 |
クラウドコンピューティングとプライバシー--オンラインデータの法的権利を考える |
パブリッククラウドコンピューティング(さらに言えば、あらゆるインターネットサービス)の採用を決めた個人や企業が直面する最大の問題の1つは、オンラインに保存されたデータについての法的権利があまり明確でないことだ。筆者はこの黎明期における法的状況について何度か取り上げてきた。例えば、インターネット上に保存された電子メールに対するプライバシー保護の要求を緩和する決定や、コロケーション施設の所有者に詐欺の嫌疑がかけられたときに、米連邦捜査局(FBI)がその施設内にある何十社もの企業のサーバを没収することを許可した決定だ。
しかし、筆者は以前、米政府はネットワーク化されたアプリケーションとデータで溢れる現代社会に対して、まだ適切な比喩を考え出せていないと主張したものの、実際にこの問題を詳細に分析した文献はほとんどない。さらに悪いことに、不当な捜索と押収を防止する米国憲法修正第4条が、インターネット上に保存されたデータにどう適用されるのかを分析したものは、ほとんど見たことがない(編集部注:米国憲法修正第4条とは米国憲法のうち、Bill of Rights(権利章典)と呼ばれる個人の権利保障を定めた10の条項の中の1つ。不合理な捜索および押収に対し、身体、家屋、書類および所持品の安全が保障されるという人民の権利をうたっている)。
提供:Flickr/Thorne Enterprises
だが、うれしいことに、Minnesota Law Reviewの2009年6月号の中で「クラウドの本質を解明:クラウドコンピューティングにおいて高まるプライバシー保護への期待に修正第4条の原則を適用(Defogging the Cloud: Applying Fourth Amendment Principles to Evolving Privacy Expectations in Cloud Computing)」(PDF)という極めて秀逸な論文を見つけた。この論文は、当時ミネソタ大学ロースクールの学生だったDavid A. Couillard氏が書いたものだ。インターネットコンピューティングへの修正第4条の適用について、現状を簡潔にではあるが周到にまとめている。Couillard氏は、クラウドベースのデータに関する案件に、修正第4条をどう適用するかを評価する上で、極めて論理的な枠組みを提示して、この論文を締めくくっている。
CNET Japan 特別企画 -PR-
ITジャーナリスト佐々木俊尚氏と日立のキーパーソンが語る!
2010年企業クラウド元年 ビジネスニーズが企業のクラウド化を加速する
Couillard氏によれば、事態はあまり進展していないという。
裁判所はそれ以来、「プライバシーに対する合理的な期待」という標題の下で、さまざまな状況において修正第4条の適用範囲を定義してきた。しかし、法律を上回る速度で技術は進歩し、社会の期待は高まっている。法的な枠組みは存在するが、これらの法律は時代遅れだと主張する人もいる。一方、最高裁判所は、利用が拡大しているクラウドコンピューティングプラットフォームはおろか、電子メールへの修正第4条の適用にさえ取り組んでいない。したがって、修正第4条には、技術の進歩に取り残されないよう、もっと素早く現状に適応できる枠組みが必要である。
筆者は2008年に執筆した「クラウドコンピューティングの権利章典(Cloud Computing Bill of Rights)」の中で、本質的に同じことを述べている。
政府は、オンラインクラウド経済に対する十分な信頼を築くために、企業と個人のプライバシー、そして全体的なデータセキュリティを尊重する法的枠組みの策定に取り組むべきだ。確かに国家の安全は重要だが、直接的にせよ間接的にせよ、クラウドの顧客とベンダーが法域内で安全にビジネスを行えないのではないかという不信感を抱く環境を作ってしまわないよう、政府は慎重に行動しなければならない。
Couillard氏はまず、電話通信に関する判例がクラウドにどう適用されるのか、あるいは適用されないのかについて分析している。同氏は、そうした法律はすべて「プライバシーに対する合理的な期待」テストの下で評価されると指摘している。
プライバシーに対する合理的な期待のテストは、Katz対米国政府事件(Katz v. United States)がきっかけで発案された。この事件では、Harlan判事がプライバシー保護に同意し、「(1)当該人物が対象物について、プライバシーに対する主観的な期待を示していること」「(2)その期待が合理的なものであること」という2項目の要件を提示した。このテストは、有形物と無形物の両方に適用可能だ。しかし、有形物かどうかにかかわらず、捜索対象物を自主的に第三者へ渡した場合、最高裁判所は、当該人物はその対象物について、プライバシーに対する合理的な期待を抱けなくなるとの判決を下してきた。
CNET Japan 特別企画 -PR-
ITジャーナリスト佐々木俊尚氏と日立のキーパーソンが語る!
2010年企業クラウド元年 ビジネスニーズが企業のクラウド化を加速する
インターネット上のあらゆる形態のデータやトランザクションに関する案件での法的混乱の多くは、第三者のデータセンターにデータを保存する行為が、本当に「第三者主義(third-party doctrine)」の適用対象となるのかが主な争点となっている。これには、Smith対メリーランド州(Smith v. Maryland)のような案件も含まれる。裁判所はこの案件で、人々は一般的に電話番号をダイヤルするという行為によって、通話記録に関するプライバシーの期待を放棄していると主張した。その理由は、電話会社は電話番号を受信して処理することによって、トランザクションの当事者になる、というものだ。
しかしCouillard氏は、Smith対メリーランド州の判例はダイヤルされた電話番号に適用されるが、Katz対米国政府の判例にあるように、通話の内容には適用されないと主張する。Couillard氏によると、こうした理由から、裁判所は第三者主義をオンラインコンテンツ(クラウドベースのデータを含む)へ適用するための条件を、今よりも大幅に厳しくする枠組みを採用すべきだという。
続いてCouillard氏は法律の観点から、仮想世界の入れ物、暗号化、パスワード保護を、ブリーフケース、錠前、鍵に喩えて論じた。この議論は複雑だが、現実世界において、何かを収める入れ物の安全性と不透明性の組み合わせは、どちらも「プライバシーに対する合理的な期待」のテストに影響を及ぼすことが分かった。
仮定の話をすると、ブリーフケースがダイヤル錠で施錠されている場合、政府はブリーフケースが開くまでさまざまな文字の組み合わせを試すことができる。しかし、ブリーフケースは透明ではないので、入れ物としてのブリーフケースが施錠されていない場合でも、プライバシーに対する合理的な期待は存在する。クラウド上の仮想の入れ物という文脈で考えると、暗号化は単なる仮想の錠前と鍵ではない。仮想の不透明性である。
したがって、もし裁判所がデジタル資産をCouillard氏と同じように解釈するのなら、データの暗号化さえしておけば、クラウド上でも修正第4条による保護が適用されると考えてよいだろう。クラウドベンダーはこのことに注目してほしい。
CNET Japan 特別企画 -PR-
ITジャーナリスト佐々木俊尚氏と日立のキーパーソンが語る!
2010年企業クラウド元年 ビジネスニーズが企業のクラウド化を加速する
Couillard氏は、修正第4条を「クラウド」に適用するための枠組みを提案して論文を締めくくっている。この枠組みは筆者自身の考えと多くの点で共通している。第三者のサイト上のデジタル資産を(ダイヤルされた電話番号のように)トランザクションとして扱うのではなく、家やロッカーに置かれている物理資産と同様に扱うということだ。
サービスプロバイダーは、ユーザーのクラウド「ストレージユニット」を開ける鍵のコピーを持っている。同じように、家主やロッカーの所有者は使用者のスペースに入る鍵を持っており、銀行は貸金庫の鍵を持っており、郵便配達員は郵便箱の鍵を持っている。しかしこれは、法執行機関に対し、そのような第三者を利用して個人のスペースへ立ち入る権限を与えるものではない。
これと同じ論理がクラウドにも適用されるべきだ。検索エンジンクエリなど、場合によっては、第三者が明らかに通信の当事者となる。しかし、個人的なGoogleアカウントのように、コンテンツデータ、パスワード、URLが、家主と借家人に似た関係の中でサービスプロバイダーによって管理される場合、プロバイダーが直接的に関与していないそうしたデータは、同意や修正第4条による保護の放棄によって、捜査が可能だと見なされるべきではない。
全くもって同意見だ。個人的には、裁判所がこの枠組みに注意を向け、インターネットベースのコンピューティングに端を発する修正第4条案件に、すぐにでも適用することを期待している。さらに、議会に対しては、クラウド上のデータに関するユーザーの権利を明白かつ明確に記した法的枠組みを明示的に成文化することを求めたい。
とはいえ、テクノロジ関連法について、米国の州や連邦政府の立法機関が過去に行ってきたことを考えると、あまり期待しない方がよいのかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japan 特別企画 -PR-
ITジャーナリスト佐々木俊尚氏と日立のキーパーソンが語る!
2010年企業クラウド元年 ビジネスニーズが企業のクラウド化を加速する