クラウドを利用する顧客はなぜ今 EU 標準契約条項を無視できないのか

  • Article

(この記事は Microsoft on the issues Blog に 2012 年 7 月 5 日に投稿された記事の翻訳です)

Posted by Brad Smith
General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft

今週、EU 加盟国 27 か国で構成されるプライバシー機関が待望の意見書を採択しました。この意見書は、企業がクラウド サービスを使用する場合、EU 市民の個人情報を保護するために行うべきことを明確にしました。第 29 条作業部会 (Article 29 Working Party) とも呼ばれる専門家によるこの意見書は、クラウドへの移行を検討しているすべての企業に必読のものです (このページは英語の場合があります)。

EU の規制機関は、この意見書の発表により、EU モデル条項への最も強い支持を表明しました。EU モデル条項は、クラウド サービス プロバイダーが世界で最も厳格なデータ保護要件に準拠していることを示すために利用できる、契約上の一連の保護規定です。このモデル条項は、クラウド サービス プロバイダーの運用とデータ処理作業が最も高い基準に準拠していることの保証として、企業が信頼できる、一連の公式の取り組みを規定するものです。マイクロソフトはこれに取り組み、お客様に EU モデル条項を提供する唯一のサービス プロバイダーです。

第 29 条作業部会は、今週の意見書の中で、クラウドの顧客が EU のデータ プライバシー法令への準拠を確保する上で、依然として困難な立場に置かれていると次のように繰り返し強調しています。 " 顧客は管理者としてデータ保護法令を順守する責任を負わなければならず、「 EU データ保護指令」に明記されたすべての法律上の義務を負います。 " さらに、クラウドの顧客は "EU データ保護指令への準拠を保証するクラウド プロバイダーを選択する必要があり " 、顧客はクラウド サービス プロバイダーとの契約に、この取り組みを明確に規定する必要があると述べています。

これがまさに EU モデル条項で実現されることです。そして、これはマイクロソフトが 1 年にわたり、また現在もこのモデル条項をお客様に提供し、この重要な取り組みを契約上で行う唯一のクラウド サービス プロバイダーである理由です。マイクロソフトにとってこれは空論ではありません。マイクロソフトはモデル条項の厳格な基準を満たすために必要な運用プロセスに投資し、この 1 年間、この件に関してほぼすべての EU 加盟国のデータ保護機関と密接に協力してきました。これらの機関は、マイクロソフトがモデル条項に準拠していることを審査し、マイクロソフトは、提供されたフィードバックを反映してアプローチを改善してきました。この大きな投資を行った理由は、マイクロソフトのアプローチが当該機関により審査、承認されているという安心感をお客様に持っていただくためです。このように言えるクラウド サービス プロバイダーはマイクロソフト以外にありません。

欧州全域のお客様に加え、欧州で事業を行う欧州以外の国の企業にもモデル条項を提供しています。今日、大小企業で 50 万人を超えるユーザーが、モデル条項を含む契約の下でクラウド サービスを利用しており、この数は毎月増加しています。EU はデータ保護に関して非常に高い基準を設定していますが、マイクロソフトはあらゆるお客様の要件を満たすべく強化を行っています。

すべてのお客様に第 29 条作業部会の専門家による詳細な報告書をお読みいただき、これを利用してクラウド プロバイダーに対する厳しい質問を作成するようお勧めします。ディスカッションでは 2 つの重要な質問を取り上げる必要があります。最初の質問は、そのクラウド サービス プロバイダーがモデル条項の提供を契約に明記するかどうかです。2 つ目の質問は、そのクラウド サービス プロバイダーが提供する実装が、欧州全域の重要な規制機関の要件に適合していることを確認する詳細な作業を、それらのデータ保護機関と行っているかどうかです。

この件に関してリーダシップを発揮して、顧客への明確化を支援したことについて EU の第 29 条作業部会を高く評価します。Office 365 を検討されているお客様は、マイクロソフトと同等レベルのクラウド プライバシーとセキュリティを提供するプロバイダーは、他にはないことに気付くでしょう。マイクロソフトはこれらの取り組みを契約に明記し、欧州全域の重要な規制機関により審査、承認されたアプローチを提供します。これは、欧州のお客様にとってだけではなく、クラウド サービス プロバイダーがデータ プライバシー保護に関する欧州の高い基準を満たしているという保証を必要とする世界各国のお客様にとっても重要なことです。