法上、どのような契約類型にあたると考えればよいのでしょうか?
A 学説および裁判例上、クラウドサービス契約は準委任契約ないし準委任契約の性質を有する複合的契約と解する見解が有力です。しかし、法的性質から直接的に法解釈に関する結論が導き出されることはあまり多くなく、具体的なクラウドサービス契約の条項やサービスの内容に応じた個別具体的な判断が必要になることが多いことに留意が必要です。
「法的性質はあくまで"ベースライン"に過ぎず、具体的な契約条項やサービス内容を加味した個別具体的な事項にとって総合的に判断される」と書かれており、絶対的な見解ではなくケースバイケースとなるようです。
また準委任契約の考え方をとる場合には、クラウドベンダ側にも「善管注意義務」が発生する点は覚えておきたいと思います。
クラウドサービス契約の締結
クラウドサービスの導入は IT 部門や現場を中心に検討されがちですが、法務部門として「経営判断の原則で保護される範囲内でクラウドサービス導入に関する意思決定ができていることを確保する」ために、選定プロセスの文書化や契約内容の法的分析、リスクコントロールを検討すべきとしています。
本書では IPA の「クラウド事業者による情報開示の参照ガイド(2011年4月)」や ASPIC の「ASP・SaaS安全・信頼性に係る情報開示認定制度」の審査対象項目をベースに確認すべき項目が解説されています。
他にも以下のガイドラインが参考になります。
開示された内容の妥当性を確認するための比較対象としては、以下が参考になりそうです。
クラウドサービス契約に関する法制度
クラウドサービスだと Web 上でサクッと利用契約が結べてしまいますが、例えば「対象プランを誤って申し込んだ(誤操作によるクリック)場合にその契約は有効か?」という解説があります。
「誤操作」が利用者側の重過失となるかが焦点となるようで、客観的な判断は困難なため「電子契約法で事業者側に確認措置を設けることを義務付け(申し込み対象の確認画面の設置、等)、それを満たさない場合は消費者側の重過失を主張できなくなる」のだそうです。
他にも「クラウドサービスの契約が締結されたと認められるタイミングはいつ?」、「『契約締結したのは自分ではない』と否認されたらどうなる?」といったトピックも紹介されています。
第4章 クラウドと個人情報等
本章では個人情報保護法をベースに、クラウドサービス上で「個人情報」を保管・利用する際の観点を説明しています。
個人情報保護法では個人に関する情報を3つに区分しており、該当する情報がどの段階・性質のものかで適用される規律が異なるため留意が必要です。
- ① 個人情報: 従来型個人情報、個人識別符号型個人情報(指紋データ、等)
- ② 個人データ: ①のうちデータベース化された個人情報
- ③ 保有個人データ: ②のうち、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有するもの
2015年に「個人情報保護法は3年ごとに見直す」と明文化され、直近だと2020年6月に個人情報保護法が改正され、個人情報の「利用」について本人の権利の保護が強化される方向に動いているようです。
こちらの書籍もあわせて読んでいるのですが、個人情報保護法の策定の経緯が知れて面白いです。
個人データの保管の法的解釈
クラウドサービスで個人データを保管することは「本来自社で行うはずの個人情報の取扱を第三者(クラウドベンダ)に委託する行為」とみなされるようで、これはクラウドベンダ側でも明確に認識する必要があると思います。
クラウド上における個人データの保管・処理については、これをユーザ企業によるクラウドベンダへの委託(個人情報保護法23条5項1号)と位置付ける見解が多数である。
「クラウドサービス上に個人情報を保存してはならない」と明示的に規定している場合でも、「クラウドサービスの性質として個人情報の保管が予想される」場合には免責とならないケースもあるようで、「単にデータの『入れ物(オンラインストレージ)』を貸しているだけであり、そこに保存する個人データの管理には関知していない」というスタンスはリスクが高いと感じました。(クラウドサービス側の視点として。)
第5章 クラウドと知的財産権
営業秘密や著作権、特許等が関わる情報をクラウドサービスに保管する際の注意点が紹介されています。
経済産業省の「秘密情報の保護ハンドブック」を見てみると、「企業の研究・開発や営業活動の過程で生み出された各種情報」=「営業秘密」であり(以下に例示)、企業の競争力の源泉であるとして不正取得・不正使用・不正開示から保護するとしています。
- 営業情報: 顧客名簿や新規事業計画、価格情報、対応マニュアル
- 技術情報: 製造方法・ノウハウ、新規物質情報、設計図
不正競争防止法では「『営業秘密』とは、秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。」と定めており、以下の3要件を満たす場合に民事上では差し止めや損害賠償等が認められ、刑事上では営業秘密侵害罪が設けらています。
- 秘密管理性: 秘密として管理されていること
- 有用性: 事業活動にとって有用であること
- 非公知性: 公然と知られていないこと
クラウドサービス特有の考慮ポイントは「秘密管理性」で、①「アクセス制限(当該情報にアクセスできる者が限定されていること)」、②「認識可能性(当該情報にアクセスした者に当該情報が秘密であることが認識可能であること)」が論点となるようです。
「クラウドサービスという形態そのものがアクセス制限を否定している」とした判例はなく、「営業秘密の開示を受ける側(クラウドベンダ側)に秘密を保護するための適切な体制を求めればなお秘密管理性が認められる」とのこと。クラウドサービスに保存する情報が法的な保護を受けられるよう、クラウドベンダのガバナンスの状況を確認する必要があります。
第3部 各論[2] - 有事対応
「第7章 クラウドトラブルと危機管理」と「第8章 クラウドトラブルと紛争解決」で構成され、実際のインシデント等が発生した場合の紛争解決について説明されています。
一般的な危機管理フローである「初期対応」→「調査」→「再発防止」、並行してステークホルダ向けの「対外対応」の流れのなかで、クラウドサービスの特殊性として「ユーザ企業側でコントロールできない領域」に注意すべきとしています。
クラウドサービス関連の法的責任である「民事責任」、「行政上の責任」、「刑事責任」のうち、実務としては民事責任、行政上の責任への対応が問題となることが多いようです。 B to B to C の形態で利用されるクラウドサービスの場合、インシデントが発生した場合に誰が責任を負うのかケース別の解説があり、実際にインシデントが起きる前に一度は読んでおきたい内容でした。
まとめ
法務担当はは法令・規制の観点から会社・経営者を保護することを目的に、関連法令の把握や最新情報のキャッチアップ、クラウドサービス側のガバナンスチェックを行っています。情シス担当としてガバナンスチェックの必要性は認識していたものの、その行為がどういう形で自社の経営を守ることにつながるのか、本書を通じで確認することができました。
情報セキュリティ関連の法令のキャッチアップは大変そうですが、 NISC のまとめサイトも見つつ概要からおさえておきたいところです。
おまけ
冒頭の「クラウドサービスにアップロードしたデータに所有権は存在しない」についてですが、では「データをどのように保護するのか?」というとこちらの記事が参考になるのでご紹介です。
SaaSのデータの暗号化する鍵を自分の鍵でやる
自社のデータを自社の保有物として自社で管理していることを証明するためには、この方法がベストです。北米企業だとこの仕組みを利用するユーザー企業は結構多いのですが、日本企業だとまだまだ知られてすらいない印象です。
データを保護する上で、どの鍵を使って暗号化して、どの鍵で復号化して、鍵はどの様に管理されているのかを追跡できる状態にしておくことは重要です。
先日リリースされたガートナーのハイプ・サイクルにも KMaaS ( Key Management as a Service )が「『過度な期待』のピーク期」にあるとされており、今後ユーザ企業側でも話題になっていきそうですね。
