CLOUD法と英国データ保護:なぜ管轄権が重要なのか
2018年3月に米国議会で制定された「Clarifying Lawful Overseas Use of Data Act(US CLOUD Act)」は、米国の法執行機関に対し、データの保存場所に関係なく、米国拠点のテクノロジー企業にデータの提出を強制する域外権限を付与しています。AWS、Microsoft Azure、Google Cloudなどの米国クラウドプロバイダーを利用する英国組織にとって、これは米国の法的義務(開示を強制)と、英国のデータ保護要件(無許可アクセスを禁止)との間に深刻な管轄権の衝突を生じさせます。米国当局が英国顧客データを保管する米国クラウドプロバイダーにCLOUD Act要求を出した場合、プロバイダーは「米国の法的義務に従いデータを開示する」か、「英国顧客との契約上の約束を守り拒否する」か、どちらかしか選べず、両立は不可能です。
管轄権は、法的な対立が生じた際に最終的にどの法制度がデータアクセスを支配するかを決定するため、極めて重要です。英国の法的管轄下で運用し、英国が管理するインフラにデータを保存している組織は、英国法のみに従います。しかし、米国クラウドプロバイダーを利用する組織は、「英国リージョン」や契約上のデータ保護の約束に関係なく、米国法の支配下にある米国企業に管轄権を委ねることになります。CLOUD Actは、米国企業のグローバルな事業全体に米国の管轄権を及ぼすことで、地理的なデータレジデンシーを無意味にします。バージニア州のAWS本社に令状が出されれば、AWSロンドンも従う義務が生じます。ワシントン州のMicrosoft本社への命令は、Azure UK Southの運用にも適用されます。Googleの米国親会社が受けた要求は、Google Cloud Londonが対応しなければなりません。
UK GDPRおよび2018年データ保護法は、組織が無許可で個人データにアクセスさせることを禁止し、適切な技術的保護策の実施を義務付け、データ保護に対する説明責任を定めています。米国当局がCLOUD Actを用いて米国クラウドプロバイダーから英国顧客データの開示を強制した場合、無許可アクセスが発生したことになるのでしょうか?ICOの見解は「はい」と示唆しています。英国の法的手続きや顧客への通知なしに外国政府がアクセスすることは、英国のデータ管理者が遵守すべきデータ保護原則に違反します。契約条項ではこの対立を解決できません。なぜなら、米国の法的義務が契約上の約束より優先されるからです。CLOUD Actのリスクを根本的に排除する唯一のアーキテクチャ的解決策は、真のデータ主権、すなわち顧客が管理する暗号鍵によって強制開示が意味のない暗号文しか生まない状態、そして米国プロバイダーの管轄権を完全に排除した英国主権型の導入です。
エグゼクティブサマリー
主旨:CLOUD Actは、米国当局に対し、データの保存場所に関係なく米国クラウドプロバイダーにデータ開示を強制する権限を与えており、UK GDPR要件と直接的な対立を生みます。米国クラウドプロバイダーを利用する英国組織は、データ主権(顧客管理の暗号化と英国主権型導入)によってのみ解決できる、解決不能な管轄権の衝突に直面します。
なぜ重要か:管轄権は、法的な対立が生じた際に最終的にどの法制度がデータアクセスを支配するかを決定します。米国クラウドプロバイダーを利用する組織は、「英国リージョン」や契約上のデータ保護の約束に関係なく、米国法の支配下にある米国企業に管轄権を委ねることになります。CLOUD Actのリスクを根本的に排除する唯一のアーキテクチャ的解決策は、顧客が管理する暗号鍵によって強制開示が意味のない暗号文しか生まない状態、そして主権型導入によって米国プロバイダーの管轄権を完全に排除することです。
主なポイント
- CLOUD Actは、米国の法執行機関に対し、世界中のどこに保存されているデータでも米国企業に提出を強制する域外権限を付与しており、米国企業の管轄権が強制開示を可能にする場合、英国リージョンでの地理的なデータレジデンシーは法的に無意味となります。
- CLOUD Actの要求は、UK GDPR第5条の適法な処理要件および第32条の適切なセキュリティ対策義務と直接対立しており、英国の法的手続きや顧客通知、データ保護対策なしに外国政府アクセスを可能にします。
- 米国クラウドプロバイダーは、CLOUD Act義務と英国顧客への契約上の約束を同時に満たすことができません。米国当局がデータ開示を要求した場合、法的義務が契約上の約束より優先され、プロバイダーの保証は管轄権の対立下では法的に無意味となります。
- CLOUD Act命令の非開示条項により、プロバイダーは英国顧客にデータアクセスを通知できません。これはUK GDPRの透明性要件に違反し、組織が無許可の外国政府監視を検知・対抗・軽減することを妨げます。
- ICOは、英国組織に対し、外国政府によるアクセスも含めた無許可アクセスを防ぐ技術的対策の実施を期待しており、CLOUD Act開示を可能にするアーキテクチャ的選択は、米国の法的強制に関係なく英国データ保護違反の可能性を生じさせます。
- プロバイダーアクセスを排除する顧客管理の暗号鍵は、CLOUD Actリスクに対する数学的保証を提供し、強制開示が暗号文しか生まない状態を実現します。主権型英国導入は米国の管轄権を完全に排除します。
CLOUD Actの理解:概要と仕組み
CLOUD Actとは? Clarifying Lawful Overseas Use of Data(CLOUD)Actは、2018年3月23日に制定された米国連邦法であり、米国の法執行機関に対し、データの物理的な保存場所やデータ主体の国籍に関係なく、米国拠点のテクノロジー企業に世界中の電子データの提出を強制する権限を付与します。
CLOUD Actは、Microsoft Ireland事件(United States v. Microsoft Corp.)を発端としています。この事件でMicrosoftは、ダブリンのデータセンターに保存されたメールの提出を求める米国の令状に異議を唱えました。Microsoftは、Stored Communications Act(SCA)は域外権限を与えていないため、米国の令状は海外に保存されたデータには及ばないと主張しました。控訴裁判所はMicrosoftの主張を認め、米国当局が海外に保存されたデータにアクセスできない法的空白が生まれました。
これを受けて米国議会はCLOUD Actを制定し、米国企業のグローバル事業全体に対する米国法執行機関の域外権限を明確に付与しました。同法はSCAを改正し、「プロバイダーの所有、管理、または支配下にある通信、記録、その他の情報は、米国内外を問わず米国の法的手続きが適用される」と明記しています。この文言により、米国企業がデータを管理していれば、地理的な保存場所に関係なく米国当局が要求できることが明確化されました。
CLOUD Act命令の仕組み
米国の法執行機関がCLOUD Actに基づき米国クラウドプロバイダーからデータを取得する際は、国内令状と同様の手続きを踏みますが、域外効果を持ちます。米国裁判所から命令、令状、召喚状を取得し、プロバイダーに特定データの提出を指示します。これらの命令は、データの保存場所、所有者、データ主体の国籍に関係なく適用されます。
プロバイダーはCLOUD Act要求を受けた場合、米国法に従い要求されたデータを提出しなければなりません。拒否すれば刑事侮辱罪や多額の罰金、経営陣の投獄リスクを負います。法文上、外国顧客のデータや海外データセンターに保存されたデータ、外国のデータ保護法が適用されるデータにも例外はありません。米国企業の管轄権が、地理的なデータ保存場所に関係なく米国法的義務を生じさせます。
CLOUD Act命令には非開示条項が付随することが多く、プロバイダーは影響を受ける顧客にデータアクセスがあったことを通知できません。これにより顧客はアクセスの合法性に異議を唱えたり、追加のセキュリティ対策を講じたり、自らの透明性義務を果たすことができなくなります。英国組織は、CLOUD Actによる米国当局のアクセスがあったことを知ることすらできない場合があります。
CLOUD Actと相互法的支援条約(MLAT)の違い
CLOUD Act以前、米国当局が海外に保存されたデータを取得する際は、通常、相互法的支援条約(MLAT)を利用していました。MLATは政府間の正式な法的手続きを必要とし、外国の主権を尊重しつつ、要請国が条約手続きを踏み、要請先国が法的妥当性を審査し、管轄権の対立があれば解決する仕組みです。
CLOUD ActはMLAT手続きを迂回し、データの保存場所に関係なく米国企業に直接権限を主張します。米国当局は英国政府の協力なしに英国データセンターのデータにアクセスでき、米国親会社に要求を出すだけで米国法に従わせることができます。この一方的なアプローチは、外国政府の監督や法的保護を排除し、MLATが防ごうとしていた管轄権の対立を生じさせます。
CLOUD Actには、外国政府が米国と行政協定を締結することで、MLAT手続きを経ずに米国プロバイダーに直接データを要求できる二国間協定条項も含まれています。ただし、これらの協定には人権保護やターゲット制限など多くの要件があり、多くの国が満たせません。英国はCLOUD Actの行政協定を締結しましたが、これは米国当局に英国データへの直接アクセスを引き続き認める一方、英国当局にも一部の相互アクセスを認めるものです。根本的な管轄権の問題は解決されていません。
CLOUD Actの域外適用と英国への影響
域外影響:CLOUD Actの域外適用により、米国クラウドプロバイダーを利用する英国組織は、英国データセンターの場所や契約上のデータ保護の約束、英国データ保護法の要件に関係なく、米国法的手続きのリスクに晒され続けます。
CLOUD Actの根本的な前提は「米国の管轄権は米国企業にグローバルに及ぶ」というものであり、AWSロンドン、Azure UK South、Google Cloud Londonリージョンにデータを保存すれば米国法的手続きから守られると考える英国組織に即時の影響を及ぼします。米国企業の管理下にある限り、地理的なデータレジデンシーは法的に無意味となります。
なぜ英国データセンターではCLOUD Actリスクを防げないのか
米国クラウドプロバイダーは、英国リージョンをデータレジデンシーやUK GDPR準拠の解決策として宣伝しています。しかし、地域展開では米国の管轄権を排除できません。なぜなら、CLOUD Actの権限は「プロバイダーの所有、管理、または支配下にある」データに保存場所を問わず及ぶからです。AWS、Microsoft、Googleは、英国リージョンの顧客データに対しても以下の理由で管理・支配権を持ち続けます:
企業支配:米国親会社が英国子会社を所有・運営しています。AWSロンドンはデラウェア州法人のAmazon Web Services Inc.の指揮下です。Azure UK Southはワシントン州のMicrosoft Corporation傘下です。Google Cloud Londonもデラウェア州法人Google LLCの一部です。この企業構造により、グローバル全体が米国法の管轄下に置かれます。
技術的アクセス:クラウドプロバイダーは、全リージョンの顧客データにアクセス可能な技術インフラを維持しています。暗号鍵管理システム、管理者アクセス制御、運用ツールは、プロバイダー管理のインフラを通じてグローバルに動作します。米国当局がデータを要求すれば、物理的な保存場所に関係なくアクセス・開示が可能です。
運用統合:英国リージョンの運用は、請求、ID管理、セキュリティ監視、サービス提供などでグローバルなプロバイダーシステムと統合されています。この統合により、英国データが米国親会社からアクセス可能となり、CLOUD Act要求への対応が可能になります。
英国データセンターが管轄権の保護を提供すると考える組織は、CLOUD Actの仕組みを根本的に誤解しています。同法はデータの保存場所ではなく、誰が管理しているかを重視します。米国企業の管理下であれば、データの地理的位置に関係なく米国法の管轄下となります。
CLOUD Actの権限範囲
米国CLOUD Actは、米国の法執行機関や情報機関に広範な権限を与えています。命令により要求できるのは:
コンテンツデータ:メール、ドキュメント、通信内容、ファイルなど、プロバイダーが顧客のために保存しているデータ。英国顧客のデータも、犯罪捜査や国家安全保障、情報活動の対象として米国当局がアクセス可能です。
メタデータ:送信者、受信者、タイムスタンプ、IPアドレス、デバイス識別子などの通信情報。コンテンツが暗号化されていても、メタデータからビジネス関係や通信パターンなどの機微な情報が明らかになる場合があります。
保存通信:プロバイダーシステム内の静止データ(バックアップ、アーカイブ、削除済みだが復元可能な情報など)。英国組織が削除済みと考えていたデータも、CLOUD Act要求によりプロバイダーのバックアップから提出される可能性があります。
リアルタイムアクセス:今後の通信への継続的アクセスをプロバイダーに義務付ける監視命令も可能で、通信発生時にリアルタイムで英国顧客データの流れを米国当局が監視できます。
同法の適用は犯罪捜査に限りません。FBIなどの国家安全保障機関は、Foreign Intelligence Surveillance Act(FISA)権限の下でCLOUD Actを利用し情報収集が可能です。英国組織やそのデータ主体が、犯罪の疑いがなくても外国情報の対象として監視されるリスクがあります。
CLOUD Act要求を出せる機関
複数の米国機関がCLOUD Actに基づく要求を出せます:
連邦捜査局(FBI):外国人を対象とした犯罪捜査や防諜活動。英国のビジネス関係者や組織も米国の関心事項に関与していれば対象となります。
麻薬取締局(DEA):国際的なサプライチェーンが関係する麻薬取引捜査。無関係な英国企業が調査対象者と偶発的に接点を持つ場合も含まれます。
証券取引委員会(SEC):英国企業や個人が米国市場で活動している場合の証券詐欺、市場操作、インサイダー取引の調査。
司法省(DOJ):国際的なビジネス活動を通じて英国人や組織が関与する可能性のある連邦犯罪の広範な捜査権限。
情報機関:FISA権限の下で外国情報収集を行う国家安全保障機関。犯罪の疑いがなくても、情報対象に関する情報を持つ英国国民の通信も対象となります。
CLOUD Act権限を持つ機関が多岐にわたるため、米国プロバイダーを利用する英国組織は、様々な基準・監督・目的でデータアクセスを求める米国政府機関のリスクに晒されます。
UK GDPRとの管轄権の対立
根本的な対立:CLOUD Actは、英国の法的手続きを経ずに個人データへの外国政府アクセスを可能にし、UK GDPRの適法な処理、適切なセキュリティ対策、管理者の説明責任という要件と直接対立します。
米国クラウドプロバイダーを利用する英国組織は、米国当局がCLOUD Actを用いてデータを要求した場合、解決不能なコンプライアンス状況に直面します。UK GDPRはデータ保護のための具体的な要件を定めていますが、CLOUD Actによるアクセスはこれらを侵害し、一方の法制度を満たすと他方を違反するという管轄権の対立を生みます。
UK GDPR第5条:適法な処理の原則
UK GDPR第5条は、適法なデータ処理のための基本原則を定めています。CLOUD Actアクセスと最も直接的に対立する原則は以下の通りです:
適法性、公平性、透明性:個人データは適法、公平、かつ透明に処理されなければなりません。米国当局がCLOUD Actを用いて英国個人データにアクセスする場合、その処理は適法でしょうか?データ主体は米国政府のアクセスに同意していません。英国法はそのようなアクセスを認めていません。CLOUD Actは米国の法的権限を与えますが、外国法がUK GDPR上の適法性を保証するでしょうか?ICOのガイダンスは、英国データ保護法が適法性を決定すると示唆しており、無許可の外国政府アクセスは米国法の権限があってもこの原則に違反します。
目的限定:データは特定かつ明示的で正当な目的のために収集されなければなりません。英国組織は、顧客管理、従業員管理、サービス提供などのビジネス目的で個人データを収集します。米国政府の情報収集や捜査は、データ収集時に明示された目的とは異なります。したがって、CLOUD Actアクセスは目的限定原則に違反します。
データ最小化:十分かつ関連性があり、必要最小限のデータのみ処理されるべきです。CLOUD Act要求は、特に情報収集目的の場合、特定の捜査ニーズを超えた広範なデータアクセスを求めることが多いです。米国当局が全データセットや通信履歴、メタデータ全体を要求する場合、データ最小化原則に違反します。
保存期間の制限:データは必要以上に長く保存されるべきではありません。CLOUD Act命令は、過去のデータやバックアップ、削除済みだが復元可能な情報も要求でき、外国政府のアクセスやコピーによって英国組織の意図した保存期間を超えてデータが保持されることになります。
UK GDPR第32条:処理のセキュリティ
第32条は、リスクに応じた適切な技術的・組織的対策の実施を義務付けており、暗号化も適切なセキュリティ対策として明記されています。しかし、米国クラウドプロバイダーがCLOUD Act対応のために暗号鍵にアクセスできる場合、暗号化は実質的なセキュリティを提供していると言えるでしょうか?
同条は「処理システムおよびサービスの継続的な機密性、完全性、可用性、レジリエンスの確保」を求めています。CLOUD Actによる外国政府アクセスは機密性を損ない、管理者の許可を超えた第三者へのアクセスを可能にします。完全性も損なわれ、管理者が知らないうちにコピーや改変が可能となります。レジリエンスも損なわれ、データ保護対策で防げないアクセス経路が生まれます。
ICOの第32条ガイダンスは、「違法または無許可のアクセス、処理、開示」など識別されたリスクに対して有効な対策が必要であると強調しています。CLOUD ActアクセスはUK GDPR上「違法」なアクセスに該当するでしょうか?米国政府は米国法の下で合法に活動していますが、英国データ保護法がアクセスの合法性を判断します。英国の法的手続きやデータ主体への通知、管理者の許可なしに外国政府がアクセスする場合、まさに第32条が防ぐべき無許可アクセスに該当します。
UK GDPR第44-48条:国際データ移転
UK GDPRの国際データ移転に関する条項もCLOUD Actアクセスと追加的な対立を生みます。第44条は、適切な保護措置がない限り、個人データを第三国に移転することを禁止しています。米国当局がCLOUD Actを用いてデータ開示を強制した場合、米国へのデータ移転が発生したことになるのでしょうか?
技術的には、データは「英国から米国へ移転」されるのではなく、プロバイダーが米国当局に開示します。しかし実質的には、英国データ保護法の対象だった個人データが、十分な保護措置なしに米国政府機関にアクセスされることになります。これは、十分な保護のない法域への個人データ到達を防ぐという移転制限の趣旨に反します。
第48条は「連合法で認められていない移転または開示」に特化しています。この条項は、管理者や処理者に個人データの移転や開示を求める裁判所判決や行政決定は、相互法的支援条約などの国際協定に基づく場合のみ認められると定めています。CLOUD ActはMLAT手続きを迂回するため、第48条はCLOUD Act命令を正当な開示根拠として認めないと考えられます。
ICOの執行姿勢
情報コミッショナーオフィス(ICO)は、クラウドコンピューティングや国際移転に関するガイダンスを発表しており、米国プロバイダーを利用する英国組織に対し追加的なコンプライアンス圧力をかけています。
ICOの国際データ移転ガイダンスは、組織が移転先国の理論的な法制度だけでなく、実際のデータ保護状況を評価する移転影響評価(TIA)の実施を強調しています。米国クラウドプロバイダーとの移転(たとえ国内処理と位置付けても)では、米国当局がCLOUD Actで英国データにアクセスできる現実をTIAで考慮しなければなりません。
ICOは、識別されたリスクに対応する補完的対策の実施を組織に求めています。TIAで外国政府がプロバイダーアクセスを強制できるリスクが明らかになった場合、どのような補完的対策が有効でしょうか?契約条項では米国の法的義務を上書きできません。組織的対策でも政府要求は防げません。プロバイダーが解読できないようにする顧客管理の暗号鍵など、技術的対策だけが有効な補完的保護となります。
CLOUD Act下で契約上の保護が機能しない理由
契約上の限界:クラウドプロバイダーのデータ保護に関する契約上の約束は、CLOUD Actによる米国の法的義務を上書きできず、管轄権の対立が生じた場合、契約上の約束は法的に無意味となります。
英国組織がクラウドサービス契約を締結する際、通常は詳細なデータ保護条項を盛り込みます。顧客の指示に従ったデータ処理、適切なセキュリティ対策の実施義務、政府からのデータ要求に関する通知義務、データ開示の契約上制限などです。これらの条項は、プロバイダーが顧客データを保護するという安心感を与えますが、米国当局がCLOUD Actを発動した場合には機能しません。
法的義務は契約上の約束より優先される
根本的な問題は、私的契約が公法を上書きできないことです。米国連邦法がプロバイダーにデータ開示を義務付けている場合、顧客への非開示契約は法的に執行不能となります。プロバイダーは、顧客契約を守って連邦法に違反するか、連邦法を守って顧客契約に違反するかの選択を迫られます。法的には、法的義務が優先されます。
クラウドプロバイダーの利用規約には、「法令により要求された場合」や「法的義務を遵守するために」開示が行われる可能性がある旨が明記されています。これにより、契約上のデータ保護条項があってもCLOUD Act要求への対応が可能であることが明示されています。英国顧客がこうした契約に署名することで、米国の法的義務が契約上の保護を上書きすることを受け入れていることになります。
「いかなる状況でも開示を禁止」や「すべての政府要求に異議を唱える義務」を明記した契約であっても、CLOUD Actの圧力下では機能しません。プロバイダーは、顧客への契約上の約束に関係なく、合法的な米国裁判所の命令を拒否できません。裁判所は、外国顧客への契約上の義務が米国企業の米国法遵守を妨げることはできないと判断しており、最も強力な契約上の保護も無効となります。
プロバイダーの約束とマーケティング主張
クラウドプロバイダーは、データ保護、セキュリティ、顧客コントロールを強調してサービスを宣伝しています。AWSは「顧客が自分のデータをコントロールできる」と約束し、Microsoftは「プライバシー・バイ・デザイン」を強調し、Googleは「業界最高水準のセキュリティ」を謳っています。これらの主張は、顧客データが無許可アクセスから守られるという印象を与えますが、CLOUD Actの権限とは矛盾します。
これらの主張は虚偽ではありません。プロバイダーは外部攻撃者に対して強力なセキュリティを実装しています。しかし、ハッカーからの保護と政府要求からの保護は同じではありません。犯罪者から守るためのアーキテクチャも、当局の命令でデータ開示が強制されます。「顧客コントロール」についてのマーケティングも、米国法によるプロバイダーアクセスの例外には触れていません。
英国組織は、技術的セキュリティ(無許可者からの保護)と法的セキュリティ(政府強制からの保護)の違いを認識する必要があります。米国プロバイダーは技術的セキュリティは優れていますが、米国法の管轄下にあるため、米国政府要求からの法的セキュリティは提供できません。
通知義務の不履行
多くのクラウドサービス契約には、プロバイダーが政府からのデータ要求について顧客に通知する義務が盛り込まれています。これにより、顧客は要求に異議を唱えたり、追加の保護策を講じたりできるはずです。しかし、CLOUD Act要求に付随する米国の非開示命令(gag order)は、プロバイダーが顧客にアクセスを通知することを禁止します。
非開示命令により通知ができない場合、契約上の通知義務は執行不能となります。プロバイダーは、gag orderに従いながら通知義務を果たすことはできません。法的禁止が優先され、顧客はデータがアクセスされたことを知らされず、開示に異議を唱える権利も行使できません。
これは、UK GDPRの透明性義務をデータ主体に対して負う英国組織にとって特に深刻な問題です。組織がデータアクセスを知らされなければ、データ処理活動についてデータ主体に通知するGDPR要件を満たせません。米国の非開示命令と英国の透明性要件の管轄権対立により、コンプライアンスが不可能となります。
ICOの期待と英国データ保護義務
規制当局の期待:ICOは、英国組織に対し、外国政府によるアクセスも含めた個人データの無許可アクセスを防ぐ技術的・組織的対策の実施を期待しています。CLOUD Act開示を可能にするアーキテクチャ的選択は、英国データ保護義務に違反する可能性があります。
情報コミッショナーオフィスは、クラウドコンピューティング、国際データ移転、処理のセキュリティに関する詳細なガイダンスを発表しており、CLOUD Actリスクに関連する明確な期待を示しています。米国クラウドプロバイダーを利用する英国組織は、自らのアーキテクチャ的選択がICOの期待を満たしているか、コンプライアンスリスクを生じていないかを検討する必要があります。
クラウドコンピューティングに関するICOガイダンス
ICOのクラウドコンピューティングガイダンスは、CLOUD Actリスクに直接関係する以下の原則を強調しています:
コントロールと責任:組織は、クラウドプロセッサーを利用してもデータ保護コンプライアンスの責任を負うデータ管理者であり続けます。ICOは、プロセッサーの責任が管理者の義務を排除するという主張を認めていません。米国クラウドプロバイダーを利用する英国組織も、プロバイダーの技術アーキテクチャに関係なくデータ保護の説明責任を負います。
データの所在とアクセスの理解:ICOは、組織が自分のデータがどこに保存され、誰がアクセスでき、どの法的枠組みで開示が発生する可能性があるかを正確に把握することを期待しています。「グローバルインフラ」やプロバイダーの保証への依存では不十分です。組織は、自分のデータに対するCLOUD Actの影響を具体的に理解する必要があります。
適切なセキュリティ対策:ICOは、セキュリティ対策が外国政府アクセスを含む識別された脅威に対して有効であることを強調しています。移転影響評価で米国当局によるアクセスリスクが特定された場合、組織はそのリスクに対応する技術的対策を実装しなければなりません。組織的対策(ポリシー、研修、契約)だけでは、法的強制力を持つ政府要求に対して十分な保護とはなりません。
ICOの執行措置
ICOは、CLOUD Actリスクを直接理由とした大規模な執行措置はまだ出していませんが、無許可アクセスからの保護に不十分な技術的対策しか講じていなかった組織に対して責任を問う姿勢を示しています。
データ侵害を経験した組織に対するICOの執行措置は、特に暗号化などの適切な技術的対策が被害を防止または軽減できたことを強調しています。この執行傾向から、プロバイダーアクセスを排除する顧客管理の暗号化を実装していない組織が、CLOUD Act経由で外国政府アクセスによるデータ主体の被害が生じた場合、ICOの執行対象となる可能性が示唆されます。
ICOの執行アプローチはまた、説明責任を重視しています。組織はリスクを評価し、適切な対策を実装したことを証明できなければなりません。CLOUD Actリスクを評価した移転影響評価や、識別された脆弱性に対応する補完的対策を実装していない組織は、ICO調査で米国クラウドプロバイダー利用状況が問われた場合、説明責任を果たすのが困難となります。
説明責任と実証可能なコンプライアンス
UK GDPR第5条2項は、説明責任原則を定めています。管理者はデータ保護原則の遵守を実証できなければなりません。米国クラウドプロバイダーを利用する組織の場合、CLOUD Actリスク下でもUK GDPRを満たすアーキテクチャ的選択をどのように実証するかが問われます。
プロバイダーのコンプライアンス認証や契約上のデータ処理契約を示すだけでは、コンプライアンスを実証できません。ICOは、理論的な法制度や契約上の約束ではなく、実際のデータ保護状況を評価することを期待しています。これには以下の評価が必要です:
米国CLOUD Act権限により、英国の法的手続きやデータ主体への通知なしに外国政府アクセスが可能か。答え:はい。
米国プロバイダーの契約上の約束がCLOUD Actによる開示を防げるか。答え:いいえ。法的義務が契約を上書きします。
英国データセンターの場所が米国の管轄権を排除できるか。答え:いいえ。CLOUD Actはデータの場所ではなく米国企業の支配に従います。
米国当局がCLOUD Actで強制しても解読できない技術的対策は何か。答え:プロバイダーアクセスを排除する顧客管理の暗号鍵。
誠実な説明責任評価を行った組織は、多くの場合「現状のアーキテクチャではコンプライアンスを実証できない」「プロバイダーアクセスを排除する抜本的なアーキテクチャ変更だけがICOの期待を満たす」という結論に至ります。
管轄権がデータ主権を決定する仕組み
管轄権コントロール:データ主権は、最終的にどの法的管轄がデータアクセスを支配するかに依存します。英国のみの管轄下で運用する組織は英国法のみに従いますが、米国プロバイダーを利用する組織は、契約内容に関係なく米国法の支配下に管轄権を委ねることになります。
管轄権は、どの政府がデータ開示を強制できるか、どの裁判所がデータアクセス命令を出せるか、法的対立が生じた際に最終的にどの法制度が支配するかを決定します。英国組織は、インフラプロバイダーの管轄権がデータ主権を地理的なデータ保存場所以上に左右することを理解しなければなりません。
英国管轄:完全な組織コントロール
英国管轄下でインフラを運用する組織は、データアクセスの意思決定を完全にコントロールできます。英国裁判所が合法的な命令を出せば従い、外国政府がアクセスを要求しても英国法上の義務や外国政府の権限の不存在を理由に拒否できます。
英国組織が所有・運用するオンプレミスインフラは、英国のみの管轄下にあります。英国企業が英国法の下で運用する英国データセンターも管轄権の独立性を保ちます。英国インフラプロバイダーが米国親会社を持たず英国企業として運用するプライベートクラウドも、英国管轄を維持します。
この管轄権の独立性により、真のデータ主権が実現します。英国組織は、英国法、英国裁判所の監督、英国データ保護原則に基づき、誰がデータにアクセスできるかを決定できます。外国政府の要求は、英国管轄下で運用する英国組織には法的効力を持ちません。
米国プロバイダー管轄:外国企業コントロール
米国クラウドプロバイダーを利用する組織は、データの保存場所に関係なく、米国企業に管轄権を委ねることになります。AWSはデラウェア州・ワシントン州の法人として運営され、Microsoftはワシントン州法人、Googleはデラウェア州法人です。この米国法的基盤により、グローバル全体が米国法の管轄下となります。
米国裁判所がAWS、Microsoft、Googleに命令を出せば、データの保存場所が英国やEU、その他の外国であっても、米国企業は従わなければなりません。CLOUD Actは、データの保存場所ではなく企業の管轄権を決定的要素としています。
米国プロバイダーにデータを保存してコントロールできていると考える英国組織は、管轄権の現実を根本的に誤解しています。データアクセスの意思決定をコントロールしているのは組織ではなく、米国プロバイダーであり、米国政府が米国法の下でプロバイダーをコントロールしています。英国顧客と米国プロバイダー間の契約では、この管轄権のヒエラルキーを排除できません。
管轄権の対立と法的不能
英国法がある結果を要求し、米国法が別の結果を要求する場合、両方の管轄権に挟まれた組織は法的不能に直面します。UK GDPRは無許可のデータ開示を禁止します。CLOUD Actは開示を要求します。両方の法的要件を同時に満たすことはできません。
米国プロバイダーは、自分たちがこの対立に直面しているのであって英国顧客ではないと主張します。すなわち、プロバイダーが米国法か英国法かどちらを守るか選択するという立場です。しかしこの分析は、英国の管理者説明責任を無視しています。米国プロバイダーを選択したのは英国組織であり、その選択が外国政府アクセスを可能にする管轄権の対立を生み出しています。ICOガイダンスは、このような対立を生むアーキテクチャ選択自体が不十分なデータ保護対策となり得ることを示唆しています。
管轄権の対立を根本的に解決する唯一の方法は、外国管轄権を完全に排除する主権型アーキテクチャの導入です。すなわち、英国組織が英国のみのインフラプロバイダーを利用するか、プロバイダーの管轄権が意味を持たない顧客管理の暗号化を実装することです。
CLOUD Actリスクを排除するアーキテクチャ的解決策
技術的主権:CLOUD Actリスクを排除するには、米国の管轄権を無意味にするアーキテクチャ的解決策が必要です。すなわち、顧客管理の暗号鍵によって強制開示が意味のない暗号文しか生まない状態、英国主権型導入によって米国プロバイダーの管轄権を完全に排除することです。
英国組織は、契約やコンプライアンスプログラム、ポリシーではCLOUD Actの権限を排除できません。同法は、顧客の希望や契約上の制限に関係なく米国企業に適用される米国連邦法です。CLOUD Act要求に対して解読可能なデータを提供できない、あるいは米国の管轄権が及ばない状況を作り出す技術的アーキテクチャだけが、真にリスクを排除できます。
顧客管理の暗号鍵:強制開示を無意味化
CLOUD Actリスクに対する最も強力な技術的対策は、組織が暗号鍵を完全にクラウドプロバイダー外で生成・保存・管理する顧客管理の暗号化です。正しく実装すれば、CLOUD Act要求に対してプロバイダーが開示できるのは顧客の鍵なしには解読不能な暗号文だけとなります。
有効な顧客管理暗号化の要件:
鍵生成は顧客インフラ内で:鍵は顧客管理のハードウェアセキュリティモジュールや鍵管理サーバーで生成し、プロバイダーインフラ内で生成してはなりません。これにより、作成時もプロバイダーが鍵を一時的にでも保持することはありません。
鍵保存は顧客システムのみ:鍵は顧客ハードウェア内のみに保存し、プロバイダーシステムに一時的にでも送信してはなりません。プロバイダーが鍵をメモリ、ログ、バックアップに保持することもありません。
暗号化・復号は顧客管理下で:すべての暗号化・復号処理は顧客システム内で行い、プロバイダーサービスに委任しません。プロバイダーに送信するデータは既に暗号化されており、プロバイダーは平文を扱いません。
プロバイダーアクセスゼロ:アーキテクチャ上、プロバイダーが無限のリソースや従業員の協力、政府の強制を受けても鍵や平文データにアクセスできないようにします。これはポリシーや手順ではなく、暗号設計による数学的保証です。
米国当局がプロバイダーにCLOUD Act要求を出した場合、プロバイダーはシステム内の暗号化データを開示して法的義務を果たします。しかし顧客管理の鍵がなければ、開示されたデータは暗号文のままであり、解読できません。プロバイダーは持っていない鍵を使うことを強制されることもなく、アクセスできないデータを復号することもできません。
このアーキテクチャはCLOUD Act命令自体を防ぐものではありませんが、命令を無意味化します。プロバイダーは要求されたデータを開示して米国法的義務を果たしつつ、英国顧客のデータは数学的暗号化によって保護されます。管轄権の対立は消滅し、米国法と英国データ保護の両方を満たします。
英国主権型導入:米国管轄権の排除
顧客管理の暗号化は「プロバイダーが強制された場合どうなるか」を解決しますが、英国主権型導入は「プロバイダーが強制される可能性を排除できるか」を解決します。米国プロバイダーを完全に排除し、英国のみのインフラで運用することで、管轄権レベルでCLOUD Actリスクを排除します。
主権型導入の選択肢:
オンプレミスインフラ:組織が自社データセンターやサーバー、インフラを運用すれば、クラウドプロバイダーが関与せず完全なコントロールが可能です。米国企業が関与しないため米国の管轄権は及びません。CLOUD Act要求は英国組織には適用されません。
英国プライベートクラウド:米国親会社を持たず英国企業として運用する英国インフラプロバイダーは、クラウドの利便性を維持しつつ英国管轄を維持できます。これらのプロバイダーは英国法のみに従い、CLOUD Act要求に応じることはありません。
ハイブリッドアーキテクチャ:組織は、CLOUD Actリスクのある機微データには英国主権型インフラを、非機微なワークロードには米国パブリッククラウドを使うハイブリッド方式も導入できます。これにより、主権要件とクラウドの利便性を適切に両立できます。
包括的なジオフェンシング
顧客管理の暗号化や英国主権型導入を実施しても、米国管轄からの認証を防ぐジオフェンシングも実装すべきです。これにより、米国当局が他の手段で認証情報を入手しても、米国内からシステムにアクセスできません。
ジオフェンシングは、米国IPアドレスからのログインを禁止し、米国宛のデータ転送をブロックし、管理者アクセスも英国からのみ許可します。これらの制御により、データが米国管轄からアクセスされていない証拠を監査ログとして残し、CLOUD Actリスクが存在しないことを文書化できます。
実例:CLOUD Act管轄権対立シナリオ
英国法律事務所:特権とCLOUD Actディスカバリーの対立
ロンドンの法律事務所は、英国企業の商業紛争(米国企業や米国規制当局が関与する案件も含む)を扱っています。同事務所は、Microsoft 365やSharePointをドキュメント管理に利用し、Azureの英国リージョンで弁護士・依頼人間の秘匿通信を十分に保護できると考えていました。
同事務所が英国の製薬クライアントの米国競合企業との特許訴訟を担当した際、Azure UK Southに極めて機密性の高い法的戦略文書や技術分析、クライアントとの秘匿通信を保存していました。米国競合企業が米国規制当局との並行手続きに関与したことで、米国政府は特許有効性に関する詐欺疑惑の調査を開始しました。
米国捜査当局は、英国法律事務所のSharePoint文書に詐欺調査に関連する証拠が含まれていると考え、Microsoftに対しCLOUD Act令状を取得し、非開示命令付きで特定文書の開示を要求しました。
Microsoftは、「米国裁判所命令を拒否すれば米国法違反」「英国法律事務所との契約や英国法上の特権を守れば契約違反」という解決不能な状況に直面しました。Microsoftは米国法に従い、要求された文書を捜査当局に提供しました。
英国法律事務所は、自分たちの秘匿文書がアクセスされたことを知りませんでした。クライアントの法的戦略は、訴訟手続きではなく政府調査を通じて相手方に知られることとなりました。英国の法実務で根本的に重要なクライアント秘匿性と法的特権が、米国プロバイダーインフラによる米国アクセスで損なわれました。
この事実が米国訴訟の開示を通じて明らかになった際、クライアントは特権保護の不備を理由に法律事務所を訴えました。同事務所の「Azureの契約や英国リージョンで十分な保護があった」という弁明は、米国プロバイダー利用がCLOUD Actリスクを生むことは予見可能だったと判断され、認められませんでした。同事務所は、今後の特権侵害を防ぐためKiteworksをオンプレミスで顧客管理暗号化付きで導入しました。
英国金融サービス:米国調査で顧客データがアクセスされる
マンチェスターのウェルスマネジメント企業は、英国および国際的な富裕層顧客(経営者、役員、専門職など)にサービスを提供しています。同社は、AWS英国リージョンでホストされるSalesforce CRMを顧客管理に利用し、FCAのデータ保護要件を満たしていると考えていました。
ある顧客(英国・イランの二重国籍者)が、米国の輸出管理法違反の疑いで米国制裁調査の対象となりました。米国財務省の捜査官は、(最終的には誤りと判明したが)顧客が英国の貿易会社を通じて禁止取引を行ったと疑いました。
捜査官は、AWSに対し、同社のSalesforce顧客記録(ビジネス関係、金融取引パターン、連絡先ネットワークなど)を提供するCLOUD Act令状を取得し、非開示命令付きで提出を要求しました。AWSは通知せずに要求に応じました。
同社は、自社顧客の金融データがアクセスされたことを知らず、顧客への通知や追加セキュリティ対策、令状の合法性への異議申し立てもできませんでした。UK GDPRの「データ処理活動についてデータ主体に通知する義務」も、契約上の通知義務も、米国の非開示命令により果たせませんでした。
制裁調査が終了し(違反なしと判断)、顧客にも同社にもアクセスがあったことの通知はありませんでした。後日、同社のデータ保護責任者が定期的なコンプライアンスレビューでAWSにCLOUD Act開示の有無を確認したことで、数か月後にアクセスが判明しました。
同社は、FCAから運用レジリエンスやデータ保護対策、顧客信頼について質問を受けました。最終的に行政処分はありませんでしたが、米国プロバイダーアーキテクチャが富裕層顧客の機密性にとって容認できないリスクを生むことを認識しました。同社はKiteworksを英国主権型導入と顧客管理暗号化付きで導入し、今後のCLOUD Actリスクを排除しました。
英国医療:情報目的で研究データがアクセスされる
英国の医療研究機関は、国際パートナーとがん治療研究を共同で行っています。研究には患者データ、治療成績、分子解析データが含まれ、欧州各国の研究機関とMicrosoft TeamsやAzureで共有しています。
研究対象者の一人が、英国研究者の知らないうちに米国情報機関の関心対象となっていました。米国情報機関はFISA 702命令を取得し、Microsoftに対し当該個人に関連する通信・データの開示を要求し、英国の医療研究データ(がん治療情報)が開示されました。
FISA命令には非開示条項が含まれており、Microsoftは英国研究機関に通知できませんでした。UK GDPR第9条の特別カテゴリー(特に高い保護が求められる)に該当する研究対象者の医療データが、英国の法的手続きや研究機関の認識、患者の同意なしに米国情報機関にアクセスされました。
英国の研究倫理委員会は、米国クラウドインフラを利用することで研究対象者のプライバシー権に容認できないリスクが生じると判断しました。情報機関が、被験者の同意や英国の法的手続きなしにCLOUD ActやFISA権限で医療研究データにアクセスできるなら、研究対象者にデータの機密性を約束できるでしょうか?
複数の欧州研究機関は、英国パートナーが米国インフラを利用している限り、EU市民の健康データの倫理要件を満たせないとして共同研究から撤退しました。英国機関は、Kiteworksを顧客管理暗号鍵と英国主権型導入で展開し、欧州倫理委員会の要件を満たす形で共同研究を再開しました。
英国政府請負業者:CLOUD Actで公式情報がアクセスされる
英国防衛請負業者は、国防省向けに技術サービスを提供し、英国の防衛能力や調達計画、運用要件に関するOfficial-Sensitive情報を扱っています。同社は、AWS GovCloud UKを利用し、政府向けクラウドサービスが公式情報の保護に十分だと考えていました。
米国の防衛請負業者の不正調査で、米国政府は英国の調達情報を市場状況把握のために求めました。米国捜査官は、AWSに対しGovCloud UKに保存された英国請負業者の文書(MoD調達プロセスに関するやり取り)を開示するCLOUD Act令状を取得しました。
AWSは、英国政府請負業者との契約上、Official-Sensitive情報の外国政府への開示を禁止する取り決めがある一方、米国裁判所命令で開示を要求されるという対立に直面しました。AWSの米国法務チームは、CLOUD Act義務が英国請負業者との契約上の約束より優先されると判断しました。
後日、米国訴訟で開示が明らかになった際、英国国防省のセキュリティ担当者は、米国クラウドインフラを利用する請負業者がOfficial-Sensitive情報の取り扱い要件を満たせるか疑問を呈しました。米国当局がCLOUD Act要求で英国政府情報にアクセスできるなら、こうしたプロバイダー利用は不十分なセキュリティ対策と見なされるのではないかという問題が生じました。
同社は、英国政府のセキュリティ基準を満たすエアギャップ環境でKiteworksを導入し、顧客管理暗号鍵と物理的隔離により外国管轄権リスクを排除しました。これにより、CLOUD Actリスクを認識した上で強化されたセキュリティ要件を満たし、MoDとの契約を継続できました。
比較:Kiteworksと米国ハイパースケールクラウドプロバイダー
| CLOUD Actの観点 | Kiteworks | 米国ハイパースケールクラウドプロバイダー |
|---|---|---|
| 米国管轄権リスク | オンプレミスまたは英国主権クラウドで導入時はリスクゼロ。CLOUD Actの対象外。 | 米国企業の管轄権により、データの場所に関係なく全グローバル運用がCLOUD Actの対象。 |
| 強制開示リスク | 顧客管理鍵により、強制開示されても意味のない暗号文しか提供されない。 | プロバイダー管理の暗号化では、CLOUD Act強制時に解読可能なデータが開示される。 |
| UK GDPRとの対立 | 対立なし。英国管轄と顧客コントロールで外国政府アクセス経路を排除。 | 米国法的義務と英国データ保護要件が直接対立。 |
| 契約上の保護 | 該当せず。CLOUD Act要求を受ける米国プロバイダーが存在しない。 | 契約上の約束は米国法的義務により上書きされる。 |
| 通知能力 | 顧客がデータをコントロール。第三者による通知妨害なし。 | 米国の非開示命令により通知禁止。契約上の通知義務は執行不能。 |
| ICOコンプライアンス | 無許可アクセス防止のICO期待を満たすアーキテクチャ。 | ICOが防止を期待する外国政府アクセスを可能にするアーキテクチャ。 |
| 特権保護 | 法的職業特権を保護。米国当局による英国弁護士・依頼人間の開示強制なし。 | CLOUD Actディスカバリーで米国政府アクセスにより弁護士・依頼人特権が脆弱。 |
| 多管轄権対立 | 英国のみの管轄で対立を排除。 | 米国法的要求と英国データ保護義務の永続的な対立。 |
| データ管理者の説明責任 | 説明責任が明確。顧客がすべてのデータアクセス意思決定をコントロール。 | 説明責任が分散。プロバイダーが米国法の強制下でアクセス意思決定。 |
| 主権保証 | 数学的・管轄権の保証。米国アクセスは技術的・法的に不可能。 | 主権なし。米国管轄権により顧客の希望に関係なく強制アクセスが可能。 |
結論:管轄権こそがデータ主権の運命を決める
CLOUD Actは、英国組織がクラウドインフラ選択を評価する際の状況を根本的に変えました。米国企業のグローバル事業全体に米国の域外権限を主張することで、管轄権コントロール(地理的なデータ保存場所ではなく)がデータ保護の決定要素となりました。米国クラウドプロバイダーを利用する英国組織は、英国データセンターの場所や契約上のデータ保護の約束、UK GDPRコンプライアンスプログラムに関係なく、米国法の支配下に主権を委ねることになります。
CLOUD Act義務と英国データ保護要件の管轄権対立は、解決不能なコンプライアンス状況を生みます。UK GDPRは、無許可の外国政府アクセスを禁止し、適切なセキュリティ対策を要求し、データ保護の説明責任を定めています。CLOUD Act要求は、まさにUK GDPRが禁止する外国政府アクセスを可能にし、法的強制でセキュリティ対策を上書きし、米国プロバイダーが米国法に従うことでコントロールを移転させます。契約による解決は、公的な法的義務を私的契約で上書きできないため失敗します。
情報コミッショナーオフィスは、英国組織に対し、実際のデータ保護状況を評価し、外国政府アクセスを含む識別されたリスクに対して有効な技術的対策を実装することを期待しています。CLOUD Actの影響を評価せず、顧客管理の暗号化や主権型導入の代替案を検討していない組織は、外国政府アクセスを可能にするアーキテクチャ選択の説明責任を果たすのが困難です。
顧客機密性を守る金融サービス、弁護士・依頼人特権を守る法律実務、患者データを管理する医療機関、公式情報を保護する政府請負業者にとって、CLOUD Actリスクはコンプライアンスを超えて事業継続リスクとなります。顧客信頼、競争力、規制当局との関係、契約上のセキュリティ義務は、データが米国プロバイダーインフラ経由で外国政府アクセスの対象となるのではなく、英国管轄下で管理されていることを証明できるかどうかにかかっています。
CLOUD Actリスクを排除するアーキテクチャ的解決策は存在します。顧客管理の暗号鍵により、強制開示が意味のない暗号文しか生まない数学的保証、英国主権型導入により米国管轄権を完全に排除する英国インフラプロバイダーの利用です。これらの解決策は、米国当局が命令を出すこと自体は防げませんが、米国企業がデータや鍵を持たないことで、米国法的要求への実質的な対応を不可能にします。
管轄権は、法的対立が生じた際に最終的に誰がデータアクセスをコントロールするかを決定します。真のデータ主権を求める英国組織は、インフラプロバイダーの管轄権がデータ保護を地理的な保存場所以上に左右すること、米国管轄権を排除するアーキテクチャ的選択だけが英国データ保護義務を満たし、外国政府要求を数学的・管轄権的に不可能にできることを認識すべきです。米国プロバイダーに保存されたデータは、永遠にCLOUD Act強制の対象となります。データ主権を実現するには、米国法の適用外となる英国管轄を選択するアーキテクチャが必要です。
Kiteworksが英国組織のCLOUD Actリスクを排除する仕組み
Kiteworksは、米国管轄権の完全外で動作するアーキテクチャ設計により、CLOUD Actリスクからの免疫を提供します。英国施設のオンプレミスや英国主権クラウドプロバイダー経由で導入した場合、Kiteworksは英国法のみに従う英国インフラとして存在し、米国CLOUD Act要求は米国企業の支配がない英国法人には及びません。ベンダーアクセスゼロの顧客所有暗号鍵により、万一何らかの強制が及んだ場合でも、顧客管理鍵なしには開示データは暗号文のままです。
FIPS 140-3 Level 1認証済み暗号アルゴリズムとS/MIME、OpenPGP、TLS 1.3を組み合わせ、Kiteworksが平文や鍵を一切保持しない暗号化アーキテクチャでデータライフサイクル全体を保護します。オンプレミス、英国プライベートクラウド、エアギャップ環境など柔軟な導入オプションにより、マルチテナント混在を排除し、どの導入モデルでも米国管轄リスクをゼロにできます。きめ細かなジオフェンシングで米国IPアドレスからの認証をブロックし、管轄権アクセス制御で英国拠点の担当者のみが機微システムにアクセス可能とします。
統合型プライベートデータネットワークは、ファイル共有、SFTP、MFT、メール、Webフォームなど、すべてのコンテンツ通信チャネルでCLOUD Act免疫を実現します。CISOダッシュボードで全ファイルアクティビティを可視化し、SIEMとのsyslog連携やコンプライアンスレポートで、無許可の外国政府アクセスを防ぐアーキテクチャによるGDPR準拠・ICOガイダンス満足を実証できます。
Kiteworksは、金融サービスの機密保持要件や政府請負業者のセキュリティ基準を、米国クラウドプロバイダーでは実現できない管轄権独立性で満たします。米国当局がCLOUD Act要求を出しても、英国管轄下でKiteworksを運用する英国組織には一切及びません。
英国データのCLOUD Actリスクからの保護について詳しく知りたい方は、カスタムデモを今すぐご予約ください。
よくあるご質問
米国CLOUD Actは、2018年に制定された米国連邦法で、米国の法執行機関に対し、世界中のどこに保存されているデータでも米国企業に提出を強制する域外権限を付与しています。AWS、Microsoft Azure、Google Cloudを利用する英国組織は、英国データセンターの場所に関係なく、米国企業の管轄権により米国法の支配下に置かれ、地理的なデータ保存だけではリスクを排除できません。
いいえ。契約上の約束では、CLOUD Actによる米国の法的義務を上書きできません。米国裁判所がプロバイダーにデータ開示を命じた場合、法的義務が私的契約より優先され、英国顧客への非開示契約があってもプロバイダーは米国法に従わなければなりません。
はい。米国CLOUD Actは、UK GDPR第5条の原則(適法な処理、目的限定)や第32条のセキュリティ要件と根本的に対立します。UK GDPRは無許可のデータ開示を禁止し、適切なセキュリティ対策を要求しますが、CLOUD Actは英国の法的手続きを経ずに外国政府アクセスを可能にし、一方の法制度を満たすと他方を違反する解決不能な状況を生みます。
1) クラウドプロバイダーインフラ外で完全に管理される顧客管理暗号鍵を実装し、米国CLOUD Act開示が顧客管理鍵なしには意味のない暗号文しか生まない状態にする。2) 英国企業として運用される英国主権クラウドプロバイダー経由で導入し、米国法の支配を完全に排除する。ハイブリッドアーキテクチャにより、用途に応じて主権性とクラウドの利便性を両立できます。
ICOは、英国組織に対し、外国政府アクセスリスクを含む実際のデータ保護状況を評価し、無許可アクセスを防ぐ有効な技術的対策を実装し、アーキテクチャ選択の説明責任を果たすことを期待しています。顧客管理暗号化やCLOUD Actリスク評価を行わずに米国プロバイダーを利用することは、適切なセキュリティ対策としてICOの期待を満たさない可能性があります。
1) 米国プロバイダー利用がUK GDPRと両立しないCLOUD Actアクセスを可能にするか移転影響評価を実施。2) 英国管理のHSMで顧客管理暗号化を実装。3) 米国管轄権を排除する英国主権型導入の代替案を評価。4) 米国からのアクセスを防ぐジオフェンシングを設定。5) ICO説明責任を実証するアーキテクチャを文書化。6) 外国政府開示シナリオに備えたインシデント対応計画を見直し。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴に注意 - ブログ記事
データ主権ベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】