AWS と CLOUD 法

英国で EU 離脱（Brexit）のニュースがトップ記事となっていますが、先日、ロンドンでもう 1 つ重要なできごとがありました。Richard W. Downing 米国 司法副長官補佐が、Academy of European Law Conference において「海外のデータの合法的使用を明確化する法律」(Clarifying Lawful Overseas Use of Data Act) (通称「“CLOUD 法”」) についての誤解と真実に関してスピーチを行い、その後、米国司法省 (DOJ) から CLOUD 法の目的と範囲を明確にし、多くの誤解に対処するためのホワイトペーパーと FAQ が発表されました。このスピーチと DOJ のホワイトペーパーおよび FAQ をぜひお読みいただき、CLOUD 法の実態をご理解ください。簡単に言うと、CLOUD 法とは、国際的な犯罪やテロ活動に法執行機関が対処することを唯一の目的とした古い法律に、軽微な変更を加えたものです。CLOUD 法によって米国の法執行機関にクラウド内のデータに対して自由なアクセス権をが与えられる、という噂は事実ではありません。

DOJ のスピーチとガイダンスは正しい方向に進むための足掛かりにはなりますが、それだけでは不十分です。クラウドコンピューティング利用者がデータのアクセスに関する重要な問題を理解できるようにするために、各国の政府が行うべきことはたくさんあります。今日は、CLOUD 法に伴いクラウドサービスの利用方法を変える必要はないということをお客様に理解していただけるように、この法律に対する主な誤解について説明しようと思います。

過去 30 年にわたる法執行機関のデータアクセス権

1986 年に、「保管された通信に関する法律」 (Stored Communications Act (SCA)) が議会で制定され、電子的コミュニケーションに対する法執行機関のアクセスについて対応が行われました。制定当時は SCA が将来を見据えた法律だと思われていましたが、その後に新しいインターネットアプリケーションやクラウドコンピューティングなどの技術が出てくると、その対応は困難で何年もかかってしまいました。そこでの議論の 1 つは、米国外にあるデータを米国の法執行機関が取得することができるかどうかということでしたが、この議論は CLOUD 法の成立によって決着しました。米国でビジネスを行っている事業体 (米国に子会社がある海外の事業体を含む) 等米国の法律が適用されるプロバイダーに対してであれば、データの保管場所に関わらず、管理下のデータを提供するように 、SCA に基づいて令状および裁判所命令を送達することが可能になりました。

CLOUD 法によって新しい概念が導入されたかのように言われていますが、それは誤解です。各国の政府は、これまでも自国の管轄外にある犯罪の証拠を手に入れることができました。ホワイトペーパーにあるように、サイバー犯罪およびコンピュータ犯罪に対する協力および調査を改善するための、初めての国際条約である「サイバー犯罪条約」 (Budapest Convention) に従って、データがどこに保管されていてもほとんどの国でデータの開示を請求できます。実際にフランスの裁判所は長い間、国内のコンピュータからアクセスできる場合に限り、国外のデータを取得することを警察に許可してきました。最近では、2019 年 2 月に英国が「犯罪 (国外データ提出命令) 法」 (Crime (Overseas Production Orders) Act) を可決しており、これは英国の法執行機関が、英国外の会社または個人が保管している電子データを取得することを許可するものです。

この対応は何百年も前からの国際協力の原則に従ったものです。各国は、国内の法律から国際条約までの様々な手段を使用して、国境外にある潜在的な証拠を探し求めて国境を越えた協力関係を継続しています。この伝統は欧州刑事警察機構などの信頼性の高い組織の行動の基盤となっています。CLOUD 法は、このような米国以外の法執行機関や国々が何年もの間実施してきたことを単に反映したものです。

CLOUD 法に対する理解

CLOUD 法についての最も多い誤解は米国の会社のみに適用されるというものです。これは間違いです。CLOUD 法は、設立が米国内であっても別の国であっても、（電子メールのプロバイダー、電気通信会社、ソーシャルメディアのサイト、クラウドプロバイダーを含む）米国の管轄が及ぶ電子コミュニケーションサービスまたはリモートコンピューティングサービスのすべてのプロバイダーに適用されます。つまり、米国に事務所や子会社がある海外の会社もすべて CLOUD 法の適用対象になります。Downing 氏のスピーチでも触れられているように、米国の裁判所では米国内のお客様が使用する米国外の Web サイトも米国管轄区域の対象となる (つまり CLOUD 法が適用される) と裁決されています。

CLOUD 法についてもう 1 つよくある誤解は、クラウドプロバイダーが保持しているデータへの無制限のアクセス権が、米国政府へ提供されるというものです。これはまったくの誤りです。CLOUD 法は、クラウドに保管されているデータに対する無制限のアクセス権を法執行機関に与えるものではありません。法執行機関は、米国の裁判所によって発行される令状の厳格な法的基準を満たしている場合にのみ、サービスプロバイダーに対してデータの提供を強制できます。米国の法律では、令状の取得に高いハードルが設定されています。法執行機関に情報の開示請求をする正当な根拠があることと、開示請求をされた情報が犯罪に直接関連していること、開示請求が明確・正確・公正に行われていることを独立した裁判官が確認する必要があります。これは、無制限なアクセス権の提供とは真逆の対応です。

AWS は米国外にあるデータの開示請求があった場合、異議申立ての手続きを踏んでおり、その実績も積んできております。一般的に、AWS は裁判所に出向くかなり前から異議を唱えます。法執行機関からのデータの開示請求は法律専門家のチームによってレビューされ、そのレビューでは、開示請求が米国またはデータが存在する国の法律に違反するかどうかや、適用される法律上、お客様の権利が侵害されるかどうかを評価します。米国を含むすべての国の法執行機関からのデータの開示請求について、AWS はそれを限定 (あるいは完全に拒否) するために、適用される法的基準を限界まで遂行します。懸念がある場合、AWS はそれを払拭するため積極的に法執行機関に反論し、結果として開示請求が取り下げられることがよくあります。

Amazon は、紛争を解決できない場合はためらわずに裁判所に出向きます。政府からの顧客情報の開示請求について、適用範囲が広過ぎたり、不適切であると考えられる場合には正式に異議を申し立ててきた長い歴史があります。AWS は、お客様のデータを保護するために利用できるあらゆる方法を使用して、欧州連合の GDPR などの現地法に抵触する要請を含む開示請求への抵抗を続けます。また、コンテンツを開示する前のお客様への通知を今後も継続し、お客様がコンテンツをさらに厳重に保護するために使用できる高度な暗号化やキー管理のサービスを提供します。また、暗号化されたコンテンツは解読キーがなければ価値がないため、業界でトップクラスの暗号化サービスを使って、転送時および保管時のデータ暗号化と、暗号化/解読キーを管理する幅広いオプションを提供しています。

CLOUD 法はクラウドプロバイダーがお客様を保護するための機能を提供できることを変更しません

AWS は、お客様のプライバシーとセキュリティには常に気を配っています。非常に機密性の高いコンテンツに関して AWS を信用してくれる政府機関を含むすべてのお客様に、データの完全な統制を確実にするための豊富なセキュリティサービスと機能をあわせて提供することをお約束します。CLOUD 法は、この約束を変更したり弱体化したりするものではありません。反対に、CLOUD 法では、他の国の法律や国益に抵触する開示請求にクラウドプロバイダーが異議を申し立てる権利が認められており、政府が現地法を尊重することが要求されています。さらに、政府データの開示のリスクを懸念する外国の政府については、主権免除が適用される場合があります。米国は、主権免除の原則に基づいて、外国政府には、データの開示を阻止するために講じることができる、効力ある法的手段が米国法律上あることを認めています。

世界中のお客様は現地法に従って AWS の使用を継続できます

AWS では、新しいコンプライアンス基準と法律に関連して、お客様およびパートナーが立場を理解できるように常にお手伝いしています。これは、エンドユーザーを保護できるようにするための唯一の方法だと信じています。Downing 氏のスピーチと DOJ の文書をお読みいただいた後、 CLOUD 法に関する AWS の Web ページもご参照ください。FAQ やホワイトペーパーの他に、お客様と APN パートナーを対象とした関連リソースがあります。この Web ページを通じて CLOUD 法の限定的な影響についての事実を学習し 、AWS への適用方法を理解できるようになります。

実際のところ、クラウドコンピューティングは世界中の人々に様々な形でプラスの影響を与えています。お客様は AWS の技術を使用して、写真の共有や動画のストリーミング、金融サービスや電子商取引/・株取引への多くのアクセス、新しく発見した地理空間データの処理、教育およびスキル開発の機会拡大や促進、あるいは AI/ML サービスを使用した産業発展の支援において、人間が経験値を上げてゆくための先進的な技術を生み出しています。また、お客様はクラウドを社会貢献に活用して、人身売買の阻止、凶悪犯罪の防止、市民向けサービスの改善、および医学の飛躍的な進歩に取り組んでいます。非常に残念なことは、これらの活動が CLOUD 法に対する誤解のためになかなか進まないことです。DOJ が CLOUD 法について先日発表した情報は、事実をしっかり理解するために役立ちます。AWS としても、このブログと関連リソースが正しい理解につながることを期待しています。

-Michael Punke

Vice President of Global Public Policy, AWS

(翻訳：AWS Growth Strategies, セキュリティ・コンプライアンス マーケティング担当　戸内加奈。原文は AWS and the CLOUD Act)