皆様はクラウドサービスを使用する際、どのような要素を考慮されるだろうか。
費用、セキュリティ対策※1、使いやすさ、などであろうか。
クラウドに蔵置されているデータについては、外国政府によるデータの強制取得という懸念点もあるため、それを理解した上で適切に利用していきたいものである。
以下では、この点に関して米国クラウド法についてご紹介したい※2。
外国のサーバーからもデータを強制提出させられる「米国クラウド法」
米国では、米国裁判所の令状に基づき、米国管轄に服するクラウドサービスプロバイダ等(以下「プロバイダ」)は、その所持するデータを開示する義務を負い、その場合、データの所在地を問わない、とする法律がある。
すなわち米国の捜査機関は、犯罪捜査のための令状があれば、米国管轄に服するプロバイダに対して、その所持するデータが米国外(例えば日本)にあるサーバーに保管されていようと強制提出させることができる、とされている。これを定めたのが、2018年クラウド法(「クラウド法」)である。
クラウド法は、正式名称を、Clarifying Lawful Overseas Use of Data Act of 2018(海外データ合法的使用明確化法)といい、通信保存法(Stored Communications Act of 1986(略称SCA))を改正する形で制定された。
SCAでは、犯罪捜査において、インターネットサービスプロバイダ(ISP)等の保有する「有線及び電気による通信及びやりとりの記録(wire and electronic communications and transactional records)」の任意又は強制提出を求める要件・手続を定めていたところ、クラウド法は、米国外にあるサーバーに蔵置された情報(域外データ)について令状を発付・執行する場合の要件・手続を明確化した(クラウド法の全文(英文)は、米連邦議会のウェブサイトを参照されたい)。
※1 クラウドサービスのセキュリティに関して一つの指針としては、デジタル庁が公表しているISMAPのクラウドサービスリストがある。これは、政府情報システムのためのセキュリティ評価制度(ISMAP)に基づいて安全性の評価を受けたクラウドサービスをリストアップしたものである。
※2 なお、外国政府によるデータの強制取得については、「協力及び電子的証拠の開示の強化に関するサイバー犯罪に関する条約の第2追加議定書」もあるが紙幅の都合上本記事では割愛する。また、米国政府のプロバイダに対する開示請求には外国諜報活動監視法(Foreign Intelligence Surveillance Act; FISA)等に基づくものもあるが、これも割愛する。
米国に本社を有する会社のみならず外国会社についても管轄が生じうる
具体的には、クラウド法は、「電子通信サービスあるいは遠隔コンピューティングサービスを行うプロバイダは、顧客や契約者に関係する有線又は電子通信、その他のいかなる記録や情報についてもこれを所有し、管理し、又は制御している場合、その通信や記録、その他の情報が米国の内外のいずれにあろうとも、[令状等に基づき]保全(preserve)、バックアップ、又は開示(disclose)をするという義務に服さなければならない」(下線は筆者)と定め※3、令状による域外データの強制取得を明示的に認めた。
他方、クラウド法は、外国政府が米国とクラウド法協定を締結することにより、外国政府がプロバイダに対し米国に蔵置されるデータの開示を求めることができることとした。
プロバイダがこの法律に服するかどうかは、米国の管轄が及ぶかどうかによるところ、米国司法省はそのホワイトペーパー※4において、米国会社、米国に本社を有する会社のみならず、米国においてサービスを提供していることによって外国会社についても管轄が生じうる、としている。
※3 18 U.S.C. § 2713。邦訳は、指宿信教授『越境するデータ、越境する捜索-域外データ取得をめぐる執行方式に関する欧米の立法動向』「Law and Technology No.82」51頁を参考にさせていただいた。
※4 Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act
実際に、開示請求はされている
では実際に、どの程度米国政府要求に基づいて米国外に蔵置されたデータ(域外データ)が開示されているのか。
米国の各企業は米国政府の開示要求に応じたか否かに関して透明性レポートを開示している。米国の代表的なクラウドサービス事業者についてピックアップすると、その内容は以下の通りである※5。これを見ると、件数が非常に少ないとはいえ、全く開示されていないというわけではないという現状が分かる(なお、各社でデータ開示の範囲や指標に違いがあるため、単純な比較ができないことは十分に注意されたい。)。
※5 我が国の2022年のガバメントクラウドの公募に採用された4社について調査した。
※6 Law Enforcement Information Requests – Amazon Customer Service
※7 Requests for user information – Google Transparency Report
※8 Law Enforcement Requests Report – Microsoft
※9 Law Enforcement Requests Report | Oracle
米国政府に従うと、日本の個人情報保護法に違反する可能性も
このように、クラウド法のもと米国政府が外国に蔵置されたデータを強制的に取得することができることは、日本のクラウドサービス利用者や日本でサービスを提供する米国管轄に服するプロバイダからみると、主として、日本の個人情報保護法との関係が問題となる。
個人情報保護法第28条では、原則として、本人の同意を得なければ外国にある第三者(外国政府を含む。)に個人情報を提供してはならないとされる。本人の同意が不要となる例外事由として、「法令に基づく場合」(27条1項1号)や「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(同条項4号)等があるが、いずれも我が国の法令や我が国の機関等を意味し、外国の法令や機関は想定されていない。よって、少なくとも現時点においては、クラウド法に基づき日本の利用者がクラウド上に保有する個人情報がプロバイダを介して米国政府によって強制取得された場合、日本の利用者は日本の個人情報保護法に違反してしまうことになる。米国管轄に服するプロバイダにとっては、日本の法律に違反して米国政府の令状執行に従うか、日本の個人情報保護法に従って米国政府の令状執行を無視するか、という板挟みの問題ともなりうる。
さらには日本の利用者がEU市民の個人情報を保持している場合は、我が国の個人情報保護法のみならずGDPRとの関係でも抵触が生じうることとなる。
日本の判断は尊重されるが……令状執行がなされる可能性もある
このような外国法と自国法の板挟みの問題は、主権の衝突に起因する。クラウド法が国際法に違反しているというわけではない。
各国家は、立法、司法、法執行について主権を有し、原則として、独自に法令を制定し、それを執行することができるが、国境にかかわらず存在・移転しうるデータの性質上、クラウド法のような国家間の法律の衝突が生じる場面が多くなる。
クラウド法では、域外適用(域外データを取得する場合の適用)にあたり、コモンロー(英米法における判例法)上のコミティの論理(礼譲)が適用され、外国法や外国政府の判断が礼譲として尊重される、と規定される※10。しかし、コミティは法規範ではなく、最終的には、令状発付の当否を審査する米国の個々の裁判官の判断に委ねられるため、日本の個人情報保護法違反を理由にクラウド法に基づく令状執行が当然に排斥されるとは限らない。
この主権の衝突に基づく問題は、日本政府が米国政府とクラウド法の定める行政協定(クラウド法協定)を結べば一応は解決される。現に、英国やオーストラリアは米国とクラウド法協定を締結する方針をとった(英国については2022年10月に発効。)。これに対し、少なくとも現時点において日本政府がクラウド法協定締結に動いているという話は聞かない。
※10 CLOUD Act §103(c)
暗号化や事前通知……利用者ができること
とすれば、利用者としては、米国の管轄に服する企業のクラウドサービスを利用する際、どのような対策をとるべきか。これは、利用する個人、事業体の規模や事業の性質にもよるだろうが、以下の方法が考えられる。
まずは、クラウド上に保存するデータの暗号化である。クラウド法は、encryption-neutralであり、令状執行を受けたプロバイダは暗号化された情報を提供すればよい、とされている。米国では、全令状法(All Writs Act)によりプロバイダに対して復号に協力する義務を負わせることができるが、クラウド利用者については、利用者が独自に暗号化を施し、その復号鍵を管理する場合であって、クラウド利用者自身が米国法の適用を受けない場合は復号鍵を提供する義務はない。我が国の個人情報保護法では、暗号化されていても個人情報に該当するため、暗号化された情報が外国政府に流れた場合、個人情報保護法違反にならないとはいえないが、少なくとも暗号化によって高度に秘匿化がされていた場合には、データ主体への損害の発生を極力抑えることはできる。
また、プロバイダと交渉の余地があれば、外国政府による開示要求があった場合に事前通知をもらえるよう契約書に盛り込むということも考えられる。
さらに、これも交渉力に関係するが、外国政府に開示した場合にどのような弊害が生じるか、日本のどの法律に違反するかについてプロバイダに事前に周知させ、できる限り英語での資料を準備しておく、という対応も考えられる。なぜなら、プロバイダが令状を発付した裁判所に対して令状の修正・却下を求める場合は14日以内という期間制限があるからである。
実際に令状によって情報が米国政府に取得された際には、場合によっては、個人情報保護委員会に報告する、という対応が必要となる。
最後の報告義務を除き、上記の各対応は中小規模の事業主には難しい。域外データが取得されている件数自体が世界的に見ても少ないことを考えれば、事業の規模や性質によってはそれほど懸念する必要はないかもしれない。あとは、米国政府から令状執行される可能性のあるデータを取り扱っているか、費用、セキュリティ面、使い勝手等のメリット・デメリットを考慮して各自判断されるとよいだろう。
