進歩と発展が著しいクラウド方式のＩＴ国際間サービスは顧客としての雇用者にとって情報保護法とＥＵ指令（(Data Protection Directive (95/46/EC)により規定された法的な義務が新しく取り組む課題となっている。
クラウドサービスを使用する時、情報の移転に関する制約、そのプロセス上の安全管理義務、そして情報保護に対する義務事項を満たすものとしての情報保護法は、契約条項という形を取り、クラウドサービスの顧客/雇用者にこの遵守を要求するので、これをよく理解して慎重に検討することが必要である。

今回はこの情報の移転に関する制限に焦点を当ててみる。顧客である雇用者は従業員情報の保存と管理のためにクラウドを使用するだけでなく、これをＥＥＡ域外に移転、例えば日本、に移転することも想定している。

雇用者は情報管理者としてどのような形であったとしても情報のプロセス管理について法的責任がありそして情報保護法に抵触するときには法的な責務を科せられる、たとえそれがクラウドサービス提供会社に帰する事柄であったとしても同様である。このような要件はあるにしても大枠では従業員の保護されるべき情報はＥＥＡ域外に移転されることは一定の条件下で認められる。
これらの条件とは：

• 情報が移転される国が個人情報保護に対して十分なレベルでの保護がされている場合

• クラウドサービスの提供者が必要な情報管理事項を既に履行していることを確認できる場合。これはクラウドの提供者と情報管理者(雇用者)が法的拘束力を持つ契約を結ぶことで雇用者の厳格な指示の元にクラウドの提供者が情報管理の安全を提供する義務を示すことを確認するするものである。

• EUが十分な情報保護があると見なした国に（a ‘white list country’）に情報送ること、例えばカナダ、マン島、ガンジーなど。日本やアメリカはまだこのリストに記載されていない。

• 情報移転をa ‘safe-harbour-registered cloud’を通じて実行する。これはEUと USA間の条約で結ばれた合意事項で、アメリカの組織はここに登録することでthe safe harbourのメンバーとしてＥＥＡ内の情報を法律に則った形で移転することが出来るとする。この方法を使用する組織には証明書が付与される。

• 自己評価によるもの、情報管理者としての雇用者は情報をＥＥＡ 域外の a white country or registered with the safe harbour 以外の国のクラウドに移転することが基本的には可能である。この条件として当該雇用者が自己評価に拠る自国内の情報保護法とEEAの情報保護法に齟齬がないという十分な積極的自己評価が出来るということであるが、多くの雇用者は自己評価に拠る情報移転に神経質になっている。

• 雇用者が欧州情報保護委員会の認めるところの定型の条項(‘the model clauses’)を使用してクラウドの提供者と契約を結ぶことが確認されること。

• 情報が帰属する本人からの同意を得ること。しかしながら、国内情報保護機関と欧州委員会の代表で構成される団体は、このことに一義的 に頼ることを避けるようにアドバイスをしている。

それゆえに、雇用者は以下の方法を取るように進言している。

• 従業員情報をa safe harbour cloud providerに登録してそして書面にした安全取り扱い義務と義務履行の指示を満足させる契約書を交換する

• ‘onward transfer principle’を使用すること、すなわち情報の移転を A safe harbour クラウドの提供者からa white-list country クラウド提供者にする。又はSHCPが情報移転に関する合意をthe non-white-list countryのクラウド提供者と締結する

データ保護法に違反する雇用者、すなわちクラウドの利用者に対する公表されたケースが少ないこと、情報保護局が同じクラウドサービスの全ての利用者にある種の制裁を加える試みをするどうか、それとも彼らが正しいことをしているかどうか、そして情報移転に関する制限違反に対してどのような制裁措置があるか、現在は明確に予測できない現実があるので注意を要する。

*本件についてのお問い合わせはフィリップ．ロス弁護士事務所の弁護士 中田浩一郎Koichiro.nakada@philipross.com　または中田陽子yoko.nakada@philipross.com　までご連絡ください。