• 会員限定
  • 2016/11/14 掲載

高木浩光氏、山本一郎氏、板倉弁護士ら激論、「本質理解しないから過ち繰り返す」

EUデータ保護規則による「越境データ問題」

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
国産クラウドがグローバル展開できないたった一つの理由──これは2016年9月、サイボウズの青野慶久社長がWebに書き込んだ記事のタイトルだ。同社のクラウドサービスをEUで展開できない理由、それが「EU一般データ保護規則(GDPR)」だった。GDPRはEUで個人データを保護するための法律で、個人データを扱う企業がEU域外へデータを持ち出すことを厳しく規制している。この青野氏の書き込みを機に、一気に「越境データ問題」への関心が高まった。グローバルでビジネス展開をしていきたいと考える日本企業にとって、いったい何が問題でどう解決するべきなのか。当事者の青野社長に加えて、ブロガーの山本一郎氏、産業技術総合研究所の高木浩光氏、ひかり総合法律事務所の板倉陽一郎弁護士、新潟大学の鈴木正朝教授ら識者が一同に介して話し合った。
フリーライター 中村 仁美

フリーライター 中村 仁美

大阪府出身。大手化学メーカー、日経BP社、ITに特化したコンテンツサービス&プロモーション会社を経て、2002年、フリーランス編集&ライターとして独立。現在は主にIT、キャリアというテーマを中心に活動中。IT記者会所属。趣味は読書、ドライブ、城探訪(日本の城)。ネコと歴史(古代~藤原時代、戦国時代)好き。

photo
右から鈴木正朝氏(新潟大学教授)、高木浩光氏(産業技術総合研究所)、青野慶久氏(サイボウズ社長)板倉陽一郎氏(ひかり総合法律事務所弁護士)、山本一郎氏(モデレーター)

国産クラウドベンダーがEUでサービス展開できない訳

photo
サイボウズ
代表取締役社長
青野 慶久 氏
青野氏:Webに書き込んだ通りですが、越境データという問題に気付いたきっかけは、(ITproで掲載されていた)「EUデータ保護規則」の衝撃という記事を読んだことです。この記事によると、「EUの個人データは私たちの日本では管理すると罰せられるので、国産クラウドは提供できない」ということになります。最近、日本大企業から引き合いが増えていますが、「EUにある支店でもサイボウズのサービスを使えるのか」と尋ねられると、「はい」とは言えないということですよね。

photo
ひかり総合法律事務所
弁護士
板倉 陽一郎 氏
板倉氏:その通りです。EUから「十分性」を得ていないので、欧州に支店などがある組織では使えません。EUから十分性を得るには、越境移転を制限しなければならないのですが、日本はホワイトリスト方式を採用しているので、難しいのが現状です。ホワイトリスト方式の場合、米国は日本に十分性を認めることを求めてきます。しかし米国はEUから十分性が認められていないため、日本もEUの十分性が得られなくなってしまうのです。また日本の法律では、パーソナルデータの取り扱いの全部または一部を外国事業者に委託する越境委託にも制限があります。つまりサイボウズがEUの子会社でクラウド事業を展開しても、こうした問題が出てきて、難しいのが現状です。

photo
新潟大学 法学部
教授(情報法)
鈴木 正朝 氏
鈴木氏:これまで産業界は十分性認定に逆行するような方向へと進んでいたことにも原因はあります。そのため日本の越境データ問題は欧州とも米国とも乖離しており、日米欧でデータ流通が滞っている。その一番の問題がプロファイリング規制だと思います。EUの規制の中では最もインパクトが大きい。

クラウドというビジネスモデルは「委託」なのか

画像
山本 一郎 氏
photo
国立研究開発法人産業技術総合研究所
情報技術研究部門
主任研究員
高木 浩光 氏
山本氏:クラウドは委託かという問題についてはいかがでしょう。

高木氏:EUやOECDのガイドラインではコントローラとプロセッサという用語を使って、委託元と委託先の区別をしていますが、日本の法律ではそういう区別がないのもやっかいです。例えば最近、富士通がパソコンの修理受付で、マイナンバーが入っているパソコンは取り扱わないということが話題となり、結局、マイナンバーとして使用しないのであれば、別に取り扱っても構わないということになりました。EUの制度では「マイナンバーとして取り扱う」「パーソナルデータとして取り扱う」という「として」という部分が大事な点なんです。日本は「取り扱い」という言葉で保管も何もかも表すので、そこも解決しないといけないところだと思います。

板倉氏:一般論として「外国にある第三者が個人データを取り扱えない」という旨が契約条項で定められており、適切なアクセス制御が行われている場合は、委託にはなりません。個人データの提供を受けて取り扱っていることにはならず、倉庫と同じ。したがってサイボウズが海外に出ても、セキュリティの規制しかかからなくなります。ただし契約条項に「個人データとして取り扱わない」という旨を記載してもらえるかどうか。サイボウズはこれを守って海外で展開しないと、日本から出られないということです。

青野氏:よく分からないのですが、国ごとに守りたいものバラバラで、個別で交渉をしたりお金を払ったりなど、全体負債的な問題が起きている認識で良いのでしょうか。

【次ページ】越境データ問題ではどんなリスクをはらんでいるのか

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます