NBLでクラウドサービスについての法律問題の連載が始まっていますが、977号の第２回 個人情報保護法制の記事で、他のクラウド本ではあまり突っ込んだ言及がされていない「EUデータ保護指令」および規制のさらなる強化を図る「2012/1/25制定新規則案」の域外への情報移転規制がクラウドサービスに及ぼす影響について記述がありました。

他の文献・記事・論稿と併せて整理し、自分の勉強・備忘のためにポイントをメモしておきたいと思います。この辺の日本のクラウド・webサービス事業者さんのスルーっぷりがちょっと気になってたりもするもので・・・。

「EUデータ保護指令」による個人情報移転規制

EU域内の企業がEU域外の国に個人データを移転する際は、移転先の国が欧州委員会の定めるadequate level of protectionを確保していなければならない。

現時点では主要国では以下の国がこのadequate level of protectionを満たしているという十分性認定を受けている。
・スイス
・カナダ
・アルゼンチン
・米国（※セーフハーバールールによる）
※　日本は満たしていない。
※　本稿には言及がないが、その他ガーンジー、マン島、ジャージー、フェロー諸島、オーストラリアの一部が十分性を認定されている。

上記十分性認定国に該当しない国に対しては、以下３つの例外に該当すれば移転が許容される。
１）本人から明確な同意を取得した場合
２）欧州委員会の定める標準契約約款SCC（Standard Contractual Clauses）を利用した場合
３）拘束的企業準則BCR（Binding Corporate Rules）を制定した企業グループ内移転の場合

「2012/1/25制定新規則案」による規制の強化

「EUデータ保護指令」ではEU域内企業が主な対象規制だったのに対し、「2012/1/25制定新規則案」では、域外企業が域内居住者に対し商品やサービスを提供する際にも規制が及ぶことに。

加えて、adequate level of protectionの例外１）〜３）の運用が変更となる。
・１）の同意取得方法について、明確な同意行動を伴うオプトインが必要に。
　「利用規約等に異議が無かったことをもって同意をみなす」規定ではNGであることが明言される。
・その代わりに２）SCC・３）BCRに関する手続きを簡略化。

今後クラウド・webサービス事業者が個人情報の取扱いを含むサービスを提供しようとする場合、EU域内居住者からのアクセスをすべてブロックすることが非現実である以上、そして１）がこれまで以上に厳格になるとすると、上記例外の２）SCC or ３）BCRの活用が必須となりそう。


このブログをよく御覧いただく法務パーソンの皆様は御存知かと思いますが、EUでは、個人情報に対する規制がじわじわと厳格化されています。5月から施行されたEUクッキー法もそのひとつ。その割に、日本企業の反応が鈍いのが気になります。消費者庁のレポート「国際移転における企業の個人データ保護措置調査報告書」P25〜（３）日系企業の対応状況などを見ても、多くの企業が本格的な対応に二の足を踏んでいる（場合によってはEU指令を無視したまま事業を行なっている）ことがわかります。

米国はセーフハーバールールによってadequate level of protectionを満たせているのでまあいいとしても、私達日本国はEUにまだ認められていない国（笑）だということを肝に銘じ、そろそろこのSCC・BCRへの本格対応が必要となるであろうことを、頭の片隅におかれておいたほうが良さそうです。


参考文献：

プライバシー・個人情報保護の新課題
著者：堀部 政男
販売元：商事法務
(2010-04)
販売元：Amazon.co.jp


　

　
ちょうどこのアプリをおすすめしようと思っていたところに、ビッグニュースが飛び込んできました。

▼Evernote Acquires Penultimate

Cocoa Box’s Penultimate, the beautifully simple handwriting app for iPad, has been one of our favorites pretty much since it came out two years ago, so we’re very thrilled to announce that we’ve acquired the company and that Penultimate is now part of the Evernote family!

webページ・画像・テキストデータをタグ付けしながらクラウド上に保存し、整理と検索を助けてくれる、iPhone/iPadユーザーであれば知らない人はいないであろうEvernote。

一方のPenultimateは、日本ではご存じない方も多いかと思いますが、実はアメリカのビジネスパーソン、そして法律実務家も必須アプリとして挙げる人の多いiPad用手書き入力アプリ。本当に紙に万年筆やゲルインキのボールペンですらすら書いているかのような書き味（指先／iPad用静電ペン先の動きに対する追尾性の良さ）が特徴。アメリカの弁護士のブログを読んでいると、GoodReaderに大量の訴訟資料を詰め込んで、Penultimateをメモやホワイトボード代わりに使っているという記事を良く見かけますし、私もメインのメモアプリとして重宝しています。
つい1週間前には第三世代iPadに対応するアップデートも行われて、さらにその書き味の良さに磨きがかかったばかりのところでした。

Penultimate - Cocoa Box Design LLC

Evernoteは、メモアプリでありながらスムーズな手書き入力への対応に弱点がありました。かたやPenulitimateは、手書きで入力をスムーズにしてくれるもののその後にデータを活かす手段を持ちあわせていないという弱点がありました。先日「Evernoteが（カネがあるのに）増資した」と聞いて、もしかしたらとは思っていたものの、まさか本当にこの２つのアプリが会社ごと合体して、その両者の弱点を補い合ってくれるとは！
合体後は、Penultimateのアプリとしての販売は終了して、Evernoteの有料課金オプションになったりするんでしょうかねー。このあたりはまだ言及がないようです。

しかしこうなってくるとそろそろ本気で気になるのは、ビジネスパーソン、とりわけ法務パーソンのメモのセキュリティはどう担保するのがベストなのかということです。カギをかけようがない手帳に書いて持ち歩いて無くしてしまうリスクと、クラウドに上げたデータがハッキングされるリスクとでは現実問題どちらが高いのか？最終的にはどちらも盗まれても情報の秘匿性は守れるように書き方で工夫するしかないとは思うものの、デジタルデータは容量の制限をあまり気にせずどんどん放り込んでしまいがちなだけに、悩ましいところです。
　

　
日本の出版文化ってやっぱりすごいんだなと、この本を読んで改めて思いました。

クラウド・コンピューティングの法律
販売元：民事法研究会
(2012-02)
販売元：Amazon.co.jp



クラウドと法律との関係は、どこの国でも問題となっているはずのテーマですが、この本で挙げられているような各論について述べられた書籍が書店で手に入るのは、日本ならではだと思います。私もこの本で引用されている海外のクラウド本（たとえばこれ）などを集めてはいたものの、ここまで知りたい各論が書いてある本は刊行されていません。昨年後半は、仕事でもクラウドをテーマにして外部セキュリティコンサルタントのリサーチを依頼したり外国の文献含めて探しまくっていただけに、もうちょっと刊行が早ければなお有難かったというのが本音（笑）。それでも、まだ多くの企業がリスクは薄々感じても真剣に法的な整理・対処はしていない中で、これから加速度的に問題視されることは間違いないこのタイミングで出版されたのは、商業的にはむしろ「タイムリー」と言うべきでしょう。

どの先生のご担当パートも参考になりましたが、類書に言及はあれどまとまった記述がなかったこともあって、特に一読の価値ありと思ったのがこの３つ。（　）内は担当執筆者の先生方。
　第10章　パブリッククラウドと内部統制およびその保証（丸山満彦）
　第11章　クラウドと裁判管轄、準拠法（町村泰貴／岡村久道）
　第14章　諸外国の機関とEUの動向（新保史生）

中でも、第10章のパブリッククラウドを内部統制上どう位置づけるかという問題は、昨年刊行されこのブログでもご紹介したいくつかのクラウド系法律書（１・２）でも詳細は検討されていなかったテーマであり、その内容も上場会社における財務報告に係る内部統制の区分・フレームワークに沿って整理されていて、会社法・金商法対応実務にも即役立つものになっています。また、米国公認会計士協会によるTrustサービス（セキュリティ・オンラインプライバシー・電子認証局に関する基準に適合している旨の報告書を発行するサービス）の紹介なども参考になります。現実的にはパブリッククラウドのサービス事業者を直接統制することは不可能な中で、パブリッククラウド事業者に対して行われる「独立第三者による監査報告書」を利用する際の考え方については、私も昨年調査をしていたのですが、リソースと時間不足で詳細不明のまま終わっていた点でもあり、大変勉強になりました。



さて、ぶっちゃけ皆さんの企業がクラウドを業務で使いそうなシチュエーションというのは、
・GoogleやMicrosoftの統合型SaaSを利用し、社内外とのコミュニケーションインフラとする
・SalesforceをSaaS/PaaSとして利用し、顧客管理・請求等の自社基幹システムを構築・運用する
・AmazonEC2をPaaS/IaaSとして利用し、顧客にサービスを提供する
のいずれかまたはその組み合わせがほとんどだと思うのですが、どれを採用するにせよ、10章や11章のテーマを整理せずに採用を認めるのは法務・コンプライアンス部門としていかがなものかと思いますし、EU圏で特に個人情報をクラウドに乗せて商売をする可能性があるならば、第14章でまとめられているような規制についても本来は抑えておかねばならないでしょう。

しかし、どうしても自社運用と比較した場合のクラウドの圧倒的な経済的メリットに目が眩んでしまい、法務・コンプライアンスリスクの検討もそこそこに、採用ありきで話が進んでいるというのが各社の状況だと思います。そういった現実の中で、このブログでも何度か言及してきたように、今後問題が顕在化してくるであろうパブリッククラウドのリスクや越境リスクについては、各社においてももうそろそろ正面から真面目に検証が必要なタイミングではないでしょうか。今はまだそれほど騒ぎにはならず、“イノベーション”“コストセーブ”“生産性向上”を大義名分にクラウド採用が盲目的に肯定されている雰囲気ですが、タイムリミットは突然に訪れるかもしれません。
　

iPhoneに代表されるスマートフォンの普及と相まって、アプリケーションセントリック（アプリ中心主義）であることがクラウドをクラウドたらしめると言われてきたのに対し、データがあまりにも巨大な塊になると、そこに惑星のような「引力」が生まれ、どんなに優良なアプリ（やサービス）が存在しようが、吸い寄せられるようにデータがある方に寄っていく＝データセントリックになるのではという話。

▼Data Gravity – in the Clouds（MCCRORY'S BLOG）

このData Gravityという概念は、データの増加が生み出すポジティブな効果の面だけに着目すると、“ネットワークの外部性”と同じ話かもしれません。けれど、「大きい惑星＝データほど引力が強い」というビジュアルイメージとの重なりと、「一度引力にとらわれるとそこから抜け出すのが大変」というネガティブなニュアンスを強調する表現として、感覚的にはしっくりきます。

また、GigaOmのこの記事では、James Urquhart氏がこのData Gravityを引き合いに出しながら、「引力」をさらに強化している要素として“法規制”を挙げています。この記事には我が意を得たりといった感じ。

クラウドの障害となる法規制の代表例が、ご存じEU指令。EU域内クラウドのデータセンターにある個人情報は、EU指令により、認められた国にしか持ち出すことはできません。ちなみに、情けないことに日本は持ちだして良い国にはリストアップされていなかったりします。こうなると、せっかくのクラウドのはずが、結局はアプリはおろかサービスもデータも自国内に閉じ込めざるをえなくなり、データセンターと何が違うんだっけ？というオチになります（この辺についてはクラウドを専門にするORACLE社のブログでもわかりやすく語られています）。データの「引力」は、図らずも法律によっても強化されてしまっている、というわけです。

国という存在があるかぎり、そして情報に価値が認められる限り、自国に置かれたデータの移動に対する法規制はなくならないどころか、ますます厳しくなっていくものと予想します。それは、どの国も自国の知識労働の価値を他国にできるだけ流出させまいと、「就労ビザ」という制度によって外国人労働者の流入を管理するのと同じ発想なのでしょう。

クラウドにとっての最大の障害は、やはり越境問題にあるようです。
　

Googleのプライバシーポリシー／サービス利用規約の解説（その１・その２）は、質はともあれ速報としてお届けしたことが評価され、一部の方から感謝のお言葉までいただきました。この場を借りて御礼申し上げます。

一方で、「指摘されていることのいくつかは別にSNS・クラウドとは関係ない、昔からあったリスクの話だ」など、知識共有系ブログで起こりがちな知ったかぶりしてんじゃねーよ的ご指導もいただきまして、こちらもありがとうございます。

懲りずに３発目いかせていただきます（笑）。
言葉を商売道具にする法務パーソンにとって、これが一番ショッキングな現実だったりするのですが。

あるはずのアレがなくなった

契約書は、人間が読める自然言語によって書かれます。

多くの日本人にとっては、やっぱり日本語で読めるのが一番ありがたいはずですし、また結果としてそのほうが読み違いによる誤解・クレームも起こらなくなるでしょう。とはいえ、すべての国の言語で契約書を作っていたら、キリがありません。できれば1通のマスター契約書を読んでもらって利用者全員との共通の基準とさせてもらうのが効率的です。そうなると、世界共通語としての英語をマスター契約書の使用言語として選択することが必然の選択となります。

それでも、日本は１億人のマーケットということもあって、多くのサービスで日本語での翻訳が用意されており、英語が苦手な人でも契約内容が理解ができるようになっています。ただし、その翻訳版の契約には、決まってこんな添え書きがなされているのが常。

たとえば、twitterはこう。

ご参考までに日本語の翻訳を用意しました。ただし、法的な拘束力があるのは英語版であることをご了承ください。

Facebookはこう。

本規約は英語(米国)で書かれたものです。本規約の翻訳版と英語版に相違がある場合は、英語版が優先されるものとします。セクション16には、米国外のユーザーに関する一般的な規定の変更が記載されていますので、ご留意ください。

もちろんAmazonEC2も然り。

アマゾンが本契約の英語版の他言語による翻訳を提供した場合であっても、翻訳版と英語版との間に齟齬がある場合には、英語版が優先するものとする。

そしてGoogleの旧規約にも、この記載がありました。

3. 本規約の使用言語
3.1 Google が本規約の翻訳を提供している場合、かかる翻訳はユーザーの便宜を図ることのみを目的としたものであり、ユーザーと Google の関係に関しては、本規約の英語版が適用されることに同意するものとします。
3.2 本規約の英語版と翻訳版で相違や矛盾が発生する場合、英語版が優先するものとします。

“規約の内容・解釈で揉めた際には、英語版を正として争うことになりますよ”という注意書き。これは、これまでの法務の世界では当たり前のエクスキューズでした。

しかし、驚くべきことに、今回リリースされたGoogleの新規約からは、このエクスキューズがなくなっているのです。そう、Googleは、「英語版が正」という逃げ道を作らず、プルダウンで選択できる43カ国すべての国の言語それぞれでこの規約の正規版を作成するという、まさかと思うことをやってのけ、その国の言語に基づいた契約解釈を正面から争うことを表明しています。




こんなことをやってのけるのは、クレ●ジーなGoogleだけなんじゃないか・・・そう思ってMicrosoftのクラウドサービスの利用規約を見たところ、同じく、契約解釈についての言語の限定はありませんでした（仲裁手続きにおける使用言語の指定とドイツにおけるサービス利用時の例外を除く）。世界を股にかける前提のサービス利用規約においては他言語化の波はいやがおうにも避けられないという現実が、露わになってきたということでしょうか・・・。

法務のマルチ○○○○化からはもう逃げられない？

以前、私はこんなことをこのブログで書きました。

▼法務のアウトソーシング（LPO）を進めなければならないワケ

取引のグローバル化が進んでいる今、“マルチリンガル”が求められるのはどの職種でも同じです。しかし法務については、その国の言語が分かるだけでは役に立たず、そのそれぞれの法律や商習慣といった文化までもが分かる人材を確保して“マルチリーガル”“マルチカルチュラル”にならなければなりません。

マイクロソフトやヒューレットパッカードは、コストセーブのことだけ考えてアウトソースをしているのではなく、国ごとの言語・法律・文化という障壁が存在する限り内製で法務業務を行うのには限界があること、そしてアウトソーシングを進めることが法務ダイバシティを高めそれに対応するベストな手段であることにいち早く気づき、行動を始めたのだ。この記事にははっきりとそう書いてあるわけではありませんが、そのように読み取るべきだと思います。自前では多国籍軍化しえない企業法務部門が、グローバルな競争を勝ち進むためには、必然的にLPOに頼らざるを得なくなっていき、それを契機に法務業務全体の外注化に拍車がかかっていく。私はそう考えています。

Googleもこの規約を多国籍化させるために、法的有効性・顧客が読んだときの分かりやすさについて、現地弁護士事務所にLPOして検証したことでしょう（いや、もしかしたらGoogleだけに自社法務に43カ国の弁護士を抱えているのかもしれませんが・・・）。

SNS・クラウドといった新しいネットサービスがこれだけ急激に広まるようになったのも、どんな国からでもアクセスできること、そして1カ国のブームではなく様々な国でサービスが同時多発的に広まることで生まれるネットワーク効果がサービスの価値を高めるからこそ。その爆発力というメリットの裏側には、いままでの常識が通用しないこんな負担も孕むことになっていくのだなあと、考えさせられてしまいました。

それにしても、非常識に思える多国籍対応を軽々とやってのけ、それを広報で自慢したり鼻にかけたりするわけでもなく、何事も無かったかのようにリリースしているGoogle。この会社の法務と一戦交えるようなことは、できる限り避けたいものです。
　

　
さて、前回の「プライバシーポリシー」編に続いて、今回は「サービス利用規約」編です。

前回の記事を書いた直後から、Googleへのログイン時にこんな↓オプトインの画面が表示されたり、

Googleからのこんな↓お知らせメールが届き始めたりしていると思いますが、

ここまでされると、さすがにみなさんも気になりはじめているはず。このエントリが、みなさんの理解に少しでもお役に立てば幸いです。

どうしてこんなに短くできた？

例によって、新旧対照表を作りましたので、まずは一読を。

▼Googleサービス利用規約　新旧対照表


プライバシーポリシーがとっても長くなったのに対して、サービス利用規約はとっても短くなりました。旧versionは11,416文字、対して新versionは5,385文字、なんと半減です（ちなみに英語版も4,223文字→1,720文字）。きっとGoogleの法務のみなさんは、50%減を明確な考課目標と定めていたに違いありません（笑）。

さらに、れっきとした利用規約＝契約であるにもかかわらず、条文につけられていた条項番号すらなくなってしまいました。こうなるともはや、契約を読んでいる気すら薄れて、サービス説明のお手紙のような文章にも見えてきます。

どうしてこんなに短く、シンプルにしたのか？一言でいえば、それはGoogleがユーザーと正面から対峙する覚悟を決めたからだと思います。

ポイント１：「訴訟に勝てる」規約ではなく、「読んで分かる」規約に

特に、このすっきりあっさりとした保証・免責条項に、旧versionと新versionの顕著な違いが現れています。

保証および免責

Google は、商業上合理的な水準の技術および注意のもとに本サービスを提供し、ユーザーに本サービスの利用を楽しんでいただくことを望んでいますが、本サービスについて約束できないことがあります。
本規約または追加規定に明示的に規定されている場合を除き、Google またはそのサプライヤーもしくはディストリビューターのいずれも、本サービスについて具体的な保証を行いません。たとえば Google は、本サービス内のコンテンツ、本サービスの特定の機能、その信頼性、利用可能性、またはユーザーのニーズに応える能力について、何らの約束もしません。本サービスは「現状有姿で」提供されます。
一部の法域においては、商品性、特定の目的への適合性、および権利の侵害がないことに関する黙示保証などの保証が認められることがあります。法律で許されている範囲内で、Google はすべての保証を排除します。

基本的には何も保証できない、そして提供できるサービスを「現状有姿」＝あるがままに提供するのみである、ということだけをきっぱりと宣言するこの文言。旧versionの14・15条のような具体的な事項例示もせずに一切の免責と書いただけで本当に免責が有効になるのかとか、あるがままとはどのくらいのサービスレベルを指すのかとか、契約的には曖昧さが残る分、裁判となった場合には面倒なことになるのでしょう（たとえば日本の消費者契約法との関係についてはこちら）。

しかし、誰も読まないあからさまな裁判対策用の規約を作るのはやめて、ユーザーが読もうと思える合理的な長さにし、読んでもらうことであらかじめGoogleの姿勢を理解してもらうべきだ。Googleはそう考えたのではないでしょうか。そしてもし訴訟となったときには、この頼りなくなった文言なりの戦い方をしようと、覚悟を決めたのだと思います。

「契約書」とは誰が読むためにあるのか。契約相手か？はたまた裁判官か？この問いは、法務パーソンの中でも意見が分かれるところなのですが、それは裁判官ではない、とGoogleは考えたと見えます。SNSやクラウドサービスは、誰もが手軽に・便利に使えるからこそ、契約書も誰もが読める文言にするのが筋。この英断は、世の中に星の数ほどあるweb上の利用規約に大きな影響を与えることでしょう。

ポイント２：SNS・クラウド時代の契約締結方式「従業員代理型契約」

プライバシーポリシーでも、隙の無いSNS・クラウド対応巧者ぶりを見せつけたGoogleが、利用規約でもまた見せつけてくれました。

事業者による本サービスの利用

本サービスを事業者のために利用する場合、その事業者は本規約に同意するものとします。かかる事業者は、Google とその関連会社、役員、代理店、従業員を、本サービスの利用または本規約への違反に関連または起因するあらゆる請求申し立て、訴訟、法的措置について、請求申し立て、損失、損害、訴訟、裁判、告訴から生じる法的責任および費用、弁護士費用を含め、免責および補償するものとします。

例えば、手軽に始められるエンタープライズ向けSNS/クラウドサービスの代表格Yammerを、会社の中の小グループだけで登録して勝手に使ってる方って、結構いると思います。あんな風に、会社の中で個人が勝手にクラウドサービス使うのって、Yammerの利用規約にもとづく契約はその個人とYammerが結んでいるのか、それともYammerと従業員が所属する法人との間でしているのかが明らかではありません。

これに対してGoogleは、上記引用文言によって、従業員が従業員として会社の業務でGoogleのサービスを使った場合には、それはその会社とGoogleとの契約になるよ、ということをこの利用規約で明言しているわけです。従業員としては大変おそろしい文言ですが、前回の記事の「ポイント３：クラウドが消す“法人と個人の境界”」でも述べたように、SNSやクラウドが会社の内と外の境界を曖昧にしていくことによって、契約の責任主体が誰かも分かりにくくなり、今後かなりの訴訟においてこの「契約者は法人だったのか？個人だったのか？」が争点になるはず。予めここまで文言化するあたりさすがGoogleです。勝手ながら今後、私はこれをクラウドサービスにおける従業員代理型契約と呼ぶことにします。


情報流出を防ぐという意味でfacebookやevernoteを社内からアクセスブロックしている会社は最近増えてきましたが、Google検索やYoutubeまでブロックしている会社は少ないと思われます。そんな現実を考えると、会社として勝手に契約成立させないためには、「Googleのwebサービスを勝手に使うな」という非現実的なルールを徹底するしかなくなりますね…。

ポイント３：それでも絶対にGoogleが譲らない条項が１つあった

最後に、ちょっと法務に詳しい方向けのお話を。

契約書の最後の方には、裁判管轄、不可抗力、完全合意の確認、損害賠償、免責etcといったどんな契約にも共通して規定される「一般条項」とよばれる条文があります。とくに英文契約ではそのパートだけでA4×2〜5枚ぐらいになってしまのが常で、webサービスのように不特定多数を相手にする契約では、会社としての防御本能はより一層強くなることから、勢い文字数も増えていくのが当たり前でした。しかし、Googleの利用規約は、そんな私たち法務の常識を打ち破り、その一般条項ですらスリムにしてしまいました。完全合意条項もカットされていれば、損害賠償額の上限設定すらありません。

それでも、Googleがここだけは死守しようとしたであろう、ほとんど文字数を減らしていない条項が１つだけあります。それは“準拠法＆裁判管轄”条項です。

カリフォルニア州の抵触法を除き、本規約または本サービスに起因するまたは関連するいかなる紛争に関しても、アメリカ合衆国カリフォルニア州の法律が適用されます。本規約または本サービスに起因するまたは関連するいかなる主張についても、アメリカ合衆国カリフォルニア州サンタクララ郡内に所在する裁判所においてのみ裁判手続を取ることができるものとし、ユーザーと Google はその裁判所の対人管轄権に同意するものとします。

（冒頭「カリフォルニア州の抵触法の原則に関する条項を除き」の方が適切かと思いますが、それはさておき）その他の条項がどんなに曖昧であろうが、勝手知ったるカリフォルニア州法を準拠法として、自社のホームグラウンドであるサンタクララの裁判所を戦いの土俵にさえできれば、完全勝利にはならなくとも、常識的な範囲でおさまり大負けはしないはず。Googleは、これまでの数多くの訴訟経験の積み重ねの中で、そう割り切ったのだと思います。

以前、準拠法と裁判管轄の交渉でリードする方法についてエントリを書いたことがありますが、やはり契約交渉においては、この２つの要素を抑えた方が勝つのだ、そう確信させられた今回の利用規約改訂でした。
　

　
Googleが、プライバシーポリシーとサービス利用規約の3/1付け大規模変更をアナウンスしました。

検索サービス、Gmail、Youtubeを含むほぼすべてのサービスに適用される今回の変更。Googleが嫌いでも、インターネットを使っていてGoogleのサービスを全く使っていない人はそうそういないはずで、その意味ではインターネットの法律が変わったようなものとも言えます。そこで速報的にではありますが、ポリシー編と規約編の２回に分けて、ポイントを抑えておきたいと思います。

今日はまず、Googleの個人情報の取扱いについてのお約束文書である「プライバシーポリシー」編です。

「長く」なったのは何のため？

まずは、現行の旧versionと3/1リリースの新versionとの差異が分かりやすくなるよう、新旧対照表を作成してみました。このブログの幅に貼り付けてしまうと見にくくなりますので、Googleドキュメントにアップロードした表をご覧ください（公開設定していますので、ログイン等は不要です）。

▼Googleプライバシーポリシー新旧対照表


一見して分かること。それは新Versionのポリシーの方が長くなった、ということでしょう。そう、普通こういった企業のプライバシーポリシーの類に起きがちなのは、企業が訴訟やトラブルを抱える度にその反省から定義が厳密に・細かくなっていき、その分文字量ばかりが増えていくという現象です。

しかし新Versionを読みすすめてみると気づくはずです。長くなったにもかかわらず、圧倒的に読みやすく・理解しやすくなっているということに。そしてこの長さは、下記3点のポイントを実現するのに必要最低限な長さになっているのです。

ポイント１：ポリシーの全サービス共通化による“シェア”への対応

今回のプライバシーポリシー／利用規約の改訂により、60を超えるGoogleのサービスの（ほんの一部の例外を除く）ほぼすべてに、同じプライバシーポリシーが適用されることになりました。

私は最初、これは「いろんなプライバシーポリシーがあると、Googleも管理しきれないだろうし、ユーザーも読む気がしないからなんだろう」ぐらいに思っていたのですが、少し考えてそれだけではないことに気付きました。サービス間をまたいで個人情報が行き来しはじめているという現実に正しく対処するための、あるべきポリシーの姿なのだということに。


たとえば、Googleが始めたSNSであるGoogle+上で、ユーザーＡさんが「●●がほしい」と投稿したり、Bさんの投稿に対して“＋１”ボタンを押した商品の情報を、Ａさんがその後にGoogle検索したときの検索結果や広告表示の命中率を上げるために用いる。そんな行為も、今まではGoogle+とGoogle検索の２つのサービスのプライバシーポリシーを満たしていないと説明がつかなかったり、整合性がとれなかったわけですが、ポリシー自体が１つに統一・共通化されていれば、堂々とサービス間でユーザーの個人情報の受け渡しができるようになるわけです。

実際、Googleは"Search, plus Your World"というコンセプトを打ち出し、Youtube等ですでにこれを実装しはじめています。また、今回のプライバシーポリシーの中にも、以下のような規定で「サービス間でまたがって使う」ことを宣言しています。

お客様による情報の共有
Google の多くのサービスでは、お客様は他のユーザーと情報を共有できます。お客様が情報を公開されると、Google などの検索エンジンのインデックスの登録対象になることがあります。Google サービスでは、お客様のコンテンツの共有と削除に関して、さまざまなオプションをお客様に提供しています。

書いてしまうとなんだそんなことか、という感じではありますが、SNSとはすなわちシェア文化の加速であるという本質を端的に捉え、プライバシーポリシーを全サービスで統一するという面倒な作業を厭わず整合性を追求しようという姿勢は、（facebookと並んでプライバシーの取扱いに関して何かと叩かれるGoogleですが）評価してよいと思います。

ポイント２：「収集する個人情報と利用目的」のイノベーション

ポリシー作りに一度でも関わったことがある人は分かると思いますが、「収集する個人情報と利用目的」の明確化は、ポリシーを作成する上でもっとも悩ましい問題です。

法律やプライバシーマーク基準そして顧客保護の視点からは、できるだけ具体的に定義をしろという要請があるわけです。その一方で、具体的に定義をしてしまえばしてしまうほど、後々自由に個人情報が収集できなくなり、変化を余儀なくされるサービスの成長に対する足かせ・制約条件になってしまいます。しかも今回、上記ポイント１にあるように、サービスを横断的に情報が行き来できるよう、全サービス共通化したのですから、そのひとつひとつをすべて定義し列挙していたら、いくら情報の種類を羅列してもし切れない気がしてきます。

そこでGoogleが編み出したアイデアが、“収集する情報の種類”や“利用方法のバリエーション”を定義するのをやめて、“収集する方法”によって情報を定義するという手法。

Google は、すべてのユーザーによりよいサービスを提供するために情報を収集しています。その内容は、お客様の使用言語などの基本的情報から、お客様にとって最も役に立つ広告やオンラインで最も重要視している人物などの複雑な情報まで、多岐にわたります。
情報の収集は以下の 2 種類の方法で行います:

・お客様からご提供いただく情報
たとえば、多くの Google サービスでは、Google アカウントのご登録が必要です。ご登録に際して、氏名、メール アドレス、電話番号、クレジットカードなどの個人情報の提供をお願いしています。Google が提供する共有機能をすべてご活用いただく場合は、公開される Google プロフィールを作成していただくようお願いすることもあります。これには、名前や写真などを掲載することができます。

・サービスのご利用時に Google が収集する情報
Google は、ご利用のサービスやそのご利用方法に関する情報を収集することがあります。たとえば、Google の広告サービスを使用しているウェブサイトにアクセスされた場合や、Google の広告やコンテンツを表示または操作された場合です。これには以下の情報が含まれます:

• 端末情報　　Google は、端末固有の情報（たとえば、ハードウェア モデル、オペレーティング システムのバージョン、端末固有の ID、電話番号などのモバイル ネットワーク情報）を収集することがあります。Google では、お客様の端末の ID や電話番号をお客様の Google アカウントと関連付けることがあります。
• ログ情報　　お客様が Google サービスをご利用になる際または Google が提供するコンテンツを表示される際に、サーバー ログ内の特定の情報が自動的に収集および保存されます。これには以下の情報が含まれることがあります:

（中略）
Google は、どの Google サービスから収集した情報も、そのサービスの提供、維持、保護および改善、新しいサービスの開発、ならびに、Google とユーザーの保護のために利用します。Google は、お客様に合わせてカスタマイズしたコンテンツを提供するため（関連性がより高い検索結果や広告を提供するなど）にも当該情報を利用します。

まず冒頭で「その内容は、〜多岐にわたります」と、そりゃ情報の種類はいろいろありますがな！とあっさり言い放った上で（笑）、かと言って何も定義しないわけでなく、「情報の収集は、以下の2種類の方法で行います」という収集の方法論に置き代えてできるだけ具体化する努力をしているのです。

これは、読み手であるユーザーにも抵抗がなく、かつ定義はちゃんとしてますよと主張でき、将来の拡張もしやすい、プライバシーポリシーのイノベーションなのではないかと思います。

ポイント３：クラウドが消す“法人と個人の境界”

データの量や重要性という意味で、SNSでの個人情報の取扱いよりももっと悩ましいかもしれないのが、クラウドの問題です。例えば、ユーザーのデータが外国のサーバーに保存されることもあるという越境性の問題についての規定などは、クラウドサービスを実施されている事業者の法務部門の方は、手探りで文言を検討されていたと思います。

もちろん、クラウドが国境を無きものにするという“越境問題”については、Googleともなればさすがにすでに現行ポリシーでも規定対応済み。しかし、それを超えるさすがGoogle！という問題意識の高さが垣間見える規定が、今回のポリシーから新たに挿入されていました。それがこれ。

Google は、以下のいずれかに当てはまる場合を除いて、個人情報を Google 以外の企業、組織、個人と共有することはありません:

・お客様の同意を得た場合
Google は、お客様の同意を得た場合に、個人情報を Google 以外の企業、組織、または個人と共有します。Google は、事前の同意なしに、機密性の高い個人情報を共有することはありません。

・ドメイン管理者の場合
お客様の Google アカウントがドメイン管理者によって管理されている場合（Google Apps ユーザーの場合など）、お客様のドメイン管理者と、お客様の組織にユーザー サポートを提供する販売代理店は、お客様の Google アカウント情報（メールなどのデータも含む）にアクセスすることができます。ドメイン管理者は、以下の事項を行うことができます

• お客様のアカウントに関する統計情報（お客様がインストールしたアプリケーションに関する統計情報など）を表示すること。
• お客様のアカウントのパスワードを変更すること。
• お客様のアカウントのアクセス権を一時停止または停止すること。
• お客様のアカウントの一部として保存されている情報にアクセスし、またはその情報を保持すること。
• 該当する法律、規制、法的手続または強制執行可能な行政機関の要請に応じるために、お客様のアカウント情報を受け取ること。
• 情報またはプライバシー設定の削除や編集を行うお客様の権限を制限すること。

詳細については、お客様のドメイン管理者のプライバシー ポリシーをご覧ください。（以下略）

注目すべきは、ドメイン管理者への個人情報の開示・コントロール権の付与を保護の例外として明示していること。つまり、クラウド時代になると、ビジネスとプライベートの境界がなくなり、Googleの法人向けクラウドサービスを通じて管理者が従業員個人の個人データを収集したり、逆にプライベートで使っていたGoogleアカウントをビジネスでも利用する人が増えて、会社も個人アカウントを管理するようになるよね、ということを規定に表現したわけです。

「本人が会社と合意して業務目的でGoogleのアカウントをビジネスユースしてるんだったら、本人がドメイン管理者に対してコントロール権を渡したとみなしちゃっていいんじゃないの？」などと乱暴に考えたくもなるところですが、そういった解釈論に逃げず、国境はおろか法人と個人の境界すらなくしてしまおうというクラウドコンピューティングのあり方を真正面から捉え、契約的な解決策を提示した好例ではないかと思います。

2012.1.30追記：
twitterで、こんなご指摘をいただきました。

ご指摘のようにクラウドが境界を無くすという仮説ありきの発想ではありますが、この例外規定の中でわざわざ「お客様の同意を得た場合」という場合分けと並列に「ドメイン管理者によって管理されている場合」が並べられているのを見ると、「同意を得なくてもドメイン管理者の定義を広めに解釈すれば例外適用可能」というような邪悪方向に拡大解釈する意図と可能性を感じました。この部分については、もうちょっと検討してみたいと思います。


（次回「サービス利用規約」編に続きます）
　

　
西村あさひ法律事務所が事務所を挙げてクラウドの法律論に具体的に切り込んだ良書。2011年1月に刊行されていたようですが、なんでこの本を最近まで見逃していたのかが分かりません。


クラウド時代の法律実務
著者：西村あさひ法律事務所
販売元：商事法務
(2011-01)
販売元：Amazon.co.jp



全体の章だては、以前ご紹介した『クラウドと法』にそっくり、でも違いはくっきり。『クラウドと法』がこれでもかと噛み砕いた表現に、かつ細かい論点には踏み込み過ぎないように配慮しているのに対し、こちらの『クラウド時代の法律実務』は、これでもかと細かい論点に突っ込みまくります。そのきめ細かさ・厳密さの片鱗をご覧あれ。


もはや脚注の量が本文を凌駕しているという（笑）。この写真の部分がたまたまそうだったわけでもなく、結構な量のページがこの状態だったりします。

また（私の知る限り）他のクラウド法律書には言及がなく、この本のみが具体的に言及する論点があるのも、評価の高いポイントです。
１）クラウド事業者のサーバー上で切片化されたデータは、個人情報にあたるか
２）サーバー上のキャッシュデータは「保有個人データ」に該当するか
３）国境を超える個人情報の移転に関する他国の法制度（EU／米／カナダ／オーストラリア／韓国）
４）弁護士・医師などのプロフェッショナルの秘密保持義務とクラウド利用の限界
５）クラウドにおける知的財産権侵害と準拠法の検討方法
６）クラウドと米国ディスカバリ制度との衝突

さらにここが重要なのですが、その多くの論点における結論は、クラウドのリスクを指摘しまくって後ろ向きな見解を書いて終わりではなく、「難しい問題だけれども、まあこう考えれば大丈夫とも解釈できるんじゃないでしょうか」と、つとめて前向きな見解になっていること。例えば先ほど列挙した１）の結論部分はこう。

個人情報保護法の目的である個人の利益の保護の重要性に鑑みれば、もともと個人情報であるデータの管理をおろそかにしてもよいということはない。しかし、クラウド・コンピューティング事業者のサーバー内にある、識別可能性が失われた、切片化されたデータが漏洩したとしても、その漏洩した切片化されたデータに照合容易性もない場合には、そのデータの漏洩によって個人の人格的、財産的な権利利益が侵害されるおそれはほとんどないと考えるべきであるから、それは個人データの漏洩とはいえず、個人情報保護法の適用はないと考えることが妥当ではないか。

弁護士さんがこれだけ前向きな回答を出そうという姿勢を見せてくれると、それだけで有り難いから不思議です。ITご担当者もまさにこういう答えを法務に期待してるんでしょうねえ（私達もわかってますけど、そればっかりでは仕事にならないんで）。

ということで、クラウドを合法的に採用できる裏付け・理由を探しているITご担当者にとって“救いの書”になることは間違いのない文献です。もし自社の法務の方がクラウドサービスの検討をとり合ってくれないようでしたら、そっとこの本をご紹介されると、態度がころっと変わるかもしれませんよ。
　

　
これは文句なしの名著。


クラウドと法 (KINZAIバリュー叢書)
著者：近藤 浩
販売元：金融財政事情研究会
(2011-10)
販売元：Amazon.co.jp



書店で活字の大きさと広めの行間を見、やわらかい筆致の第１章をさらっと読んだ限りで、「ライトな感じでクラウドまわりの法律知識を概観できる本かな〜、まあなんか１つや２つは得ることもあるだろう。」ぐらいの期待で購入したのは、失礼極まりない態度でありました。

クラウドを導入・利用することの取締役としての内部統制上の責任論に始まり、セキュリティ・個人情報保護法、米国愛国者法などの外国法、裁判管轄と準拠法（ｅディスカバリ含む）、著作権など幅広い法的リスクをかつやさしい言葉で解説した上で、

最終章では、反対にクラウドを提供する事業者の立場から守るべき法としての電気通信事業法、プライバシー権、プロバイダー責任、警察機関や弁護士紹介等情報開示依頼への協力義務・・・と、要所要所で代表判例にも触れたりしながら、細かい所には突っ込み過ぎない程度にまんべんなくクラウドにまつわる法的課題を紹介しています。

これまで出版されてきたクラウド法の本は、そのほとんどが情報セキュリティリスクをどう捉えて処理するかという話題に終始しており、その他の知財リスク・国際法リスク・業法リスク等はオマケ程度の解説にとどまっていました。しかし、いまやクラウドに関しては法務パーソンのみなさんが「セキュリティリスクはもう分かった。むしろそれ以外で、法務パーソンが気付きにくい・忘れがちなリスクがもっとあるんじゃないの？」という不安を抱えている状態だと思います。この本は、その「セキュリティ以外のクラウドリスクいろいろ」に対する不安をもきれいに解消してくれる本なのです。



特に圧巻だったのは、国境をまたいだサービスの法的ややこしさと恐ろしさについて、丁寧に噛み砕いて説明してくださっているP117-153の第６章。東京青山・青木・狛法律事務所でクロスボーダー案件のトップを担うパートナー弁護士の近藤先生が著者だからこその、この本の一番の読みどころです。私がクラウドリスクの中で一番回避しようがない重たいリスクと思っているのがこれなのですが、国際私法の基礎から説明していたら1日かけても理解してもらえないであろうこのテーマを、法務の心得があまりない経営者（笑）の方でも一読して十分に理解できる内容にまとめています。特にIT系の経営者の方にはぜひお読みいただいて、まずご自身がコトの重大性を理解頂いた上で、クラウド商売を展開していただきたいなあと。

それにしても、“本当に分かっている人”が、敢えて重要でないところを端折って書いてくださると、あれだけ複雑で捉えどころの難しいクラウドリスクもこんなにすっきりと、文字数少なく整理できるんですね！感動しました。

これで1,800円、安いなあ。
　

　
昨日は晴れやかな天気のなか、朝9:30から夕方まで、成城大学で開催された情報ネットワーク法学会第10回研究大会に参加してきました。

今年が初参加の私は勝手が分からず戸惑う部分も多かったのですが、研究の内容も然り、情報法学の重鎮の皆様やTwitterでもお名前をよくお見かけする著名な先生方にお会いすることもできて、有意義な機会となりました。



１年に１回の研究大会。大講堂と２つの教室に跨がり、クラウドリスクを取り上げた基調講演を中心に、様々なテーマの個別発表・分科会・ポスターセッションが設けられ、自分の興味のあるテーマについて自由に移動しながら研究を深めることができます。

私が拝聴した発表はこんなメニュー。

公立図書館におけるフィルタリング・ソフト導入に関する一考察　—アメリカ連邦最高裁判決を素材として—
発表者：北海道大学大学院　法学研究科（助教）金澤誠

EU視聴覚メディアサービス指令の共同規制を通じた国内法化
発表者：東京大学大学院学際情報学府博士課程 生貝直人

外部委託及びクラウドにおける情報セキュリティマネジメントシステム適合性評価の利用
発表者：日本ヒューレット・パッカード株式会社　佐藤慶浩

クラウド・サービスにおけるリスク分析
発表者：弁護士法人おおいた市民総合法律事務所　弁護士　吉井和明

基調講演「クラウドをめぐる３つの視点」　
ロバート・レンツ氏（Cyber Security Strategies社社長／元・米国防総省最高情報セキュリティ責任者）
小原 英治氏（NTTコミュニケーションズ株式会社ビジネスネットワークサービス事業部販売推進部長）
横澤 誠氏（野村総研上席研究員）

分科会「クラウド・コンピューティングの法的課題」
夏井 高人会員（明治大学）
町村 泰貴会員（北海道大学）
森 亮二会員（弁護士）

皆さんの発表に通底していたのは、

• 「クラウド」は新しい技術でもなんでもない売る側のキャッチコピーであって、契約法的には業務委託に過ぎない
• データ移動の越境によるカントリーリスク・倒産によるデータ散逸リスクなんかも、業務委託が内在する昔からあるリスク
• しかし、売る方（ベンダー）も買う方（ユーザー）も、それを規制する方（国・法規制）も、その昔からあるリスクの分析や対処を“なんとなく”で済ませちゃったままキャッチコピーに乗って売り買いしている・利用させているのはまずいよね

ということだったかと思います。

特に、日本HPの佐藤先生による発表は、リスクマネジメントのフレームワークに沿って、そのことを分り易い図で示していただけて、クラウドリスクの本を何冊読んでも得られないような気づきをいただくことができました。

私も、実務の視点・経験を活かしながら、“なんとなく”を法的に明らかにすることで、社会へのお役に立てるようなささやかな研究ができればと思っています。
　

　
日曜日の法科大学院修了生の採用に関するエントリでも取り上げさせてもらったBLJですが、今月号は色々気になる記事があってメモとりまくり。中でも注目したいのが、「クラウドサービスのリーガルリスク」。

『BUSINESS LAW JOURNAL 2010年 12月号』


最近はTwitterやFacebookの話題に押され気味で、企業におけるクラウド利用の話題を耳にする機会がだいぶ減ってきてしまっているように思いますが、政府がエコポイント申請のみならず、国勢調査までセールスフォース社に委託したと聞くと、これはそろそろ企業利用も爆発的に増加するのではと思っています。

今号では、TMI総合法律事務所から独立されてエンデバー法律事務所を立ち上げられた後、今クラウドの法務といえばこの人と言わんばかりに各誌に登場される水越尚子先生が、契約上のチェックポイントについて解説と対談の２つの記事に登場。



まず、クラウド利用契約検討のポイントについての簡単なまとめ。GoogleやMicrosoft,Amazon社の事例を引き合いにだしながら、以下3点が重要というお話。
１）SLA（サービスレベルアグリーメント）
２）責任の上限
３）プライバシー保護およびセキュリティ

続く対談では、ベンダーサイドからMicrosoftの舟山法務本部長、ユーザーサイドから大成ロテックの木内常勤監査役を迎え、ユーザーとの契約交渉における悩みどころについて意見交換。画一的だからこそのクラウドサービスのはずが、ユーザーが色々とわがままを言うので結局システムだけでなく契約条件も諸々カスタマイズせざるを得無くなっているという現状が、ベンダーサイドの舟山さんを中心に赤裸々に語られています（法務責任者自ら実は契約条件の変更に応じてるなんてこと、公開しちゃっていいのでしょうか笑）。

そして対談の終盤に、ユーザーサイドから木内さんから重要な指摘が。

よく最近「クラウドを利用するときのリスクは何か」といった話でセキュリティ問題が最初に挙げられますが、セキュリティ問題はベンダの事業に直結している分、ユーザ企業とは必死さが違いますから、各事業が自前でやるより実ははるかに安全だろうと思います。
むしろ問題なのは、クラウドは継続的なサービス提供であるにもかかわらず、提供側が事業を止めたいといってきたときに、データをどうやって安全に移すかということでしょう。

単なるデータストレージサービスならいざしらず、クラウドはアプリケーション部分もベンダーサイドに依存してますし、むしろそのアプリによって他社にできないサービスを提供することで差別化を図っているわけで、簡単に他事業者がサービス継続を請け負えるようなシロモノにはなりえない点、実は企業にとってはセキュリティ（安全性）よりもコンティニュイティ（継続性）の問題が導入にあたっての最も大きな障害になるのではないかと、私も思います。まさか、「最悪、文書はtxtで、DBはcsv形式で吐き出せます」程度では、ユーザーは満足しないでしょうし。

クラウド事業者同士が協議の上他のクラウド事業者とのデータ互換性をある程度のラインまで確保しておき、いざというときは、その互換性の範囲で他社ユーザーを引き受けてくれるぐらいの保険機構的な仕組みを用意してもらえないものでしょうか。そんなにコンティニュイティが心配なら、クラウドなんて使わずに自分でやれば？と怒られますかね。