2019年5月20日の日経新聞に、「国外でも情報開示求める米クラウド法」という記事があったので、クラウド法とは何か、どのような問題があるのか解説していく。
記事の紹介の前に、まず、前提となるクラウド法について簡単に説明しておこう。
【クラウド法とは】
米政府や捜査機関の求めに応じて、民間企業の持つ個人情報(メールやアクセス記録など)を開示させる法律。目的は犯罪の防止や捜査、起訴のための情報収集である。
この法律ができる前は、「ユーザーの個人情報を守りたい」といった理由から、民間企業は開示を拒否することもあったのだが、そういった場合は裁判所の判断に委ねられることになる。もし、裁判負ければイヤでも個人情報を開示しなければならない。
クラウド法は裁判所の判決なしに、個人情報の開示を義務化することができるため、個人情報の観点から危ぶむ声が上がっている。
「クラウド法」と「CLOUD法」について
ちなみに、Clarifying Lawful Overseas Use of Dateの頭文字を取ってCLOUD法と呼ばれているため、カタカナで「クラウド法」と書くよりも、頭文字を並べて「CLOUD法」と書いた方が正しい表記だろう。
また、最近話題の「クラウド」と関係はない。クラウド・サービスに何か制約を加えるような法ではなく、個人情報を開示させる法だ。
読み易さを考慮してカタカナで書いたと思われるが、クラウド・サービスと混同し易い点や、頭文字を並べた名前であることから、日経新聞には「CLOUD法」と表記することを提案する。今までもGAFAやGPIFなど頭文字の名詞を使って記事を書いているのだから。
CLOUD法は国外のサーバーも対象にしている
Clarifying Lawful Overseas Use of Dateを直訳すると「データの合法的な海外使用法の明確化」となる。何だか意味不明な日本語になってしまい申し訳ないが、CLOUD法はアメリカ国外にあるサーバーも対象にしているのだ。
GoogleやFacebookなどは世界中で利用されているが、世界に展開するアメリカの企業も全てのデータ(サーバー)を国内に置いているわけではない。おそらく日本のデータであれば日本国内にサーバーを置いているだろう。
CLOUD法が成立する前は、米政府の開示要求があっても、企業は「サーバーは日本にあるから、日本政府に聞いてくれ」と話をはぐらかしたり、時間稼ぎをすることができた。
こういった前例があったため、CLOUD法は、海外のサーバーであっても米政府が強制力を持って要求できるように定められている。そのために「データの合法的な海外使用法の明確化」といった変な名前がついているのだ。
さて、前置きが済んだところで、どのような記事であったのか要約して紹介しよう。
【要約】
米捜査当局は日本企業に対しても米クラウド法をもとに情報開示を求めてくる可能性があるが、現状では日本の法律に米クラウド法に応じる法的根拠がない。
また、米政府からの開示命令に応じて、日本の企業が本人(ユーザー)の同意なく個人情報を開示すれば、日本の個人情報保護法違反になりかねない。
このまま放置すれば、国内の企業が日米の法律の板挟みになってしまうため、日本政府に対応を求める声が上がっている。
この記事の本質
まず、CLOUD法のような法律は、アメリカ一国が設けても効果は薄い。犯罪者は証拠を隠蔽しようと海外のサービスを利用するだろう。その際に、アメリカ以外の国にもCLOUD法に該当する共通ルールがなければ、スムーズな捜査は行えないためだ。
「アメリカは犯罪捜査のために情報を開示してよって話でしょ?何か問題でもあるの?日本版CLOUD法をさっさと作ったらいいのに」と思うかもしれないが、幾つか問題点がある。真っ先に挙げられることは、主権侵害とテロ対策だ。順を追って話していこう。
主権侵害
たとえば、CLOUD法によって米政府やFBIが、あなたの会社が持つ個人情報を開示するように求めてきたとする。「アメリカで罪を犯したアメリカ人の個人情報を開示してください」と。
しかし、日本に住み、日本で働いているあなたには個人情報保護法を守らなければならない。 日本の個人情報保護法を無視して、米政府がCLOUD法を行使することは主権侵害にあたる。
CLOUD法には、
- 開示対象となる顧客が米国人ではない
- データを保存する国の法令に違反する重大なリスクがある
この二点を共に満たす場合は、米裁判所に命令の取り消しを求めることができるとあるが、上記の例では片方しか該当しないため、取り消しを求めることができないし、仮に求めることができたとしても、取り消してくれる確約はない。
他国のことは、その国の法律を尊重すべきだし、米政府がCLOUD法を乱用すれば、諸外国との軋轢が生じてしまう危険があるのだ。そのためにも、各国で共通ルールを整備しなければならない。
テロ対策
もう一つの問題はテロ対策だ。仮に各国で話合い、共通ルールを制定したとしても、安全装置のようなものが必要だろう。何でもかんでも相手国に情報を開示してしまうようなザルのルールでは問題がある。
もし、テロ支援国家がザルのようなルールを悪用しようと目論んだらどうだろう。表向きには犯罪捜査と言っておきながら、有用な情報を引き出そうと考えるかもしれない。第三者のなりすましも危惧される。
開示をするかしないか、予め選択できるような仕組みを用意しておく必要があるのだ。日本のように危機管理の意識が低い国は気が付かないうちにテロの手伝いをさせられてしまうだろう。
メリットもある
犯罪捜査に協力することに関して反対するつもりはない。世界中を暗躍する犯罪者の情報を各国で共有できるようになれば、テロや凶悪犯罪が減るだろう。
また、日本の警察や裁判所が海外のサーバーへ情報取集が行えるようになるのであれば、国内の治安に貢献するだろうし、著作物の保護にも適用できそうだ。
米CLOUD法はきっかけに過ぎない。日本も含めてこれから世界で成熟させていくルールなのだ。