PR
写真●ベライゾン ビジネスのシニアコンサルタント米澤一樹氏
写真●ベライゾン ビジネスのシニアコンサルタント米澤一樹氏
[画像のクリックで拡大表示]

 「データ・プライバシの考え方は国によって異なる。海外オフィスのコンプライアンス対策では,法規制の違いに留意する必要がある」---。東京ビッグサイトで開催されているセキュリティ関連展示会「Security Solution 2009」のフォーラムに2009年9月3日,ベライゾン ビジネスでシニアコンサルタントを務める米澤一樹氏(写真)が登壇。「グローバル展開につきまとう現地でのコンプライアンス対策」と題して,企業が海外展開先で直面するコンプライアンスの課題について講演した。

 まず米澤氏は,海外展開先で漏えい/侵害の事故に遭ったデータのうち,「3分の2が,組織が存在を把握していない不明データだった」という調査結果を明らかにした。人の入れ替わりが激しい海外オフィスでは,サーバーやパソコンの資産管理が行き届かずに,存在を忘れてしまったハードウエアやデータが発生しやすい。それらが盗まれ,悪用されているという。さらに悪いことに,「知らないデータは盗まれたことも知るよしがないので,第三者からの連絡によって発覚するケースが多い」(同氏)。このような状態を作らないために,海外進出企業のコンプライアンス対策においては「国内本社と現地との責任範囲を明確に定義することが重要」と米澤氏は指摘する。

 ただし,海外展開先でのコンプライアンス対策で難しいのは,「各国独自の法規制や基準,標準への対応」(米澤氏)という。今回の講演で米澤氏は,特にアジア太平洋地区各国における法規制に焦点を絞り,日本の「個人情報保護法」および「不正アクセス禁止法」との違いについて解説した。

 アジア太平洋地区各国のデータ・プライバシの概念は,国際標準を大幅に受け入れているインドのような国がある一方で,「日本の個人情報保護法と異なる考え方をする国も多い」(米澤氏)。たとえば,日本の個人情報保護法はデータを管理する側に適用されるのに対して,台湾と香港の法律はデータを窃盗,破壊した者を罰する。この罰則は日本よりもはるかに厳しく,香港では禁固刑・罰金刑に加えて政府サイトで実名を公開されるという。

 また,日本の不正アクセス禁止法に相当する法律がある国としては,インド,シンガポール,インドネシアがある。だが,日本の同法が「成りすましなどの不当なアクセス行為」を適用対象としているのに対して,この3国の法律は「利用者権限が設定された機器」の不正利用や,「機密情報やプライバシー情報」へのアクセスも禁じている。「他人のパソコンを使うだけでも法に触れる可能性があるので注意が必要」(米澤氏)。

 さらに,国によっては独自の法規制を設けている場合がある。その中でも,特に注意が必要なものとして,米澤氏はインドネシアの法律である「Information and Electronic Transaction Act」を挙げた。この法はインターネット上の差別的表現を取り締まるものだが,「“差別的表現”の基準が日本の常識と異なる部分がある」(同氏)。同法により,「治療をうけた医師への不満をブログに書いた人が罰された」という事例があるという。米澤氏は「現地社員が同法の規制に巻き込まれないような対策が必要」と注意を促した。