海外サーバーにデータを保管しても大丈夫?外為法における安全保障貿易管理について解説

サーバールームの廊下

近年、デジタル化やグローバル化の進展に伴い、ビジネスで海外サーバーを利用する企業が急増しています。これにより、私たち自身もユーザーとして間接的に海外サーバーを利用する機会が増えています。情報漏えいやサイバー攻撃といった事件を耳にすることの多い昨今、海外サーバーを安全に利用するには、どのような注意が必要なのでしょうか。

本記事では、海外サーバー利用にあたって注意するべき点、また情報漏えいなどのリスクを低減するために設けられた「外国為替及び外国貿易法(以下「外為法」)」について解説します。自社で海外サーバーを利用している(または検討している)方はもちろん、ユーザーとして間接的に利用する方も必見の内容です。

海外サーバーにデータを保管するメリット・デメリット

今や大手企業から中小企業まで、さまざまな企業やサービスで利用されている海外サーバー。そのメリットとして、海外サーバーが国内サーバーよりも料金が安価であることが多く、ITコストの削減につながることや、国内で災害が発生した際に事業継続性を確保できることなどが挙げられます。また、グローバル化の進展により、海外企業が日本でサービスを展開する際にも、海外サーバーが利用されることが多くあります。

いまや、海外サーバーは私たちのビジネスや生活に無くてはならないものです。しかし近年、海外サーバーにおける情報漏えいやサイバー攻撃もたびたび発生しており、海外サーバーの安全性が懸念されることも少なくありません。

そこで、そうしたリスクに対して、日本では外為法を根拠とした安全保障貿易管理の規制を設置しています。さらに、この規制に基づいたガイドラインを示し、企業に対して遵守を求めることで、海外サーバーに保存されたデータの不正な閲覧・取得のリスクを低減させています。

海外サーバーを利用する際に留意すべき「安全保障貿易管理」とは

安全保障貿易管理(輸出管理)とは、先進国が保有する高度な貨物や技術が、大量破壊兵器等の開発や製造等に関与している懸念国やテロリスト等の懸念組織に渡ることを未然に防ぐため、国際的な枠組みのもと、各国が協調して実施しているものです。(※1)。

日本では、外為法第25条(役務取引等)、第48条(輸出の許可等)が根拠となっており、経済産業省が所管しています。日本の安全保障貿易管理で輸出規制の対象となっているのは、武器や原子力、先端素材やエレクトロニクスなどの15項目(※2)になります。この15項目の技術を海外に輸出する際には国の許可が必要となりますが、そのなかには技術に関するデータを海外サーバーに保管することも含まれます。つまり、日本では海外サーバーへの武器などに関する技術データの保管を規制することで、情報漏えいやサイバー攻撃のリスクに備えているのです。

企業が海外サーバーを利用する際の注意点とは?

では、海外サーバーを利用する企業には、具体的にどのような対応が求められるのでしょうか。まず重要なのは、自社の海外サーバーに保管するデータが、安全保障貿易管理の輸出規制の対象となるかどうかです。そのため、海外サーバーを利用する際には、企業は経済産業省が公開するマトリクス表を確認し、自社のデータが規制対象に該当するか確認する必要があります。

なお、経済産業省は安全保障貿易管理における海外サーバーの利用に関するガイドラインのなかで、規制対象となるデータであっても、国の許可を必要としない場合があると示しています。その条件とは「サービス利用者が自ら使用するためにサービス提供者のサーバーに情報を保管することのみを目的とする契約である」ことです(※2)。つまり、自社内でのデータの利用や保管のみが目的であれば、規制対象の可否に関わらず海外サーバーを利用することができます。

以下の3点の場合は、外為法第25条に定められた「役務取引」に該当し、国の許可が必要となるため注意が必要です。

  • 保管した特定技術をサービス提供者等が閲覧、取得又は利用することを知りながら契約を締結する場合
  • 契約を開始した後に、保管した特定技術をサービス提供者等が閲覧、取得又は利用していることが判明したにもかかわらず、契約関係を継続する場合
  • サービス利用者が第三者に特定技術を提供するためにストレージサービスを利用する場合

上記3点からも分かる通り、海外サーバーを利用する際には、サービス提供者を含めた第三者にデータを閲覧・取得されないため、契約内容などを十分に確認することが必要です。また、これに関連して、経済産業省は「(海外サーバーに利用にあたっては) 保管する技術情報の機微性や、当該サービスの契約文面、セキュリティレベル、サーバーの物理的設置国等に関する公開情報をふまえて検討をしていただくことが重要です」ともしています(※3)。

ユーザーが海外サーバーで提供されるサービスを安全に利用するには?

一方で、海外サーバーを間接的に利用するユーザーは、どのような点に注意すべきでしょうか。

先述したとおり、安全保障貿易管理上、企業が自ら利用するために海外サーバーにデータを保管し、かつ、サービス提供者との契約内容などについても確認・検討がなされていれば、海外サーバーの利用には問題はないでしょう。ユーザーとしては、そうした安全保障貿易管理への配慮も含めた、企業のセキュリティの方針などをチェックし、サービスの信頼性を確認することがまず重要です。

社会状況の変化を注視し、安全保障貿易管理などの規制の動向に注意を払うことは、企業側、ユーザー側の両者にとって大切です。例えば、経済産業省は安全保障貿易管理について「クラウドコンピューティングサービスについては、サービスの形態や使用技術が日々進歩し変化しているため、諸外国の規制の動向等も踏まえつつ、必要に応じて通達及びQ&Aを改正していく予定」としており、規制の改正を見込んでいます。今後、グローバル化やデジタル化の進展に伴って、データ保管に関する規制が大きく変化することも十分予想されます。海外サーバーを、直接的、間接的を問わず、安全に利用するためにも、規制の動向を注視し、セキュリティに関する理解を深めていくことが大切なのです。

おすすめ記事:ドキュサインにおけるデータ管理とプライバシー保護

 

参考:

 

免責事項:本サイトの情報は一般的な情報提供のみを目的としており、法的助言を提供することを意図したものではありません。法的な助言又は代理については、適切な資格を有する法律家にご相談ください。ごく短期間に法改正が行われる場合もあることから、弊社はこのサイトの全ての情報が最新のものである又は正確であることを保証することはできません。適用法の許容する範囲において、弊社又は弊社の代理人、役員、従業員若しくは関係会社のいずれも、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害又は結果的損害(代替商品若しくは代替サービスの調達、使用不能若しくは逸失利益又は事業の中断を含みます。)について、かかる損害が生じる可能性について通知を受けた場合であっても、本情報を使用したこと又は使用できなかったことにより生じる契約責任、厳格責任又は不法行為による責任のいずれの責任法理によっても、かかる損害を補償する義務を負いません。

Contributeur DocuSign
筆者
DocuSign
公開