電子契約サービスも関係する米国クラウド法(CLOUD Act)とは~クラウドサービスにおけるセキュリティ・データ保全体制~


(更新日:2024年6月27日)

目次[非表示]

  1. 1.米国クラウド法(CLOUD Act)とは
  2. 2.米国の捜査権が及んだ歴史
  3. 3.クラウドサービスを利用する国内ユーザーへの影響・懸念点
  4. 4.用途に合わせたクラウド選定が必要
  5. 5.まとめ



政府も舵取りを始めたクラウドファーストや働き方改革、リモートワーク(在宅勤務)などで急速に導入が拡大しているクラウドサービス。そんな便利なクラウドサービスだが今回はそのクラウドサービスで意識するべきセキュリティ・可用性やデータ保護に注目し、米国クラウド法(CLOUD Act)を取り上げました。


>>国産基盤のデータセンターで運営している電子契約のサービス概要はこちら


米国クラウド法(CLOUD Act)とは

米国クラウド法(CLOUD Act:正式名称Clarifying Lawful Overseas Use of Data Act)は、米国による海外のデータの合法的使用を明確化する法律として、米国政府が発令した法令になり米国議会で2018年3月に可決され米国大統領の署名により成立された法律です。

この米国CLOUD Actでは米政府は、米国内に本拠点を持つ企業に対しデータ(データセンター/サーバー)の保存場所が国内外に関わらず令状なしでデータ開示の要求が可能となりました。



米国の捜査権が及んだ歴史

2001年の同時多発テロ事件後に、米国捜査機関が捜査権限を拡大する法律として、米国パトリオット法(米国愛国者法)が成立。電話回線の傍受からインターネット回線のサービス事業者における通信傍受、サーバーやデータディクス(データセンター内含む)などの周辺機器の差し押さえ、電子メールやボイスメールの入手からプライバシー情報の提出なども求めることができました。しかし2015年6月1日に失効しています。

米国パトリオット法にさらに捜査権を強めたのが米国CLOUD Actと言われています。

参照:国立国会図書館 調査及び立法考査局


>>電子契約に関連する法律と要件を紹介


クラウドサービスを利用する国内ユーザーへの影響・懸念点

クラウドサービスには様々なサービスがあります。
名刺管理や経費清算、文書管理、電子契約サービスなど、ユーザーが自由に企業データ等を保管・登録ができる便利なサービスですが、事業者の提供方法によりデータセンター(サーバー)の調達環境・設置場所などが異なります。

(詳しくは前回のブログ「クラウド上(SaaS)のデータ保全とサービス提供方法」をご覧ください。

上記で示すように外資系事業者の提供するクラウド基盤(データセンター/サーバー)を利用・経由する場合、例え日本国内にデータ保管(データセンター/サーバー設置)されていても、米国法が適用されるクラウド事業者・基盤を利用している場合は、米国CLOUD Actによって米政府からデータの開示要求(取出し・閲覧)が可能となります。

(※)米国内で通信サービスやリモートコンピューティングサービスを行っている事業者等が対象になります。米国政府によれば、適用対象は、米国法人、米国に本社を置く法人及び米国人が所有する法人に限られませんが、無制限に広いわけではなく、適用の可否は、米国での活動の状況によります。

下記FAQの24を参照ください。

https://www.justice.gov/opa/press-release/file/1153446/download


つまりデータセンターレベルの差し押さえ(運行停止)や機器レベルの持ち出しによる海外へのデータ流出リスクや、データの保全がされていてもクラウドサービス利用への影響など可用性が失われる可能性を含んでいます。

実際に、本法律が成立される前ですが米国にてFBIが捜査執行のためにデータセンターを停止し、サーバーなど周辺機器類を差し押さえ、結果として多くのクラウド利用者に影響があったとしています。

国内ユーザーとしては、何とも言えないところですが、近年急増しているサイバー攻撃やサイバーテロなどのネット犯罪により、世界中のネッワークやデータセンターを経由しての巧妙かつ複雑化した実態を見ると、安全保障上はやむを得ない部分もあるかもしれません。

このような懸念点が残っている中で、NXワンビシアーカイブズでも電子契約・契約管理サービス「WAN-Sign」などの機密性が高いデータをお預かりするクラウドサービスを提供しているため、注意深く見守っております。


>>電子契約の導入にかかる費用やシステム選びのポイントを紹介



用途に合わせたクラウド選定が必要

働き方改革や生産性の向上に大いに役立つクラウドサービスですが、業務やデータの重要度・機密性により、セキュリティ・データ保全までも意識してサービス選定等が必要になってくると思われます。

運用に合わせたクラウドサービスを選定するのと同時に、セキュリティ・データ保全体制として、利用しているクラウド基盤(データセンター/サーバー設置)の本拠地や適用される関連法律についても確認し、しっかりと選定していく必要があります。

企業・機関が保有している重要度や機密性によっては日本企業の提供する国産基盤(データセンター/サーバー)の選択も必要かもしれません。


>>電子署名の安全性とは?セキュリティの仕組みを紹介


まとめ

NXグループのNXワンビシアーカイブズでは、官公庁、金融機関・医療機関・製薬業などセキュリティが極めて厳しい企業・機関へ長年、機密文書保管、契約管理システム(ASP)など、さまざまなサービスをご提供しております。

2019年より電子契約・契約管理サービス「WAN-Sign」(ワンサイン)の提供も開始して、情報資産の活用・保管・抹消から脱ハンコによる電子化も取り入れたワンストップのサービスを提供しています。

極めて機密性や重要度の高い書類・文書を取り扱う電子契約・契約管理サービス「WAN-Sign」のセキュリティ・データ保全体制については、自社所有・運営の国産データセンターで運用しており、海外当局からの捜査・データ開示やデータセンター運行への影響が最小限となっております。

電子契約・電子署名サービスをご検討中でセキュリティや機密性に課題をお持ちでしたらお気軽にご相談ください。


>>クラウドサービス(SaaS)のデータ保全とサービス提供方法
​​​​​​​~ベンダー選択時に注目すべきポイント~


>>電子契約関連の法律まとめ


監修:弁護士 宮内宏
監修:弁護士 宮内宏
所属 宮内・水町IT法律事務所 経歴 東京大学工学部電子工学科及び同修士課程卒業。 日本電気株式会社(NEC)にて、情報セキュリティ等の研究活動に従事。 東京大学法科大学院を経て法曹資格取得。第二東京弁護士会所属。

メガメニュー表示用セクション

WAN-Sign _サービス紹介資料 バナー

人気記事ランキング

タグ一覧

ページトップへ戻る