政府機関からのエンタープライズ データ開示要請に関する透明性の提供
Google Cloud Japan Team
※この投稿は米国時間 2020 年 5 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud は、政府機関から企業のお客様のデータを提供するよう求める要請があった時期について、透明性を提供するよう取り組んでいます。透明性に基づく信頼関係を構築するための社内全体での継続的な取り組みとして、Google は本日、半期ごとに発行されるユーザー情報の開示要請に関する透明性レポートを発行しました。
今回のレポートでは、Google のこの取り組みが大きく前進したことが表れています。今回初めて、Google Cloud Platform と G Suite Enterprise Cloud のお客様のデータに対して政府機関から受けたデータ開示要請の件数を明らかにしています。昨年 10 月、Google は 2020 年初頭にこの情報を公開する所存であることを表明しました。そして今後発行される透明性レポートでも、引き続きこの情報を取り扱って参ります。
まずは、レポートに掲載されているデータと要点をまとめましたのでご覧ください。その後、お客様のデータをお客様自身が管理して可視化できるようにするための Google の取り組みについて説明いたします。
お客様にとっての透明性レポートの主要ポイント
このたび Google が受け取った政府機関からのデータ開示要請に関する情報を公開するにあたって、Google の最初の見解を 4 つご紹介します。これらの見解は、2019 年 7 月から 2019 年 12 月にかけて Google 全体で受け取った政府機関からのユーザー情報開示要請の総件数(81,785 件)に基づくものです。
まず、Google が受け取った要請の総件数に対して、企業を対象とする要請件数(282 件)はごくわずか(0.3%)でした。2 つ目に、G Suite Enterprise Cloud のお客様に関連した要請について、Google がデータを生成したケースは非常に少数(152 件)でした。どのケースでも、Google は要請を精査し、以下に解説する Google のポリシーや実践状況、また適用される法律と整合性が取れていることを確認済みです。3 つ目に、Google は政府機関からの開示要請に応じて Google Cloud Platform Enterprise Cloud のお客様データを生成することがありませんでした。最後に、公共機関のお客様に関しては、他国の政府機関に関する情報を収集しようとしている政府機関からと思われる要請はありませんでした。今後 Google がこうした開示要請を受け取った場合には、要請してきた政府機関に対してお客様に直接連絡するよう促し、必要であれば要請に異議を唱える所存です。
今後もこうした企業のお客様向けの情報を公開していくことで、Google が政府機関から企業のお客様のデータへのアクセス要請を受け取る頻度についての質問にお応えできると確信しています。
お客様によるデータ管理を支援する提言
透明性レポートで Google Cloud Platform と G Suite Enterprise Cloud のお客様データの開示要請等を公開することは、クラウド上のデータに対するお客様による管理を強化するために Google が進めている大きな取り組みの一環です。また、Google は企業のお客様の利益を守るために広範囲にわたって提言を行い、必要であれば訴訟を起こす所存です。
Google はこれからも、クラウドに保存されているエンタープライズ データの開示を要請する政府機関に 5 つのグローバル原則に従うよう提言して参ります。
●企業への直接要請
●透明性の促進
●お客様の権利の保護
●強力なセキュリティのサポート
●強制的作成に対する政府の規則の合理化
訴訟に関しては、米国第 2 巡回区控訴裁判所において、データがアクセスされたことをお客様が知る権利を守るための法的な訴えを進めています。Google は最近、秘匿と公布を巡る政府の議論に対抗する応答理由書を提出しました。
クラウドの技術的な管理を強化
Google は、クラウドに保存されたデータに対する最大レベルの管理を行うのはお客様であるべきだと考えています。これを実現するために、Google はお客様のデータに対するお客様による管理を強化し、データへのアクセス日時や方法がわかるように可視化を提供する業界トップクラスのプロダクト機能の開発を進めています。こうした分野のサービスに関する最新情報を次にいくつかご紹介します。
●External Key Manager: 現在一般提供されているサービスであり、Google の外部で実行されるサードパーティ製の鍵管理システムによって保存または管理されている暗号鍵を使ってデータを暗号化できます。
●Key Access Justifications(GCE / PD と Big Query 向けのアルファ版): データの復号に外部ホストの鍵が必要になるたびに理由を提供し、そのようなリクエストを承認または拒否できるようにします。
ここでご紹介したサービスは、クラウドにあるデータをこれまでにないレベルで管理できるようにします。Google は今後もお客様のニーズに合うように更新を続けていく予定です。
透明性を通じてお客様と信頼関係を築き、お客様のデータをお客様が確実に管理できるように法的手段と技術的手段を駆使して取り組んで参ります。Google の取り組みについて詳しくは、ホワイトペーパー「政府機関によるお客様データの開示要請: Google Cloud にあるお客様データへのアクセスを制御する」(英語)をご覧ください。
-By Pablo Chavez, Vice President, Government Affairs & Public Policy, Google Cloud