CLOUD AST：米国の新しい法案により、海外の個人データへのアクセスが可能に

先週、2018年3月23日、米国議会はCLOUD法と呼ばれる法案を可決しました。 これにより、米国の法執行機関が個人情報にオンラインでアクセスできるようになります。



この行為と、コミュニティおよびIT企業がそれにどのように反応したかについて詳しく説明します。





/写真アンジェラn。 CC

CLOUD ASTとは

データの合法的な海外使用法の明確化は、2018年2月6日に初めて提案されました。 この法案は、インターネットプロバイダーが保有するデータへの米国政府によるアクセスの提供を規制する1986年の法律であるStored Communications Act（SCA）の改正です。 CLOUD法は州の予算を承認する2232ページの文書の一部となったため、その内容に関する個別の議論はなく、議会での個別の審理も行われませんでした。



この法律には、米国の法執行機関によるPDへのアクセスを促進する2つのキーポイントがあります。



1. IT企業からPDユーザーを要求する



まず、法執行機関（警察官から連邦移民サービスのエージェントまで）は、この情報の保存場所に関係なく、IT企業からのデータへのアクセスを要求する権利を持っています。 言い換えれば、米国の警察は 、たとえばヨーロッパに保管されている場合でも、GoogleユーザーまたはFacebookにPDユーザーの提供を義務付ける場合があります。



多くのグローバルIT企業が米国の管轄区域にあることを考えると、当局は世界中の通信、メタデータ、およびユーザーアカウントにアクセスできます。 企業は、他の州の法律で禁止されている場合でも（ Microsoft Irelandの場合のように）、データの提供を拒否することはできません。



2.他の州への情報提供



この法律の第2部では、大統領と米国司法長官に、他の州との特別なデータ交換協定を締結する機会を与えています。 これらの契約の下では、[ユーザー]が米国市民ではなく、米国に居住していない場合、各国は米国のIT企業にユーザーデータを要求できます。



米国がこれらの協定を締結できる国には制限はありません。 さらに、この法律は、議会の承認なしに、国間でそのような協定を開始することを許可しています。

サポート法

ITの巨人であるMicrosoft、Google、Facebook、Apple、およびOath（以前のYahoo）は、法案を支持する書簡を書き、「消費者保護の著しい進展」と呼びました。 彼らはまた、CLOUD法が「国際協定を通じてユーザーをより良く保護する」ことを指摘した。



この法律が承認されたとき、マイクロソフトの法務部長であるブラッド・スミスは 、「今日は国際関係と世界中の個人データの保護にとって重要な日です」とツイートしました。 また、同法により、私たちが毎日使用している技術に対する信頼が高まると述べました。 しかし、このツイートにはネチズンからの明確な批判がありました。





/写真Alexandre B CC

行為に対する批判

技術コミュニティの残りの部分は、新しい行為（ 特に暗号通貨愛好家）をそれほど明確にサポートしていません。 それはデータのローカリゼーション 、つまり各国のPDを「ローカル」サーバーに保持したいという各国の願望につながるという恐怖が議論されています。



また、この行為は人権の保護について多くのアメリカの公共機関から批判されました。 EFF （Electronic Frontier Foundation-Electronic Frontier Foundation）やACLU （American Civil Liberties Union）を含む20以上の組織が議会に公開書簡を書き、CLOUD法の明らかな人権侵害を指摘しました。



情報転送契約の規制についてです。 ある国が、米国政府と協力して、その国の居住者から個人的な通信を受け取るためにSlackに頼るとします。 Slackは、メッセージ履歴を送信する場合、通信に関与するすべての人のメッセージを意図せずに開示します。



さらに、CLOUDは、米国市民に関する機密情報を取得した州が、 追加の承認 、令状、裁判所命令なしに米国の法執行機関に直接転送する機会を提供します。 これは米国憲法修正第4条の直接の違反と解釈できます。

代替案：相互法的支援条約

CLOUD法の採用に先立ち、海外の情報へのアクセスを得る法的側面は、 MLAT （相互法的援助条約）により規制されていました。 この合意は、米国と欧州諸国の積極的な参加により2001年に作成されました（ロシアは条約の決定を認識しませんでした）。 これにより、さまざまな国の法執行機関は、保管されている州の支援を受けて、海外に保管されているデータにアクセスできます。



MLATには欠点があります。 平均して、1つの要求を検討する時間は約10か月であり、別の状態から情報が受信されるまでに、ほとんどの場合、それはもはや関係ありません。 欠陥にもかかわらず、このシステムは、特に欧州評議会が間もなく改善する予定であるため、サイバーセキュリティの分野における国際関係の発展における重要な移行段階です。 ただし、CLOUD法の採用は、このプロセスには一切寄与していませんが、その代替策はより大きな範囲にあります。

---

PS First Corporate IaaSブログのその他の資料：

• クラウドでのGIS配置：機能とは
• 個人データ保護の仕組み：ヨーロッパのアプローチ
• クラウドで作業するために金融機関を知るために必要なもの
• クラウドセキュリティをテストする方法：セキュリティ問題のトラブルシューティング
• クラウドのセキュリティを高める方法
• 12クラウドセキュリティアライアンスによるクラウドセキュリティの脅威
• サービスとしての災害復旧：長所と短所