エフセキュアブログの夏季特別企画、座談会「セキュリティの最前線」の四回目は、プライバシーを保護するためのデジタル・フリーダムの、企業ユーザーにとっての意義について議論します。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介が解説します。(以下、敬称略)
Su Gim: 弊社エフセキュアは「デジタル・フリーダム」というタグラインを掲げて活動を進めています。ちょうど今、世界はスノーデン氏による暴露から一年目という局面を迎えています。エドワード・スノーデン氏は、NSAなどにおいて、どのような監視活動が行われているかといった情報を公開した人物です。皆様がGメールなど米国を拠点とするサービスを活用されているのであれば、おそらくこうした監視の対象になったはずです。またPRISMといった通信監視システムを使うことによって、米国のNSAは企業の情報も監視することが可能です。
では企業としてどのように対処すべきなのでしょうか。またユーザーの皆様に何をお伝えすべきでしょうか。
まずデータを保護するということです。例えば暗号化やVPNのサービスを使用することによって、データを他者に読まれないように保護する手法が存在します。
そしてデータを保存する方法についても考える必要があります。エフセキュアはフィンランドの企業ですので、EUの法規制を受けています。したがって弊社は、例え政府当局などからデータ提供の依頼があったとしても、捜査令状が無い限り、データを開示することはありません。
高間: EUのパーソナルデータ保護の法制度については、ロンドンに拠点をおくプライバシー保護のためのNGO「プライバシー・インターナショナル」のアドバイザリー役員を務めている観点から、いくつか加えます。
EUでは1995年に、EUデータ保護指令(データ・プロテクション・ディレクティブ)が成立して、個人のデータ保護を権利として扱ってきましたが、更に改正して強化された「ジェネラル・データ・プロテクション・レギュレーション」として現在EU議会で検討されています。これらの中でひとつ問題となっているのが、EU市民のパーソナルデータをEU圏外の第三国へ持ち出すことを制限している点です。EUからは、日本はパーソナルデータ保護が不十分な国として制限の対象と考えられていることから、例えばヨーロッパの企業を買収した場合に、現地法人の顧客データや従業員のデータを日本へ持ち出すことができず、日本での人事や業務に支障をきたすというケースの話題を耳にしています。
日本でも、昨年から内閣官房のもとで「パーソナルデータに関する検討会」にて、個人情報保護法の改正が検討されており、パブリックコメントの募集もされています。(注: 7月24日まで募集)
さらに考慮すべきなのは、日本でもよく使われているクラウドサービスのほとんどがアメリカのサービスであるという点で、これらはアメリカ企業の運営なのでアメリカのPATRIOT法が適用されます。すなわちアメリカ政府からの依頼があった場合にはデータを開示しなければならないという問題が生じるため、既に日本でも一部の金融系の企業などでアメリカのクラウドサービスを利用することに躊躇しているとのケースも耳にしています。
エフセキュアのyounitedのクラウドサービスが興味深いのは、ヨーロッパ企業のサービスでサーバーもヨーロッパにあるため、アメリカのPATRIOT法の影響を受けないところです。
冨安: B2Bの観点から考えますと、BYODやリモートワークなど新しいスタイルのビジネスを薦めていく際に、弊社が今後ご提供していくソリューションがお役にたつであろうというところです。こうしたところから皆様のビジネスの一助になればと考えております。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介が解説します。(以下、敬称略)
Su Gim: 弊社エフセキュアは「デジタル・フリーダム」というタグラインを掲げて活動を進めています。ちょうど今、世界はスノーデン氏による暴露から一年目という局面を迎えています。エドワード・スノーデン氏は、NSAなどにおいて、どのような監視活動が行われているかといった情報を公開した人物です。皆様がGメールなど米国を拠点とするサービスを活用されているのであれば、おそらくこうした監視の対象になったはずです。またPRISMといった通信監視システムを使うことによって、米国のNSAは企業の情報も監視することが可能です。
では企業としてどのように対処すべきなのでしょうか。またユーザーの皆様に何をお伝えすべきでしょうか。
まずデータを保護するということです。例えば暗号化やVPNのサービスを使用することによって、データを他者に読まれないように保護する手法が存在します。
そしてデータを保存する方法についても考える必要があります。エフセキュアはフィンランドの企業ですので、EUの法規制を受けています。したがって弊社は、例え政府当局などからデータ提供の依頼があったとしても、捜査令状が無い限り、データを開示することはありません。
高間: EUのパーソナルデータ保護の法制度については、ロンドンに拠点をおくプライバシー保護のためのNGO「プライバシー・インターナショナル」のアドバイザリー役員を務めている観点から、いくつか加えます。
EUでは1995年に、EUデータ保護指令(データ・プロテクション・ディレクティブ)が成立して、個人のデータ保護を権利として扱ってきましたが、更に改正して強化された「ジェネラル・データ・プロテクション・レギュレーション」として現在EU議会で検討されています。これらの中でひとつ問題となっているのが、EU市民のパーソナルデータをEU圏外の第三国へ持ち出すことを制限している点です。EUからは、日本はパーソナルデータ保護が不十分な国として制限の対象と考えられていることから、例えばヨーロッパの企業を買収した場合に、現地法人の顧客データや従業員のデータを日本へ持ち出すことができず、日本での人事や業務に支障をきたすというケースの話題を耳にしています。
日本でも、昨年から内閣官房のもとで「パーソナルデータに関する検討会」にて、個人情報保護法の改正が検討されており、パブリックコメントの募集もされています。(注: 7月24日まで募集)
さらに考慮すべきなのは、日本でもよく使われているクラウドサービスのほとんどがアメリカのサービスであるという点で、これらはアメリカ企業の運営なのでアメリカのPATRIOT法が適用されます。すなわちアメリカ政府からの依頼があった場合にはデータを開示しなければならないという問題が生じるため、既に日本でも一部の金融系の企業などでアメリカのクラウドサービスを利用することに躊躇しているとのケースも耳にしています。
エフセキュアのyounitedのクラウドサービスが興味深いのは、ヨーロッパ企業のサービスでサーバーもヨーロッパにあるため、アメリカのPATRIOT法の影響を受けないところです。
冨安: B2Bの観点から考えますと、BYODやリモートワークなど新しいスタイルのビジネスを薦めていく際に、弊社が今後ご提供していくソリューションがお役にたつであろうというところです。こうしたところから皆様のビジネスの一助になればと考えております。
