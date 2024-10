インターネット上の情報がサーバに格納されていることはご存じだろう。アダルトサイトを訴追したくても、サーバが海外にあるために手を出せない、あるいはフェイスブックで有名人の写真を無断で使った投資詐欺が相次いだ件でも、警察の動きが鈍かったのはフェイスブックのサーバが海外にあり、日本に捜査権がないためだった。犯罪を起こした国にその証拠となるデータがなく、別の国のサーバに保存されるとこうした無法が起きる。

これを防ぐために、商取引を行う国にサーバを置く、あるいはその国の法律に従ってデータを開示するというのがデータローカリゼーションの考え方だ。

アメリカではクラウド法を施行

データローカリゼーションは、電子商取引、金融取引、税金関連の情報や個人情報、オンラインギャンブルなどのグレーゾーンの犯罪まで、オンラインで行われるすべての商取引とデータに関係する。

そのため、国家がデータを規制することが正しいのか、自由主義経済に反するのではないか、いや国家として管理し、犯罪から国民を守り、税金を正しく徴収することと自由主義は別だといった議論はある。しかしすでにアメリカや中国では規制の方向で法律を制定している。

まずアメリカから見ていこう。2018年3月、アメリカで「The Clarifying Lawful Overseas Use of Data Act」、通称CLOUD法が成立した。CLOUD法のCLOUDはClarifying Lawful Overseas Use of Dataの頭文字で、企業のデータ開示についての法律。インターネットのクラウドとは関係がないのでご注意を。

クラウド法のポイントは2つあり、1つはサーバが国内にあろうがなかろうが、政府や警察はデータの開示要求ができるというもの。これには裁判所の令状も必要がないそうだ。

政府に秘密にしておきたい取引やデータを海外のサーバにいれておいても、アメリカとの取引をする場合には、政府の要求に応じていつでも開示する義務が発生する。

クラウド法の成立には、2013年に起きたマイクロソフト社とアメリカ司法との係争があるという。麻薬捜査の一環でアメリカの警察がマイクロソフト社にメールの開示を要求したところ、マイクロソフト社はサーバがアイルランドにあるとして開示を拒否、法廷で争うことになった。裁判は最高裁までもつれこんだが、その間にクラウド法が成立、マイクロソフト社はサーバの情報を開示する義務を負った。

さらにもう一点、海外の政府が自国で起きた犯罪の立件にアメリカ国内のサーバの証拠が必要となった場合、いくつかの民主的な条件を満たせていれば、開示要求ができるとしたもの。フェイスブックは当初日本政府の要求に従わず、データを出さなかったが、そうしたことはできなくなる。

自国政府のみならず他国の政府もデータの開示要求ができることは、データ移動の障壁を減らし、自由度を増すというのがアメリカの考えだという。サーバがどこにあるかで犯罪が見逃されるというのは、自由な社会とは言えない。

※データローカリゼーション

アメリカのIT業界団体が図式化した現在のデータ障壁のある国とその内容。データ障壁がないということはセキュリティがガバガバという意味でもある

中国のサイバー三法

2021年、中国データセキュリティ法が成立した。2017年のサイバーセキュリティ法、個人情報保護法と合わせてサイバー三法と呼ばれ、これらの法律を見ると中国のデータローカライゼーション規制がどういうものかがわかる。

日本などの外国資本が中国でビジネスをするためには、中国企業との合弁で中国国内でデータセンターを運用する必要がある。その場合、データセンターのデータを国外に移転させることは禁止される。これには非常に広い範囲のデータが含まれ、電子情報機器分野の場合では、電子部品の運用・メンテナンスから朱里データまで含まれる。顧客データも含め、ほぼすべてを中国政府の命令で提出する必要があるわけだ。

サイバー三法の成立以降、中国政府は自国企業に対して、個人情報漏洩や違法サイト運営、個人情報の違法な保存などの理由で立ち入り検査や警告処分を行っており、

この中国のやり方は国内だけではなく国外でも進められている。中国の三大自動車メーカーの1つ、東風汽車集団はイタリアでの中国EV車の製造を計画しているが、投資条件はファーエイの通信機器を入れること、関税撤廃=中国部品メーカーの参入、AIマッピングである。

AIマッピングとは聞き慣れない言葉だが、AIを使ってサーバ上のデータを整理し吸い上げるシステムのことで、国内にあるサーバと同様のデータローカリゼーションをイタリアのサーバにも行うと言っているわけだ。

軒を貸したら母屋を取られるではないが、これは非常に危うい。目先の投資に目がくらむと、イタリアが培ってきた高級車の技術がすべて奪われることになる。

サーバの情報は非常に大事で、アメリカ中国もそのことを心底理解している。サーバ上のデータを保全する法律は開示する法律と表裏一体で、アメリカのクラウド法も中国のサイバー三法も見た目は同じだが、為政者がどう解釈するかで真逆の効果を生む。

イタリアの例のように、海外サーバのデータも口実をつけてすべて奪うこともできるわけだ。犯罪が理由でなら、アメリカに進出した日本企業がデータを日本のサーバに置いていても、アメリカに開示要求をされれば呑むしかないし、ましてアメリカのサーバ上にデータがあればすぐさますべてを抜かれるだろう。

※中国サイバーセキュリティ法

中国で制定された中国版クラウド法のサイバーセキュリティ法の概要。中国でビジネスをする外資は、政府のサーバデータの開示要求に逆らえず、ほぼすべてのデータを求められる

日本の現状と課題

データローカリゼーションは日本はどのように対策しているのか? 法律はどうなっているのか?

DFFT(Data Free Flow with Trust)は日本が発案した国際的なデータ移動に関する規約全般を指す。2019年1月に故安倍晋三が世界経済フォーラム(ダボス会議)でデータの自由な移動と信頼性について発言したことを元に、データの自由な流通が世界経済の課題であるとして、G7でも提案、現在も国際的な枠組みの組み立てに向けて作業が行われている。

DFFTはデータローカリゼーションがデータ移動の障壁となるマイナス部分を補い、安全かつ信頼のあるネットワーク環境に欠かせない取り組みで、マイナンバーカードと保険証の紐づけでもめている国とは思えない先進性だが、政府全体を見るとかなり危うい。

2020年10月8日、総務省は中央省庁向けの共通プラットフォームをアマゾン ウェブ サービス(AWS)上で稼働させたと発表した。当たり前だが、アマゾンはアメリカの企業で、国家の基幹システムを海外のサーバに預けたことになる。

この件については国会でも問題になり、立憲民主党の早稲田ゆき議員から『デジタル庁が十月二十六日に基本契約を行ったAWSに関する質問主意書』が提出された。デジタル庁は答弁で

AWSが

・政府情報システムのためのセキュリティ評価制度であるISMAP(イスマップ:クラウドサービスに関する政府情報システムのための国際的なセキュリティ評価制度)に登録され、最高レベルの情報セキュリティが確保されていること

・データセンターの物理的所在地が日本国内にあること

・契約について日本の法律に基づいて行われること

を挙げている。

ISMAPに登録されたサービスから調達することが大前提だったが、入札に参加したのはいずれも外国企業で、国内企業からは入札そのものがなかったという。

データローカリゼーションが進む中で、日本の企業が受注どころか入札にすら参加しないというのは、日本はIT後進国であると言ったに等しい。またAWSに政府の基幹システムを任せる意味が、世間一般で理解されているのか、心許ない。

クラウド法のような法整備がないまま、海外企業に国家の基幹システムを預ける危うさを理解すべきであるし、早急に法整備を進め、現在のようにアメリカは日本のサーバを自由に開示できるが日本はアメリカ企業に何も言えないという、日米地位協定のような歪んだ関係をITにまで広げてはならないだろう。それこそDFFTの理念違反するのではないか?

