BtoBクラウドの責任分界点—第6回:クラウドをめぐる最近の話題(米国クラウド法・NISCガイダンス)
今回は、クラウドをめぐる法律などの動向を踏まえ、特に話題になることの多い米国クラウド法についての概要説明をしたいと思います。次に、最近公表されたクラウドセキュリティの基本的考え方のガイドであるNISCの「クラウドを利用したシステム運用に関するガイダンス」について、簡潔にご紹介したいと思います。
目次
クラウド法に関してよくある誤解
2018年に米国で施行されたClarifying Lawful Overseas Use of Data法、いわゆるCLOUD法(「クラウド法」)は、誤解が多い法律です。その典型例が、「米国籍のクラウド事業者が提供するクラウドサービスを利用してデータを保存すると、クラウド法によってデータが米国政府に筒抜けになってしまう」といったものです。
これには具体的に二つの誤解があります。
- 誤解① 日本のクラウド事業者だったらクラウド法の適用は受けない〜実際には、米国に支店や支社があったり、米国で事業を展開している日本のクラウド事業者なら、クラウド法の適用対象に含まれます
- 誤解② 米国政府はクラウドに保存されているデータに無制限にアクセスできる〜実際には、犯罪の証拠であるデータしかクラウド法の対象ではなく、証拠の強制的な提供には米国裁判所の令状が必要になります
それぞれの誤解について、解説していきます。
誤解① 日本のクラウド事業者だったらクラウド法の適用は受けない
「クラウド法の適用を受けるのは米国籍のクラウド事業者であり、国産のクラウド事業者が提供するクラウドサービスを利用すればこの法律の適用を回避できる」という誤解はとても根強いです。
しかし、クラウド法はもともと1980年代に施行された Stored Communications Act(「SCA」)と呼ばれる法律に対して微修正を加えただけの法律であり、SCA(及びクラウド法)は米国の司法管轄権が及ぶ電子的コミューニケーションサービスおよびリモートコンピューティングサービスの提供者(たとえば電子メールのプロバイダー、電気通信会社、ソーシャルメディアのサイト、クラウド事業者など)すべてに適用されます。 米国司法省は、SCAの適用が米国籍の企業、米国に本社がある企業、米国人が支配する企業に限定されないとの見解を公開しており、たとえば米国内で事務所や子会社を有していたり米国内で事業を展開しているなど、米国と接点があれば、たとえ日本のクラウド事業者であってもSCA及びクラウド法の適用対象に含まれます。
誤解② 米国政府はクラウドに保存されているデータに無制限にアクセスできる
クラウド法は、捜査当局が犯罪に関連する情報やデータに強制的にアクセスするための司法手続きを明確化した法律です。「犯罪に関連する情報」とはつまり「証拠」を意味しているので、クラウド法は米国政府によるありとあらゆるデータへの恣意的なアクセスを認める法律ではありません。
米国では、「証拠」の強制的な提供には裁判所が発行する令状が必要です。令状の発行には厳格な法的基準を満たしていることが求められ、捜査当局は裁判所に対して、犯罪があったこと、および証拠として求めるデータがその犯罪に直接関連している根拠を示す必要があります。「犯罪Aの捜査のために場所BにあるデータCの入手」のレベルでA、B、Cの具体性が求められるため、犯罪の有無や証拠の在り場所が特定されないまたはできない「探り出し」は認められません。令状の発行のために必要な要件を満たしているか否かは捜査当局から独立した裁判官が審査し、その判断は同じく独立した上訴裁判所への上訴の対象になります。
このように、クラウド法では、米国捜査当局によるデータへの無制限なアクセスが認められているどころか、そのようなアクセスが厳しく制限されています。
クラウド法に対するクラウド事業者の対応
クラウド法を正しく理解することはもちろん重要ですが、同じく肝心なのが、この法律に対するクラウド事業者の対応方針です。 重要なことに、クラウド法はクラウド事業者が捜査当局に対して抵抗する手段を弱めていません。
たとえば、クラウド事業者は捜査当局からデータに対するアクセス要求を受けた場合、その要求をすんなり受け入れてしまうわけではありません。一般的に、クラウド事業者は、要求の適用範囲が広すぎたり要求が不適切であると考えられる場合には裁判所に対して異議を申し立てるという姿勢をとっており、この姿勢はクラウド事業者の規約やクラウド事業者のウェブページに掲載されている情報などで確認できます。
さらに、国際的な相互主義の観点から、クラウド法は米国捜査当局によるデータの要求が他国の法律や国益に抵触していないかという点について配慮しており、クラウド事業者はデータへのアクセスが他国の法律や国益を侵すという理由で異議を申し立てられることがクラウド法上明確にされています。この異議を申し立てる権利はクラウド法で初めて明文化されたものなので、クラウド法はデータ保有者の権利を強化したとも言える法律です。
また、クラウド事業者は一般的に、 捜査当局からデータに対するアクセス要求を受けた場合、法的に禁止されている場合を除いて、開示に先立ってデータ保有者に対して通知を出すことにしており、この点についても、クラウド事業者の規約やクラウド事業者のウェブページに掲載されている白書などで確認できます。なお、「法的に禁止されている場合」とは、たとえば、データ保有者が通知を受けると証拠隠滅を図る恐れがあると裁判所が判断する場合などが考えられます。
クラウド法上放棄されない日本政府の主権免除
日本でも政府機関によるクラウドの利用が加速していることから、クラウド法に基づいて日本政府のデータが米国政府にアクセスされるのではないか、という懸念が注目されてきています。しかし、上述した整理はデータが政府機関のものであった場合でも変わらず、このことは2022年3月25日に行われた衆議院内閣委員会での国会答弁および2022年11月11日に行われた衆議院内閣委員会での国会答弁において政府より表明されています。
クラウド法は 米国捜査当局が“強制的”に犯罪の証拠を収集するための法律なので、たとえば米国当局が日本政府に対して犯罪捜査の協力を求め、その依頼に応じた日本政府が任意にデータを提供することはクラウド法の対象にはなりません。
米国捜査当局が強制的にデータにアクセスするためには裁判所から令状を取得する必要がありますが、データが日本政府のものである場合、主権免除の概念が極めて重要になります。米国では、外国政府は米国の裁判権から免除されるという原則が、外国主権免除法(Foreign Sovereign Immunities Act)と呼ばれる法律を通して1976年に立法化されています。主権免除が適用される主体に対して米国の裁判管轄権は及ばず、裁判管轄権なしに米国裁判所は強制的なデータアクセスを認める捜査令状を発行することができません。
外国主権免除法は法律の文言上日本政府および自治体に適用され、クラウド法は外国主権免除法に基づく主権免除をなんら放棄するものではありません。なお、政府は2022年11月11日に行われた衆議院内閣委員会での国会答弁において、外国主権免除法の適用について言及しています。
クラウド法に対する利用者の対応
上述のとおり、クラウド法施行後も、米国捜査当局がクラウドに保存されたデータにアクセスすることには制限が課されます。
しかし、それでも(米国に限らず)捜査当局によるデータアクセスについて懸念がある場合は、データを守る観点から、利用者自らが技術的な保全措置を徹底することが推奨されます。この措置はクラウド事業者が提供する暗号化や鍵管理などのサービスを活用することにより実現できます。暗号化されたデータは解読のための鍵がなければ価値がないため、米国捜査当局を含む第三者によるデータアクセスに対する懸念が払拭できない場合は、常にデータを暗号化しておくことが理想です。
より広いクラウドの利用を見据えて―NISC「クラウドを利用したシステム運用に関するガイダンス」の紹介―
次に、話題を変えて、2021年に公表された内閣サイバーセキュリティセンター(NISC)の「クラウドを利用したシステム運用に関するガイダンス」をご紹介いたします。これには本ブログ執筆者も一部参加させていただいており、また誰でも読むことができますので、概要をご紹介いたします。
本連載でご説明してきたようなクラウドの適切な利用を支援するものとして、内閣サイバーセキュリティセンター(NISC)は、「クラウドを利用したシステム 運用に関するガイダンス」(以下、本ガイダンス)を公表しました。
本ガイダンスは、クラウド利用者の立場で、クラウド事業者、システム受託事業者の関係者と連携し、クラウドサービスを用いた情報システムの設計及び開発の過程におけるサイバーセキュリティの考慮事項をまとめたものです。
一口にクラウド事業者といっても、その事業者が提供するビジネス形態は様々ですし、また、上記にあるように“国内の事業者だからクラウド法は関係ない”というものではないことはすでにここまで読んでいただいた皆様はご理解をいただいているかと思います。本ガイダンスは、クラウド事業者やユーザとなる事業会社、システム受託事業者等が執筆協力をして策定されたものとなります。
本ガイダンスは個別のサービスの技術的な内容に深堀することに焦点をあてたものではなく、クラウドサービスを理解する上での基礎理解を促進するものとなります。クラウド事業者が提供するサービスの内容によっては、該当しない事項なども一部あるかもしれません。ただし、重要なポイントとして“、組織の活用目的に最も合致したサービスを、利用者が主体となって選定”する必要をうたっています。
クラウドサービスに限ったことではありませんが、ITをどのように活用したいのか、その価値を最大化するための一つ手段がクラウドであり、こうしたIT活用の共通理解が組織の中で不十分であれば、サービス利用のリスクを過剰に見積もる、もしくはその逆、ということもあり得ます。
特にクラウドサービスは従来のITサービスと比較して、利用している間にも様々な機能拡張をしたり、進化したりするケースもあり得ます。ITの管理や運用の全部や一部を外部に委託していることが多いのも日本の現状ですが、そのIT環境にあるデータやコンテンツを守る責任は利用者にあります。技術的な詳細はともかくとも、サービスの性質や特徴を理解しておくことは受託事業者やクラウドサービス事業者と共通理解を育むための必要な要件となります。
本ガイダンスでは、“クラウドサービスの基本理解”、“クラウドサービス活用のステークホルダーの理解”、“クラウド利用の注意点”、“クラウド利用に当たってのコミュニケーションの在り方”、“インシデント発生時のステークホルダー連携の在り方”といった流れで、利用者がおさえておくべきポイントを伝えています。
本連載を踏まえて、さらなるクラウド利用のための理解を深めたい方はご一読をお勧めします。
