有本真由

有本真由

(写真:VideoFlow / shutterstock

実際に開示請求が起きている、米国クラウド法によるデータの強制取得

クラウドに保管されているデータは、外国政府によりデータの強制取得が行われる可能性があることをご存知だろうか。一体なぜなのか、どのようなリスクがあるのか、情報ネットワーク法学会で理事を務める弁護士の有本真由氏が解説する。

Updated by Mayu Arimoto on July, 7, 2023, 5:00 am JST

暗号化や事前通知……利用者ができること

とすれば、利用者としては、米国の管轄に服する企業のクラウドサービスを利用する際、どのような対策をとるべきか。これは、利用する個人、事業体の規模や事業の性質にもよるだろうが、以下の方法が考えられる。

まずは、クラウド上に保存するデータの暗号化である。クラウド法は、encryption-neutralであり、令状執行を受けたプロバイダは暗号化された情報を提供すればよい、とされている。米国では、全令状法(All Writs Act)によりプロバイダに対して復号に協力する義務を負わせることができるが、クラウド利用者については、利用者が独自に暗号化を施し、その復号鍵を管理する場合であって、クラウド利用者自身が米国法の適用を受けない場合は復号鍵を提供する義務はない。我が国の個人情報保護法では、暗号化されていても個人情報に該当するため、暗号化された情報が外国政府に流れた場合、個人情報保護法違反にならないとはいえないが、少なくとも暗号化によって高度に秘匿化がされていた場合には、データ主体への損害の発生を極力抑えることはできる。

また、プロバイダと交渉の余地があれば、外国政府による開示要求があった場合に事前通知をもらえるよう契約書に盛り込むということも考えられる。

さらに、これも交渉力に関係するが、外国政府に開示した場合にどのような弊害が生じるか、日本のどの法律に違反するかについてプロバイダに事前に周知させ、できる限り英語での資料を準備しておく、という対応も考えられる。なぜなら、プロバイダが令状を発付した裁判所に対して令状の修正・却下を求める場合は14日以内という期間制限があるからである。

実際に令状によって情報が米国政府に取得された際には、場合によっては、個人情報保護委員会に報告する、という対応が必要となる。

最後の報告義務を除き、上記の各対応は中小規模の事業主には難しい。域外データが取得されている件数自体が世界的に見ても少ないことを考えれば、事業の規模や性質によってはそれほど懸念する必要はないかもしれない。あとは、米国政府から令状執行される可能性のあるデータを取り扱っているか、費用、セキュリティ面、使い勝手等のメリット・デメリットを考慮して各自判断されるとよいだろう。