監視法規ナビ

クラウド法（CLOUD Act）が国際的なデータアクセスに与える影響と日本の実務上の課題

導入

近年、デジタル経済の発展に伴い、企業活動におけるクラウドサービスの利用は不可欠なものとなっております。同時に、国境を越えたデータ移動の増加は、各国の法執行機関によるデータアクセス要請とプライバシー保護規制の衝突という、新たな法的課題を生み出しています。特に、2018年に米国で成立した「Clarifying Lawful Overseas Use of Data Act」（通称CLOUD Act、クラウド法）は、米国の法執行機関が、米国のサービスプロバイダが国外に保存するデータに対しても、特定の条件下でアクセスを要求できる権限を付与するものであり、国際的なデータガバナンスと主権に関する議論を巻き起こしています。

本稿では、このCLOUD Actの法的構造、国際的なデータアクセスに与える影響、そして日本企業や法務担当者が直面する実務上の課題と対応策について、専門的な観点から詳細に解説いたします。

詳細解説

CLOUD Actの法的構造と趣旨

CLOUD Actは、米国の通信傍受法（Stored Communications Act, SCA, 18 U.S.C. § 2701 et seq.）を改正する形で導入されました。その主要な目的は、米国の法執行機関が、米国の電気通信サービスプロバイダ（Electronic Communication Service Provider, ECS）または遠隔コンピューティングサービスプロバイダ（Remote Computing Service Provider, RCS）が管理するデータを、その保存場所が米国か否かにかかわらず、米国法に基づき命令（例えば捜索令状や召喚状）によって取得できるようにすることにあります。

• SCA第2703条の改正: CLOUD Actは、SCA第2703条に新たな条項（§2703(b), (c)）を追加し、米国のサービスプロバイダに対して、顧客データの「場所に関わらず（regardless of where such communication, record, or other information is located）」提出を義務付けました。これにより、データが海外のサーバーに保存されている場合であっても、米国のサービスプロバイダは要請に応じる法的義務を負うことになります。
• 外国政府との二国間協定（Executive Agreements）: CLOUD Actのもう一つの重要な側面は、特定の要件を満たす外国政府との間で「二国間協定」を締結することを可能にしている点です（CLOUD Act §105）。この協定により、米国のサービスプロバイダは、米国の顧客に関係するデータでない限り、協定国の法執行機関からのデータ要請に応じることが可能となり、同時に、協定国は米国の顧客データに関する要請を米国司法省に送付することなく、直接米国のサービスプロバイダに行うことが可能になります。ただし、これには協定国の法制度が米国のプライバシー保護基準と同等以上の保護を提供していることなど、厳格な条件が課せられます。

この法律の趣旨は、データのグローバル化が進む中で、法執行機関が国外に保存された犯罪関連データにアクセスする際の法的障壁を取り除き、国際的な犯罪捜査の実効性を確保することにあります。しかし、その一方で、データ主権や各国のプライバシー保護規制との衝突が懸念されています。

EU一般データ保護規則（GDPR）との潜在的衝突

CLOUD Actは、特にEUの一般データ保護規則（General Data Protection Regulation, GDPR）との間で、法的衝突の可能性が指摘されています。GDPRは、EU市民の個人データの処理に関して厳格な規則を課しており、EU域外へのデータ移転についても特定の法的根拠（例：標準契約条項、拘束的企業準則）を要求しています。

• データ移転の合法性: CLOUD Actに基づき、米国のサービスプロバイダがEU域内に保存された個人データを米国政府に提供する場合、GDPR上の正当なデータ移転の根拠が必要となります。しかし、EUの最高裁判所である欧州司法裁判所（CJEU）は、Schrems II判決（2020年7月16日）において、米国政府によるデータアクセスがGDPRの求める保護水準に達していないと判断し、EU-US間のデータ移転の枠組みであったPrivacy Shieldを無効化しました。この判決は、CLOUD Actに基づく米政府へのデータ提供が、GDPRの求める保護水準を満たさない可能性があることを示唆しています。
• 「競合する義務」の問題: EU域内で事業を展開する米国のサービスプロバイダは、CLOUD Actに基づく米国政府からのデータ提供義務と、GDPRに基づくデータ移転制限義務という、相反する法的義務に直面する可能性があります。

日本の個人情報保護法との関連性

日本の個人情報保護法（個人情報保護法、平成15年法律第57号）も、外国の法制度を考慮した国際的なデータ移転に関する規定を有しています。特に、個人情報保護法第24条では、外国にある第三者への個人データの提供について、本人の同意、または適切な措置が講じられていることを要件としています。

CLOUD Actに基づく米国のサービスプロバイダからのデータ提供は、日本の個人情報保護法上の「外国にある第三者への提供」に該当する可能性があり、その場合は、提供元となる日本企業が適切な措置を講じているか、本人の同意を得ているかを確認する必要があります。また、個人情報保護委員会は、外国の個人情報保護制度に関する情報を提供しており、米国における個人データ保護の状況についても情報提供を行っています。

最新動向・論点

CLOUD Actは、国際的な法執行協力の促進を意図していますが、その実運用においては様々な論点が提起されています。

• Executive Agreementsの進展: CLOUD Act §105に基づく二国間協定は、現時点（2023年末時点）で英国、オーストラリアとの間で実質的な議論が進められており、英国との間では2019年に協定が締結されました。これにより、英国の法執行機関は、英国内で活動する米国プロバイダに対して、直接電子データへのアクセスを要求できることになります。これらの協定の締結は、他の諸国に対しても同様の枠組みを拡大する可能性を示唆しています。
• データ主権と国家管轄権の衝突: CLOUD Actは、データが保存されている地理的な場所に関わらず、米国の法がデータに適用されるという、域外適用原則を強力に推進しています。これは、データが所在する国の主権と管轄権との間で、潜在的な衝突を生じさせる可能性があります。各国は、自国のデータ主権を保護するための法整備や国際協力の枠組みを模索しています。
• 技術的な対抗策と政策的議論: データ暗号化技術の進化や、データローカライゼーション戦略、あるいはマルチクラウド戦略の採用など、企業側も法的リスクを軽減するための技術的・戦略的対策を講じています。また、G7やOECDなどの国際機関においても、クロスボーダーデータ移転の円滑化と、各国間の法執行協力のバランスに関する政策的議論が継続的に行われています。

実務への示唆

CLOUD Actの影響は、日本企業がグローバルな事業活動を行う上で、無視できないものとなっています。特に、米国のクラウドサービスを利用している企業は、以下の点に留意し、実務上の対応を検討する必要があります。

1. クラウドサービス利用契約の見直し:
   • 利用しているクラウドサービスプロバイダがCLOUD Actの適用対象となる米国企業であるかを確認します。
   • サービス契約書やプライバシーポリシーに、政府からのデータアクセス要請に対するプロバイダの対応方針が明記されているかを確認します。特に、CLOUD Actに基づく要請があった場合の顧客への通知義務、異議申し立て手続きなどに関する条項の有無と内容を精査することが重要です。
   • 契約に適切なCLOUD Act対応条項（例：顧客への事前通知義務、要請への異議申し立て支援義務など）が盛り込まれているかを確認し、必要に応じて交渉を検討します。
2. データマッピングとリスク評価:
   • クラウドサービスに保存されているデータの種類（個人データ、機密情報など）、その量、および地理的な保存場所を特定するためのデータマッピングを実施します。
   • CLOUD Actに基づくデータアクセス要請が、企業にどのような法的、ビジネス上のリスクをもたらすかを評価します。特に、EU域内からの個人データを取り扱っている場合は、GDPRとの競合リスクを詳細に分析する必要があります。
3. 社内対応プロトコルの策定:
   • クラウドサービスプロバイダを通じて政府からのデータアクセス要請が通知された場合の、社内での対応プロトコルを策定します。これには、法務部門、情報セキュリティ部門、関連事業部門間の連携、情報共有、意思決定プロセスなどが含まれます。
   • 弁護士との連携体制を構築し、要請内容の法的評価や異議申し立ての要否について迅速な助言を得られるように準備します。
4. 国際的なデータ移転に関するコンプライアンス強化:
   • 個人情報保護法、GDPRなど、適用される各国のデータ保護法制への継続的なコンプライアンスを強化します。特に、外国にある第三者への個人データ提供に関する法的要件を再確認し、適切な措置が講じられていることを証明できる体制を整えます。
   • データ暗号化や匿名化など、技術的なセキュリティ対策の導入を検討し、データ侵害リスクと同時に、政府からのデータアクセス要請に対するリスクを軽減します。

まとめ

CLOUD Actは、デジタル時代における国家の管轄権、データ主権、そして個人のプライバシー保護の間の複雑なバランスを示す象徴的な法律です。この法律が国際的なデータアクセスに与える影響は大きく、特にグローバルに事業を展開する日本企業にとって、その動向を注視し、適切な対応を講じることは喫緊の課題であります。

企業は、自社のクラウドサービスの利用実態を把握し、関連する法的リスクを正確に評価するとともに、データ処理契約の見直し、社内対応プロトコルの策定、そして国際的なデータ移転に関するコンプライアンス体制の強化を進める必要があります。今後も、CLOUD Actに基づく二国間協定の進展や、国際社会におけるデータガバナンスに関する議論の動向は、監視法規関連分野の重要な論点として、専門家による継続的な分析と情報収集が求められます。

参照すべき情報源の例:

• Clarifying Lawful Overseas Use of Data Act (CLOUD Act), Pub. L. No. 115-68, 132 Stat. 2516 (2018).
• Stored Communications Act (SCA), 18 U.S.C. § 2701 et seq.
• 個人情報保護法（平成15年法律第57号）
• 欧州連合一般データ保護規則（GDPR）, 規則(EU) 2016/679.
• 欧州司法裁判所（CJEU）C-311/18, Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (Schrems II) (2020).
• 個人情報保護委員会ウェブサイト（外国の個人情報保護制度に関する情報等）