Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 欧州データを構造的に守り、CLOUD法リスクを回避

欧州データを構造的に守り、CLOUD法リスクを回避

by Marc ten Eikelder updated 2月 18, 2026 EU一般データ保護規則コンプライアンス
Reading Time: 9 minutes

米国政府による欧州データへのアクセスを防ぐ方法:CLOUD法問題へのアーキテクチャ的アプローチ

米国本社のクラウドプラットフォームを通じて機密データを処理する欧州の組織は、契約法やデータレジデンシーでは解決できない構造的なコンプライアンス問題に直面しています。

2018年の米国クラリファイング・ロー・フル・オーバーシーズ・ユース・オブ・データ(CLOUD)法は、米国企業に対し、データがどこに保存されていようと、正当な米国政府の要求を受けた場合にはそのデータを提出することを義務付けています。これは、データの所在やデータプライバシー契約の内容に関係ありません。

GDPR、NIS2、DORAの対象となる組織にとって、これは利用しているプラットフォームと自らが負う法的義務との間に直接的な対立を生じさせます。

要約

主旨:米国CLOUD法は、米国プロバイダーの法的義務と欧州のデータ主権法の間に解決不能な対立を生み出します。標準契約条項やEUデータセンターの利用などの対策では、このリスクを排除できません。なぜなら、CLOUD法はデータの所在ではなくプロバイダーの管理権限に従うためです。欧州組織が保持し、プロバイダーが保持しない顧客管理型暗号鍵のみが、米国政府の要求を実質的にデータ内容に対して技術的に実行不可能にする唯一のアーキテクチャ的対策です。

なぜ重要なのか:GDPR第48条は、外国の裁判所や行政命令のみを根拠とした個人データの非EU当局への移転を禁止しています。CLOUD法の管轄下にある米国プラットフォームを通じてデータを処理する組織は、特定のインシデントではなくアーキテクチャ自体の問題として、継続的な構造的違反状態にある可能性があります。NIS2やDORAは、重要インフラや金融サービス分野において、このリスクをさらに複雑化させるサードパーティICTサプライチェーンリスク管理義務を追加しています。

5つの重要なポイント

  1. CLOUD法はデータの所在ではなくプロバイダーの管理権限に従う。米国企業が運営するフランクフルトやアムステルダムのデータセンターにデータを保存しても、そのデータがドイツやオランダの管轄下に置かれるわけではありません。米国法執行機関は、物理的な保存場所に関係なく、プロバイダーに対してデータの提出を強制できます。
  2. 標準契約条項やデータ処理契約では米国の法的強制力を上書きできない。CLOUD法は、たとえ外国法と矛盾しても、正当な米国政府の要求にプロバイダーが従うことを求めます。SCCやDPAは契約上の手段に過ぎず、プロバイダーに対する米国の司法・行政命令には法的効力がありません。
  3. EU・米国間データプライバシーフレームワークではCLOUD法リスクは解決しない。DPFは認定済み米国企業の個人データ移転ルールを定めていますが、米国当局によるCLOUD法要求を防ぐものではありません。FISA第702条は2024年4月に範囲を拡大して再認可されており、欧州データ保護法の下で依然として未解決の懸念事項です。
  4. 正直に実施された移転影響評価では、技術的対策がなければCLOUD法リスクは未解決と判断される。EDPBのSchrems II勧告では、EEA内で保持される顧客管理型暗号鍵が、米国監視法リスクに対処可能な主要な技術的補完措置であると明示されています。
  5. 顧客管理型暗号化により、CLOUD法要求はデータ内容に対して技術的に実行不可能となる。欧州組織が管轄内のHSM統合で暗号鍵を保持し、米国プロバイダーが保持しない場合、プロバイダーは法的強制を受けても可読データを提出できません。アーキテクチャが契約で解決できない問題を解決します。

なぜCLOUD法が欧州組織に構造的問題をもたらすのか

重要なのはデータの所在と管理権限の違いです。多くの欧州組織は「データはEU内にある」という安心感から米国クラウドへ移行しましたが、その安心感はほとんど根拠がありません。

CLOUD法の仕組みとEUデータセンターが保護にならない理由

CLOUD法は、米国企業に対し、正当な法的要求があった場合、保存場所に関係なく、保有・管理・監督下にある電子通信や記録の保存、バックアップ、開示を義務付けています。判断基準は管理権限であり、地理的要素ではありません。米国クラウドプロバイダーがフランクフルトでデータセンターを運営していても、そのデータを管理しているのは米国企業です。米国司法省やFBIが要求を出した場合、フランクフルトの所在地は法的に無関係です。

さらに問題を複雑にしているのは、CLOUD法の要求にはしばしば非開示命令が付随することです。米国プロバイダーは、データがアクセスされたことを欧州の顧客に通知することを法的に禁じられる場合があります。組織は、国際合意がない限り個人データを非EU当局に提供することを禁じるGDPR第48条に継続的に違反している可能性があり、要求が発生したことすら認識できません。CLOUD法はそのような国際合意ではありません。

契約上の保護ではギャップを埋められない理由

CLOUD法は、たとえ外国法と矛盾しても、米国プロバイダーが正当な要求に従うことを明示的に規定しています。プロバイダーが要求に異議を唱えたり顧客に通知したりする契約上の約束は、米国の法的義務に従属します。これは理論上の話ではありません。CJEUのSchrems II判決は、まさにこの理由でEU・米国間プライバシーシールドを無効としました。米国法がGDPRと両立しない形でEU個人データへのアクセスを当局に認めており、EU市民に実効的な司法救済手段がなかったためです。裁判所は、米国法がSCCの有効性を損なう場合にはSCCに依拠できず、補完的な技術的対策が必要であると認定しました。

GDPRコンプライアンスの完全チェックリスト

Read Now

GDPRの移転フレームワークとCLOUD法リスクの交差点

GDPR第V章(第44~49条)は、個人データの国際移転を規定しています。米国プラットフォームを利用する欧州組織にとって、このフレームワークの理解は不可欠です。米国クラウドプロバイダーの利用が継続的な国際移転に該当するか、またその法的根拠が何かは、GDPRコンプライアンス上の規制リスクに直結します。

第44~49条、Schrems II、移転影響評価が対処すべき事項

第46条SCCに依拠する組織は、Schrems II判決に従い、SCCの有効性に米国法がどのような影響を及ぼすかについて移転影響評価(TIA)を実施する必要があります。EDPBの勧告01/2020は、このプロセスを詳細に定めています。特にEDPBは、データ送信前の強力な暗号化(復号鍵がEEA内でのみ保持される場合)を、米国監視法リスクに対処可能な技術的補完措置として特定しました。プロバイダーがサービスの一環として鍵を管理する標準的なクラウド暗号化はこの基準を満たしません。プロバイダーは平文データへの技術的アクセス権を保持し、CLOUD法要求の対象となり続けます。

EU・米国間データプライバシーフレームワークが問題を解決しない理由

DPFは2023年7月に欧州委員会により採択され、認定済み米国企業がEU個人データをSCCなしで受領できるようにしています。しかし、DPFは認定企業に対するCLOUD法やFISA第702条の要求を防ぐものではありません。FISA第702条は2024年4月に範囲を拡大して再認可されました。欧州議会は2023年5月、DPFが「本質的な同等性を確立できていない」と警告しました。EDPBの2024年11月のレビュー報告書でも、3年以内の再評価を求めています。2025年初頭、米国プライバシー・市民的自由監督委員会(DPFのインテリジェンスコミットメントを監督する機関)の5人中3人がトランプ政権により解任され、定足数を失いました。DPFの前身であるSafe HarbourとPrivacy ShieldはいずれもCJEUにより無効化されています。DPF認証をCLOUD法リスク対策の主軸とする組織は、明らかに脆弱な基盤の上に構築していることになります。

NIS2とDORAがリスクをさらに複雑化

GDPRだけがCLOUD法リスクに関連する義務を課しているわけではありません。重要インフラや金融サービス分野の組織にとって、NIS2やDORAは米国プロバイダー依存が直接関係するサードパーティリスク管理要件を追加しています。

NIS2のサプライチェーンセキュリティとDORAのICTサードパーティリスク

NIS2は2024年10月から適用され、重要および重要度の高い事業体に対し、ICTサプライチェーンセキュリティの評価(第21条)を義務付けています。米国クラウドプロバイダーのCLOUD法リスクがサプライチェーンリスクに該当するかどうかを評価していない組織は、実際に要求が発生していなくてもNIS2のリスク管理義務に違反している可能性があります。重要事業体には最大1,000万ユーロまたは世界売上高の2%の罰金が科されます。

DORAは2025年1月から適用され、金融機関に対し、ICTプロバイダー依存による集中リスクの評価、機密保持義務の確認、重要なICT関係のための文書化された退出戦略の維持を求めています。CLOUD法は、DORAが金融機関に評価・対策を求める特定の集中リスクを生み出します。ECBの2025年7月のクラウドサービス委託ガイドもこれを強調し、ECB監督下の銀行に対し、クラウドプロバイダーの法的リスクをリスクベースで評価することを求めています。

アーキテクチャ的解決策:顧客管理型暗号化

EDPBのガイダンスは要件を明確に定義しています。米国プロバイダーは、平文データや暗号鍵に一切アクセスできてはなりません。これは契約上の要件ではなく、アーキテクチャ上の要件です。これを満たすには、暗号化レイヤー自体にデータ主権コンプライアンスが組み込まれ、鍵が欧州顧客の管理下で自国管轄内のHSMに保存されるプラットフォームを導入する必要があります。

顧客管理型暗号化がCLOUD法リスクにどう対応するか

顧客管理型暗号化は非常にシンプルな原則に基づきます。データは米国プロバイダーのインフラに到達する前に、顧客が独自に生成・保管する鍵で暗号化されます。米国当局がCLOUD法要求を出しても、プロバイダーは暗号化データしか提出できず、鍵を持たないため内容は可読になりません。要求は実質的に情報本体に対して技術的に実行不可能です。GDPR上も、このアーキテクチャはEDPBの補完措置要件を直接満たします。データ輸出者(欧州組織)はEEA内で復号鍵を独占管理し、データ輸入者(米国プロバイダー)は暗号文のみを処理します。これがEDPBが米国監視法リスク対策として特定した構成です。

多国籍運用向けの管轄別鍵配備

ドイツ、フランス、オランダ、英国で事業展開する組織は、顧客管理型暗号化により管轄別の鍵配備が可能です。ドイツ組織はドイツ国内にHSMを配備し、GDPR要件と刑法203条の秘密保持義務を満たします。フランス組織はフランスで鍵を管理し、公衆衛生法典による職業上の秘密を維持します。オランダ組織はオランダで鍵を保持し、APの執行期待に対応します。英国組織は英国国内で配備し、ICOの移転補完措置ガイダンスを満たします。このアーキテクチャは米国クラウドプラットフォームの利用を放棄する必要はなく、データが米国インフラに到達する前に暗号化レイヤーを欧州側で管理することが求められます。

規制当局向けドキュメント整備

適切なアーキテクチャの導入は必要条件ですが、それだけでは十分ではありません。データ保護当局、NIS2監督機関、DORA主管当局は、文書による証拠を求めます。CLOUD法リスクに顧客管理型暗号化で対応した組織は、明確な構成のドキュメントを整備する必要があります。

移転影響評価の証拠と継続的コンプライアンス

米国プロバイダーとの関係におけるSchrems II準拠の移転影響評価(TIA)には、関連する米国法(CLOUD法、FISA 702)、それらがSCCに及ぼす影響評価、採用した技術的補完措置、その措置が本質的に同等の保護を実現する根拠、DPF適格性判断の変更を監視するコミットメントを記載すべきです。補足証拠としては、アーキテクチャ図、鍵管理手順、HSM配備記録、アクセス制御が機能していることを示す監査ログなどが含まれます。NIS2やDORA向けには、プロバイダーのCLOUD法リスクに関するサプライチェーンリスク評価、集中リスク評価、退出戦略、誰が何を復号できるかを示すRBACマトリクスも追加します。

Kiteworksが欧州組織のCLOUD法リスク対策をアーキテクチャ的に支援

CLOUD法問題は現実的かつ構造的であり、契約で回避することはできません。顧客管理型暗号鍵なしに米国プラットフォームで機密データを処理する欧州組織は、正直な移転影響評価で特定されるコンプライアンスギャップを抱えており、GDPR監督当局も積極的に対応しつつあり、NIS2やDORAのサードパーティリスクフレームワークでも対策が求められています。EDPBが推奨するアーキテクチャ的解決策はすでに利用可能です。必要なのは、暗号化レイヤーを米国インフラに到達する前に欧州側で管理することです。

Kiteworksは、顧客管理型暗号化によってCLOUD法リスクに直接対応するプライベートデータネットワークを欧州組織に提供します。暗号鍵は欧州顧客の専有管理下にあり、顧客の管轄内で配備されたHSMに保持されます。Kiteworksがデータを処理する際は暗号文のみを扱い、米国政府によるKiteworksへの要求でも平文データは技術的にアクセスできません。

本プラットフォームは管轄別の配備に対応しており、ドイツ組織はドイツ、フランス組織はフランス、オランダ組織はオランダ、英国組織は英国で鍵を管理できます。これによりEDPBのSchrems II補完措置要件を満たし、移転影響評価に必要な文書証拠も提供します。KiteworksはKiteworksセキュアメール、Kiteworksセキュアなファイル共有セキュアマネージドファイル転送、Kiteworksセキュアなデータフォームを統合アーキテクチャで提供し、顧客管理型暗号化がすべてのデータ交換チャネルで一貫して適用されます。

Kiteworksが欧州組織のCLOUD法リスク対策をどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

米国CLOUD法はデータローカライゼーションではなくプロバイダーの管理権限に基づいて適用されます。米国企業がEUデータセンターを運営している場合でも、そこに保存されているデータの保有・管理権限は米国企業にあります。米国当局がCLOUD法要求を出した場合、物理的な保存場所に関係なくプロバイダーは従う義務があります。運営者が米国法の対象であれば、EUデータセンターの所在地はEU管轄下にデータを置くことにはなりません。

標準契約条項はデータ輸出者と輸入者間の契約上の手段です。CLOUD法は、たとえ外国法や契約義務と矛盾しても、米国プロバイダーが正当な米国政府の要求に従うことを求めます。EDPBはSchrems II勧告で、契約上の補完措置だけでは米国監視法リスクに対応できず、技術的対策、特にEEA内で保持される顧客管理型暗号鍵が必要であると明言しています。

いいえ。DPFは認定済み米国企業の個人データ移転ルールを定めていますが、米国当局によるCLOUD法やFISA第702条の要求を防ぐものではありません。Schrems IIで本質的同等性の障害とされたFISA第702条も2024年4月に再認可されています。DPF自体も法的課題や政治的不安定を抱えています。DPF認証だけに依拠してCLOUD法リスク対策とする組織は、未解決のデータコンプライアンスリスクを抱えています。

適切なTIAには、関連する米国法(CLOUD法、FISA 702)、それらがSCCに及ぼす影響評価、採用した技術的補完措置(EEA管理下の顧客管理型暗号化)、プロバイダーが平文データにアクセスできないことの証拠、監視コミットメントを記載すべきです。技術的証拠としては、アーキテクチャ図、鍵管理手順、HSM配備記録、アクセス制御が機能していることを示す監査ログなどが含まれます。

NIS2は、重要および重要度の高い事業体に対し、プロバイダーの非EU政府アクセスリスクを含むICTサプライチェーンセキュリティリスクの評価を求めています。DORAは、金融機関に対し、重要なICTサードパーティプロバイダーの集中リスクや機密保持義務の評価を義務付けています。いずれもCLOUD法リスクに関する文書化されたリスク評価が必要です。技術的対策なしに米国プロバイダーを利用することは、NIS2第21条上の未解決サプライチェーンリスクや、DORA上の未文書化ICTサードパーティリスクとなる可能性があります。

追加リソース 

  • ブログ記事  
    データ主権:ベストプラクティスか規制要件か?
  • eBook  
    データ主権とGDPR
  • ブログ記事  
    データ主権の落とし穴に注意
  • ブログ記事  
    データ主権のベストプラクティス
  • ブログ記事  
    データ主権とGDPR【データセキュリティの理解】

    •  

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks