CLOUD法：知っておくべきこと

私の個人情報はどこに存在し、それを気にする必要があるのでしょうか？一つのデジタルの10年が終わり、新たな10年が始まろうとしている今、この疑問はより切実なものとなっています。

2020年代末におけるデータの影響

20世紀当時、その後に続くデータ争奪戦の規模を認識していた人はほとんどいませんでした。コンピュータ端末を所有している、あるいはインターネットにアクセスできる人なら誰でも、このゲームに関与しています。その見返りには、利益、影響力、支配力、そして舞台裏から個人や企業に関する情報にアクセスする能力が含まれます。

企業が顧客基盤との統合や結びつきを強めようと模索し続ける中、プライバシーとデータ保護の必要性が高まっています。ウェブアドレスを持つ企業に明確な境界線は存在しないため、国際的な詐欺やサイバー犯罪のレベルがエスカレートする舞台が整っています。これにより、政府が新しい法律を起草し、データの手がかりを求めて国境を越えて手を伸ばす道が開かれます。彼らの行動は、個人のデータを保護する必要性によって正当化されます。その結果、データのプライバシーとデータの開示との間の溝はさらに誇張されることになります。同時に、国際法の基本原則である属地主義の原則は、徐々に薄れていきます。

CLOUD法

米国政府による最近の「海外データ合法使用明確化法」（別名CLOUD法）の導入は、国境を越えた政府の監視を強化する根拠となっています。主にCLOUD法は、1986年の保存された通信法（SCA）を改正するものです。これにより、連邦法執行機関は、令状や召喚状を通じて、米国に拠点を置くテクノロジー企業に対し、データが米国に保存されているか外国の土地に保存されているかにかかわらず、サーバーに保存されている要求されたデータを提供するよう強制することができます。2018年3月23日まで、米国政府が海外のデータにアクセスする唯一の方法は、刑事司法互助条約を結ぶことでした。これは、2つの国が情報を共有し、法的捜査を解決するために協力することに合意する協定です。

CLOUD法はデータの暗号化に十分な配慮を払っています。また、政府がこれを利用して企業に暗号化を緩和するよう要求することを抑止しています。これはデータのセキュリティに不可欠なプロセスです。それにもかかわらず、多くの人々はこの法律が根本的なレベルで欠陥を抱えていると考えています。他の懸念事項の中でも、この法律が唐突な形で起草されたことが際立っています。さらに、この法律は公にされた詳細な議論を経ることなく政府の歳出法案であるオムニバス（包括歳出法案）の一部として発行されました。さらに、CLOUD法は、外国が米国の「大統領、国務省、または司法長官」と「行政協定」を結び、企業に直接連絡して政府の精査を事実上回避することで、米国に保存されているデータを要求することを可能にします。その結果、人権や国際法に対する予測可能な世界規模の影響への反発として、ウェブ上で否定的なフィードバックの波が巻き起こりました。

CLOUD法の適用

CLOUD法は、Google、Facebook、Twitter、Instagramなどのテクノロジー企業にすでに適用されています。実際、FacebookとGoogleは、AppleやMicrosoftとともに、この新しい法案の起草に貢献しました。政府とこれらの企業との協力関係は、大規模な技術ソリューションプロバイダーへとバランスがシフトしていることを示しています。すべての企業は、データ開示に関する法的代理人を任命する責任を負うことになります。一方で、より小規模な組織、スタートアップ、イノベーターは、追加の管理負担に苦しむ可能性があります。

グローバルな課題

Cloud Actの結果として、欧州委員会はデータ情報請求を可能にするための立法措置を講じました。また、欧州委員会は、特定の加盟国のプライバシー法に関わらず、EU登録企業が保存する電子証拠の使用への道を開くことになります。論理的に言えば、この法律は連鎖反応を引き起こすことになります。他の国々もこのデータ開示法を模倣し、国境を越えた情報を要求するようになるでしょう。結果として、これは世界全体におけるデータプライバシーのレベルの全体的な低下につながる可能性があります。

これがCloudSigmaにとって何を意味するのでしょうか？

CloudSigmaは、Cloud Actを巡って高まる不確実性の海の中で、独自のポジションを築いています。CloudSigmaは、各クラウドロケーションを世界中のどこで運営されていようとも、個別に隔離（サイロ化）しています。例えば、オーストラリアの法人はオーストラリア国内でロケーションを運営しています。そのため、それらはオーストラリアの法律のみに従います。同様に、スイスのロケーションは、スイスを除くEU、US、またはその他のいかなる管轄区域の対象にもなりません。したがって、CloudSigmaの顧客は、どの管轄区域の下で運用するかを簡単に制御できます。

さらに、お客様は自身が対象となる可能性のある、関連するデータ保護要件を確実に遵守することができます。これは、他の多くのプロバイダーのグローバル化されたアプローチとは対照的です。このアプローチは、顧客をUSやその他の地域を含む、潜在的に多数の管轄区域にさらすことになります。そのため、データは本人の意志に反し、現地のデータプライバシー法に違反してアクセスされる可能性があります。その結果、データによって、顧客自身に過失がないにもかかわらず、法的責任を問われる可能性があります。このようなシナリオは、CloudSigmaのようなプロバイダーを使用することで回避できます。