ニフクラ ブログ

ニフクラ/FJ Cloud-Vやクラウドの技術について、エンジニアが語るブログです。

意外と知られていないCLOUD Act(クラウド法)の概要とリスクと安全保障

みなさん、こんにちは。 富士通クラウドテクノロジーズの鮫島です。

2021年最初の投稿になります。
今回は外資系か国産か?というクラウド選定時に気になるCLOUD Actのお話です。
※おもにクラウドの地政学的なリスク

昨年より新型コロナ感染症の状況は悪化の一途を辿っていて、国際情勢も混迷していますが、日本においては「デジタル庁」創設が2021年9月に決定した模様です。

民間からも人材登用を行う予定で下記のようなページが公開されています。

www.digital.go.jp

日本政府は、すでに「クラウド・バイ・デフォルト原則」を、政府情報システムにおける基本方針としていますので、これから政府官公庁系のクラウド導入が進むのではないかと思います。

政府のIT投資状況と外資クラウド

各府省のIT投資状況を可視化するために、 ITダッシュボードというWebサイトが公開されています。 そこで、2019年度の契約先情報と金額を見ることができます。

引用元:内閣官房 情報通信技術(IT)総合戦略室 ITダッシュボード

すでに、政府共通プラットフォームでは、AWSが採用されていることは周知の事実です。 ここに並んでいる多くの日本企業が外資系クラウドを基盤としたシステム構築を行っているということは、業界内では誰でもご存じでしょうが、意外と世間では知られていないことです。

「外資系クラウドでも、日本にデータセンターがあれば日本の国内法が適用されるから問題ない」

という判断もあるかもしれませんが、ここで注目したいのがアメリカの法律「CLOUD Act」です。

CLOUD Act(クラウド法)って何?

CLOUD Actもしくはクラウド法とは、

Clarifying Lawful Overseas Use of Data Act」の略で、米国議会で2018年3月に可決された法案です。

まぎらわしいので、CLOUD Actに統一します。

とりあえず、要点だけ述べます。

米政府は米国内に本拠地を持つ企業に対して、米国外に保存されているデータであっても合法的にデータの閲覧・差し押さえ要求を行う可能性があります令状なしでデータの開示を要求することが可能です*。

*読者様からのご指摘に基づき修正(2022年7月28日)

クラウド黎明期に、よく外資系クラウドのリスクとして言及されてきた「USA PATRIOT Act(パトリオット法)」は、日本リージョンであっても対象になると明言されていましたが、2015年に法律としては失効しています。

外資系クラウドのCLOUD Actリスク

外資系クラウドのサイト上で、CLOUD Actについての見解が示されています。 直リンクは避けますが、おおむねこういう内容です。

・お客様のサービスの使用方法に影響しない
・他国の現地法に優先するものではない
・現地法や国益に反する要求に異議を唱える権利を認めている
・米国政府からの開示要求は公開しているが、ほとんどない
・不適切な開示要求に対しては、意義を申し立てるので安心してほしい

という感じです。

実際のところ、パトリオット法と類似のリスクが復活したと考えて間違いではないでしょう。

「安全保障」を理由に政府が国産クラウドにテコ入れすべきだという意見もあるようです。

しかしこれを利用して

「外資系クラウドは危険」
「国産クラウドを使おう!」

という、単純なネガティブキャンペーンを行うつもりはありません。 各クラウドの特徴を生かして必要な部分では活用すべきだと思います。

まとめ

新型コロナウイルスの感染拡大がいまだ続いている上に、米国はじめ各国の国内政情も不安定な状況ですので、何が起こるかは予想がつきません。
また、テレワークの拡大によって生じた脆弱性を狙い、ランサムウェアを利用したサイバー攻撃が多発しています。 大規模な感染症の蔓延というリスクは想定外でしたが、起こりうるリスクを認識した上で選択・対策を行うことは重要です。

事業継続上重要なデータの保全という観点で、あらためてクラウドの利用を検討してみてはいかがでしょうか?

ニフクラでは、前述の「クラウド・バイ・デフォルト原則」の概要と、実際にクラウドを利用する際のポイントをわかりやすく解説したeBOOKを無料で配布しています。

是非ご活用ください。