アマゾンのAWS規約を法的に支える「責任共有モデル」

世界のクラウドサービスのインフラを支えるアマゾンウェブサービス（AWS）。その利用規約の根底に流れる「責任共有モデル」の考え方について、AWSジャパン公共政策部シニアマネージャーの矢野先生とコーポレートカウンセルの笹沼先生にお話を伺いました。

アマゾン ウェブサービス ジャパン本社で開催されたAWSカスタマーアグリーメントの勉強会に参加

クラウドサービスのインフラとして、事業者だけでなくユーザーにとっても欠かせない存在となっている「Amazon Web Services（AWS）」。

今回、アマゾン ウェブサービス ジャパン株式会社にお邪魔し、公共政策部シニアマネージャーの矢野敏樹先生と、コーポレートカウンセルの笹沼穣先生 を囲んで、AWSの利用規約である「AWSカスタマーアグリーメント」を題材に、今後の日本におけるクラウド法の政策立案について、意見交換の機会 をいただきました。

矢野敏樹先生は、法律事務所において弁護士としてのキャリアを積まれた後、外務省にて国際協定の立案・交渉に従事。その後大手外資系IT企業の公共政策部門を歴任され、アマゾン ウェブサービス ジャパンにジョインされました。私も前職時代から意見交換をさせていただくなど、長くお世話になっている先生です。

一方、笹沼先生とは今回初めてお話しする機会をいただくことができました。笹沼先生は米国裁判所、米国法律事務所にてキャリアをスタートさせた後、2016年にアマゾン ウェブサービス ジャパンに入社。同社では民間との契約を3年担当されたのち、2019年から公共部門を担当されています。

お二人からは2時間近くのプレゼンテーションと意見交換のお時間をいただきましたが、その中でも特に参考になったお話しが、アマゾンが提唱する「責任共有モデル」という、契約上の責任分担を整理するためのフレームワーク を知ることができた点です。

請負とも準委任とも異なる「責任共有モデル」

あらゆる情報システムがオンプレミスで開発されていた時代には、システムを開発後、引き渡し日をもって責任が開発企業からユーザーに移転することを原則とし、問題があれば契約上の瑕疵担保・契約不適合責任に基づき、その責任を処理するという契約関係がほとんどでした。

クラウドが普及し、サービスとして提供されるリソースを利用してユーザーが自己責任でシステムを構築するようになった現代において、これがどう変わったのか。システム開発契約の実務書では、しばしば「クラウドサービスには請負の類型が馴染まず、一般的には準委任契約と解される」と説くものが多く見受けられます。

もちろん、そうした捉え方もあるとは思いますが、AWSはそれとはまた違う契約のフレームワークを提案しています。それがこの「責任共有モデル」です。

責任共有モデルとは、クラウドサービスを構成する各システムを上記のようなレイヤー構造に分解して捉えた上で、

• クラウド「における」セキュリティはユーザー（お客様）が
• クラウド「の」セキュリティはAWSが

それぞれ責任を負うという考え方。では、このフレームワークに基づくと、具体的にオンプレミスとクラウドとでどのような契約責任の違いが生まれるのでしょうか。

たとえば、ハッキング等不正アクセスが発生した場合、オンプレミスであればシステムプログラムにセキュリティホールがあれば、原則としては開発者がその責任を負うことになります。一方、クラウドの場合、AWSはホストOSや仮想化レイヤー・サービスが運用されている施設の物理的なセキュリティの責任は負いますが、AWSのモジュールを使って開発・構築されるアプリケーションレイヤーのセキュリティは、ユーザーの責任負担部分 となります。

もちろんAWSとしても、単にユーザーに責任を押し付けるということではなく、暗号化やアクセスコントロールに関するホワイトペーパーやベストプラクティスを提供し、ユーザーのセキュリティ環境構築維持を支援する役割は担うことになります。しかし、そうして AWSが提供するリソースをレゴブロックのように使ってどのようなサービスを作り、どの程度強固なものにするかは、ユーザーの戦略的な選択にかかっている、ということになります。

こうした「責任共有モデル」の考え方は、AWSだけでなく、Microsoft等国際的なクラウド事業者も支持する考え方であるほか、ISO/IEC27017などの第三者認証にも対応しています。

なお、この責任共有モデルの詳細については、AWS公式ブログでも解説（「責任共有モデルとは何か、を改めて考える」）がありますので、一読をおすすめいたします

今後はユーザーに対するクラウド技術啓蒙が重要に

「このようなAWSの考え方に、すぐにキャッチアップしてくださるお客様ばかりではありません。やはり クラウドの概念や技術そのものを理解していただくところから、長時間の説明を必要とされるお客様も少なからずいらっしゃいます。」

とおっしゃる笹沼先生。

また公共部門に限らず民間部門からも、オンプレミス時代の請負契約スタイルでの取引を依頼されることが多く、クラウドにはそれが当てはまらないことについて理解いただくまでに手間と時間を費やしているとのこと。交渉相手の組織からクラウドに詳しいエンジニアの方が同席されることで初めて、スムーズに話し合いが進む例も少なくないそうです。

私自身、ユーザー側企業としてAWSを使ったサービスの法的リスクを把握するにあたり、せめてエンジニアとの会話が成立できるレベルにキャッチアップできるよう、苦労しながら学んでいます。その観点では、昨年発刊された、アマゾン ウェブサービス ジャパン株式会社の社員の方々による解説本『AWSクラウドの基本と仕組み』などは、法務に携わる方にも大変参考になる技術書だと思います。

矢野先生からも、

「公共部門でも民間部門においても、これからどうクラウドを戦略的に取り入れていくかが重要です。技術面を含めた啓蒙に力を入れる必要があると感じていますし、国境を越えたデータ流通のフレームワークのあり方なども、引き続きテーマになってくるでしょう。例えば AWSをインフラとしてご活用いただいているような日本のSaaS事業者にも広く協力を仰ぎ、クラウドサービスの責任分担のあり方について議論を深めるとともに、必要に応じ立法に向けた提言などを行なっていきたい と思います。」

とコメントいただきました。この勉強会もシリーズ化を企画しているそうなので、今後のセッションについても期待をしたいと思います。

クラウドサインも、日本の多くの企業にとって重要な契約関連情報をお預かりするクラウド事業者の一社として、この取り組みに対しご協力ができればと考えています。

画像： konstantinraketa / PIXTA(ピクスタ)

（橋詰）