クラウドはビジネスを展開する上で欠かせないインフラとなりました。特に、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)といった米国のクラウドサービスプロバイダーが、日本市場でも高いシェアを占めています。ただ、これら米国系クラウド事業者は米国の「CLOUD Act(Clarifying Lawful Overseas Use of Data Act)」(※1)(以下、米国クラウド法)の適用対象となるため、ユーザ企業は同法の内容を十分に理解しておくことが重要です。同法は米国系クラウド事業者に対してデータ開示を命じることができる法律です。しかも、そのデータの保存場所が米国外であっても米国の法的手続きに基づきデータ開示を命じることができるとされています。そのため、たとえ日本国内のサーバに保存されたデータであっても米国当局の要請によって開示されるリスクがあります。
本稿では、米国クラウド法とは一体どのような法律なのか、日本の個人情報保護法と保護法益が衝突する場合、どのようなリスク対策が求められるのかを考察します。
※1 Congress.gov,”H.R.4943 - CLOUD Act”
米国クラウド法(CLOUD Act)制定の経緯
米国クラウド法は、米国政府による海外に保管されているデータの合法的な使用を明確化する法律で、アメリカで2018年3月23日に「2018 年包括歳出予算法」の一部として成立しました。同法の前身であるStored Communications Act(以下、SCA。電子通信の保存に関する法律)は1986年に制定されましたが、外国のデータセンターに情報開示を要求するための令状発行のハードルは高く、また開示請求の権限自体の範囲も曖昧でした。そうした中、2013年に米国政府は麻薬捜査の一環でアイルランドにあるデータセンターに格納されたデータを開示するよう、Microsoftに命じ、Microsoftがデータ開示を拒否したことで裁判に発展(※2)しました。こうした経緯を受けデータへのアクセス権を重視した米国政府が2018年にSCAを改定したものが、米国クラウド法です(※3)。同法は重大犯罪やテロの捜査に関する情報を開示させることを目的としており、データが世界中のサーバに分散して保存されるようになった現代において、犯罪捜査のためには有効な法律といえます。
※2 United States v. Microsoft Corp., 584 U.S. ___ (2018)
※3 西村高等法務研究所(2023)、6頁
米国クラウド法(CLOUD Act)の構成と内容
米国クラウド法は大きく以下の2つの主要な柱から構成されています。
- 米国政府によるデータ開示請求権限の明確化
- 米テクノロジー事業者が外国にあるデータセンターで保管している情報を、米国政府が強制的に開示請求できることを明確化している
- 行政協定(Executive Agreement)による外国政府への情報開示権限の付与
- 外国政府がアメリカ国内のデータセンターに保管されている情報を開示させる権限を定めている
詳しくは下表のとおりです。
| 米国による、外国のデータセンターにある情報の開示請求権限 |
|
|---|---|
| 他国による、米国のデータセンターにある情報の開示請求権限 |
|
米国クラウド法(CLOUD Act)と現地法の問題
米国司法省によるホワイトペーパーでは、米国クラウド法は円滑な犯罪捜査のために国際社会における既存の慣例を明文化したものであり、米国法を他国に押し付けたり他国から米国が一方的に情報を搾取したりするものではない、とされています。連邦議会は他国における米国クラウド法の適用に関してデータ蔵置国の法(現地法)を尊重するとしており、開示請求された米国系クラウド事業者が異議を申し立てることも認められています。例えばAWSも、同法が現地法に優先されるものではない、と公式サイトに明記しています(※4)。
とはいえ、実務では、同法と現地法との間で板挟みが懸念されています。具体的には、欧州(※5)ではGDPR、日本(※6)では個人情報保護法との実質的な抵触が生じている可能性があると言われています(※7)。
もっとも、米国は他国との互恵性を示す施策として、行政協定(executive agreement)を結んだ国は米国に蔵置されているデータの開示を請求できるとしています。協定を結んだ国では、犯罪捜査の迅速化や効率化を期待できます。この協定は現在、英国(※8)およびオーストラリア(※9)と締結され、カナダも追随する見込み(※10)です。とはいえ行政協定を結ばなくとも、米国は他国へのデータ開示を請求できるという点などにおいて非対称的な法律です。現在日本もEUも締結に向けた動きは見られていません。
ほかにも、米国の外国情報監視法(Foreign Intelligence Surveillance Act of 1978、通称FISA)(※11)と愛国者法(Patriot Act)(※12)に続く、米国捜査機関の外国における権限拡大の表れといった側面も指摘されています。
- ※4 AWS「海外のデータの合法的使用を明確化する(CLOUD)法律」
- ※5 EUでは現行のe Privacy指令(e Privacy Directive)から適用対象を拡大したe Privacy規則(e Privacy Regulation)の成立を進める動きがあり、これはCLOUD Actとの矛盾をさらに大きくする可能性がある。Cf., 総務省「総務省 プラットフォームサービスに関する研究会 EU・eプライバシー規則(案)に関する議論の状況」
- ※6 衆議院の答弁書では、肝心の板挟み状態における日本企業の適切な対応については「個別の事例に応じて、法に基づき適切に対応することが求められる」とするのみで、具体的な回答を控えている。Cf., 衆議院「米クラウド法と個人情報保護法上の対応に関する質問主意書」
- ※7 西村高等法務研究所(2023)、49-50頁;有本(2019)、32-33頁
- ※8 Criminal Division U.S. Department of Justice, “Cloud Act Agreement between the Governments of the U.S., United Kingdom of Great Britain and Northern Ireland”
- ※9 Criminal Division U.S. Department of Justice, “Cloud Act Agreement Between the Governments of the U.S. and Australia”
- ※10 Criminal Division U.S. Department of Justice, “United States and Canada Welcome Negotiations of a CLOUD Act Agreement”
- ※11 Department of Justice, “Foreign Intelligence Surveillance Act of 1978”
- ※12 Financial Crimes Enforcement Network, “USA PATRIOT Act”
クラウドサービスプロバイダーの見解と開示状況
では、実際のところ米国系クラウド事業者はどの程度、開示請求に応じたり、異議申し立てをしているのでしょうか?まず、クラウドサービスプロバイダーは顧客へのアピールとして、米国政府からデータの開示請求をされても安易に応じない姿勢を強調しています。各社は透明性レポートを刊行して開示請求の件数や対応状況を公開しています。大手4社の運用を透明性レポートをもとに紹介します。
Amazon(AWS)(※13)
公式ホームページにて「米国クラウド法は自社サービスに影響はない」と断言しており、現在までにも開示請求を相当数拒否していることを強調しています。また、顧客ができる対応としてデータの暗号化を推奨しています。AWSは2024年1~6月の透明性レポートにて、米国政府の要求に応じてデータを開示したケースは0件だとしており、開示請求がなされた情報の内訳についても、名前やメールアドレスなどの個人情報を伴わないログ情報やメタデータが約99%を占めていると記載しています。
Google(GCP)(※14)
Googleの透明性レポートでは、米国当局およびその他の国々からの開示請求に対する少なくとも一部の情報を開示したケースの割合が公開されていますが、米国外に保存されているデータについては記載がありません。また、一部の情報が開示されたという場合の、「一部」の内訳や定義(情報のやり取りの内容を含むのか、内容は含まないアカウント情報等のみなのか、など)は明らかにされていないため、その開示が利用者にどの程度の影響を与えるものであるかは判別できません。この前提を踏まえてレポートを見る必要がありますが、レポート上では米国内に蔵置されているデータのうち外国当局からの開示請求に応じた割合は、2023年5月時点で81%となっています。
Microsoft(Azure)(※15)
2022年下半期のMicrosoft社の透明性レポートでは、世界中に蔵置されている顧客情報に対して法執行機関による開示請求がなされた件数は24,738件で、そのうち23.28%を法的な合理性を欠いているものとして開示拒否したとしています。データが見つからなかったものも合わせると36.2%は開示していないことになります。実際に顧客データを開示したのは請求件数のうち3%程度であり、大半はアカウント情報や取引データなどの限定的な情報の開示にとどまっています。
Oracle( Oracle Cloud)(※16)
Oracleは開示請求の正当性を精査し、場合によっては開示請求に異議を申し立てると表明しています。半年に一度透明性レポートを発行し、開示請求の数とそれに対する全面的あるいは部分的な異議申し立て件数、そして請求に従い情報を公開した件数を記載しています。ただ米国内外からの開示請求の記載はあるものの、データ蔵置場所の詳細については記載がなく、外国で保管されているデータの開示率だけを把握することは困難です。2023年10月~2024年3月の開示請求の内訳としては「その他調査協力依頼」、次いで「大陪審召喚状」の項目が多く、それぞれ30件、16件となっています。この二項目のみで全体の8割近くを占めています。前者のうち28件、後者のうち15件は部分的に、あるいは全面的に異議を申し立てており、それぞれ2件と1件のみが開示されています。レポートからわかる範囲では、開示の比率は決して高くないと言えます。
- ※13 Amazon, “Law Enforcement Information Requests”
- ※14 Google, “Google Transparency Report”
- ※15 Microsoft, “Law Enforcement Requests Report”
- ※16 Oracle, “Law Enforcement Requests Report”
サービス利用者に求められるリスク対策
米国系クラウド事業者は無条件で開示請求に応えているわけではなく、厳格な審査や異議申し立てを行っているという姿勢は分かりました。ただ、異議申し立てを行ったとして、最終的な判断は米国裁判所にゆだねられます。そのため、開示リスクは完全には排除できないのが実情です。米国管轄下にある企業の提供するクラウド等を利用する企業や個人が、データを守るために実施できるリスク対策としては、下のような項目が挙げられます。
1.米国クラウド法(CLOUD Act)に関する情報を追い続ける
各国の現地法(個人情報保護法(例:日本の個人情報保護法、EUのGDPR)やデータローカライゼーション規制)の動向を確認することで、各国にデータを蔵置するプロバイダーがどの程度異議の申し立てを行える法的環境にあるか推測できます。
2.利用しているプラットフォームのデータ保存場所がどこにあるのかの確認
利用しているサービスプロバイダーのデータ蔵置先を把握しておくことも有効といえます。自国外にデータが保存されている場合も多く、保存先の国が米国と行政協定を締結している場合、データが開示されやすくなることも考えられます。前述のとおり、2025年時点で英国とオーストラリアは締結済み、カナダは交渉中です。
3.クラウド上に保存するデータの暗号化
米国クラウド法において開示するデータは暗号化されたもので良いとされており、復号化の義務はありません(※17)。そのため機密性の高い情報は暗号化しておくことで、万一開示された際のリスクを減らすことは可能です。
※17 Criminal Division U.S. Department of Justice, “Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act, p.5.
まとめ
米国クラウド法は、米国当局の犯罪捜査におけるデータ開示請求の根拠となる法律です。2023年の総務省の調査(※18)では、全社的にクラウドサービスを利用している企業が調査対象の5割以上を占めており、一部の部門で採用している企業を含めると7割以上となっています。使用率の高いクラウドサービスは、日本のPaaS/IaaS市場における半数以上の利用率を誇るAWSを始め、OneDrive、Google Driveなど、軒並み米国に本社を置く企業が提供するものです。これらの企業が管理する自社の機密を、開示するよう米国から要求される可能性もゼロではありません。クラウドサービスの運営事業者は簡単には顧客の情報を開示しないことを主張していますが、企業としてはリスク対策を予め講じておくことが重要です。今後日本やヨーロッパ、行政協定を締結している国々がどのような対応を取るのかという点も含め、常に国際動向を把握し、自社のデータ管理方針や利用するクラウドサービスの見直しに反映させることが求められます。
※18 総務省「第Ⅱ部 情報通信分野の現状と課題 第8節 データセンター市場及びクラウドサービス市場の動向 2 クラウドサービス」
参考情報
- Congress.gov「H.R.4943 - CLOUD Act」
- U.S. Department of Justice「Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act」
- U.S. Department of Justice「Foreign Intelligence Surveillance Act of 1978」
- Financial Crimes Enforcement Network「USA PATRIOT Act」
- U.S. Department of Justice「Cloud Act Agreement between the Governments of the U.S., United Kingdom of Great Britain and Northern Ireland」
- U.S. Department of Justice「Cloud Act Agreement Between the Governments of the U.S. and Australia」
- U.S. Department of Justice「United States and Canada Welcome Negotiations of a CLOUD Act Agreement」
- Justia「United States v. Microsoft Corp., 584 U.S. ___ (2018)」
- Amazon「Law Enforcement Information Requests」
- Google「Google Transparency Report」
- Microsoft「Law Enforcement Requests Report」
- Oracle「Law Enforcement Requests Report」
- AWS「海外のデータの合法的使用を明確化する(CLOUD)法律」
- Google「クラウドでのお客様のデータ管理の強化」
- Microsoft「About our practices and your data」
- Oracle「米国クラウド法:質問および回答」
- 有本真由「域外リモートアクセスによる証拠収集にかかる 米国 CLOUD 法に基づく行政協定に関する一考察」『Information Network Law Review Vol.18』2019年、24-34頁
- Nishimura&Asahi「西村高等法務研究所(NIALS)CLOUD Act(クラウド法)研究報告書 Ver.2.0 - 企業が保有するデータと捜査を巡る法的課題の検討と提言」2023年
- Cross-Border Data Forum (CBDF) 「Frequently Asked Questions about the U.S. CLOUD Act」
- 衆議院「米クラウド法と個人情報保護法上の対応に関する質問主意書」
- 総務省「総務省 プラットフォームサービスに関する研究会 EU・eプライバシー規則(案)に関する議論の状況」
- 総務省「第Ⅱ部 情報通信分野の現状と課題 第8節 データセンター市場及びクラウドサービス市場の動向 2 クラウドサービス」(情報通信白書 令和5年版)
(最終閲覧日はすべて2025年12月17日)
