外国にある安いクラウドに注意！

　外国のクラウドサーバーにデータを保存するときは「外的環境の把握」することが法律で義務化されました。
ところで「外的環境の把握」ってなにをするのでしょう。

　まず前提を確認しておきましょう。
　この規制は、（１）クラウドにデータを保存する、（２）外国の会社に業務委託をして外国のサーバにデータを保存する場合に該当する法改正です。
　クラウドサービスにも種類がいろいろありますが、ここではデータを保存することだけにに焦点をあてて考えてみます。

　データを保存するクラウドサービス（ストレージサービス）には「Google Drive」「OneDrive」「DropBox」などが思い浮かぶと思います。
　もちろん国内のクラウドサービス事業者でも、海外にあるサーバを利用したクラウドサービスを展開している場合もあり、これも対象になります。

　クラウドに保存するだけでも「外的環境の把握義務」が果たさると言われても、実際にどうしたらいいのでしょうか。

　結論は、個人情報保護委員会が発表している調査結果から、該当国にクラウドサーバを設置しているサービス会社を選定すること、というこになります。
　あのサービス会社は大丈夫ですか？という問いには残念ながらお応えしかねます。例えばウクライナは適応している対象国でしたが、現状では除外しておくほうが良いかもしれません。米国では３州だけが適応していますが、州法の改正までは追いきれないので、やはりその時点の個人情報保護委員会の最新情報を得て各社でご判断いただくことになります。

　さらに補足として以下の情報を足しておきます。
　クラウドサービスで、個人データが保存されるサーバが所在する国を特定できない場合は、サーバが所在する外国の名称に代えて、①サーバが所在する 国を特定できな旨とその理由、②本人に参考となるべき情報を本人の知り得る状態に置く必要がある。
　本人に参考となるべき情報とは、例えば、サーバが所在する外国の候補（複数可）が具体的に定まっている場合には、候補となる外国の名称の列挙、などが考えられる。

　仕事上はどう対応するのでしょうか。

　実務的には、ウクライナやミャンマーなどの情勢を見て、当該国にサーバがある可能性がある事業者から別の事業者に移行する、などの判断を下し行動することが求められる、ということになります。
いままでぼんやりと「クラウドに預けておけば大丈夫」と考えていたなら、ここは身を引き締めて真剣にクラウド会社選定を見直してください。

　もうひととつ注意点があります。
　その国の情勢と法制度が変わり、サーバ内へのガバメントアクセス（公的機関による民間部門が保有する情報への強制アクセス）が許されている場合、情報の閲覧や抜き取りだけではなく、消去もできなくなりますので、事業者は最新の状況を見ながら注意深く検討して業者選定を行ってください。