ストレージサービス利用における安全保障輸出管理の自主管理ガイドライン
2021/04/14
以下に安全保障輸出管理の観点で、「ストレージサービス利用における自主管理ガイドライン」必要な処置を記載しておきます。
ストレージサービスを利用して、サーバーに技術情報を保管する場合に、以下の方策が取られていれば、経済産業大臣の許可対象とはなりません(ただし学内の輸出管理の申請は必要です)。
(1)サービスを利用する前に、サービス利用者が契約等で確認しておくべき事項等は以下のようです。
- 正当で特別な理由がない限り、またサービス利用者の事前の了解なしにサービス利用者が保管する情報を閲覧・取得されることがないこと。
- 確実な情報セキュリティ上の措置が講じられていること。
- サーバー設置国の政府機関等によって閲覧・取得されることのないこと。
懸念がある場合は、サーバー設置国をサービス提供者に指定するなどの措置を講じること。
また、「暗号化によって技術が実質的にサーバー運用会社に移転されない場合は許可不要」となるため、サーバーに保管する技術情報の暗号化によってリスク回避を行っているサービス利用者を考慮し、暗号化によるリスク回避方法も選択肢の一つとして示されています。
(2)サービスの利用を開始した後に、以下の場合においては、サービス提供者に情報の移転の禁止、廃棄などを命じ、サービス利用者は契約の停止、機微な情報の削除等の適切な対策を講じることが必要です。
- サービス提供者のサーバー設置場所が懸念国・地域※であることがわかった場合。
- 犯罪捜査等の正当な理由なしに政府機関等が自由に情報を閲覧・取得できるようになっている、あるいは閲覧・取得できる状態にあることがわかった場合。
- サービス提供者が情報を閲覧、取得しているあるいは第三者に情報を閲覧・取得させていることを知った場合。