夕べはクラウドのセキュリティに関する新たなISO(になる予定の)ISO27017策定に関する説明会に参加。要は、"今までのセキュリティ規格(ISO27001/27002)はクラウドなんて想定してなくて読み替えで対応してたんだけど、もう無理！"という訳で「ISMS + Cloud」で独立してISOを作ろう！という話になっています。で、世界中で議論してるんだけど、黙っているとあいつら(欧米のGAMAなどの事業者ですな)のやり易いよーになるから日本からも何か言おうぜ！と業界団体さんが頑張っていて皆んなからも意見募集！って感じでした。イベントの報告はこちらから。
俺こそ物申したいぜ！とか、ISO27017に俺のDNAをぶち込んでやるという漢のパブコメはこちらからどうぞ。最終的には英語で日本政府から意見書を出すそうなので英語併記だと関係者に大変喜ばれると思います。

さて、このイベントの中でTMI総合法律事務所(六本木ヒルズの最上階2フロアぶち抜きの事務所)の大井弁護士によるリーガルから見た解説が妙にはまってしまいました。会場の雰囲気もそうでしたね。何かっていうとセキュリティではなくてプライバシーの問題です。

冒頭にディアイティの河野さんからセキュリティは科学でプライバシーはメンタルの問題でありセキュリティとプライバシーを一緒に考えてはダメと目から鱗のお言葉をいただいたのですが、そのプライバシーに関する取り扱いに今大変重要な課題がある事が浮き彫りになりました。

プライバシー政策に関する国際的な議論の動向を聞く(経団連)

それはパーソナルデータの移転に関する問題。日本ではパーソナルデータに関する規制というと個人情報保護法が該当して目的外利用と第三者への提供について規制されています(それ以外はやり放題)が、欧米や欧米に敏感な他の諸国では域内で生活する人々のパーソナルデータを域外に持ち出す事が法律で規制されているということ。つまり日本でクラウドサービスを立ち上げて世界中にバンバン売りまくろうとすると利用者のパーソナルデータはそれぞれの規制対象域内に置かなければ違法になるのです。このパーソナルデータは従業員の人事情報も対象で、社員が東京からシンガポールの子会社に出向するとなると東京本社が日本に設置するサーバでシンガポール子会社の人事情報を扱ってはならないのです。もうクラウドサービスでグループ会社を一元管理してコスト圧縮なんていうグローバル企業の施策なんて吹き飛ぶ規制です。
つい今し方までクラウドにデータを置くのはセキュリティが心配だからなぁとメンタルな理由で使わなかった爺さん連中が「よし世界中のシステムをクラウドに載せるぞ！」と決めた途端にそのパーソナルデータを日本のクラウドには載せるのは違法ですからとプライバシーが法律という科学で立ち塞がる悲壮感。こうなるともはや出番はIT屋さんではなくて法律屋さんです。「欧米アジアの顧客向けに会員システム作りました」なんていう会社の人はその顧客のパーソナルデータが規制された域外にあると法律違反になりますよ。グレーではなくブラックだそうです。
注釈：利用者(顧客)が住んでいる国の法律や規制が適用されるのが一般的な考えだそうです

でもこういう課題や問題が通信事業を監督する立場の総務省ではなく経済産業省が絡まざるを得ないところが日本の最大の問題だったりします。