※ 本記事は、Christy Thomas, Alex Cruftによる”US CLOUD Act: You have questions and we have answers“を翻訳したものです。
2022年9月6日
デジタル化が進む中、データはどこにでも存在します。多くの場合、クラウド・テクノロジーの助けを借りて、企業や個人は、レイテンシやデータ・レジデンシのニーズを満たすために、世界中の様々な場所にデータを格納しています。
このグローバル分散により、データは保管場所や処理場所に基づいて、複数の国の法律に従うことができます。オラクルでは、お客様がデータの処理と格納を選択した場所に基づいて、データにアクセスできるユーザーをより明確にしたいと考えています。Oracleでは、お客様のデータに関するプライバシーに深く注力しており、包括的なデータ処理契約やプライバシーの提供など、プライバシに関する懸念に対処できる積極的なパートナーであると考えています。また、オラクルのグローバル・デリバリ拠点について透明性を確保し、国境を越えたデータ・フロー要件に対処するために設計された処理者の企業準則への拘束など、転送メカニズムを提供するすべてのサービスのセキュリティ機能ガイダンスも提供します。
これに関連して、米国の海外のデータの合理的使用を明確化する法律(クラウド法)がOracleやOracle Cloud Infrastructure(OCI)のようなクラウド・サービス・プロバイダ(CSP)にどのような影響を与えるかを理解しようとする顧客もいるのではと思われます。
通信記録保管法: 米国クラウド法の前身
米国クラウド法を理解するには、まず通信記録保管法(Stored Communication Act: SCA)を参照する必要があります。SCAは、米国クラウド法が構築される基盤です。SCAとは何か、そしてなぜ米国クラウド法と密接に結びついているのか見てみましょう。
米国憲法修正第4条は、不合理な捜索および逮捕押収に対し、身体、住居、書類および所有物の安全を保障される人民の権利を守っています。デジタル技術の出現により、SCAは1986年に制定され、インターネットに保存されている電子メールやその他のデジタル通信のための第4修正のようなプライバシー保護を作成しました。SCAは、米国の法執行機関が限られた状況下でデータを取得することを認めています。
たとえば、この法律は米国の管轄区域の対象となる特定のタイプのサービス・プロバイダにのみ適用され、裁判官が特定の保存済コンテンツに対して令状を発行する前に、相当な理由が必要になります。しかし、SCAの法文には、米国の法執行機関が海外に保管されているデータにアクセスできることに関して、かなり曖昧な点が存在しました。
そこで登場したのが、米国のクラウド法です。
米国クラウド法の制定
この曖昧さに対処するために、米国議会は2018年3月に米国クラウド法を可決しました。クラウド法は、通信記録保管法を改正し、米国の管轄の対象となる「電子通信サービス」および「リモート・コンピューティング・サービス」(CSPを含む)のプロバイダに法的フレームワークを提供します。この法律では、CSPがどのような状況で米国の法執行機関からの要請に応えることが必要かを規定し、困難な要請に対して異なる手段を講じます。クラウド法は、SCAの下で海外に保管されているデータに対する米国の法執行機関の範囲を明確にするものであり、SCAの下で規定されている手続き上の保護措置を排除したり変更したりするものではありません。
クラウド法の目的と範囲の詳細は、このドキュメントで米国司法省(DOJ)にによって公開されています。
米国クラウド法に関する懸念事項および誤解への対処
クラウド法の成立後、Oracleの顧客およびその他の企業は、米国の法執行機関の範囲や、クラウドおよびOracle CLOUDサービスに保存されたデータへのアクセスについて議論を続けています。
最もよくある質問のいくつかに回答しましょう。
クラウド法では、米国の法執行機関がサービス・プロバイダ・システムに格納されている顧客データにランダムにアクセスできますか?
いいえ。クラウド法は、米国の捜査権限を拡大するものではなく、法執行機関が無差別にデータにアクセスできるようにするものでもありません。実際、開示請求は犯罪捜査に応じる可能性のあるデータに限られ、厳格な法的手続きの要件と制限、および独立した司法の監視のもとに行われます。
クラウド法は別の国の法律よりも優先されますか?
いいえ。クラウド法には、個人のプライバシーを保護するためのセーフガードを含む手続き上のセーフガードがあり、外国(米国以外)の適用法に抵触する開示請求に対してサービスプロバイダが異議を唱える手段が含まれています。
Oracleは、クラウド法に基づく開示要求をどのように処理しますか?
顧客は、適用される個人情報保護法上のデータ主体を含むユーザーと直接的な関係を持ち、そのデータはクラウドに保存される可能性があります。顧客は、法執行機関の要請に応えて、自分のユーザーデータを特定し、アクセスすることができる立場にあります。サービス・プロバイダとして、Oracleは、お客様が関係する当局と直接作業ができるように支援し、これらの開示要求に対応するための合理的な支援と情報を提供します。
Oracleが法執行機関から開示要求を受け取った場合は、Oracle Services Privacy PolicyおよびData Processing Agreement for Oracle Servicesの条項など、ポリシーで説明されているステップに従います。Oracleは、犯罪捜査の機密性を保持するためなど、適用法で顧客に通知することをOracleが明示的に禁止されている場合を除き、開示要求に応答することなく、影響を受ける顧客に速やかに通知します。オラクルは、オラクルに提出された申請について透明性を保ち、法執行報告書を定期的に公開しています。
Oracleの処理者拘束的企業準則(BCR-p)に従って、次のプラクティスもコミットします。
- 開示要求がOracleを拘束し、適用可能な法律に基づいているかどうかをケースごとに評価します。
- 適用される法律の下で拘束力がなく有効でない開示要求には異議を唱えます。前述のように、クラウド法は、サービス・プロバイダが開示要求に異議を唱えるための複数の手段を提供します。
データをさらに保護する方法を顧客に提供
Oracleは、業界をリードするセキュリティとプライバシ統制を備えたクラウド・サービスを提供します。これらの統制は、世界中のあらゆるリージョンのサービスとクラウド・データ・センターに埋め込まれています。OCI Vaultなどのサービスを使用すると、顧客はデータを保護する暗号化鍵と、顧客がリソースに安全にアクセスするために使用する秘密資格証明を一元管理できます。
米国司法省は、クラウド法がサービスプロバイダーに対して顧客データの復号を強制するような要件を設けていないことを確認しています。これは、米国司法省によるホワイトペーパーのSection I. “CLOUD Act agreements are encryption-neutral”(ページ5)およびFAQ Question 29(ページ18)で言及されています。
Oracleプライバシ・ポリシーおよびクラウド・サービス契約はオンラインで公開され、法執行機関からの法的に必要とされる開示要求に関する顧客個人情報の使用および保護に関する明確な目的制限が含まれています。
また、Oracleサービスのデータ処理契約、およびそのドキュメントで参照されるポリシー(処理者としてのOracleの拘束的企業準則など)も確認することをお薦めします。これにより、データの処理に対するOracleの全体的なアプローチに関する透明性が得られます。
顧客のプライバシーを保護するためのOracleの継続的な取り組み
Oracleでは、急速に変化するビジネス環境でお客様がグローバルに事業を展開し、ますます複雑化する規制環境の課題に対応できるよう取り組んでいます。
クラウド法の成立によって、法執行機関からの開示要求に対しOracleが対処する方法を根本的に変えるものではありません。クラウド・プロバイダであるOracleは、一般に、顧客がOCIに保存および処理するデータが、特定の個人に属する個人情報であるかどうかを把握することができません。顧客は、収集した個人情報を管理し、処理方法を決定し、格納するデータ・リージョンを決定します。また、お客様は、Oracleがセキュリティ、コンプライアンス、プライバシーのニーズにより効率的に対応できるようなOracle Cloud Infrastructure向けの機能やサービスに投資を続けていることに安心感を持つことができます。
製品およびサービスのドキュメントをご覧いただき、お客様がご利用いただける機能とサービスの詳細をお確かめください。Oracleのプライバシおよびセキュリティ・ポリシーと実践についてさらに質問がある場合は、Oracle Sales担当者に問い合せてください。