国産クラウドベンダーがEUでサービス展開できない訳

青野氏：Webに書き込んだ通りですが、越境データという問題に気付いたきっかけは、（ITproで掲載されていた）「EUデータ保護規則」の衝撃という記事を読んだことです。この記事によると、「EUの個人データは私たちの日本では管理すると罰せられるので、国産クラウドは提供できない」ということになります。最近、日本大企業から引き合いが増えていますが、「EUにある支店でもサイボウズのサービスを使えるのか」と尋ねられると、「はい」とは言えないということですよね。

板倉氏：その通りです。EUから「十分性」を得ていないので、欧州に支店などがある組織では使えません。EUから十分性を得るには、越境移転を制限しなければならないのですが、日本はホワイトリスト方式を採用しているので、難しいのが現状です。ホワイトリスト方式の場合、米国は日本に十分性を認めることを求めてきます。しかし米国はEUから十分性が認められていないため、日本もEUの十分性が得られなくなってしまうのです。また日本の法律では、パーソナルデータの取り扱いの全部または一部を外国事業者に委託する越境委託にも制限があります。つまりサイボウズがEUの子会社でクラウド事業を展開しても、こうした問題が出てきて、難しいのが現状です。

鈴木氏：これまで産業界は十分性認定に逆行するような方向へと進んでいたことにも原因はあります。そのため日本の越境データ問題は欧州とも米国とも乖離しており、日米欧でデータ流通が滞っている。その一番の問題がプロファイリング規制だと思います。EUの規制の中では最もインパクトが大きい。

クラウドというビジネスモデルは「委託」なのか

山本氏：クラウドは委託かという問題についてはいかがでしょう。

高木氏：EUやOECDのガイドラインではコントローラとプロセッサという用語を使って、委託元と委託先の区別をしていますが、日本の法律ではそういう区別がないのもやっかいです。例えば最近、富士通がパソコンの修理受付で、マイナンバーが入っているパソコンは取り扱わないということが話題となり、結局、マイナンバーとして使用しないのであれば、別に取り扱っても構わないということになりました。EUの制度では「マイナンバーとして取り扱う」「パーソナルデータとして取り扱う」という「として」という部分が大事な点なんです。日本は「取り扱い」という言葉で保管も何もかも表すので、そこも解決しないといけないところだと思います。

板倉氏：一般論として「外国にある第三者が個人データを取り扱えない」という旨が契約条項で定められており、適切なアクセス制御が行われている場合は、委託にはなりません。個人データの提供を受けて取り扱っていることにはならず、倉庫と同じ。したがってサイボウズが海外に出ても、セキュリティの規制しかかからなくなります。ただし契約条項に「個人データとして取り扱わない」という旨を記載してもらえるかどうか。サイボウズはこれを守って海外で展開しないと、日本から出られないということです。

青野氏：よく分からないのですが、国ごとに守りたいものバラバラで、個別で交渉をしたりお金を払ったりなど、全体負債的な問題が起きている認識で良いのでしょうか。

【次ページ】越境データ問題ではどんなリスクをはらんでいるのか