明日は情報ネットワーク法学会
明日,大阪大学で,情報ネットワーク法学会の総会・研究大会が開催される。私も「クラウドコンピューティングサービスの利用と営業秘密の保護」というタイトルで研究報告をすることにした。ただし,手持時間が15分だと連絡を受けているので,結論部分しか発表できない。考察の部分は,来年発行される学会誌に論文のかたちで掲載して発表するしかない。手持時間の乏しさには不満が残るけれども,発表の機会を認められたことには感謝している。というわけで,今日は移動しなければならない。
情報ネットワーク法学会
http://in-law.jp/
[参考:研究報告要旨]
クラウドコンピューティングサービスに関しては法律上,情報セキュリティ上及び経営上の様々な検討課題が伏在している。このことは2008年中から世界の有力な調査機関等によって明確に指摘されてきたことである。
そのような問題の多くは,クラウドコンピューティングのアーキテクチャそれ自体に内在するものなので,そのアーキテクチャを維持しようとする限り,技術的な解決は不可能である。また,このアーキテクチャを用いて商業上の利益を得ようとする限り,そのような役務の提供に伴い問題が発生してしまうことが原理的に不可避(回避不可能)なことである。それゆえ,国家経済政策としてもビジネス戦略としても,既に指摘されている問題点に対するまともな検討を進め,それを公にすることについて非常に困難な社会的状況にあることは否定できない。
しかし,クラウドコンピューティングの利用を検討している組織,機関,企業等が存在する限り,この問題について分析・検討を加え,その結果を公表することは,結果的に社会全体の安全にとっても個々の企業や顧客等の利益のためにも非常に有益なことであると考える。
指摘されている検討課題の中で,クラウドコンピューティングサービスを企業経営上利用するという場面においては,営業秘密,個人情報,国家機密などの秘密情報の保護と関連する法的課題が最も重要な課題の一つである。
そこで,本報告においては,①一般に「クラウドコンピュータ」または「クラウドコンピューティング」と呼ばれている各種システム及びその役務提供または商業上の概念について,主として情報セキュリティマネジメントの観点から幾つかの類型に分類した上で,②この類型の異同に即して,日本国の不正競争防止法所定の営業秘密を保護する場合の法解釈論上の問題点を指摘し,③そのリスク及びメカニズムを検討した結果を報告し,かつ,④指摘した問題点を緩和または解決するための方法論を提案する。
| 固定リンク
コメント
高橋先生 こんばんは。
やっと大阪のホテルに到着しました。
「当事者の合意によって回避」できないのは,当然のことですね。例えば,日本企業であるX社がユーザとして某国のY社が運営するサーバを利用しているという例を考えてみると,管轄合意により裁判管轄地及び準拠法とも某国と約定されているときは,X社は,日本国法の適用がない(=日本国法による法的統制ができない状態に自らを置いている)という意味で,日本国法である個人情報保護法に定める適正な取扱ができない状態を自ら生じさせている事業者であることになり,当然,主務大臣の行政監督に服するべきです。同時に,日本国法に基づく統制ができない状態にあることから,プライバシーマーク認証を受けていても当然に取り消されるべきものだろうと思います。
私が想定していたのは,Y社に問題があり,X社がY社を相手に訴訟をしたくても,日本国の裁判所において日本国法を適用した裁判を受けることができないというすごく当たり前のことです。法学論文ではなく所詮仕事の片手間に息抜きの趣旨で書いている趣味のブログなので,はしょった書き方をしてしまいました。
このような問題を回避するためには,X社としては,国際的裁判管轄地を日本とし準拠法を日本国法とする管轄合意のある約定がない限り,外国企業のサーバを利用すべきではないし,プライバシーマークの認証を受けるべきでもないということになると思います。
ちなみに,ここで示す例におけるX社のような申請者に対して,間違ってプライバシーマークの認証をしてしまった担当者の懲戒責任については別途検討する余地があるかもしれません。しかし,少なくとも認証申請に対する審査をする能力を欠いているということだけははっきりしているだろうと思います。
要するに,法的統制が及ばない場合には,統制がないのと同じに扱うというのが私の見解です。
反対論はあるかもしれませんが,社会的に意味のある(国家権力による強制力を背景にもつ)統制ができていなければ,「統制が存在しない」と考えるのが当たり前だと思います。
投稿: 夏井高人 | 2009年12月 4日 (金曜日) 21時50分
>個人情報保護法も適当されないし,プライバシーマーク(JIS Q 15001)を取得していても全く意味がありません。
データ保護の規制部分については、当事者の合意では、適用を回避できないと解されているような気がしますが。
>担当者の中には,そういう問題を理解する能力に欠けている人
民間企業のみでなく、国の事業が、アメリカの会社のクラウドでやっているわけですからね。どうしましょうか。
投稿: 高橋郁夫 | 2009年12月 4日 (金曜日) 19時26分
高橋先生 コメントありがとうございます。
明日は,よろしくお願いします。
時間も予稿の頁数もかなり足りない感じがします。
理系の学会だと発表時間が5分とか10分くらいのものがいくらでもあるのは事実です(たぶん,修士を濫造することが本当の目的です。)。
そういう感覚からすると15分という発表時間は別に不思議じゃないのでしょうね。
文系では,発表時間15分なんてクレージーの極みで,少なくとも30分以上は必要です。「論証が命」ですから。逆に,「30分以上では多すぎる」という感覚しかもてない人は,文系の学者として飯を食っていくのは無理で,もちろん教員として1科目90分授業を年間約30回継続して担当するなんてことは絶対に無理です(2科目以上担当する場合には破綻確実。)。演習でも,学生に実験させておけばそれで済むような授業とは全く異なるんですよ。
したがって,理系の発想だけでモノゴトを考えてもらうのは非常に困りものなんですが,理系だ文系だと言って喧嘩していても何も解決しないし何も産まれないので,妥協の道を探すしかないですね。
というわけで,学会誌の論文のほうをしっかりと書くことで解決しようと思います。明日の研究報告は,結論部分のスケルトンだけです。
ところで,住民データだけではなく,何でもかんでもデータセンターの外注ばやりですね。どこかの誰かみたいに「コスト削減」だけ言っているとそういう結果になります。形式的には日本にデータセンターが存在していることになっていても,外国にあるサーバを含め多数のサーバを協調させて並列処理している場合には,法律上も様々な問題が発生することは高橋先生のご指摘のとおりです。しかも,約定により,国際的裁判管轄権や準拠法が外国であることが非常に多いので,嘆かわしい限りです。なにしろ,日本国法が適用されないため,個人情報保護法も適当されないし,プライバシーマーク(JIS Q 15001)を取得していても全く意味がありません。
担当者の中には,そういう問題を理解する能力に欠けている人もあり,悲嘆するしかないような気持ちにさせられることが多々ありました。これからもきっとそうでしょう。
「コスト削減」を含め,企業の論理だけで国政を遂行すると,その国家はたちまち衰滅間違いなしです。
投稿: 夏井高人 | 2009年12月 4日 (金曜日) 10時01分
>手持時間の乏しさには不満が残る
本当ですね。
あと、予稿も短すぎますね。
長さ2倍にして電子化して、事前にダウンロードでもいいですね。
もっとも、この学会も、本当のテック指向の人は、あまりいないから、そうするのは、時期尚早とかいわれるのでしょうけど。
クラウドでは、むしろ、住民データの外国処理とそのナショナルセキュリティ感覚のなさが凄く気になっています。
投稿: 高橋郁夫 | 2009年12月 4日 (金曜日) 09時40分