データの越境所在のリスク-海外に顧客情報、金融機関の4割 ルールの明確化急務

日経新聞2021年5月25日に「海外に顧客情報、金融機関の4割 ルールの明確化急務」という記事がてでています。

国内主要金融機関49社のうち約4割が顧客の個人データを海外に移転・保管していることがわかった。システム開発は海外委託が7割を超える。対話アプリ「LINE(ライン)」の利用者の情報が中国からアクセスできた問題を受け、金融庁などは重要な情報を扱う金融機関を調査しているが、中国を含む海外へのデータ移転は常態化している。

このブログでも、LINEで、中国の委託先からアクセスが可能であったことから生じた議論については、「「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む」というエントリでふれています。

この事件を契機に、新聞社が、データのアクセスについて、いわゆるアンケートをとったということのようです。

記事からいくと、

中国企業に個人情報の入力や管理を委託していた。帳票などのデータ入力補助が3社、データのメンテナンス委託が1社だった。中国では大連、上海などで大量の人員を雇い申込用紙の入力を代行するビジネスが盛んで、日本企業も2000年代半ばから活用を拡大した。

となっています。

いうまでもなく、

日本の個人情報保護法では本人から同意を取ったり、委託先を監督できたりしている場合、中国を含む海外への委託は違法ではない。

わけですが、報道では、ここで、

中国で17年に施行した国家情報法は、国が民間企業や個人に対し情報提供を強要することができる。LINEは中国や韓国など具体的な移転先を明示せず「配慮が欠けていた」(出沢剛社長)と謝罪した。

ということをもちだして、あたかも、中国での取扱が、非難されるべきことかのようにしているわけです。もっとも、

大手の金融機関は「委託先を適正に管理し、データを分解して個人が特定できないようにするなどの対策は取っている。法制度にのっとっているのに中国で処理していること自体が問題とされることには戸惑いを覚える」と話す。

となるわけです。

この問題は、

  • 個人データ保護の同意のとり方
  • 公的データの域内保存の問題
  • クラウドの利用の場合のデータの所在地

などの観点を含むように思えます。

「公的データの域内保存の問題」というのは、

一定のデータについては、センシティブなものとして、他の国家(B国)の領域内に保存されている場合には、B国の主権に基づいて、アクセスをなしうるというのが、一般の考え方であることに留意して(また、国内法的にも、そのようなアクセスが法定化されている)、自らの国家の領域内に保存しなければならないとするべきではないか

という問題になります。一般には、中国の「国家セキュリティ法」を引き合いに出すことが多いのですが、

  • 米国における大統領命令/対外諜報監視法(FISA)
  • 英国における2016年調査権限法
  • ドイツにおけるG10法1条、5条
  • フランスにおける国内安全法典8巻
  • 韓国における通信秘密保護法第7条第1項/8条

などが、情報機関におけるアクセスの手続を定めています。地政学的には、中国のかかる制度がリスクとしては、きわめて高いものになりますが、一般論としても、むしろ、そのような制度がリスクとして存在しており、個人データ保護制度における越境移転の問題とは、やや異なる状況を呈しているという認識でいいかと思います。

私のブログでは、むしろ、「データ主権維持のための公的データの域内保存-フランスの国家クラウド戦略」でふれている問題かと思います。

もっとも、このような考え方の場合には、そのような国家の関心からして、国内における取扱に限って認められるデータというのは、どういうものか、という問題が生じることになりそうです。

定額給付金(2009年)

このことで思い浮かぶのが、2009年の「事例で見るセールスフォース:クラウド時代のIT管理術を学ぶ【第一回】一度きりの定額給付金システムで使われたセールスフォース」という事例です。

同市が採用したセールスフォースのクラウド型システムは、セールスフォースがアメリカ国内に持つ巨大サーバーの一部を使い、その巨大サーバー上にすでに組み込んであるソフトウェアの機能を、定額給付業務に合わせて修正して利用するというものである。

「住民基本台帳などのデータベースから適格者を抽出し、申請書を印刷して発送し、住民の問い合わせに対応する」という手法のために、アメリカのデータベースの上でのデータの取扱がなされて、それが、ある種、クラウドのもっているスケール性・柔軟性を象徴するする事例として紹介されました。今、このような取扱は、新聞から批判されるのでしょうか、それともクラウドを利用した取扱として、ポジティブに紹介されるのでしょうか。

クラウドの利用の場合のデータの所在地

これは、データがクラウドサービスで処理されている場合に、その所在地をどのように考えるのか、という問題です。これは、コントロールしている場所で考え場合と実際のデータが取り扱われているデータセンター(というか、日本的には電磁的記録)の所在地で考えられる場合とがありそうです。

上で何かルールが必要だという場合に、その場所をどのように定義するのか、という問題を忘れてはいけないことを意味しているように思えます。

 

 

 

関連記事

  1. ITU憲章vs電波法vs電気通信事業法
  2. CyCon2017 travel memo 10) Day3
  3. 金融・電力などサイバー攻撃報告義務…政府素案
  4. 無線通信干渉とサイバー兵器(?)
  5. 中国のネットワークセキュリティ法のひとつの論点
  6. CyConX travel report Day -Zero C…
  7. サービスとしてのランサムウエア-「サイバー攻撃、実行容易に」の記…
  8. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
PAGE TOP