アーカイブ

クラウドと輸出管理規制 – 経産省通達で解釈が明確に

クラウドと輸出管理規制に関して新しい通達が出ました。

これまで、国外のクラウドサービス利用による情報の保管が外為法上の輸出管理規制の対象になるのかどうかの解釈が、必ずしも明確ではありませんでした。つまり、特定技術情報を保存することが外為法上の「輸出」にあたるのかどうか、というところが曖昧だったのです。

6月21日付けで経済産業省が出した通達(施行は9月1日から)で、この部分の解釈が明確化されました。

「輸出注意事項25第14号 外国為替及び外国貿易法第25条第1項及び外国為替令第17条第2項の規定に基づき許可を要する技術を提供する取引又は行為についての一部を改正する通達 (日本)」
http://www.jetro.go.jp/notice/announcement/51babdbc01f40

添付ファイル(PDF)
http://www.jetro.go.jp/biznews/attachment/51babdbc01f40.pdf

「情報を保管し利用するためのサーバーを提供するサービス(ストレージサービス)においては、当該サービス利用者が意図するとしないとにかかわらず、国外に設置されたサーバーに情報が保管される可能性がある。
他方で、ストレージサービスを利用するための契約は、サービス利用者が自らが使用するためにサービス提供者のサーバーに情報を保管することのみを目的とする契約である限りにおいて、サービス利用者からサービス提供者等に情報を提供することを目的とする取引にあたらないため、外国に設置されたサーバーに特定技術が保管される場合であっても、原則として外為法第25条第1項に規定する役務取引に該当せず、同条に基づく許可を要しない。したがって、外為法第25条第3項の対象にも該当しない。」

「サーバー上に存在するプログラム(アプリケーションソフトウェア等)を、インターネットを介して、他者がダウンロードすることなく利用できる状態にするサービス(SaaS等)を提供することは、プログラムをサービス利用者にとって利用できる状態に置くことを目的とする取引であり、提供を目的とする取引にあたるため、当該プログラムが特定技術であれば、外為法第25条
第1項に定める役務取引に該当する。」

詳しくは全文を参照いただきたいですが誤解を恐れずに要約すると、

  • PaaS や IaaS を利用する場合は、データの保存先が国外であってもサービス提供者に対する輸出にはあたらない
  • 特定技術にあたるプログラムをSaaS提供する場合は、 役務取引に該当することがある

ということになります。

パブリッククラウドのサービスを利用するに際して、輸出管理規制が気になっていた方もいらっしゃるかもしれませんが、この通達によって解釈が明確になりましたね。

また、Windows Azureは日本リージョンの開設も今後予定されています(こちらご参照)。併せてご検討の上でご利用ください。

米国愛国者法とWindows Azure

クラウドの利用にあたって米国愛国者法(パトリオット法)の影響と懸念は、よく話題に上がります。

先日(5月23日)、Windows Azureの日本リージョンデータセンター開設計画が発表されましたが

日本にデータセンターがあっても米国愛国者法の影響下にあるから…と懸念されるコメントも聞きました。

そこで、今回は米国愛国者法に対する誤解について重要なふたつのポイントをとりあげます。

#詳細な情報は、最後にご紹介している文献などをご参照下さい。ここではBusiness面からWindows Azure利用を検討される方のために、ふたつのポイントに絞って記載しています。

  1. マイクロソフトは米国系企業だから、データセンターがどこにあっても米国愛国者法の対象になる。ー 誤解があります

      • 「米国系企業」または「米国に本社がある企業」が対象、と誤解されがちですが、米国に「存在がある」企業であれば、データの管理や保持をしている限りは米国愛国者法の対象にはなります。情報の存在場所には関わりません。
      • Microsoftは、もちろん米国に存在がある企業ですので、その意味で米国愛国者法の対象にはなります。「米国系企業だから」ではありません。そして、米国に存在がある企業であれば、日本企業でも対象にはなり得ます。

     

  2. 米国愛国者法はクラウド事業者に顧客の情報の開示を強制できる。 ー 誤解があります

      • 米国愛国者法は、テロ行為などの阻止を目的とした法律です。テロ活動にまったく関わりのない一般企業の情報の開示を、この法律があるからと米国政府がクラウド事業者に求めることはありません。
      • この法律は、捜査上の手続きを簡略化するためのものであり、この法律だけで新たにオンラインデータに米国政府がアクセスできるようになったわけではありません。
      • 政府は、事業者に情報提供を請求する際に、顧客にそのことを通知することを基本的に許しています。Microsoftを含むどの事業者でも、請求を受けた場合にはまずお客様に連絡をして許可を求めるように対応するのが一般的です。
      • 日本の国内のデータセンターに対しては、米国政府はきちんと日本の当局と相談の上でプロセスを進めるであろうことは、米国大使館で行われたセミナー参加者による記録でも記載されています(このセミナー、当初参加予定だったのですが、急な日程変更で参加できなかったのです。残念でした)。米国政府が勝手な強制力を持って操作を進めるようなことは、実際にはないものと解釈できます。
参考文献

USA PATRIOT Act and the Use of Cloud Services (Covington & Burling LLP) :

http://www.insideprivacy.com/cloud-computing/usa-patriot-act-and-the-use-of-cloud-services/

USAパトリオット法とクラウド・サービスの利用  質疑応答(上記記事の日本語訳):

http://www.insideprivacy.com/resource_center/Covington%20Cloud%20Info%20and%20Patriot%20Act_Japanese.pdf

インターネット新時代の法律実務Q&A(日本加除出版):

http://www.kajo.co.jp/book/40475000001.html

海外展開時に誤解しがちなクラウドの課題を再考する(マイクロソフト Enterprise Customer Careサイト スペシャルコンテンツ):

http://www.microsoft.com/ja-jp/business/enterprise/ecc/article/cxo1303_global-it-infra.aspx

 

なお、Windows Azureのセキュリティーやコンプライアンスの情報については、Windows Azure トラストセンターのページ(http://www.windowsazure.com/ja-jp/support/trust-center/)をご参照下さい。