CLOUD法と英国データ保護:なぜ管轄権が重要なのか
2018年3月に米国議会で制定されたClarifying Lawful Overseas Use of Data Act(米国クラウド法:US CLOUD Act)は、米国の法執行機関に対し、データがどこに保存されているかに関係なく、米国拠点のテクノロジー企業にデータの提出を強制する域外権限を付与しています。AWS、Microsoft Azure、Google Cloudなどの米国クラウドプロバイダーを利用する英国組織にとって、これは米国の法的開示義務と、無許可アクセスを禁じる英国のデータ保護要件との間で深刻な管轄権の対立を生み出します。米国当局が英国顧客データを保有する米国クラウドプロバイダーにCLOUD Actによる要求を行った場合、プロバイダーは「データを開示して米国の法的義務を果たす」か、「英国顧客との契約上の約束を守って拒否する」かのいずれかを選ばざるを得ず、両立は不可能です。
管轄権は、対立が発生した際にどの法的枠組みが最終的にデータアクセスを支配するかを決定するため、極めて重要です。英国法管轄下で英国インフラにデータを保存する組織は英国法のみに従います。しかし、米国クラウドプロバイダーを利用する組織は、「英国リージョン」や契約上のデータ保護の約束に関係なく、米国法の支配を受ける米国企業に管轄権を委ねることになります。CLOUD Actは、米国企業のグローバル事業全体に米国の管轄権を主張することで、地理的なデータレジデンシーを無意味にします。バージニア州のAWS本社に令状が出されれば、AWSロンドンも従う義務があります。ワシントン州のMicrosoft本社への命令は、Azure UK Southの運用にも適用されます。Googleの米国親会社が受けた要求は、Google Cloud Londonが対応しなければなりません。
UK GDPRおよび2018年データ保護法の要件は、組織が無許可で個人データにアクセスさせることを禁じ、適切な技術的保護策の実施とデータ保護に対する説明責任を義務付けています。米国当局がCLOUD Actを用いて米国クラウドプロバイダーから英国顧客データの開示を強制した場合、無許可アクセスが発生したことになるのでしょうか?ICO(英国情報コミッショナー事務局)の見解は「はい」と示唆しています。英国の法的手続きや顧客への通知なく外国政府がアクセスすることは、英国のデータ管理者が守るべきデータ保護原則に違反します。契約条項ではこの対立を解決できません。なぜなら米国の法定義務が契約上の約束より優先されるからです。CLOUD Actへの曝露を根本的に排除する唯一のアーキテクチャ的解決策は、真のデータ主権の確立です。すなわち、顧客管理の暗号鍵によって強制開示が意味のない暗号文しか生まないようにし、英国主権下での運用によって米国プロバイダーの管轄権を完全に排除することです。
エグゼクティブサマリー
主旨: CLOUD Actは、米国当局に対し、データの保存場所に関係なく米国クラウドプロバイダーにデータ開示を強制する権限を与えており、UK GDPR要件と直接対立しています。米国クラウドプロバイダーを利用する英国組織は、データ主権(顧客管理の暗号化と英国主権下での運用)によってのみ解決可能な、解決不能な管轄権の対立に直面しています。
なぜ重要か: 管轄権は、対立が発生した際にどの法的枠組みが最終的にデータアクセスを支配するかを決定します。米国クラウドプロバイダーを利用する組織は、「英国リージョン」や契約上のデータ保護の約束に関係なく、米国法の支配を受ける米国企業に管轄権を委ねることになります。CLOUD Actへの曝露を根本的に排除する唯一のアーキテクチャ的解決策は、真のデータ主権の確立です。すなわち、顧客管理の暗号鍵によって強制開示が意味のない暗号文しか生まないようにし、主権下での運用によって米国プロバイダーの管轄権を完全に排除することです。
主なポイント
- CLOUD Actは米国法執行機関に対し、世界中のどこに保存されているデータでも米国企業に開示を強制する域外権限を付与しており、現地法を無効化し、米国企業の管轄権が強制開示を可能にする場合、英国リージョンでの地理的データレジデンシーは法的に無意味となります。
- CLOUD Actによる要求は、UK GDPR第5条の合法的処理要件および第32条の適切なセキュリティ対策義務と直接対立しており、英国の法的手続きや顧客通知、データ保護策なしに外国政府のアクセスを可能にします。
- 米国クラウドプロバイダーは、CLOUD Act義務と英国顧客への契約上の約束を同時に満たすことができません。米国当局がデータ開示を要求した場合、法定義務が契約上の約束より優先され、プロバイダーの保証は管轄権の対立下では法的に無意味となります。
- CLOUD Act命令における非開示条項は、プロバイダーが英国顧客にデータアクセスを通知することを禁じ、UK GDPRの透明性要件に違反し、組織が無許可の外国政府監視を検知・異議申し立て・緩和することを不可能にします。
- ICOは、英国組織に対し、外国政府によるアクセスも含めた無許可アクセスを防ぐ技術的対策の実施を期待しており、CLOUD Actによる開示を可能にするアーキテクチャ選択は、米国法による強制の有無にかかわらず、英国データ保護違反の可能性を生み出します。
- プロバイダーアクセスを排除する顧客管理の暗号鍵は、CLOUD Act曝露に対する数学的保証を提供し、強制開示が鍵なしでは意味のない暗号文しか生まない一方、英国主権下での運用は米国の管轄権を完全に排除します。
CLOUD Actの理解:概要と仕組み
CLOUD Actとは? Clarifying Lawful Overseas Use of Data(CLOUD)Actは、2018年3月23日に制定された米国連邦法であり、米国法執行機関に対し、データの物理的な保存場所やデータ主体の国籍に関係なく、米国拠点のテクノロジー企業に世界中の電子データの提出を強制する権限を与えています。
CLOUD Actは、Microsoft Ireland事件(United States v. Microsoft Corp.)を契機に生まれました。この事件でMicrosoftは、ダブリンのデータセンターに保存されたメールへの米国令状に異議を唱えました。Microsoftは、Stored Communications Act(SCA)が域外権限を与えていない、つまり米国の令状では海外保存データにアクセスできないと主張しました。控訴裁判所はMicrosoftの主張を認め、米国当局が重大犯罪捜査でも海外保存データにアクセスできないという法的ギャップが生じました。
これを受けて米国議会はCLOUD Actを制定し、米国企業のグローバル事業全体に対する米国法執行機関の域外権限を明確に付与しました。同法はStored Communications Actを修正し、米国の法的手続きが「プロバイダーの所有、管理、または支配下にあるデータ」に適用されることを明記しています。これにより、地理的な保存場所は無関係となり、米国企業がデータを管理していれば米国当局は開示を要求できます。
CLOUD Act命令の仕組み
米国法執行機関が米国クラウドプロバイダーにCLOUD Actに基づくデータ提出を求める場合、国内令状と同様の手続きを踏みますが、域外効果を持ちます。米国裁判所からの命令や令状、召喚状を取得し、プロバイダーに特定データの提出を指示します。これらの命令は、データの保存場所や所有者、データ主体の国籍に関係なく適用されます。
プロバイダーはCLOUD Act要求を受けると、米国法に従いデータを提出しなければなりません。拒否すれば刑事侮辱罪や多額の罰金、経営陣の投獄リスクがあります。法定文言には、外国顧客のデータや海外データセンターに保存されたデータ、外国のデータ保護法が適用されるデータに対する例外はありません。米国企業の管轄権は、地理的なデータ保存場所では排除できない米国法的義務を生み出します。
CLOUD Act命令にはしばしば非開示条項が付随し、プロバイダーが影響を受ける顧客にアクセスがあったことを通知することを禁じます。これにより、顧客はアクセスの合法性に異議を唱えたり、追加のセキュリティ対策を講じたり、自らのデータ保護法上の透明性義務を果たすことができなくなります。英国組織は、CLOUD Actによる米国当局のアクセスがあったことを知ることができない場合があります。
CLOUD Actと相互法的支援条約(MLAT)の違い
CLOUD Act以前、米国当局が海外保存データを求める場合は、通常、相互法的支援条約(MLAT)を利用していました。MLATは政府間の正式な法的手続きを必要とし、外国の主権を尊重し、要請国が条約手続きを踏むこと、要請先国が法的妥当性を審査すること、管轄権の対立を解決する仕組みを提供します。
CLOUD Actは、データ保存場所に関係なく米国企業に直接権限を主張することで、MLAT手続きを迂回します。米国当局は英国政府の協力を得ずとも、英国データセンターに保存されたデータへアクセスでき、米国親会社に直接要求し、米国法に従わせます。この一方的なアプローチは、外国政府の監督や法的保護を排除し、MLATが防ごうとしていた管轄権の対立を生み出します。
CLOUD Actには、外国政府が米国と行政協定を締結できる二国間合意条項もあります。これにより、外国当局がMLAT手続きを経ずに米国プロバイダーに直接データを要求できる一方、米国当局にも相互アクセスが認められます。ただし、協定には人権保護やターゲット制限など多くの要件があり、多くの国が満たせません。英国はCLOUD Act行政協定を締結しましたが、これは米国当局に英国データへの直接アクセスを継続して認める一方、英国当局にも一部相互アクセスを認めるものであり、根本的な管轄権問題は解決しません。
CLOUD Actの域外適用と英国への影響
域外影響: CLOUD Actの域外条項により、米国クラウドプロバイダーを利用する英国組織は、英国データセンターの場所や契約上のデータ保護約束、英国データ保護法の要件に関係なく、米国法的手続きによるリスクに晒され続けます。
CLOUD Actの根本的な前提は、「米国の管轄権は米国企業にグローバルに及ぶ」というものであり、AWSロンドン、Azure UK South、Google Cloud Londonリージョンにデータを保存すれば米国法的手続きから保護されると信じている英国組織に即時的な影響を及ぼします。米国企業の支配下にある場合、地理的なデータレジデンシーは法的に無意味となります。
英国データセンターではCLOUD Act曝露を防げない理由
米国クラウドプロバイダーは、英国リージョンをデータレジデンシーやUK GDPR準拠のソリューションとして宣伝しています。しかし、地域展開では米国の管轄権を排除できません。なぜなら、CLOUD Actの権限は「プロバイダーの所有、管理、または支配下にあるデータ」に保存場所を問わず及ぶからです。AWS、Microsoft、Googleは、英国リージョンの顧客データに対して以下のように所有・管理・支配を維持しています:
企業支配: 米国親会社が英国子会社を所有・運営しています。AWSロンドンはデラウェア州法人のAmazon Web Services Inc.に従属。Azure UK Southはワシントン州法人のMicrosoft Corporationの下で運営。Google Cloud Londonはデラウェア州法人のGoogle LLCの一部です。この企業構造により、全世界の事業が米国法の管轄下に置かれます。
技術的アクセス: クラウドプロバイダーは、全リージョンの顧客データにアクセス可能な技術インフラを維持しています。暗号鍵管理システム、管理者アクセス制御、運用ツールは、プロバイダーが管理するグローバルインフラを通じて機能します。米国当局がデータを要求すれば、保存場所に関係なくプロバイダーは技術的にアクセス・開示できます。
運用統合: 英国リージョンの運用は、請求、ID管理、セキュリティ監視、サービス提供などでグローバルプロバイダーシステムと統合されています。この統合により、英国データは米国親会社がアクセスできる技術的・運用的関係が生まれ、CLOUD Act要求に従うことが可能となります。
地域データセンターが管轄権の保護を提供すると信じる英国組織は、CLOUD Actの仕組みを根本的に誤解しています。同法は「どこに保存されているか」ではなく、「誰が管理しているか」を重視します。米国企業の支配下にある限り、データの地理的位置にかかわらず米国法の管轄下に置かれます。
CLOUD Actの権限範囲
米国CLOUD Actは、米国法執行機関および情報機関に広範な権限を付与しています。命令により以下の開示が要求されます:
コンテンツデータ: メール、ドキュメント内容、通信、プロバイダーが顧客のために保存するファイル。英国顧客データは、犯罪捜査や国家安全保障、情報活動の対象として米国当局がアクセス可能です。
メタデータ: 送信者・受信者・タイムスタンプ・IPアドレス・デバイス識別子など通信に関する情報。コンテンツが暗号化されていても、メタデータからビジネス関係や活動パターンなどの機微な情報が明らかになります。
保存通信: プロバイダーシステム内の保存データ(バックアップ、アーカイブ、削除済みだが復元可能な情報を含む)。英国組織は削除済みデータが消去されたと考えていても、CLOUD Act要求によりプロバイダーのバックアップから情報が開示される可能性があります。
リアルタイムアクセス: プロバイダーが新たな通信への継続的アクセスを提供し、米国当局が通信発生時に英国顧客データフローをリアルタイムで監視できるようにすることも可能です。
同法の適用範囲は犯罪捜査に限定されません。FBIなど国家安全保障当局は、外国情報監視法(FISA)権限の下でCLOUD Actを利用し情報収集を行えます。英国組織やそのデータ主体が、犯罪の疑いがなくとも外国情報目的で監視対象となる可能性があります。
CLOUD Act要求を発行できる機関
複数の米国機関がCLOUD Actに基づく要求を発行できます:
連邦捜査局(FBI): 外国人を対象とした犯罪捜査や防諜活動。英国のビジネス関係者や組織も米国の関心事項に関与していれば対象となり得ます。
麻薬取締局(DEA): 国際サプライチェーンが関与する麻薬取引捜査。正規の英国企業が調査対象者と偶発的に関係している場合も含まれます。
証券取引委員会(SEC): 英国企業や個人が米国市場で活動する場合の証券詐欺、市場操作、インサイダー取引の調査。
司法省(DOJ): 国際ビジネス活動を通じて英国人や組織が関与する可能性のある連邦犯罪全般をカバー。
情報機関: FISA権限下で外国情報を求める国家安全保障機関。犯罪の疑いがなくとも、情報ターゲットに関する情報を持つ可能性がある英国国民の通信も対象となります。
CLOUD Act権限を持つ機関の幅広さにより、米国プロバイダーを利用する英国組織は、さまざまな基準・監督・目的でデータアクセスを求める複数の米国政府機関に曝露されます。
UK GDPRとの管轄権対立
根本的対立: CLOUD Actは、英国の法的手続きを経ずに外国政府が個人データにアクセスすることを可能にし、UK GDPRの合法的処理、適切なセキュリティ対策、データ管理者の説明責任要件と直接対立します。
米国クラウドプロバイダーを利用する英国組織は、米国当局がCLOUD Actを用いてデータを要求した場合、解決不能なコンプライアンス状況に直面します。UK GDPRはデータ保護のための具体的要件を定めており、CLOUD Actによるアクセスはこれらを侵害し、一方の法的枠組みを満たすと他方を違反するという管轄権対立を生み出します。
UK GDPR第5条:合法的処理の原則
UK GDPR第5条は、データ処理の基本原則を定めています。CLOUD Actによるアクセスと最も直接的に対立する原則は以下の通りです:
合法性・公正性・透明性: 個人データは合法的・公正かつ透明に処理されなければなりません。米国当局がCLOUD Actを用いて英国個人データにアクセスする場合、その処理は合法でしょうか?データ主体は米国政府のアクセスに同意していません。英国法はそのようなアクセスを認めていません。CLOUD Actは米国法上の権限を与えますが、外国法がUK GDPR上の合法性を担保するのでしょうか?ICOのガイダンスは、英国データ保護法が合法性を判断することを示唆しており、無許可の外国政府アクセスはこの原則に違反します。
目的限定: データは特定・明示・正当な目的のために収集されなければなりません。英国組織は、顧客関係管理、従業員管理、サービス提供などビジネス目的で個人データを収集します。米国政府の情報収集や捜査は、データ収集時に想定された目的ではありません。CLOUD Actアクセスは、データの本来の収集目的と両立しない目的での利用となり、目的限定原則に違反します。
データ最小化: 必要な範囲に限定し、関連性のあるデータのみを処理すべきです。CLOUD Act要求は、特に情報活動目的の場合、調査に必要な範囲を超えた広範なデータアクセスを求めることが多いです。米国当局が全データセットや通信履歴、メタデータコレクションを要求する場合、本来の正当な目的に必要以上のデータが処理され、データ最小化原則に違反します。
保存期間の制限: データは必要以上に長く保持すべきではありません。CLOUD Act命令は、過去のデータやバックアップ、削除済みだが復元可能な情報の開示を要求でき、外国政府のアクセスやコピーにより、英国組織の想定する保存期間を超えてデータが保持されることになります。
UK GDPR第32条:処理のセキュリティ
第32条は、リスクに応じた適切な技術的・組織的対策の実施を義務付けており、暗号化も適切なセキュリティ対策として明記されています。しかし、米国クラウドプロバイダーが暗号鍵にアクセスでき、CLOUD Actに従って開示できる場合、暗号化は実質的なセキュリティを提供していると言えるでしょうか?
同条は「処理システムおよびサービスの継続的な機密性、完全性、可用性および耐障害性」を確保する対策を求めています。CLOUD Actによる外国政府アクセスは機密性を損ない、管理者の許可なくコピーや改変を可能にし、データ保護対策で防げないアクセス経路を生み出します。
ICOの第32条ガイダンスは、「違法または無許可のアクセス、処理、開示」に対する有効な対策を求めています。CLOUD ActアクセスはUK GDPR上「違法」なアクセスとなるのでしょうか?米国政府は米国法に基づき合法的に行動していますが、英国データ保護法が合法性を判断します。英国の法的手続きやデータ主体への通知、管理者の許可なく外国政府がアクセスすることは、まさに第32条が防止を求める無許可アクセスに該当します。
UK GDPR第44~48条:国際データ移転
UK GDPRの国際データ移転に関する規定は、CLOUD Actアクセスと追加的な対立を生み出します。第44条は、適切な保護措置がない限り、個人データを第三国に移転することを禁じています。米国当局がCLOUD Actによりデータ開示を強制した場合、米国へのデータ移転が発生したことになるのでしょうか?
技術的には、データは「英国から米国へ移転」するのではなく、プロバイダーが米国当局に開示します。しかし、実質的には、英国データ保護法の下にあった個人データが、適切な保護措置なく米国政府機関にアクセスされることになります。これは、移転制限の趣旨(不十分な保護のある管轄への個人データ流出防止)に反します。
第48条は「連合法により認められていない移転または開示」について明記しており、コントローラーやプロセッサーに個人データの移転・開示を求める判決や行政決定は、相互法的支援条約などの国際協定に基づく場合のみ認められるとしています。CLOUD ActはMLAT手続きを迂回するため、第48条はCLOUD Act命令を正当な開示根拠として認めないと考えられます。
ICOの執行姿勢
情報コミッショナー事務局(ICO)は、クラウドコンピューティングや国際データ移転に関するガイダンスを公表し、米国プロバイダー利用時の追加的なコンプライアンス圧力を明確にしています。
ICOの国際データ移転ガイダンスは、組織が移転先国の理論的な法制度だけでなく、実際のデータ保護状況を評価する移転影響評価(TIA)の実施を求めています。米国クラウドプロバイダーを利用する場合(たとえ英国国内処理とみなされても)、TIAでは米国当局がCLOUD Actで英国データにアクセスできる現実を考慮しなければなりません。
ICOは、特定されたリスクに対応する補完的対策の実施を組織に求めています。TIAで外国政府がプロバイダーアクセスを強制できるリスクが判明した場合、どのような補完的対策が有効でしょうか?契約条項では米国法定義務を上書きできません。組織的対策では政府要求を防げません。プロバイダーアクセスを排除する技術的対策(顧客管理の暗号鍵)のみが効果的な補完的保護となります。
CLOUD Act下で契約上の保護が機能しない理由
契約の限界: クラウドプロバイダーのデータ保護に関する契約上の約束は、米国CLOUD Actの法定義務を上書きできず、米国法的要求と英国データ保護要件の管轄権対立が生じた場合、契約上の約束は法的に無意味となります。
英国組織は、クラウドサービス契約で詳細なデータ保護条項を盛り込むのが一般的です。顧客の指示のみに従ったデータ処理義務、適切なセキュリティ対策の実施義務、政府からのデータ要求に関する通知義務、データ開示の契約上の制限などです。これらの条項は、プロバイダーが顧客データを保護してくれるという安心感を与えますが、米国当局がCLOUD Actを発動した場合には機能しません。
法定義務は契約上の約束より優先される
根本的な問題は、民間契約が公法を上書きできないことです。米国連邦法がプロバイダーにデータ開示を義務付ける場合、顧客への非開示契約は法的に執行不能となります。プロバイダーは、顧客契約を守って連邦法に違反するか、連邦法を守って顧客契約に違反するかの選択を迫られます。法的には、法定義務が優先されます。
クラウドプロバイダーの利用規約には、「法令により要求される場合」「法的義務を遵守するため」などの文言があり、データ保護に関する契約上の約束があってもCLOUD Act要求に応じる余地を明示的に残しています。英国顧客がこうした契約に署名することで、米国法的義務が契約上の保護を上書きすることを受け入れていることになります。
「いかなる状況でも開示を禁じる」「全ての政府要求に異議申し立てを義務付ける」といった条項があっても、CLOUD Actの圧力下では機能しません。プロバイダーは顧客への契約上の約束に関係なく、合法的な米国裁判所命令を拒否できません。裁判所は、外国顧客への契約義務が米国企業による米国法遵守を妨げることはできないと判断しており、最も強力な契約上の保護も無効となります。
プロバイダーの約束とマーケティング主張
クラウドプロバイダーは、データ保護・セキュリティ・顧客コントロールを強調してサービスを宣伝します。AWSは「顧客がデータをコントロールできる」と約束し、Microsoftは「プライバシー・バイ・デザイン」を強調し、Googleは「業界最高水準のセキュリティ」を謳います。これらの主張は、顧客データが無許可アクセスから守られるという印象を与えますが、CLOUD Actの権限とは矛盾します。
これらの主張が虚偽というわけではありません。プロバイダーは外部攻撃者からのセキュリティを強化しています。しかし、ハッカーからの防御と政府要求からの保護は別物です。犯罪者から守るアーキテクチャは、当局への開示を強制される可能性があります。「顧客コントロール」についてのマーケティングも、米国法がプロバイダーアクセスを要求する場合の例外には触れていません。
英国組織は、技術的セキュリティ(無許可者からの保護)と法的セキュリティ(政府強制からの保護)の違いを認識する必要があります。米国プロバイダーは優れた技術的セキュリティを提供しますが、米国法の管轄下にあるため、米国政府要求に対する法的セキュリティは提供できません。
通知義務の不履行
多くのクラウドサービス契約には、プロバイダーが政府からのデータ要求を顧客に通知する義務が盛り込まれています。これにより、顧客が要求に異議を唱えたり、追加の保護策を講じたりできるはずです。しかし、CLOUD Act要求に伴う米国の非開示命令(gag order)は、プロバイダーが顧客にアクセスを通知することを禁じます。
非開示命令が通知を妨げる場合、契約上の通知義務は執行不能となります。プロバイダーはgag orderと通知義務を同時に守ることはできません。法定禁止が優先され、顧客はデータアクセスを知らされず、開示に異議を唱える契約上・法的権利を行使できません。
これは、UK GDPRの透明性義務を負う英国組織にとって特に深刻な問題です。組織がアクセスを知らされない(プロバイダーが通知できない)場合、データ主体にデータ処理活動を通知するGDPR義務を果たせません。米国の非開示命令と英国の透明性要件の管轄権対立は、解決不能なコンプライアンス問題を生み出します。
ICOの期待と英国データ保護義務
規制当局の期待: ICOは、英国組織に対し、外国政府によるアクセスも含めた無許可アクセスを防ぐ技術的・組織的対策の実施を期待しています。CLOUD Actによる開示を可能にするアーキテクチャ選択は、英国データ保護義務違反となる可能性があります。
情報コミッショナー事務局(ICO)は、クラウドコンピューティング、国際データ移転、処理のセキュリティに関する広範なガイダンスを公表し、CLOUD Act曝露に関連する明確な期待を示しています。米国クラウドプロバイダーを利用する英国組織は、アーキテクチャ選択がICOの期待を満たしているか、コンプライアンスリスクを生み出していないかを検討する必要があります。
クラウドコンピューティングに関するICOガイダンス
ICOのクラウドコンピューティングガイダンスは、CLOUD Act懸念に直接関連する複数の原則を強調しています:
コントロールと責任: 組織は、クラウドプロセッサーを利用してもデータ管理者としてのデータ保護コンプライアンス責任を保持します。ICOは、プロセッサーの責任で管理者の義務が消えるという主張を認めていません。米国クラウドプロバイダーを利用する英国組織は、プロバイダーの技術アーキテクチャに関係なく、データ保護の説明責任を負い続けます。
データの所在とアクセスの理解: ICOは、組織が自分のデータがどこに保存され、誰がアクセスでき、どの法的枠組みで開示される可能性があるかを正確に理解することを求めています。「グローバルインフラ」など曖昧な説明やプロバイダーの保証への依存は、ICOの期待を満たしません。組織は自社データに対する米国CLOUD Actの影響を具体的に理解する必要があります。
適切なセキュリティ対策: ICOは、特定された脅威(外国政府アクセスを含む)に対して有効なセキュリティ対策の実施を強調しています。移転影響評価で米国当局によるデータアクセスリスクが判明した場合、組織はそのリスクに対応する技術的対策を実装しなければなりません。組織的対策(ポリシー、トレーニング、契約)だけでは、法定政府当局に対する十分な保護とはなりません。
ICOの執行事例
ICOは、CLOUD Act曝露を特に理由とした大規模な執行事例はまだありませんが、無許可アクセスからの技術的対策が不十分な組織に対して責任を問う姿勢を示しています。
データ侵害を経験した組織に対するICOの執行事例では、特に暗号化などの適切な技術的対策が被害防止・軽減に有効だったことを強調しています。この執行パターンは、プロバイダーアクセスを排除する顧客管理の暗号化を実装しなかった場合、CLOUD Actによる外国政府アクセスでデータ主体に被害が生じれば、ICOの執行対象となり得ることを示唆しています。
ICOの執行アプローチは説明責任も重視しています。組織はリスクを評価し、適切な対策を実装したことを証明できなければなりません。CLOUD Actリスクを評価した移転影響評価や、特定された脆弱性に対応する補完的対策を実施していない組織は、ICO調査で米国クラウドプロバイダー利用の説明責任を果たすのが困難となります。
説明責任と実証可能なコンプライアンス
UK GDPR第5条2項は説明責任原則を定めており、管理者はデータ保護原則の遵守を実証できなければなりません。米国クラウドプロバイダーを利用する組織がコンプライアンスを実証するには、CLOUD Act曝露下でもUK GDPRを満たすアーキテクチャ選択を示す必要があります。
プロバイダーのコンプライアンス認証や契約上のデータ処理契約を示すだけでは、コンプライアンスを実証できません。ICOは、理論的な法的枠組みや契約上の約束ではなく、実際のデータ保護状況の評価を求めています。これには以下の評価が含まれます:
米国CLOUD Act権限により、英国の法的手続きやデータ主体通知なしに外国政府が個人データにアクセスできるか。答え:はい。
米国プロバイダーの契約上の約束がCLOUD Act開示を防げるか。答え:いいえ、法定義務が契約を上書きします。
英国データセンターの場所が米国の管轄権を排除できるか。答え:いいえ、CLOUD Actはデータの場所ではなく米国企業の支配に従います。
米国当局がCLOUD Actで強制してもデータを解読不能にする技術的対策は何か。答え:プロバイダーアクセスを排除する顧客管理の暗号鍵。
正直な説明責任評価を行った組織は、現状のアーキテクチャではコンプライアンスを実証できず、プロバイダーアクセスを排除する大幅なアーキテクチャ変更のみがICOの期待を満たすと結論付けることが多いです。
管轄権がデータ主権を決定する仕組み
管轄権コントロール: データ主権は最終的にどの法的管轄がデータアクセスを支配するかに依存します。英国管轄下で運用する組織は英国法のみに従いますが、米国プロバイダーを利用する組織は、契約に関係なく米国法の支配を受けることになります。
管轄権は、どの政府がデータ開示を強制できるか、どの裁判所がデータアクセス命令を出せるか、対立が生じた場合にどの法的枠組みが最終的に支配するかを決定します。英国組織は、インフラプロバイダーの管轄権がデータ主権を地理的なデータ場所以上に決定することを理解しなければなりません。
英国管轄:完全な組織的コントロール
英国管轄下でインフラを完全に運用する英国組織は、データアクセスの意思決定を完全にコントロールできます。英国裁判所が合法的な命令を出した場合は従い、外国政府がアクセスを要求した場合は、英国法義務や外国政府の権限欠如を理由に拒否できます。
英国組織が所有・運用するオンプレミスインフラは、完全に英国管轄下にあります。英国企業が英国法の下で運用する英国データセンターも管轄権の独立性を維持します。英国インフラプロバイダーが米国親会社を持たず英国企業として運用するプライベートクラウドも、英国管轄を維持します。
この管轄権の独立性により、真のデータ主権が実現します。英国組織は英国法的枠組み、英国裁判所の監督、英国データ保護原則に基づき、誰がデータにアクセスできるかを決定します。外国政府の要求は、英国管轄下で運用する英国組織には法的効力がありません。
米国プロバイダー管轄:外国企業支配
米国クラウドプロバイダーを利用する組織は、データの保存場所に関係なく米国企業に管轄権コントロールを委ねます。AWSはデラウェア州およびワシントン州の企業法下で運用し、Microsoftはワシントン州法人、Googleはデラウェア州法人です。この米国法的基盤により、全世界の事業が米国法の管轄下に置かれます。
米国裁判所がAWS、Microsoft、Googleに命令を出した場合、これらの米国企業は、命令が英国・EU・その他海外保存データであっても従わなければなりません。CLOUD Actは米国の管轄権をグローバルに拡張しており、データの場所ではなく企業の管轄が決定的となります。
米国プロバイダーに保存したデータをコントロールできていると信じる英国組織は、管轄権の現実を根本的に誤解しています。データアクセスの意思決定は組織ではなくプロバイダーが行い、米国政府が米国法の下でプロバイダーを支配します。英国顧客と米国プロバイダー間の契約では、この管轄権の階層を排除できません。
管轄権対立と法的不能
英国法がある結果を要求し、米国法が別の結果を要求する場合、両管轄に挟まれた組織は法的不能に陥ります。UK GDPRは無許可のデータ開示を禁じ、CLOUD Actは開示を要求します。両方の法的要件を同時に満たすことはできません。
米国プロバイダーは、こうした対立は自分たちが直面するものであり、英国顧客には関係ないと主張します。しかし、この分析は英国管理者の説明責任を無視しています。米国プロバイダーを選択した英国組織こそが、外国政府アクセスを可能にする管轄権対立を生み出しています。ICOのガイダンスは、こうした対立を生むアーキテクチャ選択自体が不適切なデータ保護対策となり得ることを示唆しています。
管轄権対立を根本的に排除する唯一の解決策は、主権アーキテクチャによる外国管轄の完全排除です。英国組織が英国管轄下で運用するインフラプロバイダーを利用するか、プロバイダー管轄が無意味となる顧客管理の暗号化を実装することです。
CLOUD Act曝露を排除するアーキテクチャ的解決策
技術的主権: CLOUD Act曝露を排除するには、米国の管轄権を無意味にするアーキテクチャが必要です。すなわち、顧客管理の暗号鍵によって強制開示が意味のない暗号文しか生まないようにし、英国主権下での運用によって米国プロバイダーの管轄権を完全に排除することです。
英国組織は、契約やコンプライアンスプログラム、ポリシーではCLOUD Act権限を排除できません。同法は、顧客の希望や契約上の制限に関係なく、米国企業に適用される米国連邦法です。CLOUD Act要求が解読可能なデータを生み出せない、または米国の管轄権が及ばない状況を技術的に作り出すアーキテクチャのみが、真に曝露を排除できます。
顧客管理の暗号鍵:強制開示を無意味化
CLOUD Act曝露に対する最も強力な技術的対策は、組織が暗号鍵を完全にクラウドプロバイダー外で生成・保存・管理する顧客管理の暗号化です。正しく実装すれば、CLOUD Act要求に対しプロバイダーが開示できるのは顧客管理の鍵なしでは解読不能な暗号文のみとなります。
効果的な顧客管理暗号化の要件:
顧客インフラでの鍵生成: 鍵は顧客管理のハードウェアセキュリティモジュールや鍵管理サーバーで生成し、プロバイダーインフラでは一切生成しません。これにより、プロバイダーが一時的にも鍵を保持することを防ぎます。
鍵の顧客システム限定保存: 鍵は顧客ハードウェア内のみに保存し、プロバイダーシステムには一時的にも送信しません。プロバイダーが鍵をメモリ・ログ・バックアップ等で保持することもありません。
暗号化・復号の顧客コントロール: 全ての暗号化・復号処理は顧客システム内で行い、プロバイダーサービスに委任しません。プロバイダーに送信するデータは既に暗号化済みであり、プロバイダーは平文を扱いません。
プロバイダーアクセスゼロ: このアーキテクチャは、プロバイダーが無限のリソースや従業員の協力、政府の強制を受けても、鍵や復号データにアクセスできないよう技術的に不可能にします。これはポリシーや手順ではなく、暗号設計による数学的保証です。
米国当局がCLOUD Act要求をプロバイダーに出しても、プロバイダーはシステム内の暗号化データを開示して法的義務を果たします。しかし、顧客管理の鍵がなければ開示データは解読不能な暗号文のままです。プロバイダーは持っていない鍵を使うよう強制されることはなく、アクセスできないデータを復号できず、手元にない情報を提供することもできません。
このアーキテクチャはCLOUD Act命令自体を防ぐものではありませんが、それを無意味にします。プロバイダーは要求されたデータを開示して米国法的義務を果たしつつ、英国顧客のデータは数学的暗号化により鍵がなければ無価値です。管轄権対立は消滅し、米国法と英国データ保護の双方が満たされます。
英国主権下での運用:米国管轄の排除
顧客管理の暗号化は「プロバイダーが強制された場合どうなるか」を解決しますが、英国主権下での運用は「プロバイダーが強制され得るか」を解決します。米国プロバイダーを完全に排除し、英国のみのインフラで運用することで、管轄権レベルでCLOUD Act曝露を排除できます。
主権下での運用オプション:
オンプレミスインフラ: 組織が自社データセンターやサーバー、インフラを運用し、クラウドプロバイダーを一切介在させない場合、米国管轄は及びません。英国管轄下で運用する英国組織にはCLOUD Act要求は届きません。
英国プライベートクラウド: 英国企業が英国法の下で運用し、米国親会社を持たないインフラプロバイダーは、クラウドの利便性を維持しつつ英国管轄を確保します。これらのプロバイダーは英国法のみに従い、米国CLOUD Act要求の対象外となり、英国顧客は管轄権の独立性を維持できます。
ハイブリッドアーキテクチャ: 組織は、CLOUD Actリスクのある機微データには英国主権インフラを、非機微ワークロードには米国パブリッククラウドを使うハイブリッド運用も可能です。これにより、主権要件とクラウドの利便性をバランスよく両立できます。
包括的なジオフェンシング
顧客管理の暗号化や英国主権下での運用を行っていても、米国管轄からの認証を防ぐジオフェンシングを実装すべきです。これにより、米国当局が他の手段で認証情報を取得しても、米国からシステムにアクセスできなくなります。
ジオフェンシングは、米国IPアドレスからのログインを防ぎ、米国宛のデータ転送をブロックし、管理者アクセスを英国からのみに限定します。これらのコントロールにより、データが米国管轄からアクセスされなかったことの監査証跡が残り、CLOUD Act曝露が存在しないことを証明できます。
実例:CLOUD Act管轄権対立の現場
英国法律事務所:特権とCLOUD Actディスカバリーの対立
ロンドンの法律事務所は、米国企業や米国規制当局が関与する商事紛争で英国企業を代理しています。同事務所はMicrosoft 365およびSharePointをドキュメント管理に利用し、Azure英国リージョンが弁護士-依頼者間の特権通信を十分に保護していると考えていました。
同事務所が米国競合他社との特許訴訟で英国製薬会社を代理した際、Azure UK Southに極めて機微な法的戦略文書や技術分析、依頼者との機密通信を保存していました。米国競合他社は、米国当局による特許有効性調査で詐欺の疑いがあるとして、米国政府調査を引き起こしました。
米国調査官は、英国法律事務所のSharePoint文書が詐欺調査に関連する証拠を含むと考え、MicrosoftにCLOUD Act令状を発行し、同時に開示通知を禁じる非開示命令も付与しました。
Microsoftは、米国裁判所命令を拒否すれば米国法違反(侮辱罪)、英国法律事務所の特権通信を通知なしで開示すれば契約違反(英国法上の特権侵害)という、解決不能な状況に直面しました。Microsoftは米国法遵守を選択し、調査官に要求文書を提供しました。
英国法律事務所は、自らの特権文書がアクセスされたことを知りませんでした。依頼者の法的戦略は、訴訟手続きではなく政府調査を通じて相手方に知られることとなり、依頼者の機密性と法的職業特権(英国法実務の根幹)が、米国プロバイダーインフラによる米国アクセスで損なわれました。
後に米国訴訟の開示を通じて事態が判明すると、依頼者は特権保護不備で事務所を訴えました。同事務所の「Azure契約と英国リージョンで十分な保護があった」との弁明は、米国プロバイダー利用がCLOUD Act曝露を生むことは予見可能だったと判断され、認められませんでした。同事務所は今後の特権侵害防止のため、オンプレミスで顧客管理の暗号化を備えたKiteworksを導入しました。
英国金融サービス:顧客データが米国調査でアクセス
マンチェスターのウェルスマネジメント会社は、英国および国際的な富裕層顧客(経営者、役員、専門職など)を対象にサービスを提供しています。同社は、AWS英国リージョンでホストされたSalesforce CRMを顧客管理に利用し、FCA(金融行為規制機関)のデータ保護要件を満たしていると考えていました。
ある顧客(英国・イラン二重国籍者)は、米国輸出管理法違反の疑いで米国制裁調査の対象となりました。米国財務省調査官は、顧客が英国の貿易会社を通じて禁止取引に関与したと疑いました(後に誤りと判明)。
調査官は、AWSにCLOUD Act令状を発行し、ウェルスマネジメント会社のSalesforce顧客記録の開示を要求。ビジネス関係、金融取引パターン、連絡先ネットワークの特定を目的としました。AWSは非開示命令の下、会社に通知せず要求に応じました。
同社は顧客データがアクセスされたことを知らず、顧客への通知も追加のセキュリティ対策も異議申し立てもできませんでした。同社のUK GDPR上のデータ処理活動通知義務は、プロバイダーの非通知(契約上は通知義務あり)により果たせませんでした。
制裁調査終了後(違反なしと判断)、顧客も同社もアクセスがあったことを知らされませんでした。後に同社のデータ保護責任者が定期コンプライアンスレビューでAWSにCLOUD Act開示の有無を確認した際、数か月後に初めてアクセスを知りました。
同社は、FCAから運用上のレジリエンス、データ保護対策、顧客信頼について質問を受けました。執行措置には至りませんでしたが、米国プロバイダーアーキテクチャが富裕層顧客の機密性に耐えられないリスクを生むと認識し、英国主権下で顧客管理暗号化を備えたKiteworksを導入し、今後のCLOUD Act曝露を排除しました。
英国医療:研究データが情報目的でアクセス
英国の医療研究機関は、国際パートナーとがん治療研究で協力しています。研究には患者データ、治療結果、分子解析などが含まれ、Microsoft TeamsやAzureで欧州の研究機関とコラボレーションしています。
研究対象者の1人が、英国研究者の知らないところで米国情報機関の関心対象となっていました。米国情報機関はFISA 702命令を取得し、Microsoftに当該個人に関する通信・データの開示を要求。これにより、英国のがん治療研究データが米国情報機関に開示されました。
FISA命令には非開示条項があり、Microsoftは英国研究機関に通知できませんでした。研究対象者の医療データは、UK GDPR第9条の特別カテゴリデータとして特に高い保護が求められますが、英国の法的手続きや研究機関の認識、患者同意なしに米国情報機関がアクセスしました。
英国研究倫理委員会は、米国クラウドインフラを利用することで研究対象者のプライバシー権に許容できないリスクが生じると判断。情報機関がCLOUD ActやFISA権限で被験者同意や英国法的手続きなしに医療研究データを取得できるなら、研究対象者に機密性を保証できるのか疑問視されました。
複数の欧州研究機関は、米国インフラを利用する英国パートナーではEU倫理要件を満たせないとして共同研究から撤退。英国機関は、顧客管理暗号鍵と英国主権下でのKiteworks導入により、欧州倫理委員会の要件を満たし、共同研究を再開できました。
英国政府請負業者:CLOUD Actで公式情報がアクセス
英国防衛請負業者は、国防省向けに技術サービスを提供し、英国防衛能力や調達計画、運用要件に関するOfficial-Sensitive情報を取り扱っています。同業者はAWS GovCloud UKを利用し、政府向けクラウドサービスが公式情報の保護に十分だと考えていました。
米国政府の調達調査で、米国防衛請負業者の不正疑惑を調べるため、英国の調達情報が必要となりました。米国調査官はAWSにCLOUD Act令状を発行し、GovCloud UKに保存された英国請負業者文書(国防省調達プロセスに関する文書)の開示を要求しました。
AWSは、英国政府請負業者との契約上、Official-Sensitive情報の外国政府への開示禁止義務がありましたが、米国裁判所命令で開示を要求されました。AWSの米国法務部門は、CLOUD Act義務が英国請負業者との契約上の約束より優先されると判断しました。
後に米国訴訟を通じて開示が判明すると、英国国防省のセキュリティ担当者は、米国クラウドインフラを利用する請負業者がOfficial-Sensitive情報の取り扱い要件を満たせるか疑問視しました。米国当局がCLOUD Act要求で英国政府情報にアクセスできるなら、こうしたプロバイダー利用は不適切なセキュリティ対策となるのではないかという懸念が生じました。
請負業者は、英国政府セキュリティ基準を満たすエアギャップ環境でKiteworksを導入し、顧客管理暗号鍵と物理的分離により外国管轄曝露を排除。これにより、CLOUD Actリスクを認識した強化セキュリティ要件を満たし、国防省との契約継続が可能となりました。
比較:Kiteworksと米国ハイパースケールクラウドプロバイダー
| CLOUD Actの観点 | Kiteworks | 米国ハイパースケールクラウドプロバイダー |
|---|---|---|
| 米国管轄曝露 | オンプレミスまたは英国主権クラウドで運用時は曝露ゼロ。CLOUD Actの対象外 | 米国企業の管轄により、データの場所に関係なく全世界でCLOUD Actが適用 |
| 強制開示リスク | 顧客管理鍵により、強制開示でも解読不能な暗号文しか開示されない | プロバイダー管理の暗号化では、CLOUD Act強制下で意味のある開示が可能 |
| UK GDPRとの対立 | 対立なし。英国管轄と顧客コントロールにより外国政府アクセス経路を排除 | 米国法定義務と英国データ保護要件が直接対立 |
| 契約上の保護 | 該当なし。CLOUD Act要求を受ける米国プロバイダーが存在しない | 契約上の約束は米国法定義務により上書きされる |
| 通知能力 | 顧客がデータをコントロール。第三者によるデータ主体への通知妨害なし | 米国の非開示命令で通知禁止。契約上の通知義務は執行不能 |
| ICOコンプライアンス | 無許可アクセス防止のICO期待を満たすアーキテクチャ | ICOが防止を期待する外国政府アクセスを可能にするアーキテクチャ |
| 特権保護 | 法的職業特権を保護。米国当局による英国弁護士-依頼者間開示強制なし | CLOUD Actディスカバリーで米国政府アクセスに特権が脆弱 |
| 多管轄権対立 | 英国のみの管轄で対立を排除 | 米国法的要求と英国データ保護義務の永続的対立 |
| データ管理者の説明責任 | 明確な説明責任。顧客が全データアクセスをコントロール | 説明責任が分断。プロバイダーが米国法強制下でアクセス決定 |
| 主権保証 | 数学的・管轄的保証。米国アクセスは技術的・法的に不可能 | 主権なし。顧客の希望に関係なく米国管轄で強制アクセス可能 |
結論:管轄権こそがデータ主権の運命を決める
CLOUD Actは、英国組織がクラウドインフラ選択を検討する際の状況を根本的に変えました。米国企業のグローバル事業全体に米国の域外権限を主張することで、管轄権コントロール(データの地理的位置ではなく)がデータ保護の決定要素となりました。米国クラウドプロバイダーを利用する英国組織は、英国データセンターの場所や契約上のデータ保護約束、UK GDPRコンプライアンスプログラムに関係なく、米国法の支配下に主権を委ねることになります。
CLOUD Act義務と英国データ保護要件の管轄権対立は、解決不能なコンプライアンス状況を生み出します。UK GDPRは無許可の外国政府アクセスを禁じ、適切なセキュリティ対策を義務付け、データ保護の説明責任を確立しています。CLOUD Act要求は、まさにUK GDPRが禁じる外国政府アクセスを可能にし、法定強制でセキュリティ対策を無効化し、コントロールを米国プロバイダーに移し、米国法に従わせます。契約による解決は失敗します。なぜなら、民間契約は公法上の法定義務を上書きできないからです。
情報コミッショナー事務局は、英国組織に対し、実際のデータ保護状況を評価し、外国政府アクセスを含む特定されたリスクに有効な技術的対策を実装することを期待しています。CLOUD Actの影響を評価せず、顧客管理の暗号化や主権下での運用代替案を検討しない組織は、外国政府アクセスを可能にする管轄権対立を生むアーキテクチャ選択の説明責任を果たすのが困難です。
顧客機密性を守る金融サービス企業、弁護士-依頼者特権を保護する法律事務所、患者データを管理する医療機関、公式情報を守る政府請負業者にとって、CLOUD Act曝露はコンプライアンスを超えた事業継続リスクとなります。顧客信頼、競争優位、規制当局との関係、契約上のセキュリティ義務は、データが英国管轄下にあることを証明できるかどうかにかかっています。米国プロバイダーインフラを通じた外国政府アクセスのリスクがある場合、これらは損なわれます。
CLOUD Act曝露を排除するアーキテクチャ的解決策は存在します。顧客管理の暗号鍵により、強制開示が解読不能な暗号文しか生まない数学的保証を実現し、英国主権下での運用により、英国法のみに従うインフラプロバイダーを通じて米国管轄を完全に排除できます。これらの解決策は、米国当局が命令を出すこと自体は防げませんが、米国企業がデータや鍵を持たないため、米国要求を無意味にします。
管轄権は、法的対立が生じた際に最終的に誰がデータアクセスをコントロールするかを決定します。真のデータ主権を必要とする英国組織は、インフラプロバイダーの管轄権がデータ保護を地理的位置以上に決定すること、米国管轄を排除するアーキテクチャ選択のみが英国データ保護義務を満たし、外国政府要求を数学的・管轄的不能にできることを認識しなければなりません。米国プロバイダーに保存したデータは、永遠にCLOUD Act強制の対象となります。データ主権を実現するには、米国法の適用外となる英国管轄をアーキテクチャで選択する必要があります。
Kiteworksが英国組織のCLOUD Act曝露を排除する方法
Kiteworksは、米国管轄外で完全に運用するアーキテクチャ設計により、CLOUD Act曝露からの免疫を実現します。英国施設でのオンプレミス展開や英国主権クラウドプロバイダー経由での運用時、Kiteworksは英国法のみに従う英国インフラとして存在し、米国CLOUD Act要求は米国企業の支配がない英国法人には及びません。ベンダーアクセスゼロの顧客所有暗号鍵により、仮に何らかの強制が及んでも、顧客管理鍵がなければ開示データは解読不能な暗号文のままです。
FIPS 140-3 Level 1認証の暗号アルゴリズムとS/MIME、OpenPGP、TLS 1.3を組み合わせ、Kiteworksは平文や鍵を一切保持しない暗号化アーキテクチャでデータライフサイクル全体を保護します。オンプレミス、英国拠点のプライベートクラウド、エアギャップ環境など柔軟な展開オプションで、マルチテナント混在を排除し、展開モデルに関係なく米国管轄曝露をゼロにします。詳細なジオフェンシングで米国IPアドレスからの認証をブロックし、管轄権アクセス制御で英国拠点の担当者のみが機微システムにアクセスできます。
統合型プライベートデータネットワークは、ファイル共有、SFTP、MFT、メール、Webフォームなど全てのコンテンツ通信チャネルでCLOUD Act免疫を拡張。CISOダッシュボードで全ファイル活動を可視化し、SIEM連携のsyslogや、無許可の外国政府アクセスを防ぐアーキテクチャによるGDPRコンプライアンス・ICOガイダンス満足の証跡を提供します。
Kiteworksは、金融サービスの機密保持要件や政府請負業者のセキュリティ基準を、米国クラウドプロバイダーでは実現できない管轄権独立性で満たします。米国当局がCLOUD Act要求を出しても、米国プロバイダーにしか届かず、英国管轄下でKiteworksを運用する英国組織には米国法の効力が及びません。
英国データをCLOUD Act曝露から守る方法について詳しくは、カスタムデモをご予約ください。
よくあるご質問
米国CLOUD Actは、2018年に制定された米国連邦法であり、米国法執行機関に対し、世界中のどこに保存されているデータでも米国企業に開示を強制する域外権限を付与しています。AWS、Microsoft Azure、Google Cloudを利用する英国組織は、英国データセンターの場所に関係なく、米国企業の管轄により米国法の支配を受け、地理的なデータ保存だけでは米国政府要求から保護されません。
いいえ。契約上の約束では、CLOUD Actに基づく米国法定義務を上書きできません。米国裁判所がプロバイダーにデータ開示を命じた場合、法定義務が民間契約より優先され、英国顧客への開示禁止契約があってもプロバイダーは米国法的要求に従わなければなりません。
はい。米国CLOUD Actは、UK GDPR第5条の原則(合法的処理・目的限定)や第32条のセキュリティ要件と根本的に対立します。UK GDPRは無許可のデータ開示を禁じ、適切なセキュリティ対策を義務付けていますが、CLOUD Actは英国の法的手続きなしに外国政府アクセスを可能にし、一方の法的枠組みを満たすと他方を違反する解決不能な状況を生み出します。
1)クラウドプロバイダーインフラ外で完全に管理される顧客管理暗号鍵を実装し、CLOUD Actによる開示が顧客管理鍵なしでは解読不能な暗号文しか生まないようにします。2)英国法のみに従う英国主権クラウドプロバイダー経由で運用し、米国法的権限を完全に排除します。ハイブリッドアーキテクチャにより、適切なワークロードでクラウドの利便性と機微データの主権を両立できます。
ICOは、英国組織に対し、外国政府アクセスリスクを含む実際のデータ保護状況を評価し、無許可アクセスを防ぐ有効な技術的対策を実装し、アーキテクチャ選択の説明責任を果たすことを期待しています。顧客管理暗号化やCLOUD Act影響を評価した移転影響評価なしに米国プロバイダーを利用することは、適切なセキュリティ対策というICOの期待を満たさない可能性があります。
1)米国プロバイダー利用がUK GDPRと両立しないCLOUD Actアクセスを可能にするかどうかを評価する移転影響評価を実施。2)英国管理HSMでの顧客管理暗号化を実装。3)米国管轄を排除する英国主権下での運用代替案を検討。4)米国からのアクセスを防ぐジオフェンシングを設定。5)ICO説明責任を示すアーキテクチャを文書化。6)外国政府による開示シナリオに対応したインシデント対応計画を見直す。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴を回避するには - ブログ記事
データ主権ベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】