議会がテクノロジーを基盤としたクラウド法案を検討する中、プライバシーと人権団体が懸念を表明
データがほぼ国境を越えてシームレスに移動できる現代のクラウドコンピューティングの世界は、異なる時代に合わせて制定された法律を遵守する法執行機関やテクノロジー企業にとって課題を突きつけています。こうした国際的な問題に対処するために、与野党双方の支持を得て制定された新しい法律が議会で審議中ですが、プライバシー擁護団体をはじめとする人々は、この解決策が全く新たな問題を引き起こすのではないかと懸念しています。
CLOUD法(海外におけるデータの合法的利用の明確化)は、ユタ州選出のオリン・ハッチ上院議員とジョージア州選出のダグ・コリンズ下院議員によって2月初旬に提出されました。この法案は、米国法執行機関が米国外に保管されているテクノロジー企業からデータを取得する方法、および外国政府が米国テクノロジー企業からデータを取得するために独自の調査を行う方法を変えることを目指しています。この法案は、多くの同様の問題を含む訴訟について最高裁判所の判決を待っている司法省とマイクロソフト、そしてテクノロジー業界全体から支持されています。
しかし、アメリカ自由人権協会(ACLU)のニーマ・シン・グリアーニ氏をはじめとするプライバシー擁護団体は、この法案が、米国のテクノロジー企業への召喚状発行を許可する国の決定において、行政機関に大きな裁量を与え、司法審査を排除する点を懸念している。そして、ギズモードが木曜日に報じたところによると、上院は来週成立予定の政府閉鎖を回避するために成立が必要となる、はるかに大規模な歳出法案にCLOUD法案を追加する可能性が高いとのことで、今週になって懸念が高まっている。
「CLOUD法とその中のいくつかの提案は、私がこれまで目にしてきた法案の中でも特に影響力のあるものの一つだと思います」と、ACLUの立法評議会メンバーであるグリアーニ氏はGeekWireとのインタビューで述べた。「これは大きな変化であり、物事の進め方を大きく変えるものです。」
雲を通して見る
CLOUD法は、国内外の法執行機関が米国を拠点とするテクノロジーサービス利用者の個人データを取得するプロセスを合理化することを目的としています。この法律の目的は、各国が米国と相互司法援助条約を締結することを促し、こうした要請の処理方法を規定するとともに、米国市民のデータは海外に保管されている場合でも法的な令状の対象となることを明確にすることです。これは、今年初めに審理されたマイクロソフト対司法省の訴訟における主要な争点の一つです。
これは、プロセスのいくつかの手順を省略することで実現します。現在、自国民に対する調査を実施し、米国に拠点を置くテクノロジー企業が保管するデータにアクセスしたい外国政府は、米国と相互援助条約を締結した上で司法省に要請を提出する必要があり、要請がテクノロジー企業に渡される前に、司法省は米国の裁判官の承認も得る必要があります。
提案された法案では、司法審査は廃止され、行政府の唯一の責任は外国政府との条約交渉のみとなります。その後、外国政府はテクノロジー企業に直接要請を提出することになりますが、テクノロジー企業は要請が違法または過剰であると判断した場合、依然として異議を申し立てる権利を有します。
マイクロソフトや他の大手テクノロジー企業は、これが最善の方法だと考えています。
「CLOUD法は、各国政府が協議の場を設け、法執行機関が犯罪捜査のために国境を越えてデータにアクセスする方法を定める現代的な二国間協定を交渉するためのインセンティブと枠組みを創出するものです」と、マイクロソフト社長兼最高法務責任者のブラッド・スミス氏は、同社が最高裁判所で訴訟を起こした日に「議会が解決すべき問題」と題したブログ記事で述べた。「この法律は、これらの協定がプライバシーと人権を適切に保護することを保証し、顧客データをホストするテクノロジー企業に、世界中の顧客のプライバシー権を擁護するための新たな法的権利を与えます。」
この法案の支持者の中には、スノーデン事件以降に勢いを増しているデータローカライゼーションの動きを阻止できると考えている人もいる。クラウド企業は、こうした要請に対応する新たな手続きがなければ、外国が自国民が生成したすべてのデータを自国国内に保管すると宣言し、自国の法律を適用できるという、極めて高額な費用がかかる可能性に懸念を抱いている。結局のところ、司法省が最高裁で主張したように、米国がアイルランドのような外国に保管されている自国民のデータを入手することができると宣言したいのであれば、米国内に保管されているデータを求める他国からの申請を米国政府が綿密に審査できるべきだと主張するのは難しくなる。
データローカリゼーションに関する法律は、クラウドテクノロジー企業の営業利益率に大きな打撃を与えるだけでなく、新たな技術的課題も生み出すでしょう。クラウドコンピューティングの大きな利点の一つは、データを効率性の観点から適切な場所に保存できることにあります。テクノロジー企業とユーザー間の接続に新たな障壁を追加すると、パフォーマンスと信頼性が損なわれる可能性があります。
世界をより良い場所にしますか?
しかし、ここ数年は、法執行機関や大手プラットフォームテクノロジー企業による大規模監視活動にとって、それほど目立った年ではありませんでした。スノーデン氏の暴露や、Facebook、Google、その他のソーシャルメディア、そしてクラウドコンピューティングサービスを利用するインターネット企業といったサービスで生成される個人データの量に対する懸念の高まりにより、両組織への不信感はかつてないほど高まっていると言えるでしょう。
CLOUD法案の批判者たちは、国民の相当数が現政権の真意に疑念を抱いている現状において、同法案が米国政府の行政府に、どの国とどのように情報を共有するかを決定する権限を過度に与えていると懸念している。法案には、行政府は人権協定を遵守する国、あるいは国民に関する情報を求める際に適正手続きを尊重する国とのみ条約交渉を行うことができると明記されているが、法案のある条項に述べられているように、国の法律が本当に「プライバシーへの恣意的かつ違法な干渉からの保護」といったものを規定しているかどうかを判断するための具体的な定義や救済策は示されていない。
例えばトルコのような国を考えてみましょう、とグリアニ氏は述べた。数年前まではトルコは人権を十分に尊重する国と考えられていたかもしれないが、トルコでは状況が急速に変化し、一度締結した条約は破棄するのが難しい。また、この法案は、自国の国民を捜査する際に意図せず米国民に関する情報を収集した国(米国法と整合するかどうかは別として)が、令状手続きなしにそのデータを米国政府に引き渡すことを可能にするとグリアニ氏は述べた。
ジュリアーニ氏をはじめとする関係者は、この法案が個人を法執行機関による不当な扱いにさらし、また、小規模なテクノロジー企業に外国政府からの要請に直接対応させるという過度の負担を課すと考えている。マイクロソフト、アマゾン、グーグルといった企業は、優秀な弁護士を起用することができるが、中堅のサービスを運営するスタートアップ企業は、過剰と思われるユーザーデータの要求に直面した場合、必ずしも同じだけの法的予算を利用できるわけではない。
では、外国政府がテクノロジー企業に対し、ユーザーデータを提出しなければその国で事業上の影響を受けると圧力をかけたらどうなるでしょうか? ほとんどのテクノロジー企業は、少なくとも世界に貢献すると口では言いますが、彼らは巨大企業であり、巨大企業は結局、自らの利益を最優先する行動を取る傾向があります。
何に投票するんですか?
2018年のワシントンD.C.ではよくあることですが、来週採決予定の包括法案にCLOUD法案が追加された場合には、法案のメリットに関する公聴会や公開討論が行われることなく採決に至ってしまう可能性が非常に高いでしょう。政府閉鎖の可能性をめぐるいつもの混乱や、現代の議会を覆っている大騒ぎを考えると、テクノロジー企業、そのユーザー、そして世界中の監視活動に広範な影響を及ぼす可能性のある法案を議論する時間はほとんどないことが示唆されます。
しかし、この法案の支持者たちは、CLOUD法が速やかに可決されなければ、諸外国は司法省を通じて要請を集中させる現在のシステムを放棄し、法案に盛り込まれたわずかなプライバシー保護よりもプライバシー保護の程度が低い可能性のあるデータローカリゼーション法を採用するだろうと主張している。
「要するに、米国は世界の膨大なデータを保有する国として、現在、そしておそらくは一時的な影響力を行使し、プライバシー保護基準を設定し、外国政府に遵守を迫ることができる限られた機会を得ているのだ」と、ジェニファー・ダスカルとピーター・スワイヤーは今週のローフェア誌に記した。「外国政府がデータローカリゼーションの義務化を実施したり、米国のシステムを回避する別の方法を見つけたりすれば、米国の影響力は失われるだろう。」
ワシントンは、数十年にわたり莫大な権力を蓄積してきたシリコンバレーの変化のスピードに、これまで全く追いつくことができていません。その理由の一つは、テクノロジーの仕組みを真に理解している議員がほとんどいないことです。CLOUD法の成立は、先見の明のある規制当局に好機をもたらすかもしれません。巨大テクノロジー企業から外国政府への機密性の高い個人データの移転に関する一連の政府審査を廃止するのであれば、巨大テクノロジー企業をより強力な手段で規制すべき時なのかもしれません。
