皆様はクラウドサービスを使用する際、どのような要素を考慮されるだろうか。
費用、セキュリティ対策※1、使いやすさ、などであろうか。
クラウドに蔵置されているデータについては、外国政府によるデータの強制取得という懸念点もあるため、それを理解した上で適切に利用していきた いものである。
以下では、この点に関して米国クラウド法についてご紹介したい※2。
外国のサーバーからもデータを強制提出させられる「米国クラウド法」
米国では、米国裁判所の令状に基づき、米国管轄に服するクラウドサービスプロバイダ等(以下「プロバイダ」)は、その所持するデータを開示する義務を負い、その場合、データの所在地を問わない、とする法律がある。
すなわち米国の捜査機関は、犯罪捜査のための令状があれば、米国管轄に服するプロバイダに対して、その所持するデータが米国外(例えば日本)にあるサーバーに保管されていようと強制提出させることができる、とされている。これを定めたのが、2018年クラウド法(「クラウド法」)である。
クラウド法は、正式名称を、Clarifying Lawful Overseas Use of Data Act of 2018(海外データ合法的使用明確化法)といい、通信保存法(Stored Communications Act of 1986(略称SCA))を改正する形で制定された。
SCAでは、犯罪捜査において、インターネットサービスプロバイダ(ISP)等の保有する「有線及び電気による通信及びやりとりの記録(wire and electronic communications and transactional records)」の任意又は強制提出を求める要件・手続を定めていたところ、クラウド法は、米国外にあるサーバーに蔵置された情報(域外データ)について令状を発付・執行する場合の要件・手続を明確化した(クラウド法の全文(英文)は、米連邦 議会のウェブサイトを参照されたい)。
※1 クラウドサービスのセキュリティに関して一つの指針としては、デジタル庁が公表しているISMAPのクラウドサービスリストがある。これは、政府情報システムのためのセキュリティ評価制度(ISMAP)に基づいて安全性の評価を受けたクラウドサービスをリストアップしたものである。
※2 なお、外国政府によるデータの強制取得については、「協力及び電子的証拠の開示の強化に関するサイバー犯罪に関する条約の第2追加議定書」もあるが紙幅の都合上本記事では割愛する。また、米国政府のプロバイダに対する開示請求には外国諜報活動監視法(Foreign Intelligence Surveillance Act; FISA)等に基づくものもあるが、これも割愛する。