更新、2018年3月26日午後12時20分(太平洋標準時):トランプ大統領は、金曜日に(CLOUD法とは無関係の理由で)最初に拒否権を発動すると警告した後、包括支出法案に署名した。
デジタル権利団体であるEPICは、現在最高裁判所で審理中のMicrosoft対アイルランドの関連訴訟において、アミカス・ブリーフを提出しました。EPICは、法執行機関による外国に保管されているデータへのアクセスは、国際的な合意に基づき、人権規範を遵守して行われるべきだと考えています。多くの団体が、個人データに対する強力な国際的なプライバシー保護を確立するマドリッド・プライバシー宣言を支持しています。
多くの批判と論争にもかかわらず、ようやく外国情報監視法(FISA)の更新と延長が可能になった後、議会はわずか数か月後に、海外での合法的なデータ使用の明確化法(CLOUD法)と呼ばれる、さらに別の令状なしの監視法を可決しました。
この法案は、議論を経ることなく土壇場で包括歳出法案に追加されたが、マイクロソフト、アップル、グーグル、フェイスブックといった大手テクノロジー企業からも支持を得た。トランプ大統領による署名はまだ行われていない。
CLOUD 法とは何ですか?
CLOUD法は、データが米国内でホストされている場合でも、外国の法執行機関が米国企業にデータを要求することを可能にします。その場合、司法上の承認や米国裁判官の令状は必要ありません。また、この法律は逆の効果も持ち、米国人のデータが海外のサーバーに保存されている場合、法執行機関はデータを入手できないとした米国控訴裁判所の判決を事実上覆すことになります。
また、データを求める外国政府が数々の手続きを踏む必要があった相互司法援助条約(MLAT)も廃止される。まず、米国司法省(DOJ)に要請書を提出し、次に司法省が裁判官の承認を得て、ようやく外国政府がアメリカのテクノロジー企業からデータを入手できるようになる。
大手テック企業が支持する理由
名前からわかるように、CLOUD 法はテクノロジー企業のために書かれたように思われます。なぜなら、この法律によって、他の国々は、アメリカのテクノロジー企業が自国民のデータにアクセスするために、データをローカルに保存することを要求する必要はないと納得するはずだからです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
データローカリゼーション法案は、エドワード・スノーデンがNSAの大規模監視の実態を明らかにした後、初めて成立しました。この暴露は、多くの政府が国家安全保障上の理由から、テクノロジー企業に現地データセンターの建設を義務付ける口実を与えました。しかし、最初にデータローカリゼーションを義務付けた政府の中には、中国とロシアがありました。両国は、自国民のデータを外国のサービスからより容易に入手することに、アメリカの諜報機関によるバックドアの設置を阻止することと同じくらい大きな関心を持っていました。
米国議会は、外国勢力がこれまでまさに望んでいたことを「解決」しようとしているようだ。つまり、司法の承認(ひいては米国政府の承認さえも)を必要とせずに、自国民のデータに容易にアクセスできる権利だ。民主主義国家であれば、法執行機関に対し、外国の機関に個人のデータを要求する前に、少なくとも地元の裁判官から令状を取得するよう義務付けることができるかもしれないが、民主主義がそれほど進んでいない国では、おそらくそうはならないだろう。
これらすべての問題と、元のMLATにははるかに強力な人権保護が組み込まれていたという事実にもかかわらず、米国のテクノロジー企業はCLOUD法を「消費者の権利を保護するための注目すべき進歩」と呼んでいるようだ。おそらく、この法律の真の目的は、他国にデータセンターを建設する必要がなくなることで、企業が数十億ドルを節約できる可能性があることを隠蔽するためだろう。
さらに、もしこの法案が消費者の権利にとって非常に良いものであれば、議会での議論もなしに土壇場で必ず可決しなければならない支出法案の最後のページに追加される必要はないはずだ。
CLOUD法の影響
EFF によれば、この法案は次のようなものとなる。
外国の警察が米国の令状を取得せずに、米国企業から人々の通信を収集・盗聴できるようにする。外国が、裁判官による事前審査なしに、米国に保管されている個人データの開示を要求できるようにする。米国大統領が「行政協定」を締結し、米国よりもプライバシー法が弱い外国の警察が米国のプライバシー法を無視して米国内のデータを押収できるようにする。外国の警察が、本人に通知することなく個人データを収集できるようにする。米国人のものであるかどうか、またどこに保管されているかに関わらず、米国警察があらゆるデータを入手できるようにする。
オレゴン州のロン・ワイデン上院議員は、ケンタッキー州のランド・ポール上院議員とともにこの法案に反対し、上院でこの法案が2,232ページの支出法案に含まれるまで阻止したが、次のように主張した。
包括歳出法案の隠れた条項は、トランプ大統領や将来の大統領が、アメリカ国民の個人メールやその他の情報を個人的に好意的な国々と共有することを可能にするものです。つまり、議会の関与をほぼゼロにし、米国裁判所の監視も受けずに、ロシアやトルコと合意を結ぶことができるのです。この法案には、トランプ大統領の取り巻きが単にチェックボックスにチェックを入れるだけで済む、歯が立たない人権条項しか含まれていません。上院での議論を一切経ずに、議会が必ず通過しなければならないこの歳出法案について、クラウド法案を急いで可決しようとしているのは、立法府の失策です。
CLOUD法がどのように悪用される可能性があるか
EFFは、この法律が実際にどのように機能し、どのように悪用される可能性があるかを示す例として、英国警察が英国人を捜査する場合、英国人と米国人の間で交わされたチャットメッセージの提出を求めることができると述べた。英国当局は、MLATの場合のように、この要求について米国政府に通知する必要がなくなり、司法審査を受ける必要もなくなる。
外国は米国人に関するデータを「最小限に抑える」ことが求められていますが、そのデータを米国政府と共有し、令状なしで取得したデータを裁判で米国人に不利な証拠として用いることも可能です。これは、データが技術的には別の政府から提供され、米国政府が取得するものではないため、可能となります。これは、法執行機関が米国憲法修正第4条を回避する新たな手段となる可能性があります。
諜報機関間で情報共有が行われているという証拠は既に存在していました。つまり、二国が互いの国民をスパイすることに合意し、そのデータを共有するという行為です。なぜなら、二国が単独でスパイ活動を行うには、過度の制約なしには合法的にスパイ活動を行うことができないからです。CLOUD法案は、こうした活動をさらに拡大し、同時にこの慣行をさらに合法化する可能性があります。
さらに、FISA法で見られたように、一部の国はこの種の要請をアメリカ人に対する裏口捜査として利用する可能性もあります。例えば、ロシアが著名なアメリカ人を標的にする場合、そのロシア人に関心がなくても、そのアメリカ人と会話をしているロシア人のデータを要請することができます。しかし、この方法であれば、令状なしで、あるいは米国の法執行機関に知られることもなく、アメリカ人のデータを入手することが可能になります。なぜなら、CLOUD法は、外国がテクノロジー企業に直接データを要請することを許可しているからです。
CLOUD法は、企業がデータセンターの一部を海外に移転する必要がなくなるため、ある程度の費用を節約できる可能性があります(これはそもそも、米国政府による広範な監視によって生じた問題です)。しかし、この法律は、外国、さらには米国の地方法執行機関による多くの濫用につながる可能性も高いでしょう。
CLOUD法はトランプ大統領によってまだ署名されておらず、法律として成立していません。しかし、歳出法案の最後の数ページに追加されたことを考えると、トランプ大統領が歳出法案全体に拒否権を発動しない限り、可決は目前である可能性が高いでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
