Microsoft プレジデントのBrad Smith氏は米国時間5月6日、欧州連合(EU)の法人および公的機関の顧客向けに公約を発表し、これら顧客のデータのほとんどを2022年末までにEU域内で保管、処理できるようにするとした。
米国との間のいわゆる「プライバシーシールド」が欧州司法裁判所によって無効と判断された状況の中、Microsoftは欧州の政府機関や法人がその全データをEU域内に設置された同社のデータセンター内で稼働している中核クラウドサービス上で処理できるようにすると公約し、新たなアプローチを進めていこうとしている。
Smith氏はブログに「EU域内の法人や公的機関の顧客のために、われわれはデータストレージに関する既存のコミットメントの枠を超え、これら顧客の全データをEU域内で処理、保管できるようにする」と記している。
そして同氏は続けて「つまり、顧客であるあなた方のデータをEU域外に持ち出す必要がなくなるということだ」としている。
Microsoftをはじめとするクラウドプロバイダーは、EUと米国の間でデータを移送する上で、標準契約条項(SCC)やプライバシーシールドに依存してきた。しかし、プライバシーシールドは欧州司法裁判所によって2020年7月に無効と判断された。ただ、GoogleやAmazon Web Services(AWS)といった大手クラウド企業では、SCCの条項に改定を加えることで、データ移送の法的枠組みとして使用し続けることが許されている。
ここでの懸念は、米国政府が国家の安全保障という名目でEU市民のデータにアクセスできることが、一般データ保護規則(GDPR)と対立するところにある。データ管理者は、米国へのデータ移送と、米国法とGDPRの対立を考慮した上で、顧客情報を確実にセキュアに保っておくよう求められる。
プライバシーシールドは、EUと米国の間に結ばれていたセーフハーバー協定の後継となる制度だ。セーフハーバー協定は、米国家安全保障局(NSA)が同国の安全保障関連の法律を根拠にして大規模諜報活動を実施していたというEdward Snowden氏の告発に基づき、オーストリアの弁護士であり活動家でもあるMax Schrems氏がその適法性に疑義を投げかけた結果、2015年に欧州司法裁判所によって無効と判断されている。
Smith氏によると、EUのみを対象とする新たなデータ公約は「Microsoft Azure」と「Microsoft 365」「Dynamics 365」に適用されるという。また、同社のクラウド再編作業は2022年末までに完了する予定だという。
Microsoftはこの計画について、「Microsoft Cloudに関するEUのデータ境界(EU Data Boundary)」だとしている。
Smith氏は、「サイバーセキュリティといった固有の状況で必要となる調整作業」を含む、このバウンダリープランについて、EUの顧客や監督機関と向こう数カ月にわたって意見を交換することになると記している。
「Microsoft Defender for Endpoint」やSIEMソリューション「Azure Sentinel」など、Microsoftのサイバーセキュリティサービスは多くがAzureで動いている。Sentinelは、ドイツのみ「Sovereign」リージョンのオプションで利用できる。
とはいうものの、EUのみを対象とするこのアプローチは現在のところオプションとなっている。Smith氏によると、同社は「EU域内の法人や公的機関の顧客が選択した場合、全ての個人データをEU域内で格納、処理する」ことを保証するために、中核のクラウドサービスに対するエンジニアリング作業を既に開始しているという。
Smith氏によると、Microsoftは2021年秋に「EU Cloud Customer Summit」を開催する計画であり、同サミットの場でこの作業の詳細を明らかにするという。
Microsoftは、予定されている変更に関する詳細なQ&Aを公開している。この中で、この計画はEUのデータ移送をなくすのではなく「最小限にする」ものだと説明している。
MicrosoftはQ&Aの中で、「5月6日に発表された当社の新たな『EU Data Boundary』プログラムを通じて、2022年末まで、私たちはEU域外でカスタマーデータとパーソナルデータ両方の移送を最小限にするさらなる措置を講じる」としている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。