前回、まねきTV最高裁判決によって、クラウド・コンピューティング(以下、「クラウド」)・サービスも、国内勢全滅の検索エンジンの二の舞を演ずるおそれが出てきたと指摘した。すでに社会インフラとなっている検索エンジン、今後、社会インフラとなることが確実なクラウドで、日本市場を米国勢に制覇されることに伴う問題は日本企業がビジネスチャンスを喪失するだけにとどまらない。情報の安全保障面でも問題がある。今回はこの問題を紹介する。
日本の個人情報保護法では個人情報取扱事業者は個人データを第三者に提供する場合、本人の同意が必要である(個人情報保護法23条1項)。しかし、個人データを特定の者と共同利用する場合、共同利用する者の範囲や利用目的などをあらかじめ明確にしている場合は第三者にあたらない(23条4項3号)。
同法の経済産業分野を対象とするガイドラインでは、共同利用の事例として親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合を挙げている。グーグル日本法人が入手した個人情報をアメリカの親会社に引き渡すのも共同利用に該当することになり、グーグルのプライバシー・ポリシーにもその旨明記されている。
95年のEUデータ保護指令は第三国へのデータの移転について、移転先の国で十分な保護が保証されないかぎり域外への移転を禁止している。EUに進出しているアメリカ企業はこれを遵守するにはEUの顧客専用のデータベースを構築する必要に迫られるが、それを回避するため政府に陳情した。アメリカ政府はEUと交渉し、7項目からなるセーフハーバー原則を作成、2000年に発効させた。これによりEU市民のデータ移転も可能になった。
わが国の個人情報保護法は国際的には十分な保護が保証されているとみなされていない。このためEU市民のデータを日本に送信できない。アメリカの個人情報保護法制は民間部門については自主規制にまかせているため、企業、産業よりである。日本の個人情報保護法より消費者が保護されているとは考えにくいが、政府のロビー力の差もあって、EUからは対照的な取り扱いを受けている。国内では過剰反応を生むほど水も漏らさぬような個人情報保護法も国際的には保護が不十分とみなされ、かつ自国民の個人情報の海外流出には無防備なのである。
米国政府は05年に、子どもオンライン保護法の違憲訴訟の証拠収集のため、検索サービス4社に利用者の検索キーワードなどのデータの開示を要請。3社はある程度のデータを開示したが、グーグルは顧客のプライバシー保護を理由に拒否したため、訴訟になった。カリフォルニア州連邦地裁は、グーグルに5万件のHPアドレスのみの提出を命ずる判決を下した。検索キーワードの開示を免れたグーグルが実質的に勝訴した。
この事件はそうではなかったが、テロ対策であれば、同時テロ直後に制定された米国愛国者法によって、政府はより容易に個人情報開示を要求できる。検索エンジンは09年の著作権法改正でサーバーを日本に置けるようになった。しかし、われわれの検索ログが海を渡るおそれがなくなる保障はない。グーグルのプライバシー・ポリシーは、居住国以外のサーバーで個人情報を処理する場合もあると明示している。
米国愛国者法によってわれわれの個人情報が米国政府に渡るおそれはすでに顕在化している。09年4月、連邦捜査局(FBI)はテキサス州ダラスにあるインターネット・サービス・プロバイダー、コアIPネットワークスのデータセンターを急襲。センターの閉鎖を命じ、機器を押収した。同社のサービスを利用した企業を調査するためだった。日系企業は含まれていなかったが、約50社のメールやデータベースにアクセスできなくなった。
このように米国政府は米国内の企業の保有するデータにアクセスする権利がある。このため、隣国のカナダは政府機関がアメリカのクラウド・サービスを利用することを禁止している。米国を狙い打ちしている理由はよくわかる。テロ以来、間違いなく警察国家化している米国は、最もデータを預けてはいけない国だからである。
その米国も政府機関のクラウド利用については厳しく規制している。連邦調達庁(Government Services Agency)は連邦政府がクラウド・サービスを調達する際に納入業者が満たすべき技術要件を定めている。その中にデータセンターが米国本土内にあるという要件も含まれている。米国内でもハワイやアラスカにあるデータセンターは応札できない。
経産省はエコポイント管理システムを米セールスフォース社に発注した。このように日本では政府機関まで、コスト面や納期面などで優位に立つ米国勢のクラウド・サービスに走っているが、情報の安全保障の視点が欠落しているように思えてならない。
遅まきながらこの点に気づいた政府は、海外のサーバーで保存されるデータを保護するため米国やEUなどと連携し、クラウドの利用に関する共通指針作りに乗り出すようである(3月4日付日経新聞)。しかし、米国のようにテロ対策のためなら、政府がサーバーを押収できる国に対して、どこまで実効性のある指針が作成できるかは予断を許さない。
自国民のデータが海外に流出するのに無防備な個人情報保護法や前回紹介したようにデータを海外に逃避させるような著作権法の改正こそ喫緊の課題といえよう。
(城所 岩生 国際大学客員教授)
