LuckyOceanのブログ

新米技術士の成長ブログ

米国のCLOUD法をご存知ですか?

はじめに
CLOUDをご存知ですか?とIT担当に聞くと「もちろん」という答えが返ってくるだろう。でも、標記のような米国のCLOUD法をご存知ですか?と聞いたら、一体どの程度の人が「知っているよ」と答えるのだろう。

CLOUD法とは
CLOUD法とは、「The Clarifying Lawful Overseas Use of Data Act」の略だ。日本の新聞で報道されたかどうかをGoogleで検索してみたが、朝日新聞でも、毎日新聞でも、日本経済新聞でもヒットがなかった。テレビでも聞いたことがない。Wikiで調べてみるが、日本語のWikiには記載がなく、英語のWikiだ。どうもわかりにくいが、別の文献を調べると次のような解説があった。CLOUD法は、米国議会で投票されたことはなく、レビューさえもされなかったが、1兆3000億ドルの法案の2,232ページ中の2,201ページ目に潜り込ませ、まとめて投票されて、採決された。CLOUD法は、米国政府職員があなたのデータを入手する方法を変える。米国と外国の政府は、令状なしでデータを要求する機会を与える。
 出典:vpnmento(参考1)

CLOUD法が制定された背景
現在の米国の法律では、政府が民間企業にデータの提出を求めても拒否することができる。事実、数年前に、米国政府がマイクロソフトに対して、アイルランドのサーバーに保管されているデータの開示を要求し、召喚した。しかし、マイクロソフトは、サーバーの保管場所は米国ではないと主張して、情報の提供を拒否した。しかし、新しいこのCLOUD法では、米国政府は令状を必要とせず、マイクロソフトは要求に従ってデータを引き渡す義務を追う。

CLOUD法の特徴
1)データがどこに格納されているかにかかわらず、「警察または連邦政府機関から連邦政府機関まで、あらゆる有線または電子通信の内容と記録またはその他の情報」にアクセスすることが許可される。同社が米国に拠点を置くのであれば、たとえサーバーが外国にいるとしても、データを引き継ぐことになる。
2)米国の大統領は、他国と「執行協定」を締結し、正当な手続なしに、米国外に保管されたデータにアクセスできる。

米国自由人権協会(ACLU)は反対
ACLUとは、主に米権利章典で保証されている言論の自由を守ることを目的とした活動をしていて、米国で最も影響力のあるNGO団体の一つという。そのACLUは、CLOUD法に関する合同文書として、次のような理由から反対だと発表した。
1) 外国政府が米国の法律に準拠していない基準で米国の土壌を盗聴できるようにすること。
2) 執行部に、人権に関する人権記録を有する場合を含む、議会の承認なしに外国の協定を締結する権限を与える。
3) 外国政府が憲法上の基準を満たさずに米国の個人に関係する情報を入手することを許可する。
4) 外国政府が拷問のような人権侵害を行うために使用される情報へのアクセスを促進する可能性がある。
 出典:aclu.org(参考2)

主要テクノロジー会社は支援
不思議なのは、米政府に対するデータの開示を拒否してきたマイクロソフトやアップル、グーグルなどの企業が同法案に賛成している点だ。米国憲法の主旨を踏まえて拒否したのではなく、訴訟を恐れて拒否したが、CLOUD法では訴訟のリスクが回避されるからなのだろうか。同法案に賛成する立場のアップル、フェイスブック、グーグル、マイクロソフトOath各社はCLOUD法を支持する合同文書を発表した。その要旨は次の通りだ。つまり、ユーザの保護を訴えつつも、訴訟が回避できる点で賛成していると読める。

新CLOUD法は、増加するコンセンサスを支持し、世界中のインターネットユーザーを保護し、データへの国境を越えるアクセスを管理するためのソリューションを提供する。この法の導入は、個人のプライバシー権を強化し、保護する重要な一歩であり、国際法の抵触を減らし、私たちをより安全に保つ。CLOUD法は、米国政府が顧客をより良く保護する他の国々との現代的な二国間協定を締結するための具体的な道筋を作り出すだろう。重要なことに、法律は、国が契約を締結するために、基準プライバシー、人権、法律の規則を要求する。顧客およびデータ所有者は、自らの法律によって保護される。この法律は、国際法的紛争を回避する形で法執行機関が国境を越えた犯罪やテロを調査することを可能にする。CLOUD法は外交的対話を奨励するが、消費者を保護し、発生した場合には法の抵触を解決するために技術部門に2つの明確な法的権利を与える。この法律は、法的要求によって住民が関与する場合に外国政府に通知する仕組みを提供し、必要に応じて直接的な法的挑戦を開始する。私たちは常に訴訟ではなく対話と法律が最善のアプローチであると強調してきた。制定されれば、CLOUD法は消費者の権利を守り、法律の抵触を減らす。我々はこの妥協案を支持する。
 出典:aclu.org(参考2)

新CLOUD法への対処方針
米国では、この新CLOUD法に大統領がサインしたため、猛烈な危機感で議論が噴出しているという。CLOUD法に対する6つの対処法までネットで開示されていた。これによると次の6つがアドバイスされている。
1) 常にVPNを使用する
VPNを使用すればIPアドレスを隠せるのでオンラインプライバシーを保護できる。さまざまなセキュリティプロトコルを使用してデータを暗号化する。ただし、一部のVPNにはリークプロテクションや厳密なゼロロギングポリシーがある。
2) Facebookを削除する
最近8,700万人を超えるFacebook(FB)ユーザーが個人情報を不適切に共有しているとの報告があった。FBのデータは、容疑者を捜す法執行官の金鉱山だ。好きなもの、友だち、グループ、チャット、投稿を証拠として使える。唯一の解決策は、ソーシャルメディアを離れ、FBアカウントをできるだけ早く削除することだ。
3) Dropboxを取り除く
DropBoxは過去数年間、重大なセキュリティ侵害に悩まされてきた。プライバシーを大切にしたければ、SpiderOakにアカウントを作成すべきだ。これはEdward Snowden以外の誰にも裏付けされない。サーバーを切り替える場合でも、ファイルはすべて暗号化され、ユーザーのみがファイルのロックを解除するためにキーを制御する。
4) クラウドストレージを避ける
(CLOUD法ではなく)いわゆるクラウドはどこでもいつでも複数のデバイスでファイルに簡単にアクセスできます。しかし、ドキュメント、写真、個人データを複数のサーバーでアクセスできるため、新しいCLOUD法では、法執行機関は令状を要求することなくその情報を入手できる。クラウドを使用する必要がある場合は、エンドツーエンドの暗号化を含むTresoritのようなサービスを見つけるか、ローカルディスクに暗号化されたバックアップを作成するVeraCryptの利用を勧める。
5) あなたのGmailアカウントをProtonMailに置き換える
あなたの全ての電子メールは、政府に引き渡されます。これは、Gmail、Yahooメール、または他の主要な無料メールサービスを使用する場合に起こりえる。ProtonMailは完全に匿名で、アカウントを作成するために必要な個人情報はない。彼らはIPアドレスを保存せず、すべての電子メールアドレスはエンドツーエンドの暗号化で暗号化される。
6) Google検索を避ける
Googleは、MicrosoftAppleFacebookとともにCLOUD法の支持者だ。つまり、Googleはあなた自身よりも、あなた自身を知っているでしょう。
 出典:vpnmentor.com(参考1)

まとめ
CLOUD法が制定されたことすら知らない、知らされていないという点がまず問題だろう。私もGメールをゴミメールの受け皿として利用しているが、米政府は米国外のメールの内容もチェックできるのは、驚異だ。大好きなAppleもこれに賛同しているのでiCloudも例外ではない。vpnmetorがアドバイスするような自衛策を講じるしか方法はないのだろうか。

参考1:https://www.vpnmentor.com/blog/6-ways-to-protect-yourself-from-the-cloud-act/
参考2:https://www.aclu.org/letter/coalition-letter-cloud-act