なぜアップルは、メンバーではないのか-政府による「適法なアクセス」と「信頼できるクラウド原則」について

ホーム
クラウド, サイバー犯罪, 情報セキュリティ, 通信の秘密, 電気通信法
なぜアップルは、メンバーではないのか-政府による「適法なアクセス」と「信頼できるクラウド原則」について

なぜアップルは、メンバーではないのか-政府による「適法なアクセス」と「信頼できるクラウド原則」について

「信頼できるクラウド原則」(Trusted Cloud Principles)が公表されています。ページはこちら。

世界中の企業は、イノベーションを推進し、セキュリティを向上させ、新しいデジタル経済の中で競争力を維持するために、クラウド技術を導入しています。私たちはクラウドサービスプロバイダーとして、国境を越えて利用されるサービスやインフラを運用することで、あらゆる規模の企業、公共団体、非営利団体などの組織をサポートしています。

として、

前文部分

個人および組織の安全、セキュリティ、プライバシー、および経済的活力の保護

が政府の利益であることをうたっています。安全(safety)とセキュリティについては、「ＩｏＴの脆弱性と安全基準との法的な関係」などでふれています。

国際人権法がプライバシーの権利(right to privacy)を大事(enshrine)にしている

とされています。人権に関する国際法は、国連憲章、世界人権宣言、慣習国際人権法、人権条約などを法源とします。

世界人権宣言は、12条で

何人も、自己の私事(privacy)、家族、家庭若しくは通信(correspondence)に対して、ほしいままに干渉され、又は名誉及び信用に対して攻撃を受けることはない。人はすべて、このような干渉又は攻撃に対して法の保護を受ける権利を有する。

と定めていますね。

国際人気規約ですと、市民的及び政治的権利に関する国際規約（B規約）になります。17条

第十七条1　何人も、その私生活、家族、住居若しくは通信に対して恣意的に若しくは不法に干渉され又は名誉及び信用を不法に攻撃されない。

2　すべての者は、1の干渉又は攻撃に対する法律の保護を受ける権利を有する。

とされています。が、これらの規定のプライバシーは、遠隔通信におけるデータ保護の趣旨とは別になります。なので、意思伝達における通信内容に対する干渉の禁止、通信データの不合理な利用の禁止あたりに関する規定は、欧州人権条約（ヨーロッパにおける人権および基本的自由の保護のための条約になると思われます。

同条約8条1項において、「プライベートと家族生活の尊重の権利（Right to respect for private and family life）」について「何人も、プライベートと家族生活、家庭と通信を尊重される権利を有する（ Everyone has the right to respect for his private and family life, his home and his correspondence.）」であるとプライバシーについて述べています。

また、個人データの保護が、欧州連合基本権憲章（2012/C326/02）において明文で保障されています。EU基本権憲章第8条1項では、「何人も自己に関する個人データの保護に対する権利を有する」と規定されており、欧州連合機能条約第16条1項においても同様の規定があります。

国際的に認知されている法の支配と人権基準を遵守する透明なプロセスを通じて、政府がデータを要求できるようにする法律を支持します。

これは、政府による「適法なアクセス(Lawful Access)」の権限についての明確な立場を明らかにしています。政府は、法執行や外国諜報のために、まさに

法の支配と人権基準を遵守する透明なプロセス

のもとで、遠隔通信に関する通信データに対する合理的なアクセスの権限/通信内容に対するアクセスの権限を有しています(本エントリで、法執行による場合と外国諜報による場合をあわせて「適法なアクセス」といいます)。そして、通信のプライバシーと法執行の衝突の観点から暗号の解読の問題が議論されてきました。まるちゃんのブログで

Appleの名前は見えませんね。。。

とありますが、Appleは、あくまでも犯罪の証拠収集のためでも政府には協力しないポリシーなので、この条項があるかぎり、参加できないということではないかと推測します

データアクセス、プライバシー、主権(sovereignty)に関連する相反する(conflicting laws)した法を解決するための国際的な法的フレームワークを支持します。

まず、ここで、「データアクセス、プライバシー、主権(sovereignty)に関連する相反する(conflicting laws)した法」関係を見る必要があります。これ図解すると、以下のようになると考えられます。

これは、通信当事者AとBが、犯罪に関する通信をおこなっているとします。犯罪者であることから、通信に関するプライバシーの期待が全く失われるわけではありません。しかしながら、我が国の法執行機関は、その通信の保存されたデータをコントロールしているプロバイダ(キーボードの図-国内所在)に対して、捜索押収令状でもって、その提出を求めます。しかしながら、そのデータは、欧州の域内の国Cで保存されていたとしてます。

我が国は、その国内の司法という重大な活動に関して、プロバイダに対して、令状を執行しうるわけです(データアクセス)。しかしながら、その一方で、欧州のC国も、その領土内で保存されているデータに対して、他国からの干渉を許さないという意味で主権を有します。ここで、まさに「相反する (conflict)」という状況が発生します。

この状況を乗り越えようとするのが、CLOUD法などの努力ということになります。

あと、「国内および国際レベルでの規則や規制の改善」「透明性レポートを定期的に発表することの重要性」については、とくにコメントする必要はないかと思います。

原則について

個々の原則を見る前に、いわゆるマイクロソフト対アメリカ合衆国事件(Microsoft Corp. vs. United States, 829 F.3d 197 (2016)等)を具体例としてみたいと思います。この事件は、麻薬捜査に関連してStored Communications Act(SCA)に基づいてMicrosoft に対して電子メールサービスのユーザーに関するデータやユーザーが送受信したメッセージの内容などの開示を要求する捜査令状が発付されたものです。この事案において、データ自体は、マイクロソフト社の管理するアイルランドのサーバーに保存されていました。マイクロソフト社は、これに従わなかったので、民事裁判所侮辱であるとして、制裁が課されました。これに対して、マイクロソフト社は、令状の破棄および民事裁判所侮辱への異議を申し述べました。
治安判事および連邦地裁の判断は、ともに、押収令状を発布して、マイクロソフト社からの異議を却下するものであった。これに対して第2連邦高等裁判所(2016年7月15日)は、

保存通信法2703条は、裁判所に対して、排他的に海外に保存されている顧客の電子メールの米国ベースのプロバイダへの押収令状を発行し、執行する権限をもたない。

としました。結局、米国においてCLOUD法が成立して、マイクロソフト社は、データを提出することが解決したという事件です。このCLOD法に関しては、「CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか？(上)」などのエントリがあります。

でもって、個々の原則をみてみましょう。

1 各国政府は、限られた例外を除いて、まず顧客と関わるべきである。

上の事件でいえば、麻薬捜査なので、まずは、被疑者から、同意を得て、データの任意提出を受けてくださいね、ということなのだろうと思います。世間を騒がすような事案は、例外だとしても、任意提出で済む問題に対して、クラウドプロバイダーを巻き込まないでくださいね、ということなのだろうと思います。顧客のプライバシーを守らなければならないということから、いつも、裁判所命令に異議をを申し立てる回数を減らしてくださいね、ということかな、と思ったりします。

2 顧客は通知を受ける権利を持つべきである。

米国の保存通信法の体系のもとでいえば、法執行のための適法なアクセスについては、提出命令、電気通信プライバシー法2703(d) 裁判所命令、捜索令状[§ 2703(c)(2)]でしめされているのですが、捜索令状や通知ありの提出命令などによって、政府の適法なアクセスが許されているところです。しかしながら、外国諜報に関しては、このような通信当事者のための通知というのは、保障されていません。

FBIは、国家安全に関わる捜査に関して国家安全書簡(Natioanl Security Letter、以下、NSLという)を発出することができます。

このNSLは、FBIが、第三者から限定されたタイプの情報を事前の司法審査なしで、取得できる書簡であって、一般にその書簡の存在を明らかにすることを禁じる自動的Gag order(ギャグ命令)（箝口令）とともに送付されます。このNSLは、合衆国法典18巻2709条（電子通信プライバシ法）に根拠を有するものです。

同条は、(a)で提供義務（電信または電子通信サービス提供者は、本項(b)に基づき連邦捜査局長が保管または保有する加入者情報、料金請求記録情報、または電子通信取引記録の要求に従わなければならない）を負わせるとともに、(c)で特定の開示の禁止（要請を受けた有線または電子通信サービスプロバイダ等は、連邦捜査局が本項に基づく情報または記録へのアクセスを求めた、または得たことを誰に対しても開示してはならない）を定めています。同条は、この非開示部分について、司法審査の対象となることを定めています（同（d））。

このNSLに関する法的事件としては、以下のようなものがあります。

American Civil Liberties Union v. Ashcroft事件は、2004年4月に提起された非開示のISP（後に、Calyx Internet Accessと明らかにされた）と連邦政府との間における非開示命令の合衆国憲法第一修正条項への適合性をめぐる訴訟です。

Doe v. Ashcroft, 334 F. Supp. 2d 471 (S.D.N.Y. 2004)判決は、上記（当時の）2709条が第1修正条項および第4修正条項に違反するという判断をしました。その後、議会が2005年に米国愛国者改良および再認可法（前述）を制定することとなった。

EFFは、2013年3月14日に、NSLについて、開示禁止命令の停止命令を取得しました。その一方で、NSLに従うべきであるという命令もなされており、これらが控訴されていました。

その後、NSLに関する制定法を改正するUSA FREEDOM Actが2015年に議会を通過しました。2016年3月には、この改正法におけるNSLは、憲法に反するものではないという決定がなされています。もっとも、FBIは、この事件のうちひとつについて、非開示にしうる十分な根拠を提供することができませんでした。その結果、2016年11月には、この事件の申立人は、CREDOモバイル社であることを明らかにすることができた。

また、2017年3月には、司法省は、NSLの非開示命令を撤回した。そのために、これらの事件のうち、他の申立人は、クラウドフレア社であることが明らかになった。

同年7月17日には、第9巡回裁判所は、制定法の保護措置は、十分であり、憲法の第一修正条項に反するものではないという意見を明らかにした。
また、前述のEFFは、NSLにたいして、すべて司法審査を要求するようにと非開示命令を受けるサービス事業者に対して呼びかけているとともに、情報自由法に基づいてNSLに関する記録の公開をFBIに求めたが、それに対して応じていないとして、裁判を提起している。

3 クラウドプロバイダーは、顧客の利益を保護する権利を持つべきである。

上の事件をみても、訴えを提起するのは、通信の当事者(John Doe表示ががなされている)である必要があります。それに対して、クラウドプロバイダー自らも当事者適格を有するようにすべきであるというのがこの原則の主張です。上のマイクロソフト事件では、事実上、データを提出しなかったので、裁判所侮辱の適用が問題となったので、その当事者となったわけですが、これは、これできわめて、変則的な紛争であるということがいえるでしょう。

また、この原則のコメントでなされているのですが、「関連するデータ保護当局への通知を含む」ことも考えられるべきではないかと提案しています。「適法なアクセス」は、それ自体、個人データの取扱に関する合法的な根拠となりうるものですが、欧州において、外国諜報目的からする適法なアクセスとデータ保護の規定についての判断がなされていることなども関連した記述と考えられます。この部分については、またの機会にしたいと思います。

4 各国政府は、法の衝突に対処すべきである。

上のマイクロソフト事件の例を見た場合に、一方で、アイルランドのデータ保護コミッショナーが、そのようなデータの提出が個人データ保護規制に違反すると考えたとしましょう(仮定)。この場合には、米国では、裁判所侮辱、アイルランドでは、個人データ保護法違反の制裁の対象ということも十分に考えられる状況になったわけです。

このような法の衝突とでもいうべき事例は、いままでにもありました。

マークリッチ事件(Marc Rich Co Ag Marc Rich Co Ag v. United States739 F2d 834) 提出命令とスイスの銀行の守秘義務との衝突
Nova Scotia 事件(ドラッグの密輸および脱税に関する書面の大陪審から提出要求と銀行の守秘義務に反しており、また、根拠が不十分であるとして争われた事件)

などが古典的な事件です。また、米国においては、広範な民事裁判における開示義務が、とくに欧州のデータ保護規制と衝突を起こす事例が発生しています。

Laydon v. Mizuho Bank, Ltd., 183 F. Supp.3d 409 (S.D.N.Y 2016)事件
Royal Park Investments SA/NV v. HSBC Bank USA, N.A., 2018 WL745994,at *2 (S.D.N.Y. Feb. 6, 2018)
Knight Capital Partners Corp. v. Henkel AG & Co., 290 F. Supp.3d 681, 690-91 (E.D.Mich. 2017)
Republic Tech. LLC v. BBK Tobacco & Foods,LLP, 2017 WL 4287205, at *4-5 (N.D. Ill. Sept. 27, 2017)

ということで、政府の「適法なアクセス」との衝突についてもこれにきちんと対応してほしい、裁判の負担をプロバイダに委ねないでほしいということなのだろうと思います。

5 各国政府は、国境を越えたデータフローを支援する。

国境を越えたデータフローが、イノベーション、効率性、セキュリティの原動力としています。まさに、データのローカル化が、これらの阻害要因になっているのです。クラウドサービスプロバイダについては、データセンターがカスタマの国に物理的に存在する必要があるとされる(データのローカル化-data residency requirementsと表現されています))と、彼らのサービスの効率的な提供に反することになります。その一方で、上記のような「適法なアクセス」がある以上は、各国は、「重要なデータ」について、国内保存を求めることになります。

その意味では、我が国のデータ・フリー・フロー・ウイズ・トラストというコンセプトは、興味深いのだろうと思われます。それでも、対外諜報のリスクについて、どう考えるかという問題は残ってきますし、また、メディアの情感に訴える報道の問題もあります。