経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

情報を積極公開し、顧客の信頼を勝ち取るコンプライアンスに自信があるからこそ

顧客の大切なデータを預かるクラウドサービスで重要なのは、データを預けても安心という顧客の信頼を獲得すること。そのためには、情報を公開して透明性を確保し、コンプライアンスを徹底する。それがマイクロソフトのスタンスだ。クラウドのセキュリティ対策には、グローバルレベルのコンプライアンス対応が不可欠となる。その取り組みを、日本マイクロソフト業務執行役員 政策渉外・法務本部 副本部長の舟山 聡氏に聞いた。

ー信頼性確保の観点から、どうセキュリティ対策に取り組んでいますか。

クラウドサービスを安心して利用するためには、“サイバー空間”が安全でなければなりません。しかし、サイバー空間を支える重要インフラであるインターネットを狙ったサイバー犯罪も増加しています。そこでサイバー空間の安全を確保するため、技術だけではなく、政策渉外・法務の観点からも顧客のデータやビジネスを守るというのが、マイクロソフトのスタンスです。これにはサイバー犯罪対策としてのセキュリティ対策のほか、プライバシー対応と政府機関からのデータ開示対応、各国法令対応としてのコンプライアンス、そしてこれら取り組みについて透明性をもって開示していくことが含まれます。

私が属する「Corporate, External,and Legal Affairs(CELA:政策渉外・法務本部)」は、世界108 都市54カ国に1500 名以上を擁する法律と技術の専門家チームで、顧客のクラウドへの移行を法令を遵守しつつ早く安全に実行するための支援を目標としている組織です。各国のメンバーが連携し、顧客から信頼されるクラウドを目指して活動しています。

米国政府からもデータを保護

ー「マイクロソフトは米国企業だから、米国愛国者法でデータを米国政府に利用されるのでは」と心配する声もあります。

愛国者法はテロ対策やマネーロンダリング、組織犯罪を対象としたものです。通常のビジネス活動をするうえで心配する必要はありません。

マイクロソフトは、「データは顧客のものである」と明確に打ち出しています。第三者へのデータ開示は原則として行わず、当局からの要請も「まずは顧客に直接開示要請を」と対応しています。それでもマイクロソフトに対する開示要請が来た場合は、法的強制力がある場合のみ、法令上禁止されていない限り顧客に通知したうえで、限定的に開示要請に応じています。

各国における対応は、半期ごとにWebサイト上で報告しています。直近半期の開示要請は世界各国で3万5572件ありましたが、ほとんどは個人向けサービスに関するもので、企業のクラウドユーザーに対するものは28件にすぎません。そのうちコンテンツ開示に至ったのはわずか5件です。日本ではゼロでした。こうした数字を基に適切なリスク判断をすべきでしょう。

ー預かったデータを利用して、ビジネスをすることはないのですか。

企業向けのクラウドビジネスにおいて、マイクロソフトは顧客のデータを広告配信には一切使用していません。マイクロソフトのビジネスモデルはライセンスを顧客に販売し、顧客から得た利益を次の開発に投資して、顧客に還元していくモデルです。顧客の個人情報を第三者に転売したり広告利用したりで利益を得るモデルではないからこそ、顧客のデータは顧客のものという取り扱いが徹底できるのです。

ーコンプライアンスに関する取り組みを教えてください。

コンプライアンスに関しては、「クラウド上でデータが国境を越え、法令対応も複雑となり十分な対応ができない」という懸念があります。この点、マイクロソフトは契約で、「マイクロソフトによるクラウドサービスの提供に適用される、すべての法規制を遵守する」と約束しています。確かに、契約の中で「適用される法律をすべて遵守する」と謳うことは、マイクロソフトにとって“リスク”かもしれません。対応には費用もかかります。しかし、マイクロソフトは、グローバルな組織を有し、各国の法制度を調査して対応できるのです。

なお、外資系企業との契約では海外の契約準拠法を指定されることもあります。この点、マイクロソフトは、日本でクラウドサービスを契約する際の契約準拠法は日本法なので安心です。

ーマイクロソフトは各種の「認証」を積極的に取得しています。これも信頼できるクラウドを目指しているからなのですか。

会社自身がメッセージを発信するだけでなく、フレームワークへの準拠や「第三者認証」の取得により信頼を客観的に担保することも大切だと考えています。例えば、Azureは、個人データの扱いが厳格なEUの規制への対応として、「データ処理契約」「EUモデル条項」「プライバシーシールド」すべてに準拠しています。また、2018 年5月に施行される「EU一般データ保護規則(GDPR)」への対応も宣言しています。GDPRは個人データを収集、処理を行う事業者に対して新たな義務や罰則が課される法律です。しかし、マイクロソフトの顧客であれば、GDPRの要求事項をクリアするためにAzureの様々な機能を使うことができます。

さらに、パブリッククラウド事業者向けの個人情報の取り扱いに関する国際標準認証「ISO/IEC 27018」にも準拠しています。もちろん、金融機関や医療機関など特別な配慮が必要な業界についても規制は調査済みで、FISC(金融情報システムセンター)の安全対策基準への対応表などが別途提供されています。「ISO/IEC 27017」をベースとした日本セキュリティ監査協会(JASA)の「Cloud Securityゴールドマーク」も取得しました。

信頼できるクラウド

ーマイクロソフトはクラウドサービスの信頼に関する各種情報をWebサイトで公開しています。「透明性」の観点から情報公開の取り組みを教えてください。

クラウドのデータセンターが世界中に存在し、データが国境を越えます。こうした中で必要なのは、プライバシー対応やコンプライアンス対応について、顧客に正しく伝えることです。「Microsoft Trust Center」(画面)では、国別、サービス別に必要となる情報を公開しており、法務・コンプライアンス担当者向けのページもあります。

マイクロソフトでプレジデント兼CLO(最高法務責任者)を務めるブラッド・スミスは、「人々は信頼できるテクノロジーしか使いません」と指摘しています。だからこそ、クラウドも信頼できるものでないといけません。そのために政策渉外・法務本部ができることは、サイバー犯罪対策を含めたセキュリティ対策、プライバシー対応と政府機関の要請からも保護するデータコントロールの確保、各国法令のコンプライアンス支援、そして、これらの情報を十分に開示して、信頼獲得への取り組みを継続していくことにほかなりません。