今、世界中で「デジタルトランスフォーメーション」 と呼ばれるビジネス変革が急速に進行しています。クラウドや AI、IoT (Internet of Things) などの最新テクノロジーを活用し、ビジネス モデルおよびビジネス プロセスを大きく変化させるこの波は、今後さらに勢いを増すでしょう。その一方でサイバー攻撃の脅威は増しています。さらに、2017 年 5 月 30 日の「改正個人情報保護法」施行など、世界中で個人データの保護規制が強化されています。こうした状況下で、企業およびお客様をリスクから遠ざけるために果たすべき役割について、法務、コンプライアンス部門の方々を対象に、マイクロソフトとリンクレーターズそして、IDCの協業による調査結果や世界での事例などを基にプレゼンテーションとディスカッションを行いました。本レポートは、盛況のうちに幕を閉じた当日のセッションの概要を紹介するものです。

世界の事例とデータを基に、法務・コンプライアンス部門のお客様と対話

デジタル トランスフォーメーション時代に法務・コンプライアンス・リスク部門が果たすべき役割とは2017 年 6 月 6 日 (火)於 : 外国法共同事業法律事務所 リンクレーターズ

本セミナーはセミナー時点におけるマイクロソフトの解釈に基づく情報提供を目的としており、法的助言の提供を目的とするものではありません。

【プログラム】

1. IDC による法務・コンプライアンス・リスク部門への調査結果IDC Japan 株式会社 ソフトウェア & セキュリティ リサーチ マネージャー 登坂 恒夫 氏※本レポートでは詳細を割愛させていただきます。

2. セキュリティ : 今考慮すべきこと、クラウド サービス プロバイダーに求めるべきこととはLinklaters Singapore Pte. Ltd. ニューサウスウェールズ州ソリシター (テクノロジー、メディア & テレコミュニケーション) エイドリアン フィッシャー 氏マイクロソフト リージョナルディレクター 法務担当 アンドリュー クックマイクロソフト リージョナルディレクター デジタルクライムユニット アジア ケシャブ ダーカット

3. 情報保護 : 日本の改正個人情報保護法および実務への影響外国法共同事業法律事務所 リンクレーターズ 弁護士 永井 真美子 氏日本マイクロソフト株式会社 政策渉外・法務本部 弁護士 中島 麻里

4. ラウンドテーブル ディスカッション : 法務・コンプライアンス・リスク部門が果たすべき役割※ ご来場のお客様との自由な意見交換であるため、本レポートでは詳細を割愛させていただきます。

シンガポールから来日したリンクレーターズのエイドリアン フィッシャー氏と、マイクロソフトのアンドリュー クックの 2 人からセキュリティに関するプレゼンテーションを行いました。

テクノロジーを理解し、適切な質問でお客様が抱く不安を明確にすることの重要性

フィッシャー氏は言います。「先ほど IDC から発表のあった通り、66％ の回答者が、『セキュリティ』を最重要事項として挙げています。私はこの 10 年、テクノロジーを担当する弁護士としてお客様と接してきました。その経験の中で、『パブリック クラウドを使うと、自社のデータがどこに保存されているのか分からなくなってしまう』、『自分たちでコントロールできなくなってしまう』と心配する声を数多く耳にしてきました。しかし、こうした心配は事実に基づいたものでしょうか？　それとも、『パブリック クラウド』という言葉の印象に基づく、漠然とした不安でしょうか？多くの場合、こうしたお客様とセキュリティについて話し合い、不安の根拠を明確にしていくことで問題は解決に向かいました。私たちは IT エンジニアではありません。クラウドのサービス プロバイダー (CSP) との契約やデータ保護に関する法規制に関してアドバイスを行うことが本業です。しかし、セキュリティなどテクノロジーに関してある程度の理解を持つことが重要になっています。テクノロジーを理解することで、セキュリティに関しても冷静に考え、広い視点でお客様にアドバイスができると感じています。お客様が何を不安視しているか、適切な質問によって明らかにしていくことが大切です。」

CSP の「信頼」を確認するための特に重要な 10 の質問

「では、私たちは弁護士として、どのような質問をするべきでしょうか？」と、フィッシャー氏は会場に問いかけ、以下の 10 項目からなる “重要な質問” を示しました。

1. クラウドに保存するデータの種類は？2. データが保存される場所は？3. アクセス コントロールは確実か？4. ほかのユーザーとデータが分離されているか？5. データセンターなどの物理的なセキュリティは万全か？

6. データは暗号化されているか？7. CSP は、第三者にデータ処理を外注しているか？8. CSP は監査に応じるか？9. 事業継続性は保てるか？10. CSP との契約終了時に「データ消去の実施」および「データ移行の支援」が行われるか？

アンドリュー クックは、この 10 項目を受けて次のように説明します。「ここに挙げられている項目は、CSP が企業のセキュリティ、コンプライアンス、法令対応といった要件を充足するクラウド サービスを提供することができるのかを確認する上で、非常に重要なポイントになります。中でも、データの所在に関して透明性を確保することは、データが実際どこにあるのか、どのデータ保護法制が適用されるのかを見える化するために不可欠です。また、CSP が準拠しているセキュリティ認証等や、暗号化等の技術的な対応を理解しておくことも必要です。IDC の調査結果にもあった通り、多くの法務・コンプライアンス部門の方々が、クラウド選定の第一要件として『信頼』を挙げています。私たちマイクロソフトも、企業は『信頼』のおける技術だけを利用するということを理解しています。この重要な 10 項目の質問に沿ってCSP を選択することで、ぜひ信頼できるクラウド サービスを選定し、導入していただきたいと思います。」

セキュリティ インシデントの実例：世界的規模で一斉流行した WannaCry

続いて、サイバー攻撃の実態を説明するために、世界中に感染が拡大したマルウェアから構成されるボットネットをテイクダウン ( 無効化 ) するなどの活動を行っているマイクロソフトのデジタルクライムユニットにおいてアジア地域を統括するケシャブ ダーカットが登壇。2017 年 5 月 12 日に発生してから、わずか 2 ～ 3 週間のうちに世界 150 か国で猛威を振るったランサムウェア ( 感染端末内のファイルを暗号化して "人質 " にとり、身代金を要求するマルウェア ) 「WannaCry」の事例を紹介しました。「WannaCry は Windows の脆弱性を利用して、感染を拡大させました。しかし、この脆弱性を修正するセキュリティ更新プログラムは 3 月の時点でリリースされ、世界中に配信されていました。NSA ( アメリカ国家安全保障局 ) が集積していたこの脆弱性に関するプログラム

( エクスプロイト ) が 4 月の時点でハッカー集団により窃取され、リークされました。そして、古いシステムや更新プログラム未適用のシステムが、狙いやすいターゲットとなったのです。」WannaCry は、感染した PC から LAN やインターネットを通じて感染を拡大。最終的には 150 か国に広がったとされています。ダーカットは言います。「どんな技術も、時と共に脆弱性を有するようになります。そのため、Windows Update を通じて最新のセキュリティ更新プログラムを適用していただくことが重要です。事実、3 月にリ

リースされていたセキュリティ更新プログラムが適用されていた PC は被害に遭っていません。PC の OS を始め、IT システムはすべて、古けれ ば 古 い ほ ど、リス ク が 高 ま り ま す。WannaCry は、感染規模に比して、金銭的な被害が少なかった事例です。しかし、今後さらなるサイバー犯罪が続くでしょう。特に日本は、2020 年のオリンピック・パラリンピックを控えて、サイバー攻撃の標的となる可能性があります。企業・組織がリスクを避けるためには、常に最新のセキュリティに配慮する必要があります。」

ダーカットは最後に、「クラウドは、サイバー犯罪からデータを守る手段にもなる」と話します。「悪意ある攻撃からデータを守るセキュリティ対策に、個社毎に膨大なリソースを投入する必要はありません。なぜなら、マイクロソフトは自社そしてお客様に提供しているクラウド サービスの安全性を 24 時間 365 日監視しています。セキュリティ更新プログラムについてもクラウドであれば常に最新のものが適用されています。データを保護するセキュリティを高める上で、私たちのような CSP を頼っていただくことは、非常に有効な手段となります。」

Linklaters Singapore Pte. Ltd. ニューサウスウェールズ州ソリシター(テクノロジー、メディア & テレコミュニケーション) エイドリアン フィッシャー 氏

マイクロソフトリージョナルディレクター 法務担当アンドリュー クック

マイクロソフトリージョナルディレクター デジタルクライムユニット アジアケシャブ ダーカット

セキュリティ : 今考慮すべきこと、クラウド サービス プロバイダーに求めるべきこととは

〒108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー

＊記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。

製品の仕様は、予告なく変更することがあります。予めご了承ください。製品に関するお問い合わせは次のインフォメーションをご利用ください。■インターネット ホームページ http://www.microsoft.com/ja-jp/■マイクロソフト カスタマー インフォメーションセンター 0120-41-6755(9:00 ～ 17:30 土日祝日、弊社指定休業日を除く)※電話番号のおかけ間違いにご注意ください。

シンガポールから来日したリンクレーターズのエイドリアン フィッシャー氏と、マイクロソフトのアンドリュー クックの 2 人からセキュリティに関するプレゼンテーションを行いました。

テクノロジーを理解し、適切な質問でお客様が抱く不安を明確にすることの重要性

フィッシャー氏は言います。「先ほど IDC から発表のあった通り、66％ の回答者が、『セキュリティ』を最重要事項として挙げています。私はこの 10 年、テクノロジーを担当する弁護士としてお客様と接してきました。その経験の中で、『パブリック クラウドを使うと、自社のデータがどこに保存されているのか分からなくなってしまう』、『自分たちでコントロールできなくなってしまう』と心配する声を数多く耳にしてきました。しかし、こうした心配は事実に基づいたものでしょうか？　それとも、『パブリック クラウド』という言葉の印象に基づく、漠然とした不安でしょうか？多くの場合、こうしたお客様とセキュリティについて話し合い、不安の根拠を明確にしていくことで問題は解決に向かいました。私たちは IT エンジニアではありません。クラウドのサービス プロバイダー (CSP) との契約やデータ保護に関する法規制に関してアドバイスを行うことが本業です。しかし、セキュリティなどテクノロジーに関してある程度の理解を持つことが重要になっています。テクノロジーを理解することで、セキュリティに関しても冷静に考え、広い視点でお客様にアドバイスができると感じています。お客様が何を不安視しているか、適切な質問によって明らかにしていくことが大切です。」

CSP の「信頼」を確認するための特に重要な 10 の質問

「では、私たちは弁護士として、どのような質問をするべきでしょうか？」と、フィッシャー氏は会場に問いかけ、以下の 10 項目からなる “重要な質問” を示しました。

1. クラウドに保存するデータの種類は？2. データが保存される場所は？3. アクセス コントロールは確実か？4. ほかのユーザーとデータが分離されているか？5. データセンターなどの物理的なセキュリティは万全か？

6. データは暗号化されているか？7. CSP は、第三者にデータ処理を外注しているか？8. CSP は監査に応じるか？9. 事業継続性は保てるか？10. CSP との契約終了時に「データ消去の実施」および「データ移行の支援」が行われるか？

アンドリュー クックは、この 10 項目を受けて次のように説明します。「ここに挙げられている項目は、CSP が企業のセキュリティ、コンプライアンス、法令対応といった要件を充足するクラウド サービスを提供することができるのかを確認する上で、非常に重要なポイントになります。中でも、データの所在に関して透明性を確保することは、データが実際どこにあるのか、どのデータ保護法制が適用されるのかを見える化するために不可欠です。また、CSP が準拠しているセキュリティ認証等や、暗号化等の技術的な対応を理解しておくことも必要です。IDC の調査結果にもあった通り、多くの法務・コンプライアンス部門の方々が、クラウド選定の第一要件として『信頼』を挙げています。私たちマイクロソフトも、企業は『信頼』のおける技術だけを利用するということを理解しています。この重要な 10 項目の質問に沿ってCSP を選択することで、ぜひ信頼できるクラウド サービスを選定し、導入していただきたいと思います。」

セキュリティ インシデントの実例：世界的規模で一斉流行した WannaCry

続いて、サイバー攻撃の実態を説明するために、世界中に感染が拡大したマルウェアから構成されるボットネットをテイクダウン ( 無効化 ) するなどの活動を行っているマイクロソフトのデジタルクライムユニットにおいてアジア地域を統括するケシャブ ダーカットが登壇。2017 年 5 月 12 日に発生してから、わずか 2 ～ 3 週間のうちに世界 150 か国で猛威を振るったランサムウェア ( 感染端末内のファイルを暗号化して "人質 " にとり、身代金を要求するマルウェア ) 「WannaCry」の事例を紹介しました。「WannaCry は Windows の脆弱性を利用して、感染を拡大させました。しかし、この脆弱性を修正するセキュリティ更新プログラムは 3 月の時点でリリースされ、世界中に配信されていました。NSA ( アメリカ国家安全保障局 ) が集積していたこの脆弱性に関するプログラム

( エクスプロイト ) が 4 月の時点でハッカー集団により窃取され、リークされました。そして、古いシステムや更新プログラム未適用のシステムが、狙いやすいターゲットとなったのです。」WannaCry は、感染した PC から LAN やインターネットを通じて感染を拡大。最終的には 150 か国に広がったとされています。ダーカットは言います。「どんな技術も、時と共に脆弱性を有するようになります。そのため、Windows Update を通じて最新のセキュリティ更新プログラムを適用していただくことが重要です。事実、3 月にリ

リースされていたセキュリティ更新プログラムが適用されていた PC は被害に遭っていません。PC の OS を始め、IT システムはすべて、古けれ ば 古 い ほ ど、リス ク が 高 ま り ま す。WannaCry は、感染規模に比して、金銭的な被害が少なかった事例です。しかし、今後さらなるサイバー犯罪が続くでしょう。特に日本は、2020 年のオリンピック・パラリンピックを控えて、サイバー攻撃の標的となる可能性があります。企業・組織がリスクを避けるためには、常に最新のセキュリティに配慮する必要があります。」

ダーカットは最後に、「クラウドは、サイバー犯罪からデータを守る手段にもなる」と話します。「悪意ある攻撃からデータを守るセキュリティ対策に、個社毎に膨大なリソースを投入する必要はありません。なぜなら、マイクロソフトは自社そしてお客様に提供しているクラウド サービスの安全性を 24 時間 365 日監視しています。セキュリティ更新プログラムについてもクラウドであれば常に最新のものが適用されています。データを保護するセキュリティを高める上で、私たちのような CSP を頼っていただくことは、非常に有効な手段となります。」

リンクレーターズ の永井 真美子 氏と、日本マイクロソフト 政策渉外・法務本部の中島 麻里の 2 名から改正個人情報保護法への対応について説明しました。

ポイントは「個人情報保護委員会」の新設とグローバル化対応、個人情報の定義の明確化

永井 氏は、パブリック クラウドの利用者および CSP にとって、一番大きなポイントとなるのが、「個人情報保護委員会」が設置されたことだと説明します。「これまで、個人情報の取り扱い等を確認するために、経済産業省や厚生労働省など、データの種類や用途によって、さまざまな窓口と対話する必要がありました。しかし、今後は『個人情報保護委員会』に窓口が統一されます。これは、グローバルの視点からも大きな意味を持っています。今後は、海外の規制当局と、国境を超えた個人データの移転等に関しての議論が円滑に進むようになるでしょう。2 つ目に重要なポイントが、グローバル化対応です。中でも重要なものが『外国にある第三者への情報提供の制限』という項目です。今までの法律では第三者へのデータ提供に際し、国内であるか、国外であるかを区別していませんでした。しかし、今後は国外の第三者への個人データ提供は原則として禁止されます。これは EU の一般データ保護規則 (GDPR：General Data Protection Regulation) と同じような規定です。3 つ目に、個人情報の定義が明確化されたこ

とが挙げられます。従来、個人情報の範囲が不明確であったために企業も委縮して、ビッグデータ分析などの活用が進まなかった側面があります。こうした弊害をなくすことが、今回の改正の趣旨になっています。」

マイクロソフトのクラウド活用に際して「本人の同意」などの対応は不要

続いて中島 麻里は、マイクロソフトのクラウド サービスが改正個人情報保護法にどのように対応しているかを紹介。「クラウドの利用に本人の同意等が必要かどうかは、クラウド事業者が個人データを取り扱うこととなっているかどうかが判断基準である」とする Q&A 5-33 を紹介し、マイクロソフトは、個人データとその他のデータを区別せずに『顧客データ』と定義しており、顧客データについて一切の権利を持たないこと、適切なアクセス コントロールができているとするマイクロソフトの契約ゆえに、「マイクロソフトのクラウド サービスを利用する上で、クラウド利用などに対する "( データ主体である ) 本人の同意 " などの新たな対応は必要ないことを説明しました。また、外資系日本企業が、海外にある本社が契約した、海外の CSP を利用することについても「同意は必要はない」と説明します。「Q&A 9-6 に個人情報取扱事業者と CSP の間の契約において、CSP が個人データを取り扱わないことが合意されていれば、データセンターが外国にあっても本人の同意は必要ないことになります。」

外国法共同事業法律事務所 リンクレーターズ弁護士永井 真美子 氏

日本マイクロソフト株式会社 政策渉外・法務本部弁護士 中島 麻里

情報保護 : 日本の改正個人情報保護法および実務への影響