CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)

「米国でCLOUD法成立、政府は企業が保有する個人情報を容易にアクセス可能に」という記事がでています。

プライバシー関係の法に関するネットの記事は、条文にあたらないで、意図的な法律家の妥当ではない解釈に基づいたコメントを集めただけのがよくあるので、このような記事を見たときは、疑ってかかったほうがいいです。

日本でも、「ネットワーク監視法」騒ぎは、サーベイランス(通信途上の監視)とプリザベーション(過去記録の保全)を意図的に混在させる法律家(日弁連ともいう)が、社会を混乱させましたね。教訓にしましょう。

でもって、CLOUD法です。結論から言うと、この法律に素人さんは、コメントしないほうがいいとおもいます。

その理由ですが、条文を以下に述べていきますが、みてもらえれば、わかるとおもいます。

法律自体は、2018年統合適用法(とでもいうのかな)(Consolidated Appropriations Act,2018.)(条文自体が、2232ページ)のなかで、最後のディビジョンVの部分 CLOUD法に記載されています。(2201ページから)

各条文を見ていくと

101条は、タイトルです。「適法なデータの国外利用の明確化法(‘Clarifying Lawful 4 Overseas Use of Data Act’’ or the ‘‘CLOUD Act’’.)」といいます。

102条は、議会の現状認識(CONGRESSIONAL FINDINGS. です。
議会としては、
(1)通信プロバイダーの保有するデータへの適時のアクセスの重要性
(2) そのようなデータへのアクセスの可能性は、米国の法域に属するサービスプロバイダによって外国においてカスタディ、コントロールまたは、保存されているデータに対してアクセスが可能ではないことによって 害されている(being impeded)
(3) 外国政府は、米国のプロバイダーによって保存されている電子データに対してアクセスを求めていることが増加していること
(4) 電気通信プロバイダーは、外国政府からの電子データに対する提出要求に対して、米国法が、開示を禁止しているのに、法的利害衝突を感じること
(5)外国法は、 保存通信法が開示を拒絶する場合においてと同様の利益衝突を生み出しうること
(6)米国と外国政府が、法の支配とプライバシと市民の自由の保護の観点から、共通のコミットメントを共有する一方で、国際的合意が利害衝突に対して解説策を提供しうること 
としています。

103条は、「記録の保存(preservation)、法的プロセスの相互の互譲(comity)」です。

(a)項で、要求と通信および記録の開示、(b)項で、有線ないし電子通信の内容を求める法的プロセスの互譲分析について定めています。

(a)項は、合衆国法典18巻、121章2713条で、「保存(preservation)、開示等の義務に関しての保存通信法の改正条項」を追加します。具体的には、「電気通信プロバイダー等は、通信、記録、情報が、米国内に存しようがしまいが、本章に定める義務に準拠して有線・電気通信の内容の保存、バックアップ、開示しなければならない」としています。(これによって、条項の一覧も追加)

(b)項は、法的プロセスの互譲(comity)の規定をおいています。
具体的には、同2703条に、(h)項として 「有線ないし電子通信の内容を求める法的プロセスの互譲分析」を追加します。

その(1)は、定義規定であって、「認証外国政府‘qualifying foreign government’」「USパーソン(United States person)」の定義をそれぞれ定めます。

(2)は、電気通信サービスのプロバイダーが、本節の手続にしたがって開示を求められた場合の棄却もしくは変更の申立の規定です。(A)は、一定の場合にプロバイダーがそれらを求めることができるという権限に関する規定、(B)は、裁判所が、棄却もしくは変更を認めることができる場合についての規定です。具体的には、プロバイダーが、外国の法に違反することになる場合、総合的事情の判断のもとに、棄却もしくは変更がみとめられるべき場合であって、顧客等が、USパーソンではなく、合衆国に居住しない場合に、そのような判断をなすことができるとされています。

(3)は、互譲分析で、上の(2)の判断をなす場合の総合的に考慮されるべき事情を述べています。具体的には、(A)開示を求める調査の利益を含む合衆国の利益、(B)開示の禁止を解除することについての認証外国政府の利益(C)プロバイダーに課せられた相矛盾する法的要求に関して制裁が結果として課される可能性、程度、性質(D)通信が求められている顧客等の場所、国籍、彼らの合衆国との関連性、(外国において3512条に基づいて手続きがなされている場合)その外国との関連性、(E)プロバイダーが、合衆国に対して有する関連性および合衆国における存在、(F)開示が求められる情報の調査における重要性、(G)適時であって効果的なアクセスであって、より重大な否定的な影響を惹起しない手段による開示の可能性、(H)3512条に基づいて外国政府のために手続きがなされている場合において、援助要求をしている外国政府の調査の利益、があげられています。

(4)は、プロバイダーは、争っている場合において、裁判所が、特段の定めをしないかぎり、保全をなさなくてはならないが、開示を義務づけられないというものです。

(5)は、(A)認証外国政府における組織に対して、電気通信プロバイダー等が、この法的手続がなされていることを開示することは、保護命令(2705条)違反にはならないこと、(B)や(C)は、上記の保護命令の規定やコモンローの互譲分析を変更するものではないこと、を述べています。

以下、104条以下は、次のエントリです。

関連記事

  1. 米国における「脆弱性の協調された開示」(CVD) の歴史と現在
  2. eIDASのレビュープロセスからeIDAS2.0への途
  3. TTX(テーブル・トップ・エクササイズ)のすすめ
  4. アトリビューション-サイバー攻撃 名指し「反撃」
  5. 公表前の脆弱性の報道を考える
  6. 政府、サイバー被害の深刻度指標 対抗措置の判断基準に
  7. 法律の報告書の書き方-「斬新な」LINE事件最終報告書を読む
  8. CyCon2017 travel memo 2) Day -1
PAGE TOP