駒澤綜合事務所の「おしらせ」でもお伝えしましたが、令和6年4月21日の日経新聞の一面の記事「脆弱クラウド、安保に影」(記事は、こちらから。)に所長の高橋郁夫のコメントが掲載されました。
また、世間では、「ソブリンクラウド」という用語が、飛び交うようになってきています。たとえば、「富士通がソブリンクラウドで米オラクルとの協業を決めた“3つのポイント”」とかの記事とかです。
ここで
「データ主権といったソブリニティへの対応」
という表現があります。Sovereignty(英語)は、国家主権という表現になります。ここで、もう一度、データ主権という用語を考えて、その上で、主権要件というのについて考えてみたいと思います。
1 データ主権の概念を考える
このブログでも、データ主権という用語を取り上げています。
とかが、代表的なものです。これで見たように、国家主権のデータの側面として捉えるのが、データ主権という概念であると考えていいと思います。
あと、国家主権という原則(とルール性)については、
のエントリがあります。
この場合の国家主権て、そもそも何なの?という話になります。これは、上のデータ・ネットワーク主権から見た中国個人情報保護法でもふれておきましたが、
国家主権とは、国家間における独立を意味するもので、地球上の一定の領域において行使して他国やその機能を排除する権能を意味するとされています(パルマス島事件 仲裁判決1928年)。
この国家主権は、領域内における対内的な側面(対内主権(Internal Sovereignty))と対外的な側面(対外主権(External Sovereignty))にわけて論じられます。
対内的な側面というのは、領域内においては、国際的な義務に違反しないかぎりにおいて、国家は、自由に活動をなしうるということを意味します。また、対外的な側面というのは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には拘束されないことをいいます。
となります。
ここで、対内的な側面について考えてみましょう。
領域内においては、国際的な義務に違反しないかぎりにおいて、国家は、自由に活動をなしうる
となります。これは、国家は、その領域内において、自由に活動をなしうるのですから、その領域内の通信を傍受することも「原則」自由であるということになります。ここで、「原則」といったのが、制約の原理が二つあるということになります。
ひとつは国際法の問題であって、「国際的な義務に違反しない限り」においてということです。これについて、外国の通信について、これを傍受することは、国際法の義務に違反するものではないと解されていることが重要です。いわゆるエスピオナージについては、国際法は、具体的な規制をするものではないとされています。
いまひとつは、国内法です。これについては、対外的な諜報活動については、それを担当する組織について国内法の組織的な・権限的な規制のもとで行われるということになります。
これを、図示すると、以下のように表現することができます(再度掲載)。
結局、A国のコントロールするデータについての利益を考える場合に、これをB国内に保存(データの所在場所(記録媒体の場所)が物理的に国内であること)、もしくは、B国に所在する企業がコントロールしている場合(この場合は、裁判所命令の発令がなされうる)には、A国のデータに関する利益が損なわれる可能性が存在するということになります。
これは、B国が、対外的な諜報活動として行う場合には、A国の利益が損なわれる可能性が存在するということになります。また、たとえば、B国として米国を考えてみると、米国においては、 命令がなされた場合のギャグオーダー(箝口令)という制度が存在しています。
日経新聞の記事は、「米国外のデータでも捜査令状に基づいて強制的に徴収する米クラウド法のようなルール」としていますが、前後の文脈からみて、「Foreign Intelligence Surveillance Act of 1978-
外国情報監視法」だろうと思います。
FISAについては、
のエントリで、すこし触れています。
では、このようなリスクがあるとして、A国内だけでの取扱い(およびコントロール主体の存在をも含む)を求めるべきかというのは、これらのリスクの判断ということになります。
この判断は、一義的には、国がなすべきものということになります。経済安保推進法でクラウドプログラム(「インターネットその他の高度情報通信ネットワークを通じて電子計算機(入出力装置を含む。)を他人の情報処理の用に供するシステムに用いるプログラム」)が「特定重要物資」に指定されている(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律施行令・第1条第8号)というのは、そのような判断のひとつの現れでしょう。
「特定重要物資」については、「経済安保のマトリョーシカ-政策・特定重要物資・特定重要技術をめぐる基本指針」のエントリで触れています。
もっとも、国益が侵害されるとか、「ユーザーへの法的責任を問われる」とかいっても、企業としては、よりよいサービスを安価に利用できればいいわけですから、その段階で国益への配慮といってみても仕方がないと思います。実際のスケールや種々のサービスとの利用の可能性などとあわせて、国内サービスが太刀打ちできているのかという問題あります。なので、私のコメントのように
利点と欠点を見極める議論を進める必要がある
ということになるかと思います。
2 データ主権要件とは?
ところで、上のascii.jpの記事(「富士通がソブリンクラウドで米オラクルとの協業を決めた“3つのポイント」)に
EUとは異なり日本ではまだ標準的なソブリン要件が決まっていない状況
という説明がなされています。でもって、EUで、ソブリン要件とか決まっていたっけかなと思ったので調べてみました。
ロイターは、2024年4月4日付けで「EU drops sovereignty requirements in cybersecurity certification scheme, document shows」(サイバーセキュリティ認証スキームから、ソブリン要件を落とした)という記事がありました。
クラウドサービスのためのサイバーセキュリティ認証スキーム(EUCS)というのは、
2.1 サイバーセキュリティ認証スキーム(EUCC)について
この枠組自体は、「サイバーセキュリティ法」(規則(EU) 2019/881(Cybersecurity Act) [参考訳・改訂版]については、http://cyberlaw.la.coocan.jp/Documents/EU%20Regulation%202019%20881%20Translation%20ver%202.pdf ) の3 サイバーセキュリティ認証枠組によって定められている制度であって、
欧州連合レベルで定められ、かつ、個々の ICT製品、ICTサービスまたは ICTプロセス(以下「ICT製品等」という)の認証または適合性評価に適用される規定、技術上の要求事項、標準および手続の包括的なセットのことをいう(同法2条(9))
というものです。
2023年度においては、この認証枠組を整備するプロセスが進行中であり、最新では、2024年1月31日、欧州委員会は、コモンクライテリア(EUCC)に関するEUサイバーセキュリティ認証スキームに関する実施規則(C(2024) 560 final)を採択しています 。
この実施規則は、欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を定めるものであること、本規則は、 EUCCに基づく認証のために提出されるすべての情報通信技術(「ICT」)製品とその文書に適用されることが明らかにされている(1条)。2条は、定義を定めており、EUCCスキームに基づいて実施される評価には、(a) コモンクライテリアと(b) 共通評価方法論の基準が適用されることとしています(3条)。
コモンクライテリアに規定されているように、評価対象の運用環境における欠陥または弱点の潜在的な悪用可能性に対する抵抗力を判断するために実施されたサイバーセキュリティ評価活動の程度を示す保証脆弱性分析レベル(AVA_VAN レベル)において、保証レベルが、1または2に対応するのが、保証レベル(実質-substantial)をカバーする認証書であり、保証レベルが、3、4、5に対応するのが、保証レベル(高)をカバーする認証書です(4条)。また、ICT製品の認証に関して適合性自己評価が認められないこと(6条)が記載されています。
2.2 クラウドサービスのためのサイバーセキュリティ認証スキーム(EUCS)
ところで、クラウドサービスのためのサイバーセキュリティ認証スキーム(EUCS)(European Cybersecurity Certification Scheme for Cloud Services (EUCS))です。
これは、上のEUCCのうちのクラウドサービスについての枠組ということになります。紹介のページはこちらです(2021年6月)。ENISAの(パブリックコメント時)導入のドキュメントは、こちらです(2020年12月)。この枠組については、別に機会があれば、みていきたいと思います。
ENISA報告書は、この段階においては、
最後に、EUCSスキームは、顧客に情報を提供し、顧客が十分な情報を得た上で意思決定できるようにするための技術的ツールである。
そのため、EUCS スキームは、データまたは処理の地理的な場所、または適用される法律について、いかなる制限も課さない。ただし、EUCS は、CSP に対し、この情報を透明化し、EUCS スキームの一部として公開し、理解できるようにすることを求めている。EUCS スキームは、データまたは処理の地理的な場所、または適用される法律の制限を強制しない。
としていました。
また、要件としては、PSS-05 データ取扱および保存の場所 において、カスタマーの指定ができるようにすること(PSS-05.1)、プロバイダーの場所についての確約が、サービス・アーキテクチャアにより執行されること(同05.2)とされています。
その後、ENISAのドラフトによると「高」(レベル3)において、データの場所要件を求めていたようです。
それでは、さすがに広いということになって2023年8月に、ENISAのドラフトが、非EUクラウドプロバイダーの提供するクラウドの(認証レベル「高以上」”high+”)要件を明らかにして、それを「高以上」のカテゴリに限定してきます。この点についてのスカデンの記事はこちら。このドラフトは、Politicoによってリークされたものです。(ですが、リークされたのが見つかりませんでした)。
「高以上」は、
ミッションクリティカルなデータおよびシステムであって、(i) 社会の基本的利益に関連するもの、または特にセンシティブな個人データもしくは非個人データを処理するもの、(ii) 侵害された場合、公序良俗、公共の安全、人命もしくは健康、または知的財産権の保護に対する脅威をもたらす可能性が高いもの。
のサービスに適用されるものです。
この認証スキームについて、上述のロイターの記事によると
昨年EU各国政府に配布された草案では、米国のハイテク企業がEUのサイバーセキュリティー・ラベルを受けるには、EUに拠点を置く企業と合弁会社を設立し、EU域内で顧客データを保管・処理することが条件となっていた。
このようないわゆる主権要件は、欧州の銀行、決済機関、保険グループ、および一部の新興企業から批判を巻き起こし、政治的・主権的な義務よりも技術的な規定を優先させるべきだとした。
ということだそうです。この記事が、2023年8月にリークされる前の提案をさしているのか、後の案を提案しているのかは、不明確です。しかしながら、このような「主権要件」は、手放しで、望ましいといえるものではないことに留意すべきだと思います。
さらに、Politicoは、2024年4月3日の記事で「Document: EU capitals to ditch ‘sovereignty requirements’ in cloud cybersecurity label」 (ドキュメント EU各国、クラウド・サイバーセキュリティのラベルにおける「主権要件」を廃止へ)で、EUが、データ主権要件を定めた規定を削除したことを報告しています。(というか、有料版は、読めていないのですが、タイトルからそのような記事に見えます)
私の日経新聞コメントが
利点と欠点を見極める議論をする必要がある
としていて、主権要件を、いけてる議論としていないのは、そのような文脈で理解してもらいたいと思います。一定のサービスに、そのような要件を求めることは不当ではないとしても、おおよそ、このレベルには、この要件というのは、おおざっぱすぎるだろうという感じです。また、従って、
EUとは異なり日本ではまだ標準的なソブリン要件が決まっていない状況
というのは、
発言者の勘違い
であったということでいいのだろうと思います。
