CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下)

CLOUD法の条文をみてきました。果たして、この法が、「政府は企業が保有する個人情報を容易にアクセス可能に」するための法なのでしょうか。私には、到底、そのように思えません。

法の骨格としては、有線ないし電子通信の内容を求める法的プロセスに関しては、105条において、外国の法的手続を米国の立場から検討して、一定のレベルを満たしている場合には、行政協定を締結することによって認証して、その外国の一定の命令を、米国の国内法のもとでも効力を有するものとして、プロバイダに対して、保存、開示等の義務を課すというものだと理解しています(103条(a))。

ここで、気がついたいくつかの点についてコメントしていきましょう。

(1)有線ないし電子通信の「内容」を求める
(2)命令と国内法の矛盾
(3)データへのアクセスと執行管轄
(4)行政協定
(5)外国の命令の効力

(1)有線ないし電子通信の「内容」を求める

私が、「通信の秘密」の数奇な運命で指摘したポイントになりますが、「通信」に関する構成要素は、大きくわけて、内容と通信データ部分があるわけで、CLOUD法は、その内容に関する外国の命令についての取り扱いに関する規定になります。
日本だと、令状(court warrant)によって求めるのは、当然だろうと思っている人がおおいわけですが、通信に対するデータへのアクセスについては法執行機関の命令(裁判所の関与なし)による場合もあったりします。
米国でも、通信データ部分については、裁判所の提出命令(subpoena)だったりします。英国は、法執行機関、情報機関その他が、独自に命令を執行可能です。あと、行政命令という立て付けの国もあったはずです。

これらに対して、発令国が、海外のプロバイダに対して、提出を命令した場合に、その命令の米国内の効力が、どうなるの?というのがメインの論点になるかとおもいます。そんな命令は主権侵害でしょ、だす発令国のほうがおかしいじゃん、かというと、そうとはいえないわけで、プロバイダが発令国に(営業)主体をもっていれば、その主体に対して、提出しなさい(保存場所をとわない)というのは、当然のように思えます。(MS事件が、この発令国・データ所在国が逆の場合)

(2)命令と国内法の矛盾
この場合に、海外発令の命令に従う場合の免責効力(104条)がないと、マークリッチ事件(裁判所侮辱とスイスの預金者保護の矛盾が発生した事件)のようなことになります。要は、提出に応じると米国で、個人情報漏洩だといわれて刑事罰、提出しないと、発令国で、裁判所侮辱です。(類似の事案として、Nova Scotia事件とかもあり、これも別のエントリでふれるべき事案ですね)

ちなみに、105条は、内容という文言がなくなっていたりして、解釈的には、どうなんだろうかと考えたりもするところです。
データに外国の法執行機関がアクセスしたとして、それに対して、このCLOUD法は、それを米国の執行管轄(主権)の侵害と考えるのだろうか、何か、語っているのだろうかという論点があります。

(3)データへのアクセスと執行管轄
一国の国の内部で保存されているデータについて、そのデータのアクセス管理権限について、管理者の意図に反してアクセスすることは、執行管轄権(主権)の侵害になるのか、という論点があります。この点については、ブダペスト条約(サイバー犯罪条約)の制定の際に、議論がもっとも白熱したところです。(クラウドなので、場所が特定できないというツッコミはなしで-ただ、)。
この点については、マリア博士の博士論文を紹介したところにも関連します。基本的には、主権侵害と解する立場のほうが多いです。わが国では、国外保存がわかったら、捜査はしないというのが実務ですね。

この論点は、実は、いま、またホットになりつつあるような気がします。「アクティブ防衛」という用語のもとに海外における証拠の直接取得が議論になりつつあります。オランダ政府は、法執行機関における海外の所在不明のクラウド上の証拠取得を認めていたりします。このCLOUD法は、(なんらの認証行為をへていない段階においては、)それを米国の執行管轄(主権)の侵害としているように思えます。

あと、この論点を聞くと、実務家だと、証拠開示手続のコモンロー国とシビルロー国の対立を思い出します。米国は、外国の手続に関連して、地方裁判所が、ディスカバリ命令を発令するかという点についての争いがあって、いわゆるインテル基準によって多判断がなされているということもあります(この点については、また、別のエントリで、ふれます)。

(4)行政協定

そもそも、日本の枠組みでいえば、刑事に関しての相互共助になります。刑事共助とは、「一般に、外国の刑事事件の捜査、訴追
等に必要な証拠(証言、供述、物件等)が自国にある場合に、当該外国の要請により、当該外国の捜査当局に代わってこれらの証拠を取得し、提供することなど、刑事分野における国家間の協力」をいいます。

この点については、この「欧州 27 か国への刑事共助ネットワークの拡大 ~日・EU刑事共助協定~」が資料としてわかりやすいです。

でもって、わが国の枠組みとしては、
ア)刑事共助条約を締結していれば、その条約に基づいて。
イ)締結していない場合については、原則として、外交ルートを通じて国際礼譲による捜査共助を要請
ウ)日本政府が、外国の刑事事件の捜査に必要な証拠の提供等について外国政府から協力を求められた場合、「国際捜査共助等に関する法律」に基づき捜査共助を実施し得る
ということになっています。

わが国では、条約もしくは、外交ルートが、このような刑事捜査の枠組みであるのに対して、CLOUD法は、行政協定での命令の効力を認めるということになります。保存されたデータへのアクセスが、国民の権利義務に関するものであるとすれば、行政協定で、自動的に、外国の命令に効力を認めるというのは、なかなか理解しがたいところかとおもいますが、第三者にゆだねられているデータというのは、プライバシの「合理的期待」としては、低いし、そのレベルを決めるのは、法的な権利義務の問題とはいわないとすれば、行政協定ということになるのかもしれません。難しいところです。

(5)外国の命令の効力

この外国の命令の効力が、アメリカ国内でも認められるということは、法的には、その提出によって他の法的義務の不履行に対する抗弁となりうるということと、発令国において、不履行に対する制裁が、アメリカにおいても正当なものとして認識されるということになりそうです。

また、当然ですが、そのような命令をもとに、米国内で、外国命令を執行しようとしても、その執行行為は、米国における主権を侵害するものではない、ということになるかとおもいます。

この帰結になってきますが、たとえば、米国内のプロバイダに名誉棄損の証拠が存在している場合に、被害者が、被害届けを提出し、法執行機関が、その被害者の居住国のプロバイダの現地法人に対して令状や開示命令をもとめた場合に、その国の司法機関は、米国に所在するデータに対して開示する旨の命令を発令することは実益としても存在するということになってきます。
この発令国と米国とで、認定される行政協定が締結されていれば、その命令が直接に米国で執行されうるということになります。
(プロバイダーに対して命令が行われる)

将来的には、発令国において、その命令の行為が、海外に対して、一定の手続のともに、直接に証拠取得をなす行為が許容されているような場合については、そのような行為(たとえば、侵害行為に対して、追跡の上、盗まれたドキュメントにビーコンを埋め込んで追跡するような行為)が許容されていれば、米国におけるデータに対してのアクセスも許容されるということになりそうです。そのような法的枠組みが行政協定として認証されるのか、という問題はありそうですが、このような発展性のある法であるということは認識しておくべきだろうとおもわれます。

ということで、かなりの難問であり、またた、米国における捜査と開示の実務については、まったく実務の感覚がないのにかかわらず、分析するのは、極めて困難ですが、分析としては、このようになるのかなというところです。

関連記事

  1. 脆弱性と債務不履行(東京地裁 平30.10.26)
  2. 民間衛星の攻撃対象性・攻撃の条件・民間による正当防衛の可否(武力…
  3. ENISA「サプライチェーン攻撃の脅威状況」を読む
  4. RFC9116 セキュリティ脆弱性開示支援のためのファイルフォー…
  5. eIDASのレビュープロセスからeIDAS2.0への途
  6. CyConX travel report Day Three
  7. CyConX travel report Day Two Due…
  8. Think before you link-化学会社の営業秘密漏…
PAGE TOP