ニュース
IT部門が法務を味方に付けるには? ~マイクロソフト法務担当が語る
2016年11月11日 06:00
11月1日および2日に都内で開催されたMicrosoft Tech Summit 2016において、「Microsoft Azureの安全性と法的視点~法務を味方につけるには~」と題したセッションが行われた。
技術担当者と法務担当者の連携の重要性を訴える同セッションでは、日本マイクロソフトの技術担当であるチーフ セキュリティ アドバイザーの高橋正和氏と、法務担当である政策渉外・法務本部 弁護士の土井崇氏が登壇した。
法務とセキュリティのギャップ
セッションの冒頭で「クラウドの導入を検討すると、法務とのかかわりが増えてくる。契約後、導入段階で法務が入ってきて導入が遅れるケースが多い」と高橋氏がコメントすると、土井氏は「あまり褒められた話ではないが、法務には前例がないとOKを出しにくい文化がある。また、法務は規定さえ決めておけば無条件に守られると考えがち」と述べ、技術と法務の間にギャップがあることを認めた。
法務の担当者とセキュリティの担当者は、互いに「煙たい、仕事の邪魔をする」「言っていることがわからない」「でも、敵に回すと厄介そう」というネガティブなイメージを共通して持っており、その原因はそれぞれの立場や文化の違いにあるという。
法務の担当者は法律という明確な基準や、弁護士などの明確な資格のもとに仕事をしているが、セキュリティにはガイドラインはあっても明確な基準や資格は存在していない。また、法務の対象が人や人格であるのに対し、セキュリティは技術が対象となる場合が多い。そして、法務は罰則により違反を防止しようとするが、セキュリティは予防策により違反を防止しようとするという。
サイバーセキュリティは経営問題
しかし、法務とセキュリティの担当者間で、いつまでもネガティブなイメージを抱えたままでいることはできない。テクノロジーの急速な発展に伴い、ビジネス状況には劇的な変化が起こっている。
高橋氏は、2000年にフォーチュントップ10にいたIT関連企業のうち、2013年でもトップ10に残っているのは、Microsft、IBM、Intelの3社だけという調査結果を示し、「たった13年でこれだけの変化が起きている。明らかにテクノロジーの進化やビジネスの変化のスピードは加速している。新しいインフラにどう対処していくか、それらの対処に必要なコストをどのように捻出していくか、どのように情報を安全に守っていくか、これらの課題はメーカーだけではなく、他の組織でもまったく同じだ」と述べた。
「サイバーセキュリティは経営問題」と述べる高橋氏は、企業の約90%には未知の脅威が侵入済みであり、これらの脅威が侵入してから攻撃が検出されるまでの潜伏期間の中央値は200日を超え、1回のセキュリティ侵害による被害額の平均は約4.2億円と高額になるという調査結果を示した。
さらにCIOの79%が新しいテクノロジーの採用の障壁として、セキュリティ、プライバシー、コンプライアンスへの懸念を挙げているという現状にについても触れ、「予算があってもセキュリティへの不安が払拭できなければ、新しいテクノロジーを導入することができない状態になっている」と述べた。
また、このように企業がサイバーセキュリティを重視するようになったきっかけには、2013年に発生した米国の小売大手Targetのデータ漏えい被害があるという。4000万件のクレジット情報、7000万人分の個人情報が漏えいしたこの事件では、CIO、CEOのみならず最終的にボードメンバーが全て交代するという事態にまで発展したことで話題になった。
「セキュリティ、プライバシー、コンプライアンスへの懸念とは、結局のところ法務とセキュリティの課題。ビジネスをITで革新するためには、セキュリティと法務の連携が不可欠」と高橋氏は強調した。
法務もセキュリティも目指すところは同じ
「IT部門と法務部門では、物事の見方や考え方に違いがあることは確かだが、いかにITを効率よくビジネスに活用できるか、いかにセキュリティやコンプライアンスを確保するかという点ではどちらも最終的に目指しているところは同じ。一緒にITで経営課題を解決していくことができるはず」と土井氏は述べる。
解決すべき課題に直面した際、法務とセキュリティはそれぞれどのように解決しようとするかについて、高橋氏と土井氏は「道路で左側通行が守られない」という課題を例に説明した。
法務的な解決方法では、道路にセンターラインを引いて違反した人を明確にする環境を作り、必要に応じて違反を取り締まる人を配置し、違反した際の罰則を設ける。「古い法務の担当者は、ルールを決めて取り締まる人を用意すればルールは守られるだろうと考える」と土井氏。
一方、セキュリティ的な解決方法では、道路に中央分離帯を設け、人が意識しなくても自動的に規則が守られるような仕組みをつくる。積極的な対策によって事故が起こらないようにすることに関心はあるが、違反した際の罰則についてはあまり関心がない。
「ただし、セキュリティ対策も過度になりすぎると、実際の業務にも支障をきたすようになる。その結果、シャドーITのようなセキュリティ担当者が想定していなかったような抜け道にそれてしまうことがある。このあたりのさじ加減は難しい」と高橋氏。
法務担当者の基本的な関心事とは
近年ITに関係する法整備が進み、法務部門もその対応に追われている。特に法務担当者が関心を払っているのは、「法令順守体制(コンプライアンス)」「情報の保存・管理」「リスク管理体制」「職務執行の効率性」「企業集団における体制構築」などだ。
土井氏は「会社法・金商法により企業には内部統制システム構築することが義務付けられている。また、個人情報保護法やマイナンバー制度への対応、あるいは必要に応じてEUや米国など海外の法制度にも対応する必要がある。さらには不正競争防止法の適用を受けるため、企業の営業秘密を管理して保護する必要がある」と述べた。
法務への問い合わせが多い内容として土井氏は、「プライバシーや情報保護に関する海外の法律」や「クラウドサービス事業者の管理体制、トラブル時の対応」を挙げた。
クラウド上にあるシステムで顧客の個人情報を保存するという利用は多い。Microsoft Azureは日本の個人情報保護法の観点では、「個人情報の取り扱い委託」には該当しないため、「個人情報保護に関する覚書は不要」であると土井氏は説明する。「Microsoft Azureは、言ってみれば貸倉庫。倉庫を借りているお客さまが個人情報の含まれた書類を保管していても、倉庫の貸主はそのことを知ることはできず、個人情報の取り扱い委託にはならない。Microsoft Azureについても、どのようなデータが保存されているかはマイクロソフトは知ることはできない」と述べた土井氏は、さらに個人情報保護に関する国際認証を取得済みであることを強調した。
日本や米国よりも厳しいEUの個人情報保護の規制についても、EUの個人情報を域外に転送することが許される「データ処理契約」「EUモデル条項」「プライバシーシールド」の3つすべてにMicrosoft Azureは準拠しており、EU一般データ保護規則のGDPR(General Data Protection Regulation)にも対応しているという。
そしてニュースなどでも話題になることが多い政府によるデータ開示要請、特に米国の愛国者法や自由法への対応については、「基本的にお客様の情報は開示しない方針」であり、アメリカ国外のデータセンターに保存されたデータについては、現在も米国政府とMicrosftは係争中であることを明かした。また、クラウドの特性でもあるが、データを差し押さえられた場合であっても、バックアップによるサービス継続を担保できるという。
法務を味方につけるには
このセッションを通じ、両氏はIT部門(特にセキュリティ)は法務とのかかわりが重要になった背景を理解することが重要であることを主張する。特にセキュリティ部門は、法務が守ろうとしていることを理解し、積極的に法務とかかわりを持つことを推奨している。
「サービスイン直前になって、法務のチェックが入って業務が止まってしまうという話を聞くことは多い。法務部門を煙たがらず味方につけて、早い段階で連携していればこういった問題は避けられる。私はセキュリティは何かと質問されることが多いが、そんな時は"ビジネスイネーブラー”であると答えている。セキュリティが担保されているからこそ、他社に先駆けて新しいことにチャレンジすることができる。そして、法務もまた同じようにビジネスイネーブラーだと思っている」(高橋氏)。
「良い話であっても悪い話であっても、早い段階で相談してもらえれば、法務にできることは多い」(土井氏)。
最後に高橋氏は「マイクロソフトの法務は多くの知見を持っており、情報の開示も積極的に行っている。今後、もし困ったことがあれば、マイクロソフトの法務部門に相談することもできる」と述べ、技術だけではなく、セキュリティに関連する煩雑な法務の問題解決でも、マイクロソフトが貢献できることがあることを明らかにした。