4月16日、ザ・ソフトウェア・アライアンス（以下BSA）は「個人情報～法改正後の有効な利活用・運用・管理を考える国際会議」を開催。BSA加盟企業や国会議員らが参加し、世界における個人情報に関する法律や制度について情報交換し、今後の個人情報保護のあり方を考えた。

クラウドサービスの急速な広まりをうけて、異例の速さで策定された「ISO/IEC 27018」とは？

BSAはアドビやアップルなど、グローバルなソフトウェア企業で構成される業界団体。著作権など知的財産権の保護や教育啓発活動、ひいては世界各国政府との意見交換や提言なども行っている。今回は個人情報保護に関する制度や規格に関して、今後のありかたを考えるための会議となった。

近年クラウドサービスの普及が急速に進み、クラウドには個人情報を含むデータが爆発的に増えている。その一方でクラウドサービス上で個人情報に関わるデータを扱うためのルールはどうするべきかが喫緊の課題となっている。いま世界各国がこの問題に手探りで取り組んでいるところだ。法整備の過程にあるのは日本だけではない。

今やあらゆる企業が業務を通じて顧客の個人情報を保有している。この責任は重い。冒頭でBSA EMEA地域 政策担当ディレクター トマ・ブーエ氏は現状を踏まえ「柔軟かつ現実的で適用しやすく、時代遅れにならないような個人情報保護法制を構築する必要があります」と提言した。

BSA EMEA地域 政策担当ディレクター トマ・ブーエ氏

振り返ると個人情報保護法が制定された当初は個人情報に対して企業も個人も神経をとがらせるようになったが、昨今では具体的な有効活用策に目が向けられているのではないだろうか。個人情報のデータをいかに効率的に、いかに高速に処理できるか。そしていかに有効活用するか。

もちろん利便性だけではなく保護との兼ね合いも重要だ。両者をいいバランスを保つように進めていかなくてはならない。そのために何が必要か早急に見定めて、柔軟なルールを多面的に整備しく必要がある。各国、各企業からの参加者からは国際情勢や自国の法整備の行方をうかがいつつ、関係者一同で法整備で協力し合おうという空気が感じられた。

基調講演には情報管理システムの独立系コンソーシアム「Group 5 Training Limited」のマネージング・ディレクター兼プリンシパル・コンサルタントのアラン・シプマン氏がクラウドにおける個人情報保護に関する国際標準「ISO/IEC 27018」について解説した。同氏は個人情報保護や情報セキュリティに関する委員会や規格策定に携わっている。

Group 5 Training Limited マネージング・ディレクター兼

プリンシパル・コンサルタント アラン・シプマン氏

ISO（国際標準化機構）とIEC（国際電気標準会議）が共同で策定している情報セキュリティに関する規格には「ISO/IEC 27001」があり、これにアドオンするものとして「ISO/IEC 27018」が2014年7月に公開された。これはクラウドサービスで個人情報を取り扱うときのプライバシーについて定めた規格だ。一般的に国際規格は制定されるまでに時間をかけて慎重に進められる。しかし「ISO/IEC 27018」は昨今のクラウドサービスの急速な広まりをうけて、異例の速さで策定されたという。

どの製品でもサービスでも国際規格に準拠することは義務ではない。しかし「準拠している」ことは正統性アピールにつながる。例えばマイクソロフトは2015年2月にMicrosoft Azureが同規格の実施基準を満たしていることをBSI（British Standards Institution）に確認されたと発表するなど、すでに準拠に向けての動きが見られる。