電子契約サービスも関係する米国クラウド法(米CLOUD Act:海外データ合法的使用明確化法)とは ~クラウドサービス(SaaS)におけるセキュリティ・データ保全体制~
監修:弁護士 宮内宏
(更新日:2026年4月14日)
目次[非表示]
政府も舵取りを始めたクラウドファーストや働き方改革、DX推進、リモートワーク(在宅勤務)などで急速に導入が拡大しているクラウドサービス(SaaS)。そんな便利なクラウドサービスですが今回はそのクラウドサービスで意識するべきセキュリティ・可用性やデータ保護に注目し、米国クラウド法(米CLOUD Act:Clarifying Lawful Overseas Use of Data Act 海外データ合法的使用明確化法)を取り上げました。
国内での個人情報保護の高まりもありますが、越境の経済条件や経済安全保障、生成AIテクノロジーを活用した膨大なデータ取得やサイバー攻撃の拡大、紛争時などの情報戦(IW:Information Warfare)による地政学リスクなど国内外含めてデータ保護・データ主権に関する議論が盛んに行われています。
最新の動向を含めて米国クラウド法(米国CLOUD Act)のポイントを解説します。
米国クラウド法(米CLOUD Act:海外データ合法的使用明確化法)とは
米国クラウド法(CLOUD Act:正式名称Clarifying Lawful Overseas Use of Data Act)は、米国による海外のデータの合法的使用を明確化する法律として、米国政府が発令した法令になり米国議会で2018年3月に可決され米国大統領の署名により成立された法律です。
この米国CLOUD Actでは米政府は、米国内に本拠点を持つ企業に対しデータ(データセンター/サーバー)の保存場所が国内外に関わらず令状なしでデータ開示の要求が可能となりました。
米国の捜査権が及んだ歴史
2001年の同時多発テロ事件後に、米国捜査機関が捜査権限を拡大する法律として、米国パトリオット法(米国愛国者法)が成立。電話回線の傍受からインターネット回線のサービス事業者における通信傍受、サーバーやデータディクス(データセンター内含む)などの周辺機器の差し押さえ、電子メールやボイスメールの入手からプライバシー情報の提出なども求めることができました。しかし2015年6月1日に失効しています。
米国パトリオット法にさらに捜査権を強めたのが米国CLOUD Actと言われています。
【参考】アメリカ 海外のデータの合法的使用を明確化する法律-クラウド法-民間企業が保持する電子通信データへの国境を越えたアクセスを簡易化することを目的とした法律「クラウド法」が、2018 年 3 月 23 日に「2018 年包括歳出予算法」の一部として成立(国立国会図書館 調査及び立法考査局)
クラウドサービスを利用する国内ユーザーへの影響・懸念点
クラウドサービスには様々なサービスがあります。
名刺管理や経費清算、EC、文書管理、電子契約サービスなど、ユーザーが自由に企業データ等を保管・登録・共有ができる便利なサービスですが、事業者の提供方法によりデータセンター(サーバー)の調達環境・設置場所などが異なります。
関連記事:クラウドサービス(SaaS)のデータ保全とサービス提供方法~ベンダー選択時に注目すべき環境ポイント~
上記で示すように外資系事業者の提供するクラウド基盤(データセンター/サーバー)を利用・経由する場合、例え日本国内にデータ保管(データセンター/サーバー設置)されていても、米国法が適用されるクラウド事業者・基盤を利用している場合(※)は、米国CLOUD Actによって米政府からデータの開示要求(取出し・閲覧)が可能となります。
(※)米国内で通信サービスやリモートコンピューティングサービスを行っている事業者等が対象になります。米国政府によれば、適用対象は、米国法人、米国に本社を置く法人及び米国人が所有する法人に限られませんが、無制限に広いわけではなく、適用の可否は、米国での活動の状況によります。
下記FAQの24を参照ください。
Promoting Public Safety, Privacy, and the Rule of Law Around the World:The Purpose and Impact of the CLOUD Act(アメリカ合衆国司法省(U.S. Department of Justice))
つまりデータセンターレベルの差し押さえ(運行停止)や機器レベルの持ち出しによる海外へのデータ流出リスクや、データの保全がされていてもクラウドサービス利用への影響など可用性が失われる可能性を含んでいます。
実際に、本法律が成立される前ですが米国にてFBIが捜査執行のためにデータセンターを停止し、サーバーなど周辺機器類を差し押さえ、結果として多くのクラウド利用者に影響があったとしています。
【参考】FBI raids Dallas Internet Service Provider Core IP 2009年4月3日(米国Computerworld)
国内ユーザーとしては、何とも言えないところですが、近年急増しているサイバー攻撃やサイバーテロなどのインターネット犯罪により、世界中のネッワークやデータセンターを経由しての巧妙かつ複雑化した実態を見ると、安全保障上はやむを得ない部分もあるかもしれません。
【参考】個人情報保護法における、法律に基づき他人にデータを渡すことを例外的に許容する規定のうち『法令に基づく場合』(同法規27条1項1号)の『法令』というのは、『日本の法令』に限定する」2019年6月 政府見解答弁「米クラウド法と個人情報保護法上の対応に関する質問主意書」第198回国会衆議院内閣総理大臣答弁第227号)を基に米国クラウド法(米国CLOUD Act)をデジタル庁の規制改革推進委員会で議論。
デジタル関係制度改革検討会 テクノロジーベースの規制改革推進委員会(第1回)2024年10月22日(デジタル庁)
(出席者:デジタル庁、一般社団法人重要生活機器連携セキュリティ協議会、独立行政法人情報処理推進機構、事業者団体、有識者)
【参考】犯罪捜査における国外データへのアクセス 米国クラウド・アクトの概要や影響から国家主権と人権保障・域外適用に関する課題など「情報通信法学研究会新領域分科会 令和元年度」(総務省)
【参考】IoTやDXの進展で企業間・国際間のデータ共有が拡大する一方、各国でデータ越境移転規制や政府アクセス規制が強まる可能性があり、日本企業の国際的なデータ活用や競争力への影響が懸念されています。新しいデータ連携基盤であるGAIA-X(ガイヤ-エックス) や Ouranos Ecosystem(ウラノス・エコシステム)の動向も踏まえ、米国CLOUD法等によるデータの強制的なアクセス(ガバメントアクセス)の注意喚起などを記載し、企業が安全に国際的にデータを扱う際のリスク把握と対策の指針(マニュアル)を策定「産業データ サブワーキンググループ 報告書」(経済産業省)
>>国産基盤のデータセンターで運営している電子契約サービスの特徴はこちら
クラウドサービスを利用する各国のグローバルユーザーの動向など
クラウドサービスを利用する各国のグローバルユーザーは、データ保護およびデータ主権(Data Sovereignty)に関する各国の政策や法制度の影響を強く受けています。これらは、国民の権利保護、国家安全保障、個人情報保護法制(例:欧州のGeneral Data Protection Regulation:GDPR、EU AI法)やデータローカライゼーション規制(データの国内保存義務)などと密接に関連しています。
各国では法制度の改定や見直しが継続的に行われていますが、現時点でも米国のCLOUD Act(Clarifying Lawful Overseas Use of Data Act)の廃止に関する具体的な議論は進んでいません。そのため、グローバルユーザーは、法的強制力と他国のプライバシー保護規制との間で生じる「司法管轄権の衝突」をリスクとして認識し、現行法制度を前提としたデータ保全や、高度な越境移転スキーム(例:データプライバシー・フレームワークの活用等)を検討する必要があります。
特に、GDPRをはじめとする厳格な個人情報保護規制が適用される地域、あるいは経済安全保障を重視する国々に所在するユーザーは、規制遵守の観点から、クラウド上のデータの取り扱いに対して極めて慎重な対応を求められます。これに加え、昨今では生成AI技術の急速な普及に伴う大規模データ学習によるプライバシー侵害リスク、サイバーテロやサイバー攻撃の高度化、さらには紛争時など地政学的緊張下における情報戦(Information Warfare)やサプライチェーンの脆弱性も意識した対策が必要となっています。
このような背景から、自国内で生成・蓄積されるデータが国民生活や国家機能に関わる重要な情報資産(重要インフラデータ等)となり得る場合、クラウドサービス上でのデータ保存・管理・越境移転については、法規制遵守およびリスク管理の両面から慎重な判断が求められています。
【参考】Microsoft Can't Keep EU Data Safe From US Authorities(米国Forbes)
【参考】フランス上院の公聴会にて米国クラウド事業者がデータ開示請求について「EU 内のデータセンターにデータを置いても、米国当局からの法的要求があれば拒否できない可能性」と証言(2025年6月10日 COMPTES RENDUS DE LA CE COMMANDE PUBLIQUE-フランス上院公式議事録 公共センター報告書)
用途に合わせたクラウド選定が必要
DX推進、働き方改革や生産性の向上に大いに役立つクラウドサービスですが、業務やデータの重要度・機密性により、セキュリティ・データ保全までも意識してサービス選定等が必要になってくると思われます。
運用に合わせたクラウドサービスを選定するのと同時に、セキュリティ・データ保全体制として、利用しているクラウド基盤(データセンター/サーバー設置)の本拠地や適用される関連法律についても確認し、しっかりと選定していく必要があります。
企業・機関が保有している重要度や機密性によっては日本企業の提供する国産基盤(データセンター/サーバー)の選択も必要かもしれません。
このような懸念点が残っている中で、NXワンビシアーカイブズでも電子契約・契約管理サービス「WAN-Sign」などの機密性が高いデータをお預かりするクラウドサービス(SaaS/BPaaS)を提供しているため、注意深く見守っております。
>>NXワンビシアーカイブズの高い機密性・セキュリティ体制の強み
まとめ
NXグループのNXワンビシアーカイブズでは、官公庁・地方公共団体、金融機関・医療機関・製薬業などセキュリティが極めて厳しい企業・機関へ長年、機密文書保管、契約管理システム(ASP)など、さまざまなサービスをご提供しております。
2019年より電子契約・契約管理サービス「WAN-Sign」(ワンサイン)の提供も開始して、情報資産の活用・保管・抹消から脱ハンコによる電子化も取り入れたワンストップのサービスを提供しています。
極めて機密性や重要度の高い書類・文書・データを取り扱う電子契約・契約管理サービス「WAN-Sign」のセキュリティ・データ保全体制については、自社所有・運営の国産データセンターで運用しており、海外当局からの捜査・データ開示やデータセンター運行への影響が最小限となっております。
電子契約・電子署名サービスをご検討中でセキュリティや機密性に課題をお持ちでしたらお気軽にご相談ください。
監修:弁護士 宮内宏
宮内・水町IT法律事務所 東京大学工学部電子工学科及び同修士課程卒業。 日本電気株式会社(NEC)にて、情報セキュリティ等の研究活動に従事。 東京大学法科大学院を経て法曹資格取得。第二東京弁護士会所属。 内閣官房、総務省、経済産業省、デジタル庁などの政府機関において、電子署名・デジタルトラスト・個人情報保護・行政手続のデジタル化に関する多数の検討会・専門家会議の構成員・委員を歴任。保健医療・司法・マイナンバー制度・DX推進といった国家基盤分野における制度設計や政策検討に継続的に関与してきた。また、IPA(情報処理推進機構)におけるガイドライン策定委員長や、日本弁護士連合会のセキュリティ関連委員を務めるなど、法務・セキュリティ・情報政策を横断する専門家として活動。特に電子署名法・トラストサービス・個人情報保護分野において、日本の政策形成を実務面から支援。 【委員会等】厚生労働省 保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議 構成員、デジタル庁 マイナンバーカードの機能のスマートフォン搭載等に関する検討会構成員、総務省プラットフォームサービスに関する検討会構成員、八王子市情報公開・個人情報保護運営審議会副会長、日本弁護士連合会 弁護士業務改革委員会ITプロジェクトチーム委員、ISO/TC154(行政・商業・工業用書式及び記載事項)国内審議委員会委員
