あなたのクラウド会社がどこにあるか教えてくれれば、どのような個人情報保護法に準拠しなければならないかを教えます。

Takashi Ochiai
1 読む時間
火曜日, 1月 5, 2021

企業や顧客が大容量データをどこの会社に保管するかを選択する際には、サービスの価格やデータのメンテナンス条件、さらにはどこに保管するのかを見なければなりません。その情報を取り巻くプライバシーを決める一面が、クラウドストレージを提供する企業の原点となる。また、データセンターを設置している国や地域も。

クラウドでデータをホスティングしている企業の世界三大市場である米国、欧州連合（EU）、中国では、当然のことながら規制が大きく異なります。そして、地理学は、大量のプライベートデータを扱う一部の企業の新たなセールスポイントとして広く利用されています。

具体的には、有料サービスでプロの顧客に提供している企業があり、データの保存先を選択できるようになっています。サービスの付加価値。この例は、Zoom ビデオ通話アプリケーションで見ることができます。

Zoomは4月、有料の顧客がデータをどの地域に転送するかを直接選択できるようにすることを発表した。彼らは8つの選択肢を与えた。米国、カナダ、ヨーロッパ、インド、オーストラリア、中国、中南米、日本/香港。無料のユーザーは選べません。

同社のCEOであるエリック・ユアン氏は、無料の顧客データであっても、経営者の母国であり、後述するようにビッグデータの規制があまり明確ではない中国を通過することはないだろうと述べた。

一方で、別の戦略では、また、地理に応じて顧客に追加サービスを提供したいマイクロソフトがあります。レッドモンドの会社は、そのウェブサイト上で説明しているように、ユーザーがAzureで選ぶための情報を得るためのオプションを提供しているディレクトリを持っています。“基準への準拠から抵抗特性まで、彼らのニーズに最も適した地理”。そのためには、Azureがデータセンターを持っている場所（国や地域）を選択して、他の場所の法規制と比較することができるサービスがあります。

欧州では、欧州にしかデータセンターを持たない同大陸生まれのOVHcloud社などは、「データ主権を強く意識する」ことの重要性を繰り返し、欧州のデータ保護法は世界の他の地域に比べてプライバシーの面で厳しいことを忘れないようにすることに営業戦略の一部を集中している。

OVHcloudは、正確には、クラウドでのサービスを促進するために地理的、法的側面を強調するGAIA-Xプロジェクトを立ち上げるために、地域の他のヨーロッパの企業や公共団体に参加しています。

今、問題になっているのは、米国、中国、欧州連合の立法の特徴は何かということである。

アメリカの愛国者法とクラウド法

2018年3月23日、アメリカは「クラウド法」を可決し、現在も施行されています。Foreign Use of Data Act」（これが規制の正式名称）により、ワシントン政府はアメリカのプロバイダーがホストするあらゆるデータにアクセスできるようになっています。国家安全保障上の理由が主張されなければならず、裁判官はこの要求が正しいことを認めなければならない。

ここで最も関連しているのは、地方警察から連邦政府機関まで、米国の当局がテクノロジー企業に、自社が扱うユーザーや企業のデータを求める権利を持っているという点だ。

当局が要求する権利を持つこのデータは、米国内のクラウドと外国にある米国企業のクラウドの両方に保存することができます。しかし、米国当局が求めることができないのは、米国外にある他国の企業からのこのような情報である。

具体的には、企業が欧州で事業を展開しているが、米国企業グループの一部である場合、この法律が適用されます。これは、親会社とその子会社がワシントン州で規制の対象となることが規定されているからです。欧州企業が米国にデータセンターを持っている場合は、この法律も適用されます。

このクラウド法は、数年前にドナルド・トランプ氏が発表した一般予算の中で、ほとんど宣伝もせずに可決されました。この点では、アメリカの国の政権交代がどうなるのか、見ものですね。

同時に、同じテーマで非常に議論の多いもう一つの法律が古いもので、愛国者法と呼ばれていることを覚えておかなければなりません。

ジョー・バイデンはクラウド法について発言していないし、少なくとも2018年のこの法律では民主党についての言及は見られない。しかし、彼は愛国者法について語っている。ツインタワー攻撃の後、ジョー・バイデンはこの法律を擁護して賛成票を投じた。だから、すべては今のままでいいということを指し示しているのです。

この愛国者法は、テロ事件の際に大統領により多くの権限を与えるものであり、その大きな論争の一つは、法のタイトルIIである。テクノロジーを活用した「監視強化手続き」の実施について語っています。

企業のお客様は、この規制を気にする必要はないかもしれません。先験的にテロと関係がなければ影響はない。問題は、近年起こっているように、当局がどのようにルールを使い分けているかにある。

愛国者法は、政府機関に監視力を与えた（例えば、彼らの主な動機の一つが「情報」である限り、盗聴を命じることができた）。また、FBIが適切に認定した場合にのみリクエストを承認し、拒否することができないようになった裁判官からも権力を奪いました。

また、何の疑いも持たれていないユーザーの通信からメタデータを収集する可能性を持つ大規模なサイバーサーベイランスに自由な権限を与えるセクション214も含まれていました。複数の議員が、オバマ政権のこの法律の「自由な解釈」がデータ収集に利用されていたと公に主張している。

そんな中で2013年に勃発した大スキャンダル「PRISM」は、エドワード・スノーデンがNSAが世界中の市民をスパイするために技術を使っていたことを明らかにしたものでした。また、グーグルやヤフーなどの企業のデータセンターに保存されている情報にアクセスしていたことも明らかになった。

欧州連合でホスティングされているデータの状況

欧州連合では、もともと欧州系の企業は、一般データ保護規則の法律の対象となります。このため、この地域のどこかの国にデータセンターを持つ旧大陸の大規模なデータストレージ企業は、通常、この側面にマーケティングを重点的に行っています。

欧州では、GAIA-X構想の推進に向けた作業が進められています。このプラットフォームは、欧州の官民アクターの連合によって作られました。冒頭で見たように、データストレージの主要5社のうち、欧州系は1社もありません。この組合は、地域内でのデジタル主権の強化を目指しています。Gaia-Xは、ベルギーを拠点に2021年初頭には完全に運用を開始する予定です。

GAIA-Xは、22の企業・団体（ドイツ11社、フランス11社）と、これらの国の政府によって設立されました。そして、今では他にも様々な国の企業が進出しています。スペインではアマデウスとギガスが目立ちます。アマデウスの知財部長は「新しい油はデータであり、企業はデータを出したがらない」と断言している。このイニシアチブのリーダーは、ティエリー・ブルトン欧州内部市場担当委員である。

この取り組みは、EU市民と企業のデータ主権に関するブリュッセルの言説に沿ったものです。マルグレット・ヴェスタガー欧州委員会競争担当委員は、最近の公の演説の中で、「社会市場経済を維持するためには、デジタルの未来を形作る重要な決定が欧州の民主主義の中で行われることを保証することが不可欠である」という考えをよく語っています。

最近、関係者が口にしたこれらの言葉は、欧州のユーザーの間で大きな力を持っている企業に一定の制限をかけるという考えを正当化するためのものだ。また、地域技術の活用を促すためにも。

一般的なデータ保護規制は、アメリカに存在する法律よりも、プライバシーの観点から見てもかなり厳しいものになっています。しかし、そうはいっても、この地域では、テロが起きた場合にクラウドにホストされているデータやメッセージングツールの会話にアクセスするという選択肢も検討されてきた歴史があります。

実際、フランスとドイツは過去にこのような要望に積極的に対応してきました。

ヨーロッパでは、この市場に最も魅力を感じているのは北欧諸国です。温度が低く、エネルギーが安く、安定した経済成長を遂げているデンマーク、フィンランド、ノルウェー、スウェーデンは、新しいデータセンターを開設したいと考えている企業にとって興味深い場所となっています。

中国でのデータホスティング：情報の少ない規制

中国のインターネット・サイバーセキュリティ法は2017年6月1日に導入され、その新しいデータ保護法は約3年の開発期間を経て発表されました。

ここで関連するいわゆるCSLのポイントの一つは、中国のネットワーク事業者が収集・生成した「個人情報」や「重要データ」は、そのアジアの国に保管しなければならないということです。

一般的には、具体的な規制情報はあまりありません。マイクロソフトの詳細によると、中華人民共和国のサイバーセキュリティ法は、ネットワークセキュリティと国内のサイバー空間での活動を規定しており、ネットワークのセキュリティを保護し、違法行為を防止し、ネットワークデータの機密性を維持するために、ネットワーク事業者自身が適切な措置を講じることを要求しているという。

同時に、情報インフラ事業者は「製品やサービスの調達や国境を越えたデータの受け渡しについて特別な要件が課せられる」としている。

これは、マイクロソフトが提供した情報によると、中華人民共和国内のオペレーターが生成または収集した「個人情報」と「重要データ」は国内に保管しなければならず、国外へのデータ転送は政府の承認が必要となることを意味します。