アイデンティティとセキュリティ

クラウドでのお客様のデータ管理の強化

GCPCLOUD

※この投稿は米国時間 2019 年 10 月 25  日に、Google Cloud blog に投稿されたものの抄訳です。

 透明性がなければ、顧客データの扱いに関してお客様から信頼を獲得し、維持していくことは困難です。そのため Google Cloud では、お客様が自身のデータを管理し、いつどのようにそれらにアクセスされたのかを可視化できるよう、業界屈指のプロダクト機能の開発に取り組んできました。第一にご理解いただきたいのは、「お客様のデータを所有するのはお客様自身であり、そのデータへのアクセスを管理する権利を持っているのもお客様である」という原則です。

CLOUD 法(Clarifying Lawful Overseas Use of Data Act)が米国で成立し、先日には米国と英国の二国間協定の締結が発表されましたが、Google の姿勢はこれまでと変わらず、政府からの企業顧客データ開示要請への対処方法にも変わりはありません。Google の担当チームは要請を 1 件ずつ確認し、法的に妥当であるか、範囲は適切であるかはもちろん、国際的な人権基準、Google のポリシー、該当する法律に適合しているかどうかも評価します。Google が政府に「バックドア」を開放し、お客様のデータに直接アクセスできるようにすることもなければ、お客様の利益保護をためらうこともありません。

本日は、Google が定めた一連の新しい原則、このトピックに関して Google が最近行った裁判、透明性レポートに追加される情報についてお伝えいたします。これらの取り組みはいずれも、Google が中心に据えている、「お客様はクラウド プロバイダに保存しているデータを、自社データセンターに保存しているデータと同様に管理できるべきである」という信念を反映しています。

政府に提言する際の原則

Google は、提言を行う際の指針となる 5 つの原則を定めました。これは、企業データのセキュリティ ポリシーに対するより新しいアプローチ方法を世界中に周知するのにも役立ちます。Google は今後数か月をかけて、政府、パートナー、お客様などと協力し、すでに原則が定められている地域においてはこの原則を広め、また、法整備がまだ進んでいない地域では法制化を支援して参ります。

  • 企業への直接要請 - 正当な法的調査の過程で、保存しているコンテンツや通信記録が求められた場合、政府は直接企業にお客様のコンテンツの提供を要請すべきです。オンプレミスでワークロードを実行している企業は政府からの直接要請があることを承知しているため、このやり方はそのプロセスと合致しています。この方法は米国政府の政策提言および欧州の政策提言とも概ね一致しています。 

  • 透明性の促進 - 企業ユーザーは政府からの情報開示要請があったことを知る権利があり、そうした要請がどのくらいの頻度で行われているかが公になるべきです。政府は、プロバイダが行っている透明性への取り組みを支援すべきであり、行政権が適切に行使されるよう、政府による透明性への取り組みも前進させる必要があります。

  • お客様の権利の保護 - 政府は法的手続きに従い、企業やプロバイダがデータの開示要請に異議を申し立てる明確な方法を提供するべきです。サービス プロバイダにデータの開示を強要しようとする場合は、少なくとも政府からお客様に直接通知するべきです。Google は、無期限の非開示命令に反対し続け、政府からのデータ開示要請についてお客様に通知する権利を求めて戦い続けています。 

  • 強力なセキュリティのサポート - Google は今後も技術革新を継続し、お客様ご自身によるデータ管理を強化する技術的ソリューションなど、情報のセキュリティとプライバシーを保護する最高のテクノロジーをお客様に提供してまいります。Google は、こうした技術革新を妨げるのではなく促進する規制や法改正への提言を、今後も実施していきます。

  • 政府の規則の合理化 - 現状に即した法律を改正する場合や、電子的証拠の強制的作成を国境を越えて管理する規則を、国際基準と主権を尊重した形で制定する場合には、二国間および多国間での政府の取り組みが不可欠です。Google は政府のこうした取り組みをサポートしてきました。今後もサポートを継続し、法律に矛盾があった場合の解決や、お客様のプライバシーとセキュリティの保護などに取り組んでまいります。Google は、こうした原則を実践することが、お客様によるデータ管理の強化と、政府による企業顧客データ開示要請に関する透明性の向上に効果的であると考えています。この 5 原則は一貫性のある持続的なフレームワークとしても活用できます。企業も政府機関も、このフレームワークを活用し、デジタルデータに対する予測可能で標準化されたアプローチを開発できます。 

Google の原則を法廷で説明

Google は 2019 年初頭、データがアクセスされたことをお客様が知る権利を守るために、法的な異議申し立てを提出しました。これは、最近になって米国第 2 巡回区控訴裁判所が部分的に公開した訴訟に含まれています。この訴訟では、犯罪捜査を目的とした米国政府による企業顧客データへのアクセスについて公表することを禁じた 2 つの口外禁止命令に対し、異議を申し立てています。これは、無期限の非開示命令に反対する訴訟を Google が支持していることを踏まえたものです。データアクセスを要請する妥当な理由が政府側にあるとしても、そうした要請についてお客様が把握できる透明性も重要です。

政府からの企業データ要請に関する公開情報の追加

Google は年 2 回、透明性レポートを発行していますが、2020 年の初頭からは、Google Cloud Platform と G Suite の企業顧客データに対して政府機関から寄せられた開示要請の件数をこのレポートで公開します。この情報公開は、透明性を改善し、政府がどのくらいの頻度で Google に対して企業顧客データの開示要請を行っているのか、その不透明感を払拭する取り組みにおける重要なマイルストーンです。

Google の取り組みはここで終わりではありません。本日上記 3 つのお知らせを通じ、Google がテクノロジーの改善と政府機関への提言の両面からお客様を支援する取り組みを継続していることがおわかりいただけたと思います。Google は、お客様がこれまで以上に自身のデータを管理できるよう今後も継続的にプロダクトを進化させ、Google のお客様のデータを保護する政策を前に進めるために、これからも関係者との協力を図ってまいります。

-by Thomas Kurian, CEO, Google Cloud