震災でメリットが再認識されたクラウドサービスの法的リスク

　コスト、利便性などで注目されるクラウド・コンピューティング・サービス。東日本大震災でもシステムの復旧の早さでその有用性が再認識されたといわれる。ただ、このサービスの定義は難しく、それゆえ使われる用語も曖昧なものが多い。濱野敏彦弁護士が、クラウドサービスに関する用語の意味について整理をした上で、導入に伴って起こり得る法律問題を解説する。

 

クラウド・コンピューティング・サービスの法的リスク

西村あさひ法律事務所
弁理士・弁護士　濱野敏彦

　■　はじめに

　クラウド・コンピューティング・サービス（以下、「クラウドサービス」という）は、情報システム関連コストを削減しつつ、情報セキュリティの確保を実現する非常に魅力的なサービスであるため、日本においても徐々に導入が進んでいる。

　しかし、クラウドサービスを導入すると、情報システムが根底から変わることとなるため、様々な法律問題が生じ得る。

　そこで、本稿においては、クラウドサービスに関して使われる用語のうち、注意を要する用語について解説をした上で、クラウドサービスにどのような法的リスクが存在するかを解説する。また、2011年3月11日の東日本大震災で再認識されたクラウドサービスのメリットについて解説する。

　■　クラウドサービス関連用語の解説

　クラウドサービスに関して使われる用語には、曖昧な内容の用語が多いため、注意をする必要がある。そこで、本稿では、クラウドサービスの法的リスクを検討する前提として、特に注意が必要であると思われる「クラウド・コンピューティング」、「プライベート・クラウド」、「パブリック・クラウド」及び「インターネット上」の意味について解説する。

　○クラウド・コンピューティング

　クラウド・コンピューティングについては、様々な定義がなされているものの、未だ確立した定義は存在しない。

　そもそもクラウド・コンピューティングというものは、事柄の性質上、コンピュータ利用のトレンドを示すものであり、それ以上のものではないため、定義をすること自体が困難である。

　ただ、クラウド・コンピューティングの特徴としては、(1)高度なスケーラビリティ(拡張性)、（2）抽象化されたコンピュータリソース、（3）サービスとして提供されること、（4）利用料金が比較的安価であること、という4つの特徴が挙げられる。

　クラウド・コンピューティングに確立した定義が存在しないため、クラウドサービスの意味も必ずしも明確ではない。そこで、本稿においては、上記クラウド・コンピューティングの（1）乃至（4）の特徴を有するICTサービスを「クラウドサービス」と呼ぶこととする。

　○プライベート・クラウドとパブリック・クラウド

　クラウドサービスは、パブリック・クラウドとプライベート・クラウドに分類されることがある。

　プライベート・クラウドという言葉は、各クラウドサービス事業者により様々な意味で用いられている。すなわち、各クラウドサービス事業者が、自社のクラウドサービスがセキュリティ、信頼性などの面で優れていることを強調し、他の事業者のクラウドサービスとの差別化を図るために用いられているようである。

　プライベート・クラウドという言葉が様々な意味で用いられているため、その反対概念であるパブリック・クラウドも様々な意味で用いられている。ただ、プライベート・クラウドと異なり、クラウドサービス事業者の中で、自社のクラウドサービスがパブリック・クラウドであることを強調して、自社のサービスを宣伝しているクラウドサービス事業者は見当たらない。結局のところ、パブリック・クラウドは、他者のサービスとの差別化を図るために使われ始めたプライベート・クラウドという言葉の反対概念として使われているに過ぎないようである。

　プライベート・クラウドとパブリック・クラウドの他にも、パブリック・クラウドとプライベート・クラウドを組み合わせて利用するものを「ハイブリッド・クラウド」、複数のパブリック・クラウドを組み合わせて利用するものを「マルチ・クラウド」と呼ぶこともあるが、上記のようにそもそもプライベート・クラウド及びパブリック・クラウドという言葉自体が様々な意味で用いられているため、これらの言葉の意味は曖昧なものとならざるを得ない。

　従って、クラウドサービスの利用を検討する際には、各クラウドサービスにどのような名前が付されているかではなく、実際にそのサービスがどのような内容のサービスであるかを調べることが重要である。

　○「インターネット上」

　例えば、「クラウドサービスでは、インターネット上にデータを保存するため、セキュリティに問題がある」などというように、「インターネット上」という言葉を用いて、クラウドサービスによるデータの保存方法を批判する見解が散見される。

　しかし、この見解は正しくないように思われる。

　そもそも、「インターネット上」にデータを保存することはできない。インターネットはあくまでもネットワークであるから、データはインターネットを「流れる」のであり、インターネットの上に「保存」されるわけではない。

　また、「インターネット上」という言葉は、非常に多義的な言葉である。そのため、上記見解においてどのような意味で用いられているのかを推測すること自体が困難である。ただ、仮に、「インターネット上」という言葉が「直接的又は間接的にインターネットに接続されているサーバ」という意味で用いられているのであれば、一般的な企業のシステムにおいても、「インターネット上にデータを保存」しているということになってしまう。なぜなら、一般的な企業のシステムにおいても、データが保存されているサーバは企業内のLANによって(インターネットと接続されている)プロキシサーバと接続されているため、間接的にはインターネットに接続されているといえるからである。

　結局のところ、「インターネット上」という言葉自体が非常に曖昧な言葉であるから、「インターネット上」という言葉を用いたクラウドサービスに対する批判には注意する必要がある。

　■　クラウドサービスの法的リスク

　○個人情報保護法

　クラウドサービスを利用して個人情報をクラウドサービス事業者に預ける際には、どのような点に留意するべきであろうか。

　まず、個人情報保護法では、個人情報取扱事業者が個人データを第三者に提供する場合には、原則として、あらかじめ本人の同意を得ることが必要とされているが、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」には、本人の同意を得ることを要しない旨規定されている(個人情報保護法23条4項1号)。

　クラウドサービスを利用して個人情報をクラウドサービス事業者に預ける行為が個人情報保護法23条4項1号に該当するかは、どのようなクラウドサービスを利用するかという個別具体的な事案により結論が異なり得るものの、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)において、例えば「データの打ち込み等、情報処理を委託するために個人データを渡す場合」についても該当する旨記載されていることなどを考慮すると、一般的には、個人情報をクラウドサービス事業者に預ける行為も、個人情報保護法23条4項1号に該当する場合が多いと考えるのが自然であろう。

　個人情報をクラウドサービス事業者に預ける行為が個人情報保護法23条4項1号に該当する場合には、本人の同意を得る必要はなくなるが、クラウドサービス事業者に対する「必要かつ適切な監督」を行うことが必要となる(個人情報保護法22条)。個人情報保護法22条においては、「必要かつ適切な監督」について具体的な内容は規定されていないが、各種ガイドラインにはより具体的に規定されている場合があるので、クラウドサービスを利用しようとする事業者は、対象となるガイドラインを確認する必要がある。「必要かつ適切な監督」としては、一般的には、（1）クラウドサービスを導入する際に、クラウドサービス事業者に対する監督を行い易いシステム(システムの稼働状況を確認できるようなシステムなど)を採用しているクラウドサービスを選択すること、（2）クラウドサービスの利用契約において、事故発生時の迅速な報告義務、目的外利用の禁止などを定めることなどが考えられる。また、クラウドサービス事業者が第三者に再委託する場合には、クラウドサービス利用者は、クラウドサービス事業者を通じて再委託先の第三者を監督する必要がある。そこで、クラウドサービスを利用しようとする事業者は、クラウドサービス利用契約において、再委託の条件などについても規定しておくべきであろう。

　○外国公権力によるデータの差押え

　国外データセンタにデータを保存する場合、外国の公権力により当該データが差押えを受けるリスクが指摘されることがある。

　しかし、（1）そもそも国内であっても日本の公権力によりデータを差押えられるリスクは存在する。また、（2）クラウドサービス事業者が正当な理由なく公権力にデータを開示したことが明らかになれば、そのクラウドサービス事業者に対する信用は失墜することになるから、クラウドサービス事業者が容易に公権力の要求に応じるとは考え難い。さらに、（3）公権力が強引にデータを取得しようとしても、目的のデータがどのサーバに存在するかを判断することは容易ではないため、全てのサーバを差し押えざるを得ないようにも思われるところ、クラウドサービス事業者が大規模データセンタを有する場合には、全てのサーバを差し押えることは現実的ではない。加えて、（4）データセンタ内に保存されているデータが切片化されている場合には、データを復元するためには莫大なコストがかかる。

　これらの諸点を考慮すると、外国の公権力によるデータの取得、開示強制等のリスクが、国内のデータセンタへ保存する場合と比べてそれほど高いとはいえないように思われる。

　○外為法

　国外データセンタへのデータの送信については、データの内容によっては、技術情報の輸出として外国為替及び外国貿易法(以下、「外為法」という)に違反するのではないかという指摘がある。すなわち、外為法においては、国内から国外へ一定の技術の輸出を行う場合には、経済産業大臣の許可を受けなければならないところ(外為法25条1項、外国為替令17条1項、外国為替令別表、輸出貿易管理令別表、輸出貿易管理令別表第一及び外国為替令別表の規定に基づき貨物又は技術を定める省令)、クラウドサービスの利用者が、クラウドサービス事業者のデータセンタに一定の技術に関するデータを送信することが、上記の外為法25条1項の技術の輸出に該当する可能性があるとの指摘がある。

　この点、外為法25条1項では、一定の技術を「提供することを目的とする取引を行おうとする」ことが要件となっているところ、クラウドサービスの利用者による、クラウドサービス事業者のデータセンタへのデータの送信行為が、この要件に該当するかが問題となる。

　クラウドサービス事業者は、クラウドサービスの利用者が送信するデータを単に預かっているに過ぎず、そのデータを利用することを認められているわけではない。そうすると、外為法25条1項の文言の自然な法解釈としては、クラウドサービスの利用者によるデータの送信は、クラウドサービス事業者にそのデータを「提供することを目的とする取引を行おうとする」場合には該当しない可能性が高いように思われる。

　従って、クラウドサービスの利用者によるクラウドサービス事業者のデータセンタへのデータの送信行為は、外為法25条1項に違反しない可能性が高いように思われる。

　○バップアップのための複製(著作権法)

　多くのクラウドサービスでは、利用者から預かったデータのバックアップをとっている。そのため、利用者から預かったデータに著作物が含まれている場合、クラウドサービス事業者によるバックアップ行為が、複製権侵害を構成しないかが問題となり得る(著作権法21条)。

　この点、2009年改正前の著作権法においては、当該行為は、確かに形式的には複製権侵害を構成する行為であった。しかしながら、2009年改正において、送信の障害の防止などのための複製(著作権法47条の5、同施行令7条の3第1号)として、自動公衆送信装置及び特定送信装置に記録された著作物をバックアップ目的で複製する行為に対する著作権の権利制限規定が新設された。

　クラウドサービス事業者が行う、利用者から預かったデータのバックアップの自動生成、データの複製などの行為は、上記の自動公衆送信装置及び特定送信装置に記録された著作物をバックアップ目的で複製する行為に該当する可能性が高いといえる。

　従って、クラウドサービス事業者による当該行為は、著作権侵害を構成しない可能性が高いといえよう。

　○特許権等の侵害に基づく差止め(特許法など)

　クラウドサービスに特有の問題ではないものの、クラウドサービスにおいても、特許権などの侵害を理由として、裁判所からの差止命令によりクラウドサービスが停止するおそれはないかが問題となり得る。例えば、クラウドサービス事業者による負荷分散装置の利用が特許権侵害を構成する場合や、データセンタの冷却装置の利用が特許権侵害を構成する場合などに、裁判所からの差止命令に基づきクラウドサービスが停止しないかが問題となる。

　しかしながら、結論としては、現実的には、差止請求に基づく事業停止のリスクはそれほど大きくはないと考える。その理由は以下のとおりである。

　まず、（1）裁判所が差止命令を出す場合には侵害行為を特定する必要があるところ、クラウドサービス事業者が、具体的にどこでどのような侵害行為をしているかを特定することは、それほど容易ではない。

　次に、（2）外国にデータセンタなどが置かれている場合には、クラウドサービス事業者の負荷分散装置の除去やデータセンタの冷却装置の除去などの執行をすることは容易ではない。

　そして、（3）仮に、一つの国において負荷分散装置の利用停止やデータセンタの冷却装置の利用停止などを内容とする差止命令が出されたとしても、クラウドサービス事業者が世界中にデータセンタを有している場合には、その他の国のデータセンタによりクラウドサービスの提供を継続することができる場合が多いであろう。そうすると、世界中にデータセンタを有しているクラウドサービス事業者は、法的な攻撃に対して耐性が強いといえる。

　さらに、（4）訴え提起から差止命令が出されるまでの間に、ある程度の時間的猶予があるため、その間に特許権などの侵害を構成しない方法へ変更することができる場合もある。例えば、負荷分散装置の使用が特許権侵害を構成している場合には、訴え提起から差止命令が出されるまでの間に、当該負荷分散装置を別の負荷分散装置に置き換えることが考えられる。

　○その他

　上記の他に、クラウドサービスの導入についての導入企業の取締役の善管注意義務、クラウドサービスを利用する場合のJ-SOX法への対応などについてもクラウドサービスの法的リスクとして指摘されることがある。しかし、これらについては、クラウドサービスに共通する問題があるわけではない。そこで、各クラウドサービスについて、具体的に検討することが必要となる。

　■　東日本大震災とクラウドサービス

　一般的に、クラウドサービス事業者がデータを保存しているデータセンタは、非常に優れた耐震性を有している。そのため、クラウドサービスを利用すれば、自社内でデータを保存する場合と比較して、データが喪失するリスクを低減することができる場合が多いであろう。また、複数の地理的に離れた場所にあるデータセンタでデータが保存されているクラウドサービスでは、地震などの局所的な災害が起きても、全てのデータが消失する可能性は低いといえる。このように、クラウドサービスは、データの保護及びバックアップの点において優れているといえる。

　しかし、何より、東日本大震災において、クラウドサービスのメリットが最も大きく現れたのは、システムの復旧の早さであろう。

　クラウドサービスを利用せずに、自社システムのみを利用している場合、地震の後の復旧作業は困難を伴うものであったと思われる。地震発生により急に電源が落ちてしまったため、サーバ、OS、データベース、アプリケーションなどの様々な部分で問題が生じている可能性がある。このような場合に、企業内の情報システム部門のみで問題が生じている部分を見つけ出し、復旧作業を行うことは非常に困難である。そこで、情報システム部門は事業者にサポートを求めるものと思われる。しかしながら、企業は複数の事業者のサービスを受けている場合が多いため、どの部分で問題が生じているかがわからない場合には、どの事業者を呼ぶかを判断することも容易ではないであろう。結局、全ての事業者を呼ぶことになりかねないが、地震の直後は事業者の人員が不足しているため、復旧作業には長い時間がかかってしまうおそれがある。

　これに対して、クラウドサービスを利用している場合には、システム自体はクラウドサービス事業者のデータセンタに準備されているため、地震によって切断された通信回線が復旧しさえすれば、地震発生前と同様にサービスの提供を受けることができるのである。実際に、東日本大震災の直後から、クラウドサービス事業者が被災地の自治体、企業などに対して無償でクラウドサービスを提供するという支援活動を行っているところ、このような支援を行うことができたのは、クラウドサービスは通信回線さえつながれば、直ぐに利用することができるからである。

　以上から、震災後のシステムの復旧の迅速さは、クラウドサービスの大きなメリットであるといえる。

　■　最後に

　クラウドサービスは、情報シ