海の向こうの“セキュリティ”

Amazon、Google、Microsoftらが発表した「信頼できるクラウドの原則」とは

Amazon、Google、Microsoftらによる新たなイニシアティブ「Trusted Cloud Principles」

 クラウドが重要な社会基盤となるに伴い、各国政府によるクラウド事業者に対する規制強化の動きが見られる中、Amazon、Google、Microsoftが中心となった新たな取り組みとして「Trusted Cloud Principles(信頼できるクラウドの原則)」が発表されました。この取り組みには、Atlassian、Cisco、IBM、Salesforce、Slack、SAPも加わっています。

 今回の背景については以下のように述べられています。

 世界中でサービスを提供する企業として、我々は国際人権法におけるプライバシーの権利も認識している。政府は国民の安全とセキュリティを守ることに正当かつ重要な関心を持っている。しかし場合によっては、政府は人権や法の支配を適切に保護していない法律の下でデータへのアクセスを求めたり、他国の法律に抵触したりすることがある。クラウドサービスプロバイダーとして、我々は政策とテクノロジーを通じて全ての管轄区域において顧客のデータのプライバシーとセキュリティを保護することを約束する。全ての政府はクラウド時代に向けて法律を制定する際に一定の基本的な保護を認めなければならない。

 その上で、今回の新たな取り組みは、世界各国の政府と連携して、イノベーション、セキュリティ、プライバシーを阻害する国際的な法の対立を解決し、クラウド上でデータを保存・処理する組織に対する基本的な保護を確立・確保することを目指すものであり、この取り組みを通じて、各国政府と協力して、データの自由な流通を確保し、公共の安全を促進し、クラウドにおけるプライバシーとデータセキュリティを保護することを約束するとしています。

 なお、今回の取り組みは、社内で人権影響評価を行うなど、各企業がこの分野で行ってきた既存のコミットメントに基づいており、各社が取り組むべき基準となるものです。

 まず原則に先立って、クラウドサービスプロバイダーとして行うこととして以下の7つの項目が挙げられています。いずれも「認識する(recognize)」や「支持する(support)」といった比較的控えめな表現にとどまっています。

・グローバルクラウドサービスを利用する個人および組織の安全、セキュリティ、プライバシー、および経済的活力を保護することに対する世界中の政府の関心を認識する。

・国際人権法がプライバシーの権利を謳っていることを認識する。

・顧客の信頼および顧客によるデータの管理とセキュリティの重要性を認識する。これには、クラウド上で顧客が所有するデータを保護すること、信頼を確立・維持・強化する製品およびポリシーを作成することの両方が含まれる。

・国際的に認知されている法の支配と人権基準を遵守する透明性のあるプロセスを通じて政府がデータを要求できるようにする法律を支持する。

・データアクセス、プライバシー、主権に関連して相反する法律を解決するための国際的な法的フレームワークを支持する。

・クラウドの顧客の安全、プライバシー、セキュリティ、およびデータの所有権を保護する国内および国際レベルでの規則や規制の改善を支持する。

・政府からのデータ要求に関する統計情報をまとめた透明性レポートを定期的に発表することの重要性を認識する。

 これらの7つの項目を踏まえ、「Trusted Cloud Principles」として以下の5つを挙げ、今回の取り組みに加わっているクラウド事業者は、世界中のテック業界、公益団体、政策立案者と協力し、特にデータセンターやクラウドインフラを運用している、または運用を計画している国において法律や政策がこれらの原則に基本的に沿ったものになるようにすることを約束しています。

・政府は、限られた例外を除いて、まず顧客と関わるべきである。

 政府は、例外的な状況を除き、クラウドサービスプロバイダーよりも企業の顧客から直接データを求めるべきである。

・顧客は通知を受ける権利を持つべきである。

 政府がクラウドサービスプロバイダーから直接顧客データにアクセスしようとする場合、それらのクラウドサービスプロバイダーの顧客は政府によるデータへのアクセスについて事前に通知を受ける権利を持つべきであり、遅延させることができるのは例外的な状況においてのみである。

・クラウドプロバイダーは顧客の利益を保護する権利を持つべきである。

 クラウドサービスプロバイダーが政府の顧客データへのアクセス要求に異議を唱えるための、関連するデータ保護当局への通知を含む、明確なプロセスが存在すべきである。

・政府は法の相反に対処すべきである。

 政府は、ある国でクラウドサービスプロバイダーが法令を遵守することが別の国での法令違反となることがないように相互に対立問題を提起して解決する仕組みを構築すべきである。

・政府は国境を越えたデータの流通を支援すべきである。

 政府は、イノベーション、効率性、セキュリティの原動力として国境を越えたデータの流通を支援し、データ在留(data residency:データの国外移転および持ち出しの制限)義務を回避すべきである。

 今回紹介した取り組みは、顧客のプライバシー保護やセキュリティのためと謳っており、そこに嘘はないと思う(信じたい)のですが、結局のところは(当然ながら)クラウド事業者を守るため、もっとストレートに言えば、政府によるクラウド事業者に対する規制を緩和すべきと訴えるものです。特に5番目の原則がヨーロッパのGDPR(General Data Protection Regulation:一般データ保護規則)をはじめとして世界各国で法制化が進んでいる、いわゆる「データローカライゼーション(Data Localization)」というクラウド事業者にとって面倒でしかないものを真っ向から否定する内容になっていることからも明らかです。ちなみに、「Trusted Cloud Principles」のトップページでは、この5番目の原則を最初に挙げていることから、これが最も強く訴えたいものであることが分かります。

 もちろん、営利を目的とした民間企業としては当然のことで、責められるものではありませんが、今回の新たな取り組みが本当に顧客のプライバシー保護やセキュリティにつながるものなのか、そもそも「Trusted Cloud Principles(信頼できるクラウドの原則)」と言えるものなのか、慎重に動向を見守る必要があるでしょう。また、日本企業の対応や各国政府の反応も気になりますが、AppleとFacebookが今回の取り組みに加わっていないことも大いに気になるところです。

 なお、Appleについては、高橋郁夫弁護士が自身のブログにおいて、犯罪の証拠収集について政府と距離をおくスタンスのAppleとしては、透明性のあるプロセスがあれば政府による顧客データへのアクセスを認めるとする今回の取り組みには加わることができないのではないかと指摘しています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。