Microsoft、Amazon、Googleらが、「Trusted Cloud Principles」という新たな業界イニシアチブを発表しました。これから関わってくる可能性が高いと思われるので、その内容について翻訳してみました。なお、ここの翻訳は、あくまで個人的に行ったものであり、正式な形で翻訳の承認を取ったものではないことに注意してください。ここの訳はおかしいよというところがありましたらご指摘ください。
原文は、こちらです。
Trusted Cloud Principles(信頼できるクラウドの原則)
原則
世界中の組織は、イノベーションを推進し、セキュリティを向上させ、新しいデジタル経済で競争力を維持するためにクラウドテクノロジーを採用しています。クラウドサービスプロバイダとして、国境を越えて利用されるサービスとインフラストラクチャを運用することにより、あらゆる規模の企業、公共部門のエンティティ、非営利団体を含むこれらの組織をサポートします。
Trusted Cloud Initiativeは、イノベーション、セキュリティ、プライバシを妨げる国際的な抵触法を解決し、クラウドにデータを保存および処理する組織の基本的な保護を確立および確保するために、世界中の政府と組んでいくことを目指しています。このイニシアチブを通じて、私たちは政府と協力してデータの自由な流れを確保し、公共の安全を促進し、クラウド内のプライバシとデータセキュリティを保護することを約束します。
このイニシアチブは、社内の人権影響評価を実施するなど、この分野で各企業が行った既存の取り組みに基づいています。これは、企業が取り組むベースラインとして機能します。
クラウドプロバイダとして、以下を主張します;
- グローバルクラウドサービスを使用する個人および組織の安全性、セキュリティ、プライバシ、および経済的活力を保護することへの世界中の政府の関心を認識します。
- 国際人権法がプライバシの権利を大事にしていることを認識します。
- 利用者の信頼と、利用者のデータの管理とセキュリティの重要性を認識します。これには、利用者がクラウドで所有するデータの保護と、その信頼を確立、維持、強化する製品とポリシーの作成の両方が含まれます。
- 国際的に認められた法の支配と人権基準を遵守する透明なプロセスを通じて、政府がデータを要求できるようにする法律をサポートします。
- データアクセス、プライバシ、および主権に関連する抵触法を解決するための国際的な法的枠組みをサポートします。
- データアクセス、プライバシ、および主権に関連する抵触法を解決するための国際的な法的枠組みをサポートします。
- クラウド利用者の安全性、プライバシ、セキュリティ、およびデータの所有権を保護する、国内および国際レベルでの改善された規則と規制をサポートします。
- 政府のデータ要求に関する集計統計を詳述する透明性レポートを定期的に公開することの重要性を認識します。
私たちの目的を達成するために、私たちは世界中の技術部門、公益団体、および政策立案者と協力し、特にデータセンタとクラウドインフラストラクチャを運用または運用する予定の国で、法律とポリシーが実質的に次の原則に沿っていることを確実にします。
政府は、狭い例外を除いて、最初に利用者を関与させる必要があります。政府は、例外的な状況を除いて、クラウドサービスプロバイダではなく、企業の利用者から直接データを手に入れようとする必要があります。
利用者は通知を受ける権利を持っている必要があります。政府がクラウドサービスプロバイダから直接利用者データにアクセスしようとする場合、そのクラウドサービスプロバイダの利用者は、データへの政府アクセスの通知を事前に通知を受ける権利を有する必要があります。その通知は、例外的な状況においてのみ遅らせることができます。
クラウドプロバイダーは、利用者の利益を保護する権利を持っている必要があります。関連するデータ保護当局への通知を含め、クラウドサービスプロバイダーが利用者のデータに対する政府のアクセス要求に異議を申し立てる明確なプロセスが必要です。
政府は法の抵触に対処する必要があります。政府は、ある国でのクラウドサービスプロバイダーの法令遵守が別の国での法律違反にならないように、相互の対立を提起し解決するメカニズムを作成する必要があります。
政府は国境を越えたデータの流れをサポートする必要があります。政府は、イノベーション、効率、セキュリティのエンジンとして国境を越えたデータの流れをサポートし、データの常駐要件を回避する必要があります。
高橋さんの解説が以下に上がっています。
「なぜアップルは、メンバーではないのか-政府による「適法なアクセス」と「信頼できるクラウド原則」について」
https://itresearchart.biz/?p=3569
CSAのクラウドセキュリティガイダンスV4.0の観点で原則を見ると以下になるかと思います。
1. 「政府は、狭い例外を除いて、最初に利用者を関与させる必要があります」、「利用者は通知を受ける権利を持っている必要があります」
これらについて、ガイダンスでは「クラウド事業者が第三者から情報提供請求を受ける場合、それは差押え令状、召喚状または裁判所命令の形をとる場合があり、クラウド利用者のデータへのアクセスが命じられる。クラウド利用者は、そのデータの機密性確保のために、アクセス請求に対して争うことができるよう希望するであろう。このために、クラウドサービス契約では、クラウド事業者が差押え令状が届いたことをクラウド利用者に知らせ、クラウド利用者にアクセス請求に抗弁する時間的余裕を与えるようにしておくべきである。」。
「召喚状」の扱いとして。「政府機関から召喚状が発せられた場合、プロバイダは利用者に対して、利用者の情報が召喚状の対象として政府機関に提供される旨の通知を行う。これは、プロバイダと利用者の間の契約事項とする」ということになります。
したがって、上記の原則では、そもそも利用者の情報は政府機関が直接利用者から入手すべきという点と、召喚状に基づいてプロバイダが利用者の情報を提供する場合には、その通知を受ける(おそらくプロバイダからだと思う)権利を認めなさいということですね。特に、召喚状において「利用者に対して通知をしない」というのを含めたケースがあり、プロバイダは、「利用者との契約で通知をする」と言っていることと、「召喚状で通知を禁止される」ということの相反する事項で対応に苦慮することになっているので、それの解決策を含まれるのかなと思います。
2. 「クラウドプロバイダーは、利用者の利益を保護する権利を持っている必要があります」
これは、上記の相反する事項を含め、プロバイダと利用者との契約事項を守れるようにすべきということかと思います。
3. 「政府は法の抵触に対処する必要があります」
これは、特にプライバシーに関して国ごとに違う問題を解決すべきという内容だと思う。ガイダンスでは、「適用される法的義務は、関連する司法管轄、法の執行主体、法的枠組みによって大幅に変動する」と言っている。プロバイダにとっても利用者にとっても、国際的に通用する一貫した法律になるようにしてほしいという願いからくる内容かと思います。
4. 「政府は国境を越えたデータの流れをサポートする必要があります」
これは、域外移転禁止条項にあたるかと思います。ガイダンスでは、「国境を超えるデータ移転の制限」ということで、「情報が国境を越えて移転される個人が、テータ移転以前に提供されていたポリシーに基づく保護を、引き続き得られることを確実にすること」となっています。クラウドにおいて、国境を越えたデータの流れを制限なくできるようにするという内容と思います。