テクノロジー法務の国際潮流

2024年09月19日公開

第4回 クラウド

クラウドサービスとAIの近似性と相違

 2024年時点において、クラウドサービスの利用は既に極めて一般化した。例えば、日本弁護士連合会が会員専用サイトで公表する「情報セキュリティに関する基本的な取扱方法」のサンプルにおいては、クラウドサービスの利用が想定されている1。このように、法律分野も含め、既にクラウドサービスが(もちろん、その安全性等を確認した上で、)積極的に利活用されることが前提となっている。
 このような状況に至った1つのきっかけは、2018年に政府が策定した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」2 において、いわゆる「クラウド・バイ・デフォルト」原則を打ち出し、政府情報システムにおいてまずはクラウドの利用を検討することとしたことが挙げられるだろう。
 そして、AI、とりわけ生成AIもクラウドサービス(いわゆるSaaS)として提供されることが多い3。そうであれば、AIに対してデータを入れることも、クラウド等と同様に(一種のクラウドとして)考えるということもできるように思われる。
 少なくとも現時点で、「AIに対してもクラウドと同様にデータを入れよう!」という考えが必ずしも一般的とは言えない理由としては、まだAIが社会的に受容されていない(受容度がクラウドサービスより低い)ことが重要なように思われるものの、いずれにせよ、AIについて考える上で、クラウドについての議論が参考になることは間違いないだろう。以下、『クラウド情報管理の法律実務』4を参照しながら、クラウドと法について概観していこう。

1)2(4)のポジティブリストでクラウドサービスが例示されている。
2)各府省情報化統括責任者(CIO)連絡会議決定「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月7日)https://warp.ndl.go.jp/info:ndljp/pid/11190323/www.kantei.go.jp/jp/singi/it2/cio/kettei/20180607kihon.pdf。なお、最新版である「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」(デジタル社会推進会議幹事会決定「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」(2023年9月29日)https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5167e265/20230929_resources_standard_guidelines_guideline_01.pdf)と異なり「適切な」がないことに留意されたい。
3)なお、「ローカルLLM」等、いわゆるオンプレミスでAIが稼働することもある。
4)松尾剛行『クラウド情報管理の法律実務』(弘文堂、第2版、2023年)

クラウドサービスと法

1 個人情報保護法

 「クラウド例外」5という言葉ができる前は、個人情報(とりわけ個人データ)をクラウド上にアップロードできるかが問題となっていた。例えば、ユーザ企業A社がクラウドベンダB社のクラウド上に個人データをアップロードする場合、A社からB社への第三者提供(個人情報保護法27条)にならないかという問題意識が存在する。とりわけ、常に本人から同意(同条1項)を取得することは実務上容易ではないものの、委託(同条5項1号)として整理した場合には、クラウドベンダはユーザ企業の標準の委託覚書雛形を受け入れてくれないという悩みがあった
  現在では、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-53により、いわゆる「クラウド例外」として、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、 『本人の同意』を得る必要はありません」「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。」という形で一定の要件を満たすクラウドに個人データをアップロードする場合にはそもそもA社はB社に個人データを第三者提供していない、と整理されることになった。
 とはいえ、規制改革ホットラインにおける「検討要請に対する所管省庁からの回答」は、「クラウドサービスの利用と個人データの『取扱い』の明確化」という論点に関し、「一般論として、当該クラウドサービス提供事業者が、サーバに保存された個人データに対して編集・分析等の処理を行う場合には、当該クラウドサービス提供事業者が当該個人データを『取り扱わないこととなっている場合』には該当しないと考えられます。」とする。そして、「この回答を前提とするとSaaSへのクラウド例外の適用は否定的に解されているように思われる」8とも指摘されている。
 また、ランサム攻撃を原因とする社労士向けクラウドシステムの情報漏洩事件9 をきっかけに個人情報保護委員会は2024年3月25日に「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に 該当する場合の留意点について(注意喚起)」10 を公表し、クラウド例外の要件該当性に留意を求めるとともに、クラウドサービスを委託として整理する場合の留意点を以下の通り説明する。

  ・サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確 
   認した上で、クラウドサービス 提供事業者及びサービスを選択してください。
  ・個人データの取扱いに関する、必要かつ適切な安全管理措置(個人デ ータの取扱いに関する役割や責任の分担
   を含みます。)として合意した内容を、規約や契約等でできるだけ客観的に明確化してください(ガイドライン
   Q&A5-8参照)。
  ・利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサ
   ービス提供事業者から定期的に報告を受ける等の方法により、確認してください。

 クラウド例外の要件が満たされない場合、これらの点に留意しながら委託として整理することも考えられる。
 なお、「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」11では、クラウド例外に関する言及はなかった。今後の「個人情報保護法のいわゆる3年ごと見直しに関する検討会」12の中でどのような議論が展開されるか、注目である。

5)例えば、小川智史「クラウド例外」NBL1250号(2023年9月15日号)4頁参照。
6)但し、少なくとも2018年のGDPR施行後は、ほぼ全てのグローバルなクラウドベンダが、データ保護に関する書面をGDPRに準拠したベンダ側の雛形で締結してくれるようになっている。
7)令和 4 年度No.307 https://www8.cao.go.jp/kisei-kaikaku/kisei/hotline/siryou2/k_siryou2_r4.pdf
8)例えば、小川前掲注5・9頁参照。
9)なお、ランサム攻撃につき松尾剛行「ランサム攻撃に関する個人情報保護法、 会社法、及び民法に基づく法的検討 ̶情報セキュリティと法の議論枠組みを踏まえて̶」情報ネットワークローレビュー21巻(2021年)68頁(https://www.jstage.jst.go.jp/article/inlaw/21/0/21_210005/_pdf/-char/ja) 参照。
10)https://www.ppc.go.jp/files/pdf/240325_alert_cloud_service_provider.pdf
11)https://www.ppc.go.jp/files/pdf/240626_shiryou-1syuuseigo.pdf
12)https://www.ppc.go.jp/personalinfo/kentohkai/3nengotominaoshi_kentohkai1/

2 営業秘密

 営業秘密については、まさに、10年前に「クラウドには営業秘密をアップロードできない/アップロードすべきではないのではないか」という議論がされており、現在AIにおいて行われているものと同じ議論がすでに行われていたことが注目に値する。
 現在では少なくとも「どのようなクラウドでも一律に営業秘密をアップロードできない/アップロードすべきではない」という議論は無くなったと思われる13
 むしろ、逆に、不正競争防止法(以下「不競法」という。)上、ある情報が営業秘密として認められるために必要な要件の1つである秘密管理性14が、認識可能性、即ち、企業の特定の情報を秘密として管理する意思(秘密管理意思)が、具体的状況に応じた経済合理的な秘密管理措置によって、従業員に明確に示され、結果として、従業員が当該秘 密管理意思を容易に認識できることを含むと解されているところ15、クラウドを利用することで、営業秘密があまりにも自然に保護されるので認識可能性がなくなるという新たな問題が生じている16
 例えば、津地判令和4年3月23日(第一法規28301246)では、元営業部長が会社貸与スマートフォンとそこからアクセスできるクラウド上のデータを自己所有スマートフォンに移したことが不正競争防止法違反ではないかが問題となり、刑事事件として元営業部長が起訴された。裁判所は、認識可能性がなかったとして元営業部長を無罪とした。すなわち、客観的には当該データは万全のセキュリティーによって保護されていたかもしれないが、これは、利用者が特別な意識をしないで利用している機能によって保護されているものであり、元営業部長を含む、情報の使用者に対して特別な障壁の存在を意識させるようなものではまったくなかったから、これをもって営業秘密として保護されるべき要件たる秘密管理性の要件が基礎付けられないとしたのである。
 本判決の示唆することは、要するに、最新技術を利用して万全のアクセス制限を備え、会社として十分な秘密管理措置を講じていると考えていても、クラウドサービスにおけるUI/UXの発達(これ自体は肯定的に受け止めるべきである)の結果として、かかるアクセス制限が従業員等に特別な障壁の存在を意識させるようなものではまったくない状況となり、その結果、従業員において秘密であると認識することができず、結果的に秘密管理性が否定される状況が生じ得る、ということである。この問題を解決するためには、営業秘密として管理するデータに「マル秘」という透かしを入れるとか、南京錠のアイコンを利用する等、そのデータが秘密として管理されていることを従業員が認識できるような工夫を検討すべきである。
 なお、クラウドとセキュリティについての、責任共有モデル17等についてはここで詳述しない。

13)経済産業省「営業秘密管理指針」平成31年1月23日最終改訂(https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
11頁は「また、外部のクラウドを利用して営業秘密を保管・管理する場合も、秘密 として管理されていれば、秘密管理性が失われるわけではない。」とする。
14)不競法2条6項「この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。」
15)経済産業省前掲注13・6頁
16)松尾前掲注4・162-164頁
17)松尾前掲注4・53頁

3 リーガルリスクマネジメント

 今ではリーガルリスクマネジメントに関する国際規格18等、影響可能性と影響度を勘案してリスクマネジメントを行うこと法律分野でも広く知られているが、著者が2016年に『クラウド情報管理の法律実務』初版19で「発生可能性の高低と影響度をマトリックスにして、リスク管理を行う」という考え方を法律実務において利用できる旨を提示した時点は、その後この変え方が普及するかは全く未知数だった。
 リーガルリスクマネジメント20は現代では、既に「企業法務の常識」といっても過言ではない程に人口に膾炙しているところ、このようなクラウドに関するリーガルリスクマネジメントの経験を他分野にも生かしながらリーガルリスクマネジメントを行っていくべきである。とりわけ、今後の企業法務部門はAI・リーガルテックを適切に活用してリーガルリスクマネジメントをするようになるだろう21
 

18)ISO31022:2020リスクマネジメント-リーガルリスクマネジメントのためのガイドラインhttps://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO+31022:2020
19)松尾剛行『クラウド情報管理の法律実務』(弘文堂、初版、2016年)34,36頁
20)渡部友一郎『攻めの法務 成長を叶える リーガルリスクマネジメントの教科書』(日本加除出版、2023年)参照
21)松尾剛行「 AIとガバナンス : 企業統治の高度化・効率化にAIを役立てるという観点からの検討 」旬刊商事法務2297号(2022年)26頁以下参照

Ⅲ クラウド情報管理の法律実務の将来

 クラウド情報管理の法律実務は、常に変化を続けている。筆者は、AI時代を見据えたクラウドと法について引き続き理論と実務の架橋を続けていきたい。

松尾剛行

<筆者プロフィール>
松尾剛行(まつお・たかゆき)
桃尾・松尾・難波法律事務所パートナー弁護士(第一東京弁護士会)・ニューヨーク州弁護士、法学博士、学習院大学特別客員教授、慶應義塾大学特任准教授、AI・契約レビューテクノロジー協会代表理事。

目次に戻る