欧州顧客向けサービス提供時に米国企業がEUデータ主権法に対応する方法
米国企業が欧州連合(EU)でビジネスを展開する際、他にはないコンプライアンス上の課題に直面します。2つの法律体系が真逆の方向に引っ張り合い、どちらも同時に適用されるのです。EUのGDPRコンプライアンス義務はデータ主体に従い、EU居住者の個人データを取り扱う米国企業は、本社所在地に関係なくGDPRを遵守しなければなりません。一方、米国クラウド法(CLOUD Act)はプロバイダーに従い、米国企業はデータの保存場所にかかわらず、米国政府からの有効な要求があれば管理下のデータを提出する義務があります。
このパラドックスは現実です。米国企業がEU顧客データを保存している場合、GDPRの下で不正アクセスから保護する義務と、米国法の下で開示を強制される義務が同時に課されます。標準契約条項(SCC)は保護の意図を文書化するものですが、CLOUD Actを上書きすることはできません。これは契約を強化すれば解決するギャップではなく、アーキテクチャ上の主権によってのみ解消できる構造的な衝突です。
エグゼクティブサマリー
主なポイント: 米国企業がEU顧客にサービスを提供する場合、GDPRの域外適用により、GDPR第44~49条の越境移転制限、第32条の技術的セキュリティ要件、Schrems II判決後の移転影響評価(TIA)など、すべての義務が課されます。同時に、米国法はデータ開示を強制し、契約では解決できない緊張関係が生じます。米国企業が本当にデータ主権コンプライアンスを実現するには、EU顧客データを米国法の適用から分離するアーキテクチャが必要です。具体的には、EU専用のシングルテナント展開、米国外で保持される顧客管理の暗号鍵、EUデータを欧州法管轄下に置くポリシー強制のデータレジデンシーが求められます。
重要性: GDPRの域外適用は厳格です。データ保護当局(DPA)は、EUに拠点を持たない米国企業にも制裁金を科しており、オーストリア、フランス、イタリアのDPAは、EU個人データを米国管理下のクラウドインフラ経由でルーティングすることがSchrems II判決の下でGDPR違反であると明確に判断しています。制裁金は全世界年間売上高の4%に達します。コンプライアンスは選択肢ではなく、米国の法務部門が想定するよりも高い基準が求められています。
主なポイント
- GDPRは所在地に関係なく米国企業にも適用されます。 GDPR第3条は域外管轄権を定めており、EU居住者に商品やサービスを提供したり、その行動をモニタリングしたりする組織は、設立場所に関係なくGDPRの全義務の対象となります。EUに拠点がなくてもGDPRが適用されないわけではなく、第27条に基づきEU代表者の任命が必要となります。
- CLOUD ActとGDPRは本質的な法的衝突を生みます。 米国法は米国企業が管理するデータの開示を強制し、EU法はEU個人データを不正な外国アクセスから保護することを求めます。SCCはGDPRの移転文書化要件を満たしますが、米国法の強制力を上書きできません。契約で解決できない部分はアーキテクチャで対応する必要があります。
- EUデータを米国管理下インフラに保存するだけではSchrems II後の要件を満たしません。 米国プロバイダーとの契約における移転影響評価(TIA)では、CLOUD ActやFISA 702を技術的補完策が必要なリスクとして特定しなければなりません。リスクを認識しつつ技術的対策がないTIAはEDPB基準を満たしません。
- 顧客管理の暗号鍵がCLOUD Actパラドックスの技術的解決策です。 EU顧客データが米国管理外の欧州インフラで保持される鍵で暗号化されていれば、CLOUD Actの要求があっても米国企業は復号できない暗号文しか提出できません。これによりCLOUD Actの開示義務とGDPRの保護義務を同時に満たせます。
- 規制業界の米国企業はGDPRに加え業界固有のEU義務も負います。 EU金融サービス顧客を持つ米国SaaSプロバイダーはDORA対応が必要です。NIS 2の対象となるEU組織にサービスを提供する米国ベンダーはサプライチェーン主権評価をクリアしなければなりません。GDPRは最低基準に過ぎません。
GDPRの域外適用:米国企業が本当に求められること
多くの米国コンプライアンスチームがGDPRで誤解しがちなのは、その適用範囲です。第3条は、設立場所に関係なく、EU居住者の個人データを商品・サービス提供や行動モニタリングのために処理するすべての組織に適用されます。ドイツ顧客を持つ米国SaaS企業も、EU従業員データを持つ米国メーカーもGDPRの対象です。判断基準は企業の所在地ではなく、EU居住者のデータが処理されているかどうかです。
EUに拠点のない米国企業は、第27条に基づきEU拠点の代表者を任命する必要があります。この構造的要件に加え、GDPRの実質的義務もすべて適用されます。たとえば、適法な処理根拠、データ主体の権利、72時間以内の侵害通知、高リスク処理に対するデータ保護影響評価(DPIA)、EU個人データが米国システムに到達する際の第V章の移転制限などです。
多くの米国企業にとって、実務上の移転メカニズムは標準契約条項(SCC)です。しかしSchrems II判決以降、SCCだけでは不十分です。組織は移転影響評価(TIA)を実施し、米国の監視法がSCCの有効性を損なうかどうかを文書化して評価しなければなりません。米国管理下インフラでEU個人データを処理する場合、その評価ではCLOUD ActやFISA第702条が、欧州の司法監督なしにデータ開示を強制できる現行の法的権限であることを正直に指摘する必要があります。リスクを認識しつつ、十分な技術的補完策を特定していないTIAはSchrems II判決の要件を満たしません。
GDPRコンプライアンス完全チェックリスト
Read Now
CLOUD Actパラドックス:契約で解決できない法的衝突の理由
CLOUD Act(2018年)は、米国企業に対し、物理的な保存場所にかかわらず、管理・保有するデータについて有効な米国政府の要求に応じて提出する義務を課します。その適用範囲は地理ではなく企業の管理権限に従います。米国企業のフランクフルトデータセンターも、米国の企業構造を通じてCLOUD Actの強制対象となり、サーバーの物理的所在地は関係ありません。
GDPRは、まさにこのような不正な外国政府アクセスからEU個人データを保護することを米国企業に求めています。DPAはSchrems II判決に従い、米国政府によるCLOUD Actアクセスを、移転メカニズムが対処すべき特定リスクと見なしています。米国企業のTIAがCLOUD Actリスクを認識しつつ、通知義務や異議申し立て手続きなど契約上の補完策しか提示しない場合、EDPBは明確に「これらは契約上の補完策に過ぎず、米国法が契約条項にかかわらず強制力を持つ場合は不十分」としています。
解決策は契約ではなくアーキテクチャにあります。EDPBがCLOUD Actリスクに対処する唯一の技術的管理策として認めているのは、完全に米国外で保持される顧客管理の暗号鍵による暗号化です。EU顧客が自らの欧州HSMで暗号鍵を保持していれば、米国プロバイダーへのCLOUD Act要求があっても暗号文しか提出できません。プロバイダーは復号できません。CLOUD Actの要求は技術的に満たされ、GDPRの保護義務もアーキテクチャ上維持されます。アーキテクチャによって、GDPR違反となる可読データの提供が技術的に不可能となり、両法の同時遵守が可能となります。
米国企業が満たすべき4つのコンプライアンス要件
展開アーキテクチャでEU顧客データを米国法の適用から分離する。 EU個人データが米国管理下インフラに保存されている場合(たとえEUデータセンター内でも)、親会社を通じてCLOUD Actの強制対象となります。解決策はEU専用のシングルテナント展開です。EUデータセンター内の専用インフラを、EU拠点の人員がEU管理下で運用し、データをEU法管轄下に置く契約構造にします。つまり、EUリージョンの米国ハイパースケーラーではなく、欧州クラウドプロバイダーや顧客所有インフラを選択する必要があります。
米国外で保持される鍵による顧客管理の暗号化を実装する。 EU顧客が自らの欧州HSMで生成・保管した鍵(BYOK/BYOE)による顧客管理暗号化を導入し、鍵を米国プロバイダーに一切渡さないことで、CLOUD Actのギャップをアーキテクチャ上で解消します。米国企業はTIAで、CLOUD Act要求に対し可読なEU顧客データを提出する技術的能力がないと表明できます。これにより、「契約上の補完策がある(不十分)」から「復号要求に技術的に対応できない(EDPBガイダンス上十分)」という結論に変わります。
ポリシー強制のデータローカライゼーション管理を実装する。 技術的ジオフェンシング(インフラレベルでEU顧客データが指定EUリージョン外で複製・処理されるのを防ぐ管理策)は、EDPBが求める「契約ではなく技術的なレジデンシー管理」を満たします。技術的強制のない契約上の約束だけではSchrems II判決後の基準を満たしません。データは管理者の操作や設定にかかわらず、アーキテクチャ上EUインフラから出られない必要があります。
EU DPAの調査に十分対応できる監査記録を維持する。 GDPR第30条は処理活動記録の作成を義務付けています。NIS 2やDORAは、サプライチェーン評価要件をEU組織にサービスを提供する米国ベンダーにも波及させます。いずれも求められるのは証拠としての監査ログ、アーキテクチャ文書、鍵管理記録、TIAなどの改ざん不能な記録です。EU顧客のDPAから要求された際にこれらの証拠を提示できなければ、契約があってもコンプライアンス違反となります。サードパーティリスク管理要件により、EU顧客は契約前からこの基準で米国ベンダーを評価しています。
米国企業が無視できない業界固有の義務
GDPRはあくまで最低基準に過ぎません。規制業界のEU顧客にサービスを提供する米国企業は、さらに主権関連の追加義務を負います。EU金融サービス顧客を持つ米国SaaSプロバイダーは、ICTサードパーティプロバイダーとしてDORAコンプライアンスが必要であり、第30条では契約でデータ主権、暗号鍵管理、退出戦略を明記することが求められます。EU医療機関にサービスを提供する米国テクノロジー企業は、GDPRの特別カテゴリー保護に加え、各国の医療データ法にも対応しなければなりません。EU政府機関にサービスを提供する米国企業は、契約上のセーフガードがあっても米国プロバイダーを明示的に排除する調達要件に直面します。
NIS 2指令のサプライチェーンセキュリティ要件は特に重要です。EUカバードエンティティはICTサプライヤーの主権体制を評価する義務があり、米国ベンダーが本当のアーキテクチャ上の主権(GDPRコンプライアンス文書だけでなく)を示せなければ、EU顧客のベンダー評価で不合格となります。CLOUD Actリスクが許容できない主権リスクと判断され、EUエンタープライズ契約を失う事例が増えており、不十分なアーキテクチャの商業的な悪影響が顕在化しています。
Kiteworksが米国企業のコンプライアンスパラドックスを解決する方法
米国企業がEU顧客にサービスを提供する場合、企業の所在地でGDPRを回避したり、契約強化でCLOUD Actの衝突を解決したり、米国法管理下のEUデータでSchrems II後のTIA基準を満たしたりすることはできません。コンプライアンスの道筋はアーキテクチャにあります。EU顧客データを米国法の適用から分離し、復号が技術的に不可能な顧客管理暗号化、地理的コンプライアンスを約束ではなく証明できる技術的レジデンシー管理が必要です。
これを正しく実現した米国企業は、法執行リスクを回避し、主権が調達要件となりつつあるEU市場で競争優位性を獲得できます。Kiteworksは、EUコンプライアンスを本物にするアーキテクチャ上の主権を提供します。EU顧客のデータは、その管轄下で、顧客自身の鍵で暗号化され、顧客の許可なく誰も(米国当局を含む)アクセスできません。
Kiteworksは、データは所有者が管理し続けるべきだという原則に基づいて構築されました。所有者の管轄下で、所有者の鍵で暗号化され、許可していない者は誰もアクセスできません。米国企業がEU顧客にサービスを提供する場合、この原則はCLOUD ActとGDPRの衝突をアーキテクチャで解決することに直結します。
Kiteworksプライベートデータネットワークは、EU顧客が選択した欧州データセンターに専用のシングルテナントインスタンスとして展開されます(顧客自身のインフラ、欧州クラウドプロバイダー、またはKiteworksホストのEUインフラ)。共有コンポーネントは一切ありません。EU顧客データの米国内処理もありません。FIPS 140-3レベル1認証の暗号化と保存時AES-256による顧客管理暗号化(BYOK/BYOE)により、EU顧客が鍵を保持し、Kiteworksは顧客データを復号できません。KiteworksへのCLOUD Act要求があっても暗号文しか提出できません。米国法の義務は技術的に満たされ、GDPRの保護義務もアーキテクチャ上維持されます。
ポリシー強制のジオフェンシングにより、EU顧客データが指定欧州リージョン外に出ることはありません。これがSchrems II後のTIAで求められる技術的レジデンシー管理です。ゼロトラスト・セキュリティアーキテクチャがすべてのアクセス(管理者を含む)を統制し、すべての操作はCISOダッシュボードで可視化できる改ざん不能な監査証跡に記録されます。GDPR、NIS 2、DORA、ISO 27001に対応したコンプライアンスレポートが事前構成されており、EU顧客がDPA調査やベンダー評価で必要な文書を提供できます。メール、ファイル共有、MFT、Webフォーム、APIなど、すべてのチャネルを単一プラットフォームで統合し、あらゆるデータ交換で一貫した主権管理を実現します。
米国企業がEU顧客業務でデータ主権コンプライアンスを達成するためにKiteworksがどのように支援できるか、今すぐカスタムデモをお申し込みください。
よくあるご質問
はい。GDPR第3条は、EU居住者に商品やサービスを提供したり、その行動をモニタリングしたりするために個人データを処理するすべての組織に適用されます。組織の設立場所は問いません。EUに拠点がなくても、EU企業にソフトウェアを販売したり、EU従業員データを取り扱ったり、EU顧客の取引を処理する米国企業は、GDPRの全義務の対象です。さらにGDPR第27条は、EU外の組織がGDPRの適用を受ける場合、DPAとの連絡を受けることができるEU拠点の代表者を任命することを求めています。EUの執行実績もこれを裏付けており、物理的なEU拠点を持たずデジタルサービスのみで事業を展開する非EU企業にもDPAは制裁金を科しています。
米国クラウド法(CLOUD Act、2018年)は、データの物理的な保存場所にかかわらず、米国企業が保有・管理するデータについて有効な米国政府の要求に応じて提出する義務を課します。GDPRは、同じ企業に対し、EU個人データを不正な外国政府アクセスから保護することを求めます。この衝突は構造的なものであり、米国法は開示を、EU法は保護を義務付けます。標準契約条項(SCC)は当事者間の契約拘束力しか持たず、米国法の強制力を上書きできません。唯一の技術的解決策は、米国外で保持される顧客管理の暗号鍵による暗号化であり、これにより米国企業はCLOUD Act要求に対し可読なEU個人データを提出する技術的能力を持たなくなります。
Schrems II判決(2020年)以降、標準契約条項(SCC)だけでは不十分です。組織は、米国の監視法がSCCの有効性を損なうかどうかを評価する移転影響評価(TIA)も実施しなければなりません。TIAでCLOUD ActやFISA 702のリスクが特定された場合(米国プロバイダーとの契約では必須)、EDPBはそれに対応する十分な技術的補完策を求めています。契約上の補完策だけでは不十分です。求められる技術的対策は、米国外で保持される顧客管理の暗号鍵による暗号化です。このアーキテクチャ上の補完策がないままSCCだけに依拠する米国企業は、Schrems II判決後の基準を満たしていません。
シングルテナント欧州展開とは、EU顧客データが他の顧客と共有されない専用インフラ上で、指定されたEUデータセンターにホスティングされ、EU拠点の人員がEU管理下で運用することを意味します。米国企業にとって重要なのは、米国ハイパースケーラーのEUリージョンにデータをホスティングしても、データは依然として米国企業の管理下にあり、CLOUD Actの管轄対象となる点です。欧州クラウドプロバイダーやEU顧客所有インフラでのシングルテナント展開により、EUデータを米国法の適用から本当に分離できます。顧客管理の暗号鍵と組み合わせることで、CLOUD Actリスクが技術的に緩和されたと正直に結論付けられるTIAのアーキテクチャ基盤となります。
防御可能なTIAには4つの要素が必要です。1つ目は正直なリスク特定(CLOUD ActやFISA 702は強制開示リスクを生む現行権限であり、TIAでこれを明記する必要があります)。2つ目は技術的補完策の分析(米国外で保持される顧客管理暗号鍵、鍵管理アーキテクチャやHSMの所在地を文書化)。3つ目はレジデンシー管理の分析(技術的ジオフェンシングの強制と地理的範囲の文書化、単なるポリシー約束では不十分)。4つ目は、技術的対策により特定された法的リスクが無効化され、CLOUD Act要求に可読データを提出する技術的能力がないと結論付けることです。Kiteworksは、このTIA構成の各要素をサポートするアーキテクチャ証拠、鍵管理記録、監査ログパッケージなどの事前構成コンプライアンス文書を提供します。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権で陥りがちな落とし穴 - ブログ記事
データ主権のベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】