カテゴリー:Global

クラウドサービス利用と輸出管理規制上の留意点

 昨今のビジネス界ではすっかりお馴染みとなったクラウドコンピューティングサービス(以下「クラウドサービス」)ですが、コンプライアンスとの関係でいくつか知っておかなければならないポイントがあります。
 以前、当コラムでクラウドサービスと個人情報保護に関する法規制との関係について述べたことがありましたが、今回はクラウドサービス利用にあたっての輸出管理規制上の留意点についてご紹介したいと思います。

注)本稿で述べる内容は、すべて執筆担当者の個人的見解であり、東洋ビジネスエンジニアリング株式会社を含むいかなる企業、団体をも代表して公式見解を示すものではありません。また、本稿で述べる内容をもとにいかなる行動がとられ、またはとられなかったとしても、東洋ビジネスエンジニアリング株式会社および執筆担当者は一切責任を負いません。

1.外為法とは?

「外為法」と呼ばれる法律をご存知でしょうか?
 外為法(がいためほう:外国為替及び外国貿易法)では、日本国の安全保障の観点から、武器、兵器等の開発につながる可能性のある物品や技術を外国へ「輸出」する場合には事前に経済産業大臣の許可を得なければならない、などといった規制がかけられています。
 例えば、①武器技術、②大量破壊兵器等関連汎用技術(原子力、化学兵器、生物兵器、ミサイル等)、③通常兵器関連汎用技術(先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサー、航法装置、海洋関連、推進装置等)、などに関係する取引が対象となります。

外為法

2.「輸出」の意味に注意!

 さて、「輸出」とは何でしょうか?
 外為法では、「輸出」とは「貨物の輸出」だけでなく、「技術の提供」も含まれます。
 つまり、「技術」=「武器、兵器等の設計、製造、仕様に必要な情報」を海外に提供する場合には、外為法の規制対象になります。

3.クラウドサービスの利用が法令違反に?!

 では、クラウドサービスとの関係では、どのような問題があるでしょうか?
 クラウドサービス事業者の中には、世界中に置かれたデータセンターに利用者のデータを分散して保存、管理する企業もあります。利用者がこのような企業のサービスを利用することは、海外のデータセンターに情報を提供するのと同じ意味になります。
 したがって、利用者がクラウドサービス上に保管したデータに外為法の規制対象となる「技術」に関連する情報が含まれていた場合には、外為法違反になってしまうのではないか?という問題が出てくるのです。

4.法令順守を確実にするためには?

 クラウドサービスは、今では企業活動にとって欠かせないツールとなっています。
 法令上の問題があるとはいえ、もし自由に活用できないとなると、日本企業の国際競争力の維持にも関わる切実な問題になります。
 そこで、クラウドサービスに関する外為法の解釈・運用について、2013年に経済産業省から次のような通達が出されました。
・「サービス利用者が自らが使用するためにサービス提供者のサーバーに情報を保管することのみを目的とする契約である限りにおいて、サービス利用者からサービス提供者等に情報を提供することを目的とする取引にあたらないため、外国に設置されたサーバーに特定技術が保管される場合であっても、原則として外為法第25条第1項に規定する役務取引に該当せず、同条に基づく許可を要しない。」

 要するに、ユーザが自分で利用するための情報のみを管理する目的でクラウドサービス契約を締結している場合であれば、外為法の規制対象となる技術情報が実際には海外のサーバ上に保管されていても、外為法違反にはならないとの解釈が示されたのです。

ただし、次の場合には外為法違反となりますので、注意が必要です。
① ユーザが保管した技術情報(外為法規制対象)を、海外の第三者が閲覧、取得等することを知りながらクラウドサービス契約を締結し、その技術情報を海外のサーバで保管する場合
② クラウドサービス契約締結の当初は想定していなくとも、海外の第三者がその技術情報を閲覧、取得等していることが事後的に判明したにもかかわらず、その技術情報の海外での保管を継続する場合

<外為法違反の判定フロー>
外為法違反の判定フロー

5.クラウドサービスを選ぶ前に

 外為法の規制対象となりそうな情報をクラウドサービス上で管理する場合には、事前に次の事項について慎重に確認することをお勧めします。
① クラウドサービス用サーバの設置場所(=データ保管場所)はどこか?
② ユーザ以外の者にデータへのアクセスを許可するケースが明確かつ限定されているか?
③ ユーザ以外の者が容易にデータにアクセスできない対策や仕組みが作られているか?
④ 不正アクセスがあった場合、それを検出できるシステムが構築されているか?
⑤ 信用ある第三者によって、海外サーバの運用・管理状況が監査されているか?

6.Business b-ridgeサービスと外為法

 当社が提供するBusiness b-ridgeサービスでは、プラットフォームとしてMicrosoft社のMicrosoft Azure(以下「Azure」)を利用しており、上記①~⑤については以下のとおりとなっています。

① サーバの設置場所は、当社が指定でき、当社の許可なく変更されることはありません。現在当社は日本国内の設置場所を指定しています。
② Microsoft が顧客データを使用することはなく、宣伝や他の商業上の目的のためにデータから情報を取り出すこともありません。
③ お客様から指示がない限り、Microsoftがお客様のデータに直接アクセス、間接アクセス、無制限アクセス等をすることはなく、また当社も同様です。例外的にアクセスする場合としては、お客様のご依頼に基づく場合に限定されます。
 第三者(法的機関、政府機関、訴訟当事者を含む)からお客様のデータの提供を求められた場合は、直接お客様にデータ提供を依頼するよう、当該第三者に要請します。やむを得ずお客様のデータを第三者に開示する場合は、法律で禁止されている場合を除き、お客様に速やかに通知し、開示要求の内容をご連絡いたします。
④ 万が一第三者からの不正アクセスがあった場合に備えて、Azure には監視および分析システムが設定されています。また、専属チームにより、ネットワーク、プラットフォーム、アプリケーションレイヤーにおける現実の攻撃を常にシミュレートし、セキュリティ侵害を検出、防止、回復する仕組みが構築されています。
⑤ AzureはISO 27001、ISO/IEC 27018、HIPAA、FedRAMP、SOC 1、SOC 2など、業界固有の国際的コンプライアンス基準、およびオーストラリアのIRAP、英国のG-Cloud、シンガポールのMTCSなどの国ごとの基準を満たしています。また、British Standards Instituteなどの第三者による厳格な監査を通じて、Azureのセキュリティ管理に関する当該要求基準への準拠が厳密に検証されます。

 以上のように、Business b-ridgeサービスでは、外為法の規制対象となるような重要な機密情報をクラウドサービス上で管理したいというご要望にもお応えできる仕組みを採用しております。

7.最後に

 クラウドサービスは、今やどの企業でも何らかの形で利用しているほど普及しつつありますが、利用の仕方によっては思わぬコンプライアンスリスクが顕在化することがあります。
特に輸出管理法令は規制の仕組みが複雑で、国際情勢や安全保障政策、軍事技術の進歩などによって頻繁に改訂されることがありますので、注意が必要です。
 クラウドサービスを選ぶ際には、見た目上のコストや使い勝手だけでなく、『日本国内のサーバのみを利用しているクラウドサービスを選ぶことがコンプライアンス上必須か?』等の点からも、慎重な検討が必要と言えます。

日本からグローバルへ!!

お役立ちリンク情報
経済産業省発表の新旧対照表
経産省Q&A Q55~62
CISTEC(安全保障貿易情報センター)
CISTEC(安全保障貿易情報センター)解説

東洋ビジネスエンジニアリング株式会社
國原 寛子
2008年より東洋ビジネスエンジニアリング(株)にて契約法務業務を担当。

Globalのその他の記事を読む

ビジネスコラムのカテゴリ

Webサイトトップページへ戻る

ビジネスコラム「製造業SETQ部」記事一覧へ戻る

お問合せ・資料請求・メルマガ購読
  • お問合せ
  • 資料請求
  • メルマガ購読

おすすめ記事一覧

関連記事一覧

  • コラム・対談
  • よくある質問
  • EBCとは

ページTOPへ