Data Act vs CLOUD Act:クラウド上のあなたのデータを本当に支配しているのは誰か?

欧州のData Actと米国のCLOUD Actは、クラウドに保存されたデータへのアクセスをめぐって対立しています。この法的な衝突、その具体的な影響、そして技術的なアクセス不能性のみが真のデジタル主権を保証する理由を理解する。

|

読了時間: 1 分

Data Act vs CLOUD Act:クラウド上のあなたのデータを本当に支配しているのは誰か?

長年にわたり、世界はシンプルな前提のもとで機能してきました。データには物理的な所在地があるというものです。データがダブリンのサーバーにあれば、それはアイルランドおよび欧州の法律に従うとされていました。この前提は2018年に崩れました。米国がCLOUD Actを制定したのです。この法律は、米国企業が管理するデータについて、そのデータが世界のどこに物理的に保存されているかにかかわらず、米国当局にアクセスを認めるものです。数年後、ブリュッセルは独自の保護措置で応答しました。現在完全に適用されているData Actは、欧州連合内に保有されるデータへの第三国当局による域外アクセスを制限しようとするものです。

以下では、この2つの法律が実際に定めていること、両者が衝突する点、そしてこの対立に対して唯一真に堅固な保護が技術的なアクセス不能性である理由を解説します。

米国のCLOUD Act:所在地ではなく支配に基づくアクセス

CLOUD ActClarifying Lawful Overseas Use of Data Act)は2018年3月に制定され、米国法に18 U.S. Code § 2713条を追加しました。この条文は、電子通信サービスまたはリモートコンピューティングサービスのすべての提供者に対し、通信の内容またはそれに関連する記録を、当該データが米国内外を問わず、その所持、管理または支配下にある場合には、保存、保全または開示することを義務付けています。

まさにこの最後の条項がすべてを変えます。基準はもはやサーバーの物理的な所在地ではなく、親会社が子会社に対して行使する支配です。したがって、欧州でデータセンターを運営する米国企業は、データが完全に欧州の土地に保存されている場合でも、米国の令状に従う義務があります。

欧州のData Act:域外アクセスへの法的障壁

規則(EU)2023/2854(Data Act)は2024年1月11日に発効し、2025年9月12日から完全に適用されています(一部の条項は2026年および2027年まで段階的に適用)。その第32条は、データへの国際的な政府アクセスの問題を直接規定しています。

この条文は明確なルールを定めています。第三国の裁判所または行政機関による決定または判決が、欧州連合内に保有される非個人データの転送またはアクセスを求める場合、その認識と執行は、申請国と欧州連合との間、または申請国と関係加盟国との間で有効な国際協定(司法共助条約(MLA)など)に基づく場合に限られます。

そのような協定が存在しない場合、第32条は厳格に制限された第2の道を定めています。外国の決定は、第三国の法制度が、申請が理由を示し、比例的であり、かつ明確な人物または具体的な犯罪との関連性を確立するなど十分に特定されていることを要求する場合にのみ執行できます。また、申請を受けた者の理由ある異議申し立てが、その第三国の管轄裁判所による審査に付されうることも条件となります。

直接的な法的衝突

問題は即座に生じます。CLOUD Actは、欧州法が求めるものに匹敵する比例性の要件なしに、親会社の支配に基づく開示を求めます。一方Data Actは、かかる要求の認識を国際協定の存在または具体的な手続き上の保証に従わせています。欧州で事業を展開する米国企業が、欧州連合内にホストされたデータの転送を求める米国当局の命令を受けた場合、矛盾する2つの法的義務の間に挟まれます。すなわち、欧州連合法に違反して米国の令状に従うか、米国における拒否の結果を受け入れてData Actを尊重するかという選択です。

この緊張は理論的なものではありません。欧州連合司法裁判所(CJEU)の2つの重要な判決、Schrems I(2015年)とSchrems II(2020年)において既に記録されています。Schrems II判決において、CJEUはFISA第702条Foreign Intelligence Surveillance Act)および大統領令12333号に基づく米国の監視が、欧州連合法が比例性の原則のもとで要求する最低限の保証を満たさず、したがって厳密に必要なものに限定されているとはみなせないと判示しました。また裁判所は、欧州連合の関係者に対する実効的な司法救済手段の欠如も指摘し、基本権憲章第47条違反としました。この判決は、それまでEUと米国間のデータ転送を規律していたPrivacy Shieldの枠組みを無効にしました。

構造的リスク:Harvest Now, Decrypt Later

管轄権の衝突を超えて、米国法の適用を受けるインフラにホストされたデータには、さらに潜伏的な脅威が存在します。Harvest Now, Decrypt Later (HNDL)と呼ばれる戦略です。この手法は、情報機関や敵対的な国家アクターが、将来的に量子コンピュータの計算能力が十分に発達した際に解読することを見越して、現時点で暗号化されたデータを傍受・保存するものです。

この戦略は、米国のクラウドインフラへの長期的な依存を、将来に持ち越されたセキュリティ上の負債に変えます。今日機密であるものが、10年後または15年後には、攻撃者が追加の行動を取ることなく、時間と忍耐だけで読み取り可能になりうるのです。

技術的なアクセス不能性のみが真の保証である理由

法的分析は、多くのコンプライアンス専門家が共有する結論に収束します。Data Actの法的枠組みがいかに堅固であっても、それは地政学的な力関係と外交的な圧力によって迂回され、遅延され、または再解釈されうる条文にすぎないということです。いかなる将来の交渉にも依存しない唯一の保護は、技術的な執行不能性です。

Zero Knowledgeアーキテクチャ、すなわちサービス提供者が復号鍵を所持も管理もしない仕組みは、令状を実質的に無意味にします。決して所有したことのないものを引き渡すよう強制することはできません。

これがArpokratのようなエコシステムを構成するロジックです:

  • 管轄権の無効化:インフラはスイスにホストされており、連邦データ保護法(LPD/FADP)の体制のもと、CLOUD Actの域外適用の直接的な射程外にあります
  • 保管の不在:Zero Knowledgeアーキテクチャは、サービス提供者が決して保有しない鍵やコンテンツを提出する能力をそもそも持ちません
  • 識別フットプリントの削減:電話番号やメールアドレスによる登録義務を排除することで(これらはFISA第702条に基づく監視が容易に追跡できる識別子です)、ユーザーは特定可能な加入者ではなく、匿名の暗号鍵になります

保護の連鎖はメッセージの暗号化だけで終わらない

コンプライアンス分析においてしばしば過小評価される点があります。基盤となるオペレーティングシステム(AndroidであれiOSであれ)が、米国の管轄に属するサーバー向けに、カーネルレベルでメタデータやテレメトリを収集し続けているのであれば、通信内容を暗号化するだけでは不十分です。秘密の保護は、コンテンツから物理的インフラそのものに至るまで、保護の連鎖全体を閉じることを要求します。

このため、デジタル主権はメッセージングアプリだけでなく、使用するオペレーティングシステムについての検討も含意します。BluetoothやGNSS位置情報などのモジュールをカーネルレベルで直接無効化できる脱Googleシステムは、いかなるアプリケーションレベルの暗号化も補えない物理的な攻撃ベクターを排除します。

耐量子暗号:すでに進行中の地平線

HNDL戦略がもたらす脅威に直面し、耐量子暗号(PQC)標準の採用は、営業秘密、業務上の通信、または医療データなど、長期的にわたって機密データの秘密性を保証したい者にとって必要不可欠となっています。今日、古典的な標準によって堅固とみなされる暗号化は、今後15年以内に期待される量子コンピュータの計算能力に耐えられる保証はありません。


Data ActとCLOUD Actの対立は、より広い現実を示しています。デジタル主権は、いかに堅固であっても、法律のテキストだけに基づいて構築することはもはやできません。それは、暗号化プロトコルからホスティングの管轄権、そしてオペレーティングシステム自体に至るまで、あらゆるレベルで保護の連鎖を閉じることを要求します。単一の規制的枠組みへの信頼ではなく、この多層的なアプローチこそが、今日における設計によるデジタル主権(Digital Sovereignty by Design)を定義するものです。