米国政府に従うと、日本の個人情報保護法に違反する可能性も
このように、クラウド法のもと米国政府が外国に蔵置されたデータを強制的に取得することができることは、日本のクラウドサービス利用者や日本でサービスを提供する米国管轄に服するプロバイダからみると、主として、日本の個人情報保護法との関係が問題となる。
個人情報保護法第28条では、原則として、本人の同意を得なければ外国にある第三者(外国政府を含む。)に個人情報を提供してはならないとされる。本人の同意が不要となる例外事由として、「法令に基づく場合」(27条1項1号)や「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(同条項4号)等があるが、いずれも我が国の法令や我が国の機関等を意味し、外国の法令や機関は想定されていない。よって、少なくとも現時点においては、クラウド法に基づき日本の利用者がクラウド上に保有する個人情報がプロバイダを介して米国政府によって強制取得された場合、日本の利用者は日本の個人情報保護法に違反してしまうことになる。米国管轄に服するプロバイダにとっては、日本の法律に違反して米国政府の令状執行に従うか、日本の個人情報保護法に従って米国政府の令状執行を無視するか、という板挟みの問題ともなりうる。
さらには日本の利用者がEU市民の個人情報を保持している場合は、我が国の個人情報保護法のみならずGDPRとの関係でも抵触が生じうることとなる。
