CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下)

CLOUD法の条文をみてきました。果たして、この法が、「政府は企業が保有する個人情報を容易にアクセス可能に」するための法なのでしょうか。私には、到底、そのように思えません。

法の骨格としては、有線ないし電子通信の内容を求める法的プロセスに関しては、105条において、外国の法的手続を米国の立場から検討して、一定のレベルを満たしている場合には、行政協定を締結することによって認証して、その外国の一定の命令を、米国の国内法のもとでも効力を有するものとして、プロバイダに対して、保存、開示等の義務を課すというものだと理解しています(103条(a))。

ここで、気がついたいくつかの点についてコメントしていきましょう。

(1)有線ないし電子通信の「内容」を求める
(2)命令と国内法の矛盾
(3)データへのアクセスと執行管轄
(4)行政協定
(5)外国の命令の効力

(1)有線ないし電子通信の「内容」を求める

私が、「通信の秘密」の数奇な運命で指摘したポイントになりますが、「通信」に関する構成要素は、大きくわけて、内容と通信データ部分があるわけで、CLOUD法は、その内容に関する外国の命令についての取り扱いに関する規定になります。
日本だと、令状(court warrant)によって求めるのは、当然だろうと思っている人がおおいわけですが、通信に対するデータへのアクセスについては法執行機関の命令(裁判所の関与なし)による場合もあったりします。
米国でも、通信データ部分については、裁判所の提出命令(subpoena)だったりします。英国は、法執行機関、情報機関その他が、独自に命令を執行可能です。あと、行政命令という立て付けの国もあったはずです。

これらに対して、発令国が、海外のプロバイダに対して、提出を命令した場合に、その命令の米国内の効力が、どうなるの?というのがメインの論点になるかとおもいます。そんな命令は主権侵害でしょ、だす発令国のほうがおかしいじゃん、かというと、そうとはいえないわけで、プロバイダが発令国に(営業)主体をもっていれば、その主体に対して、提出しなさい(保存場所をとわない)というのは、当然のように思えます。(MS事件が、この発令国・データ所在国が逆の場合)

(2)命令と国内法の矛盾
この場合に、海外発令の命令に従う場合の免責効力(104条)がないと、マークリッチ事件(裁判所侮辱とスイスの預金者保護の矛盾が発生した事件)のようなことになります。要は、提出に応じると米国で、個人情報漏洩だといわれて刑事罰、提出しないと、発令国で、裁判所侮辱です。(類似の事案として、Nova Scotia事件とかもあり、これも別のエントリでふれるべき事案ですね)

ちなみに、105条は、内容という文言がなくなっていたりして、解釈的には、どうなんだろうかと考えたりもするところです。
データに外国の法執行機関がアクセスしたとして、それに対して、このCLOUD法は、それを米国の執行管轄(主権)の侵害と考えるのだろうか、何か、語っているのだろうかという論点があります。

(3)データへのアクセスと執行管轄
一国の国の内部で保存されているデータについて、そのデータのアクセス管理権限について、管理者の意図に反してアクセスすることは、執行管轄権(主権)の侵害になるのか、という論点があります。この点については、ブダペスト条約(サイバー犯罪条約)の制定の際に、議論がもっとも白熱したところです。(クラウドなので、場所が特定できないというツッコミはなしで-ただ、)。
この点については、マリア博士の博士論文を紹介したところにも関連します。基本的には、主権侵害と解する立場のほうが多いです。わが国では、国外保存がわかったら、捜査はしないというのが実務ですね。

この論点は、実は、いま、またホットになりつつあるような気がします。「アクティブ防衛」という用語のもとに海外における証拠の直接取得が議論になりつつあります。オランダ政府は、法執行機関における海外の所在不明のクラウド上の証拠取得を認めていたりします。このCLOUD法は、(なんらの認証行為をへていない段階においては、)それを米国の執行管轄(主権)の侵害としているように思えます。

あと、この論点を聞くと、実務家だと、証拠開示手続のコモンロー国とシビルロー国の対立を思い出します。米国は、外国の手続に関連して、地方裁判所が、ディスカバリ命令を発令するかという点についての争いがあって、いわゆるインテル基準によって多判断がなされているということもあります(この点については、また、別のエントリで、ふれます)。

(4)行政協定

そもそも、日本の枠組みでいえば、刑事に関しての相互共助になります。刑事共助とは、「一般に、外国の刑事事件の捜査、訴追
等に必要な証拠(証言、供述、物件等)が自国にある場合に、当該外国の要請により、当該外国の捜査当局に代わってこれらの証拠を取得し、提供することなど、刑事分野における国家間の協力」をいいます。

この点については、この「欧州 27 か国への刑事共助ネットワークの拡大 ~日・EU刑事共助協定~」が資料としてわかりやすいです。

でもって、わが国の枠組みとしては、
ア)刑事共助条約を締結していれば、その条約に基づいて。
イ)締結していない場合については、原則として、外交ルートを通じて国際礼譲による捜査共助を要請
ウ)日本政府が、外国の刑事事件の捜査に必要な証拠の提供等について外国政府から協力を求められた場合、「国際捜査共助等に関する法律」に基づき捜査共助を実施し得る
ということになっています。

わが国では、条約もしくは、外交ルートが、このような刑事捜査の枠組みであるのに対して、CLOUD法は、行政協定での命令の効力を認めるということになります。保存されたデータへのアクセスが、国民の権利義務に関するものであるとすれば、行政協定で、自動的に、外国の命令に効力を認めるというのは、なかなか理解しがたいところかとおもいますが、第三者にゆだねられているデータというのは、プライバシの「合理的期待」としては、低いし、そのレベルを決めるのは、法的な権利義務の問題とはいわないとすれば、行政協定ということになるのかもしれません。難しいところです。

(5)外国の命令の効力

この外国の命令の効力が、アメリカ国内でも認められるということは、法的には、その提出によって他の法的義務の不履行に対する抗弁となりうるということと、発令国において、不履行に対する制裁が、アメリカにおいても正当なものとして認識されるということになりそうです。

また、当然ですが、そのような命令をもとに、米国内で、外国命令を執行しようとしても、その執行行為は、米国における主権を侵害するものではない、ということになるかとおもいます。

この帰結になってきますが、たとえば、米国内のプロバイダに名誉棄損の証拠が存在している場合に、被害者が、被害届けを提出し、法執行機関が、その被害者の居住国のプロバイダの現地法人に対して令状や開示命令をもとめた場合に、その国の司法機関は、米国に所在するデータに対して開示する旨の命令を発令することは実益としても存在するということになってきます。
この発令国と米国とで、認定される行政協定が締結されていれば、その命令が直接に米国で執行されうるということになります。
(プロバイダーに対して命令が行われる)

将来的には、発令国において、その命令の行為が、海外に対して、一定の手続のともに、直接に証拠取得をなす行為が許容されているような場合については、そのような行為(たとえば、侵害行為に対して、追跡の上、盗まれたドキュメントにビーコンを埋め込んで追跡するような行為)が許容されていれば、米国におけるデータに対してのアクセスも許容されるということになりそうです。そのような法的枠組みが行政協定として認証されるのか、という問題はありそうですが、このような発展性のある法であるということは認識しておくべきだろうとおもわれます。

ということで、かなりの難問であり、またた、米国における捜査と開示の実務については、まったく実務の感覚がないのにかかわらず、分析するのは、極めて困難ですが、分析としては、このようになるのかなというところです。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中)

104条は、「現在の通信法に対する追加修正条項」です。

119章の2511(2)条に、電気通信サーヒスのプロバイダーが、2523条を満たす行政協定に従った外国政府の命令に応じて通信内容を傍受し、開示することは、違法ではない。などの規定を追加し、その上で、この場合の開示等においては、プロバイダーが責任を負わないこと/裁判所命令に応じた場合が抗弁になることを記載しています。

105条は、外国政府によるデータへのアクセスについての行政協定です。

119章の2523条に外国政府によるデータへのアクセスについての行政協定を追加するという条項です。
(a)項の定義のあと、(b)項は、行政協定の要件というタイトルです。

そこでは、司法長官が、以下の事項について、国務長官の賛同を得て、以下の要件を満たす協定であることを認定して、議会に対して書面で、提出します。

その場合に判断される要件としては、
(1)外国の法が、プライバシー・市民の自由についての堅固かつ手続的な保障を有しているかどうか、
(2)外国政府がUSシチズンに関する情報を収集・維持・拡散を最少限化する適切な手続を採用しているかどうか、
(3)協定の条件が、暗号の解読の義務づけ等の義務を課すようなことがないこと
(4)外国政府が、その所在をとわず、米国パーソンを標的にしえないこと(AおよびB項)、外国政府によってなされる命令が、重要犯罪の防止、探知、捜査、起訴のためであること、人名、アカウント、住所、機器などによって特定がなされること、国内法に準拠していること、法的な根拠にもとづいてなされること、裁判所によって命令が審査されること、傍受に関する命令については種々の限定事項に関する命令によること(以上(D項)、外国政府は、相互保障のあるアクセス権限をみとめること(I項)、などです。
(c)項は、司法審査からの排除をうたっています。ただし、議会は、審査をなすことができます((d)項(4))。

また、司法長官は、行政協定を5年ごとに見直します((f)項)。

106条は、解釈の規則で、18巻の3512条、28巻の1782条に従う共助要請を排除するものと解されてはならないとされています。

さて、基本的な考察のための材料が揃いました。

この法律をどのような意味をもつものとして考えるのかについては、次のエントリで検討してみましょう。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)

「米国でCLOUD法成立、政府は企業が保有する個人情報を容易にアクセス可能に」という記事がでています。

プライバシー関係の法に関するネットの記事は、条文にあたらないで、意図的な法律家の妥当ではない解釈に基づいたコメントを集めただけのがよくあるので、このような記事を見たときは、疑ってかかったほうがいいです。

日本でも、「ネットワーク監視法」騒ぎは、サーベイランス(通信途上の監視)とプリザベーション(過去記録の保全)を意図的に混在させる法律家(日弁連ともいう)が、社会を混乱させましたね。教訓にしましょう。

でもって、CLOUD法です。結論から言うと、この法律に素人さんは、コメントしないほうがいいとおもいます。

その理由ですが、条文を以下に述べていきますが、みてもらえれば、わかるとおもいます。

法律自体は、2018年統合適用法(とでもいうのかな)(Consolidated Appropriations Act,2018.)(条文自体が、2232ページ)のなかで、最後のディビジョンVの部分 CLOUD法に記載されています。(2201ページから)

各条文を見ていくと

101条は、タイトルです。「適法なデータの国外利用の明確化法(‘Clarifying Lawful 4 Overseas Use of Data Act’’ or the ‘‘CLOUD Act’’.)」といいます。

102条は、議会の現状認識(CONGRESSIONAL FINDINGS. です。
議会としては、
(1)通信プロバイダーの保有するデータへの適時のアクセスの重要性
(2) そのようなデータへのアクセスの可能性は、米国の法域に属するサービスプロバイダによって外国においてカスタディ、コントロールまたは、保存されているデータに対してアクセスが可能ではないことによって 害されている(being impeded)
(3) 外国政府は、米国のプロバイダーによって保存されている電子データに対してアクセスを求めていることが増加していること
(4) 電気通信プロバイダーは、外国政府からの電子データに対する提出要求に対して、米国法が、開示を禁止しているのに、法的利害衝突を感じること
(5)外国法は、 保存通信法が開示を拒絶する場合においてと同様の利益衝突を生み出しうること
(6)米国と外国政府が、法の支配とプライバシと市民の自由の保護の観点から、共通のコミットメントを共有する一方で、国際的合意が利害衝突に対して解説策を提供しうること 
としています。

103条は、「記録の保存(preservation)、法的プロセスの相互の互譲(comity)」です。

(a)項で、要求と通信および記録の開示、(b)項で、有線ないし電子通信の内容を求める法的プロセスの互譲分析について定めています。

(a)項は、合衆国法典18巻、121章2713条で、「保存(preservation)、開示等の義務に関しての保存通信法の改正条項」を追加します。具体的には、「電気通信プロバイダー等は、通信、記録、情報が、米国内に存しようがしまいが、本章に定める義務に準拠して有線・電気通信の内容の保存、バックアップ、開示しなければならない」としています。(これによって、条項の一覧も追加)

(b)項は、法的プロセスの互譲(comity)の規定をおいています。
具体的には、同2703条に、(h)項として 「有線ないし電子通信の内容を求める法的プロセスの互譲分析」を追加します。

その(1)は、定義規定であって、「認証外国政府‘qualifying foreign government’」「USパーソン(United States person)」の定義をそれぞれ定めます。

(2)は、電気通信サービスのプロバイダーが、本節の手続にしたがって開示を求められた場合の棄却もしくは変更の申立の規定です。(A)は、一定の場合にプロバイダーがそれらを求めることができるという権限に関する規定、(B)は、裁判所が、棄却もしくは変更を認めることができる場合についての規定です。具体的には、プロバイダーが、外国の法に違反することになる場合、総合的事情の判断のもとに、棄却もしくは変更がみとめられるべき場合であって、顧客等が、USパーソンではなく、合衆国に居住しない場合に、そのような判断をなすことができるとされています。

(3)は、互譲分析で、上の(2)の判断をなす場合の総合的に考慮されるべき事情を述べています。具体的には、(A)開示を求める調査の利益を含む合衆国の利益、(B)開示の禁止を解除することについての認証外国政府の利益(C)プロバイダーに課せられた相矛盾する法的要求に関して制裁が結果として課される可能性、程度、性質(D)通信が求められている顧客等の場所、国籍、彼らの合衆国との関連性、(外国において3512条に基づいて手続きがなされている場合)その外国との関連性、(E)プロバイダーが、合衆国に対して有する関連性および合衆国における存在、(F)開示が求められる情報の調査における重要性、(G)適時であって効果的なアクセスであって、より重大な否定的な影響を惹起しない手段による開示の可能性、(H)3512条に基づいて外国政府のために手続きがなされている場合において、援助要求をしている外国政府の調査の利益、があげられています。

(4)は、プロバイダーは、争っている場合において、裁判所が、特段の定めをしないかぎり、保全をなさなくてはならないが、開示を義務づけられないというものです。

(5)は、(A)認証外国政府における組織に対して、電気通信プロバイダー等が、この法的手続がなされていることを開示することは、保護命令(2705条)違反にはならないこと、(B)や(C)は、上記の保護命令の規定やコモンローの互譲分析を変更するものではないこと、を述べています。

以下、104条以下は、次のエントリです。