• 日本は”Data Free Flow with Trust” (DFFT)を2019年に提唱し、自由なデータ流通の促進において国際的にリーダーシップを発揮してきました。国内では、個人情報保護法の改正や情報セキュリティ関連の法律制度の整備促進が継続的に行われる等、デジタル社会の実現に向けて積極的な取組が行われています。このような動きの中で、アリババクラウドが培ってきた先進的かつ利便性の高いAI技術やIoT技術を取り入れて事業のDX化を推進する企業が増えています。アリババクラウドは、お客様およびエンドユーザーのプライバシーを保護するためにすべての製品開発プロセスにプライバシー・バイ・デザインのアプローチを取り入れ、安全安心な最先端の技術をご提供しています。

  • セキュリティ:

    2014年に制定されたサイバーセキュリティ基本法を皮切りに、日本では国をあげたサイバーセキュリティ対策が本格化しました。サイバーセキュリティ戦略本部が内閣に設置され、内閣サイバーセキュリティセンター(NISC)がサイバーセキュリティ戦略の実施を取りまとめています。NISCは「政府機関等の情報セキュリティ対策のための統一基準群(平成 30 年度版)」を発行し、政府機関等が情報セキュリティ対策を講じていく際のガイドラインとして広く活用されています(令和 3 年度版を現在策定中)。

    また、日本政府は、2018年に政府情報システムについてクラウド・バイ・デフォルト原則を掲げました。その結果、クラウド・サービスのホワイトリスト登録制度である「政府情報システムのためのセキュリティ評価制度」(ISMAP)制度が策定され、2020年10月から運用が開始されています。


    セキュリティに関連した主な法律:
    サイバーセキュリティ基本法
    IT基本法 (高度情報通信ネットワーク社会形成基本法)
    不正アクセス禁止法


    政府機関向けガイドライン・制度:
    政府機関等の情報セキュリティ対策のための統一基準群(平成 30 年度版)
    政府情報システムのためのセキュリティ評価制度(ISMAP)


    その他ガイドライン:
    クラウドサービス利用のための情報セキュリティマネジメントガイドライン


    プライバシー:

    日本の個人情報保護法は2005年に初めて成立し、その後2015年、2017年、2020年と3度の改正を経ています。さらに2021年には個人情報に関連する3本の法律を1つの法律に統合することでオムニバス法化する改正も実施されました。また、1998年には日本独自のプライバシーマーク制度の運用を開始しており、日本国内ではすでに16,000社を超える企業が取得しています。その他、日本は2019年1月に欧州委員会からGDPR施行後最初の十分性認定を受けると同時にEEA加盟国をホワイトリスト国に掲載する等、DFFTを実現するための積極的な取り組みを行っています。

    日本にはいわゆる「マイナンバー法」という、社会保障番号(マイナンバー)に関する法律もあります。マイナンバーの取り扱いに対しては詳細なガイドラインを定め、特に厳格な処理要件を定めています。

    近年は、デジタル社会の推進に相俟って、パーソナル・データの取り扱いや個人の私的領域の保護についての議論も高まっています。経産省と総務省は2020年、プライバシー・ガバナンスの推進を促すガイドブックを出しました。経産省は、2021年1月にはプライバシー影響評価についての世界標準であるISO 29134:2017をJISとして翻訳したJIS X 9251:2021を発行しています。


    監督当局:
    個人情報保護委員会 (個人情報保護法およびマイナンバー法の適用範囲)
     ※ これらの枠外にあるパーソナル・データの利活用に関しては経産省、総務省がガイドライン等の策定を行っています。


    プライバシー保護に関連した主な法律:
    個人情報保護法(個人情報の保護に関する法律)
    マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
    特定電子メール法(特定電子メールの送信の適正化等に関する法律)


    プライバシーに関連するガイドライン:
    個人情報保護法に関する各種ガイドライン
    マイナンバー法に関する各種ガイドライン
    DX時代における企業のプライバシーガバナンスガイドブックver1.0


    個人情報の越境移転要件:
    個人データを外国にある第三者に提供するには一定の制約が課されています。具体的には以下のいずれかの要件を満たさなければなりません。

    ・個人が適切かつ合理的な方法で同意すること
    ・日本と同等の水準にあると認められる個人情報保護制度を有している国・地域であること
    ・第三者が移転元と継続性を保った体制整備を行っていること
    ・法的義務の遵守や公共の利益、重大な利益を保護する目的であること

    個人情報保護委員会は、「個人情報の保護に関する法律施行規則」第11条(2)で「個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること」としており、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」の4-3項によると、「提供先の外国にある第三者が、APECのCBPRシステムの認証を取得していることが該当する」とされています。

    アリババクラウドは2021年4月にCPBR認証を受けています。アリババクラウドに対する日本からの個人データの移転は安全・安心に行うことができます。

  • 概要:

    他の多くの国と同様、日本でも金融サービスについては特別な規制が敷かれています。財団法人金融情報システムセンター (FISC)が金融機関等の自主基準として策定した金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)は、システムアーキテクチャおよび運用に関する指針として多くの金融機関によって活用されています。この安全対策基準・解説書は現在第9版2020年3月版が最新であり、また2021年5月には「金融機関等におけるクラウド導入・運用に関する解説書(試行版)」も発行されています。

    個人情報保護についても金融機関に対する個別の規制が定められています。個人情報保護委員会は、金融分野ガイドライン安全管理措置実務指針を制定し、公表しています。

    アリババクラウドのデジタル本人確認サービスであるeKYC APIサービスは、「犯罪による収益の移転防止に関する法律施行規則」第6条(一)のホ に対応するサービスです。2018年に行われた「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」時のパブコメを踏まえたセルフ・アセスメントも行い、お客様に導入をご案内しています。


    監督当局:
    金融庁
    個人情報保護委員会 (個人情報保護法およびマイナンバー法の適用範囲)

資料
お客様のデータ・セキュリティ確保を支援する取り組みの一環として、アリババクラウドは透明性を確保するために継続的な情報開示を行っています。最新のセキュリティホワイトペーパーの国際版(V2.1 (2021))(英語)はこちらからダウンロードください。
アリババクラウドは、お客様のシステムやデータの機密性、完全性、可用性の確保に真剣に取り組んでいます。本ホワイトペーパーでは、アリババクラウドのパブリック・クラウドのセキュリティ・システム、特に中国本土にセキュリティ機能とサービスについて説明しています。
COVID-19パンデミックは私たちの世界に大きな打撃を与えました。全世界で400万人近い人々が愛する人を奪われました。アリババクラウドは、このような難しい状況の中、テクノロジーの力でこの困難を乗り越える支援を積極的に行っています。
日本におけるサイバーセキュリティ対策を先導するNISCは、政府情報システムの情報セキュリティ機能を強化するために、「政府機関等の情報セキュリティ対策のための統一基準群」を2018年に制定しました。このユーザーガイドでは、政府部門でアリババクラウドをご利用いただく際の責任共有モデルを解説します。
金融業界情報システムセンター(FISC)は、 1985年から金融機関のセキュリティ対策を促進するためのガイドラインを発行してきました。このユーザーガイドは、アリババクラウドが実施している対策をまとめた「FISC安全対策基準」のリファレンス情報です。
アリババクラウドはユーザーのプライバシーとデータのセキュリティを最優先事項ととらえています。このホワイトペーパーでは2020年改正個人情報保護法の更新箇所と要点を解説し、お客様が安心してアリババクラウドをご利用いただくための情報を提供しています。
アリババクラウドは、セキュリティ対策の透明性を高めるため監査法人が作成したSOCレポートを公開しています。お客様は必要に応じて、第三者機関が発行したSOCレポートを当社ウェブサイト又は営業経由でご入手頂けます。
デジタル化する国際社会において、データの自由な移動は大きな課題となっています。Alibaba Cloudはシームレスなデータの移動の価値を理解しています。私たちはお客様がより自由にデータ移転を行えるよう、APEC CPBR及びAPEC PRP認証を取得しました。
「政府情報システムのためのセキュリティ評価制度」(ISMAP)は日本政府機関がクラウド・バイ・デフォルトへと移行するための、ホワイトリストを作成するための制度です。このホワイトペーパーでは、ISMAP対応についてのアリババクラウドの取り組みをご紹介いたします。

ウェビナー

中国サイバーセキュリティ法の現実とその対策

本ウェビナーでは、中国サイバーセキュリティ法の概要と、実際にどの様な企業が摘発対象となったのか、その実例を取り上げながら、進出する日本企業が取り組むべき対策について議論を行います。

Alibaba Cloud 安心と安全のための取り組み

本ウェビナーでは、アリババクラウドの日本におけるコンプライアンスの取り組みをご紹介しています。
アリババクラウドはアカウンタビリティの向上を通じて、お客様の懸念を解消できるよう努めています。

注目のストーリー
〜アリババクラウドが獲得した認証抜粋〜

Data Protection by Design

シンガポールの個人データ保護当局と香港の個人データ保護当局は2019年、共同して”Guide to Data Protection by Design for ICT Systems”を発行しました。アリババクラウドは、このガイドラインを受け、すべてのアリババクラウド製品の開発にData Protection by Designの原則を適用させています。
このガイドラインでは次に挙げる7つのポイントを押さえたシステム設計を推奨しています。

1、事前に対応し、問題が発生しないように予防する
2、デフォルト設定はデータが最も保護されるものとする
3、End-to-Endで安全性を担保する
4、利用するデータを最小化する
5、ユーザーを中心に考える
6、透明性を担保する
7、リスクを最小化する

APEC CBPR認証取得のお知らせ

APEC CBPR(APEC越境プライバシールール)システムは事業者のAPECプライバシー・フレームワークへの適合性を国際的に認証する制度です。日本は2014年からこの制度に参加しています。アリババクラウドはグローバル本社のあるシンガポールでこの認証を2021年4月に取得しました。これにより、日本の個人情報をアリババクラウドに移転する際には個人の同意をとることなく移転可能となりました。APEC CBPRについての詳細はこちらをご覧ください。

アリババクラウドは、世界中のお客様に最上のサービスをご提供できるよう日々努めています。私たちは、お客様がオペレーションを行う各国の法的要件はもちろん、各国の産業標準やベストプラクティスに積極的に対応しています。

APEC PRP認証取得のお知らせ

APEC PRP(APEC処理者のためのプライバシー保護)システムは、データ管理者に代わって個人データを処理するデータ処理者が、APECプライバシー・フレームワークに準拠して個人データを越境移転をおこなう仕組みを有することを国際的に認証する制度です。アリババクラウドはグローバル本社のあるシンガポールでこの認証を2021年4月に取得しました。個人データの越境移転は世界中で大きな議論となっていますが、APEC PRPに準拠することで、アリババクラウドはその障壁を緩和し、お客様がよりシームレスにデータを自由に流通させられる体制を整備することに成功しました。APEC PRPについての詳細はこちらをご覧ください。


アリババクラウドは、世界中のお客様に最上のサービスをご提供できるよう日々努めています。私たちは、お客様がオペレーションを行う各国の法的要件はもちろん、各国の産業標準やベストプラクティスに積極的に対応しています。

M3社
AI 画像診断によるコロナウィルス診断

アリババクラウドの先端技術研究所であるAlibaba Damo Technology Co., Ltdが開発したAIアルゴリズムがコロナウィルス診断システムに活用されています。

データ・プライバシーのよくある質問
アリババクラウドは、セキュリティ対策とアカウンタビリティの向上を通じて、
クラウド・サービス・プロバイダーとしてできる限りその懸念を解消できるよう努めております。

1. アリババクラウドが当社のデータにアクセスすることはありますか。

当社はお客様との共同責任モデルの中で、お客様データに対しては完全にお客様がコントロールを有しており、当社が無断でアクセスすることは絶対にございません。

2. アリババクラウドが政府や法執行機関等に当社データを開示することはありますか。

お客様のデータへのアクセス、データの使用、データの転送、およびデータの開示は全てお客様の判断の下行われます。仮に政府機関等から開示要求があったとしても、アリババクラウドは、当該政府機関に対してお客様に直接そのデータを請求するように要請します。

3. アリババクラウドは中国の会社ですか。

アリババクラウドのグローバルHQはシンガポール法人であり、シンガポールに登記されています。当社のグローバルHQはシンガポール法に準拠してオペレーションを行っています。

4. 日本のデータ・センターであっても諸外国からデータ開示命令を受けることはありますか。

アリババクラウドは世界24の国と地域に72のAvailability Zoneを展開しています。各データ・センターはその設立されている国と地域の法律に準拠して運用されます。
データ・センターが所在する国と地域にデータ開示に関する法令、または政府機関による拘束力のある命令を出す権限がある場合には、他の国と地域の法律に準拠するのと同様に、法令または政府機関の命令を遵守する必要が生じる可能性があります。そのような事態が生じた場合、アリババクラウドは、法律によって禁止されていない限り、当該請求に関する通知をお客様に送付し、お客様が必要な救済措置等をとることができるように配慮します。
アリババクラウドのサービスを利用される場合は、Availability Zoneを注意して選択されることを推奨しています。

5. アリババクラウドはどのような個人データを取得しているのですか。

アリババクラウドはクラウド・サービス・プロバイダーとして”to B”の事業を展開しています。そのため、当社が処理する個人データはサービスのご提供に必要なお客様のアカウント登録データが大半です。実際アリババクラウドに対するガバメント・アクセス要求はほとんどないというのが実情です。

SOC2レポートをご希望の方はこちらをクリックしてください

詳細はこちら

Alibaba Cloud ソリューションで始めよう

無料トライアルで 体験してみてはいかがでしょうか。

お問い合わせ