-
概要
日本は”Data Free Flow with Trust” (DFFT)を2019年に提唱し、自由なデータ流通の促進において国際的にリーダーシップを発揮してきました。国内では、個人情報保護法の改正や情報セキュリティ関連の法律制度の整備促進が継続的に行われる等、デジタル社会の実現に向けて積極的な取組が行われています。このような動きの中で、アリババクラウドが培ってきた先進的かつ利便性の高いAI技術やIoT技術を取り入れて事業のDX化を推進する企業が増えています。アリババクラウドは、お客様およびエンドユーザーのプライバシーを保護するためにすべての製品開発プロセスにプライバシー・バイ・デザインのアプローチを取り入れ、安全安心な最先端の技術をご提供しています。
-
一般的な規制環境
セキュリティ:
2014年に制定されたサイバーセキュリティ基本法を皮切りに、日本でも国家としてのサイバーセキュリティ対策が本格化しました。内閣サイバーセキュリティセンター(NISC)がサイバーセキュリティ戦略の実施を取りまとめ「政府機関等の情報セキュリティ対策のための統一基準群(平成 30 年度版)」を発行する等、政府機関等が情報セキュリティ対策を先導しています。
2018年には政府情報システムについてクラウド・バイ・デフォルト原則が掲げられ、クラウド・サービスのホワイトリスト登録制度である「政府情報システムのためのセキュリティ評価制度」(ISMAP)制度が策定され、2020年10月から運用が開始されています。
セキュリティに関連した主な法律:
サイバーセキュリティ基本法
政府機関向けガイドライン・制度:
政府機関等の情報セキュリティ対策のための統一基準群(平成 30 年度版)
政府情報システムのためのセキュリティ評価制度(ISMAP)
プライバシー:
日本の個人情報保護法は2005年に初めて成立し、その後3度の改正を経ています。2021年には個人情報をオムニバス法化する改正も実施されました。日本には独自のプライバシーマーク制度もあり、数多くの企業が取得しています。2019年1月には欧州委員会が十分性認定を認定する等、高い水準の個人情報保護が行われていることが世界的に認められています。
日本にはいわゆる「マイナンバー法」という、社会保障番号(マイナンバー)に関する法律もあります。マイナンバーの取り扱いに対しては詳細なガイドラインを定め、特に厳格な処理要件を定めています。
近年は、デジタル社会の推進に相俟って、パーソナル・データの取り扱いや個人の私的領域の保護についての議論も高まっています。経産省と総務省は2020年、プライバシー・ガバナンスの推進を促すガイドブックを出しました。経産省は、2021年1月にはプライバシー影響評価についての世界標準であるISO 29134:2017をJISとして翻訳したJIS X 9251:2021を発行しています。
監督当局:
個人情報保護委員会 (個人情報保護法およびマイナンバー法の適用範囲)
※ これらの枠外にあるパーソナル・データの利活用に関しては経産省、総務省がガイドライン等の策定を行っています。
プライバシー保護に関連した主な法律:
個人情報保護法(個人情報の保護に関する法律)
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
特定電子メール法(特定電子メールの送信の適正化等に関する法律)
プライバシーに関連するガイドライン:
個人情報保護法に関する各種ガイドライン
マイナンバー法に関する各種ガイドライン
DX時代における企業のプライバシーガバナンスガイドブックver1.0
個人情報の越境移転要件:
個人データを外国にある第三者に提供するには一定の制約が課されています。具体的には以下のいずれかの要件を満たさなければなりません。
個人情報保護委員会は、「個人情報の保護に関する法律施行規則」第11条(2)で「個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること」としており、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」の4-3項によると、「提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが該当する」とされています。
アリババクラウドは2021年4月にCPBR認証を受けています。アリババクラウドに対する日本からの個人データの移転は安全・安心に行うことができます。 -
金融サービス部門
概要:
他の多くの国と同様、日本でも金融サービスについては特別な規制が敷かれています。財団法人金融情報システムセンター (FISC)が金融機関等の自主基準として策定した金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)は、システムアーキテクチャおよび運用に関する指針として多くの金融機関によって活用されています。この安全対策基準・解説書は現在第9版2020年3月版が最新であり、また2021年5月には「金融機関等におけるクラウド導入・運用に関する解説書(試行版)」も発行されています。
個人情報保護についても金融機関に対する個別の規制が定められています。個人情報保護委員会は、金融分野ガイドライン、安全管理措置実務指針を制定し、公表しています。
アリババクラウドのデジタル本人確認サービスであるeKYC APIサービスは、「犯罪による収益の移転防止に関する法律施行規則」第6条(一)のホ に対応するサービスです。2018年に行われた「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」時のパブコメを踏まえたセルフ・アセスメントも行い、お客様に導入をご案内しています。
監督当局:
金融庁
個人情報保護委員会 (個人情報保護法およびマイナンバー法の適用範囲)
注目のストーリー
〜アリババクラウドが獲得した認証抜粋〜
Data Protection by Design
シンガポールの個人データ保護当局と香港の個人データ保護当局は2019年、共同して”Guide to Data Protection by Design for ICT Systems”を発行しました。アリババクラウドは、このガイドラインを受け、すべてのアリババクラウド製品の開発にData Protection by Designの原則を適用させています。
このガイドラインでは次に挙げる7つのポイントを押さえたシステム設計を推奨しています。
1、事前に対応し、問題が発生しないように予防する
2、デフォルト設定はデータが最も保護されるものとする
3、End-to-Endで安全性を担保する
4、利用するデータを最小化する
5、ユーザーを中心に考える
6、透明性を担保する
7、リスクを最小化する
APEC CBPR認証取得のお知らせ
APEC CBPR(APEC越境プライバシールール)システムは事業者のAPECプライバシー・フレームワークへの適合性を国際的に認証する制度です。日本は2014年からこの制度に参加しています。アリババクラウドはグローバル本社のあるシンガポールでこの認証を2021年4月に取得しました。これにより、日本の個人情報をアリババクラウドに移転する際には個人の同意をとることなく移転可能となりました。APEC CBPRについての詳細はこちらをご覧ください。
アリババクラウドは、世界中のお客様に最上のサービスをご提供できるよう日々努めています。私たちは、お客様がオペレーションを行う各国の法的要件はもちろん、各国の産業標準やベストプラクティスに積極的に対応しています。
APEC PRP認証取得のお知らせ
APEC PRP(APEC処理者のためのプライバシー保護)システムは、データ管理者に代わって個人データを処理するデータ処理者が、APECプライバシー・フレームワークに準拠して個人データを越境移転をおこなう仕組みを有することを国際的に認証する制度です。アリババクラウドはグローバル本社のあるシンガポールでこの認証を2021年4月に取得しました。個人データの越境移転は世界中で大きな議論となっていますが、APEC PRPに準拠することで、アリババクラウドはその障壁を緩和し、お客様がよりシームレスにデータを自由に流通させられる体制を整備することに成功しました。APEC PRPについての詳細はこちらをご覧ください。
アリババクラウドは、世界中のお客様に最上のサービスをご提供できるよう日々努めています。私たちは、お客様がオペレーションを行う各国の法的要件はもちろん、各国の産業標準やベストプラクティスに積極的に対応しています。
M3社
AI 画像診断によるコロナウィルス診断
アリババクラウドの先端技術研究所であるAlibaba Damo Technology Co., Ltdが開発したAIアルゴリズムがコロナウィルス診断システムに活用されています。
データ・プライバシーのよくある質問
アリババクラウドは、セキュリティ対策とアカウンタビリティの向上を通じて、
クラウド・サービス・プロバイダーとしてできる限りその懸念を解消できるよう努めております。
1. アリババクラウドが当社のデータにアクセスすることはありますか。
- 当社はお客様との共同責任モデルの中で、お客様データに対しては完全にお客様がコントロールを有しており、当社が無断でアクセスすることは絶対にございません。
2. アリババクラウドが政府や法執行機関等に当社データを開示することはありますか。
- お客様のデータへのアクセス、データの使用、データの転送、およびデータの開示は全てお客様の判断の下行われます。仮に政府機関等から開示要求があったとしても、アリババクラウドは、当該政府機関に対してお客様に直接そのデータを請求するように要請します。
3. アリババクラウドは中国の会社ですか。
- アリババクラウドのグローバルHQはシンガポール法人であり、シンガポールに登記されています。当社のグローバルHQはシンガポール法に準拠してオペレーションを行っています。
4. 日本のデータ・センターであっても諸外国からデータ開示命令を受けることはありますか。
- Alibaba Cloudは、世界中の28か国と85の可用性ゾーンでデータセンターを運営しています。各データセンターは、それが配置されている国および地域の法律に従って運営されています。
データセンターが展開されている国または地域にデータ開示法がある場合、またはこの国または地域の政府機関が拘束力のある命令を発行する権限がある場合、データセンターは、法律または拘束力のある命令の管理の対象となります。この場合、アリババクラウドは顧客に請求に関する通知を送信し、顧客が法律で許可されている範囲で必要な是正措置を講じることを許可する。
Alibaba Cloudサービスの可用性ゾーンを選択する場合は、注意してください。
5. アリババクラウドはどのような個人データを取得しているのですか。
- アリババクラウドはクラウド・サービス・プロバイダーとして”to B”の事業を展開しています。そのため、当社が処理する個人データはサービスのご提供に必要なお客様のアカウント登録データが大半です。実際アリババクラウドに対するガバメント・アクセス要求はほとんどないというのが実情です。
Blogコーナー
コンプライアンスに関連する記事を掲載しています。
Alibaba Cloud が欧州クラウド行動規範に準拠している理由
Alibaba Cloudは、EU Cloud COCに準拠したクラウドサービスです。EU Cloud COCは、EUの監督当局が、これに準拠している企業はGDPR第28条に規定された処理者の義務を果たしていると承認した唯一の行動規範です。
詳細はこちらAlibaba Cloudとデータ関連法:中国個人情報保護法施行
Alibaba Cloudは、中国進出や中国での事業拡大において多国籍企業が直面するセキュリティ・コンプライアンスの重要性と課題を熟知しています。今回は中国個人情報保護法についてのご紹介です。
詳細はこちらAlibaba Cloudとデータ関連法:サイバーセキュリティ法対応
Alibaba Cloudは、中国進出や中国での事業拡大において多国籍企業が直面するセキュリティ・コンプライアンスの重要性と課題を熟知しています。今回はサイバーセキュリティ法で最も重要な要件の一つである等級保護(MLPS 2.0)についてのご紹介です。
詳細はこちらAlibaba Cloudとデータ関連法:Alibaba + Salesforce Solution
Alibaba Cloudは、中国進出や中国での事業拡大において多国籍企業が直面するセキュリティ・コンプライアンスの重要性と課題を熟知しています。今回はサイバーセキュリティ法に関連して、今非常に多くのお問い合わせをいただいているSalesfoce社との取り組みをご紹介します。
詳細はこちらアリババクラウドの PRIVACY BY DESIGN
近年、世界中でプライバシーやセキュリティに対する関心が高まっています。グローバルにクラウドコンピューティングサービスを提供するサービスプロバイダとして、アリババクラウドはお客様のデータセキュリティとデータプライバシーに細心の注意を払っています。この記事ではアリババクラウドのPrivacy by Designへの取り組みを紹介しています。