米国クラウド法(CLOUD Act)は、クラウド上に保存されたデータへのアクセスルールを定めた米国の法律です。近年、日本企業においても、AWSやMicrosoft、Googleといった米国系クラウドサービスの利用が一般化しています。その一方で、「サーバが日本国内にあっても米国法の影響を受けるのか」「個人情報や機密情報は本当に守られるのか」といった不安や疑問を感じている企業も少なくありません。
本記事では、米国クラウド法の基本的な仕組みを整理したうえで、日本の中小企業にどのような実務上の影響が及ぶのか、さらにリスクを踏まえて取るべき現実的な対策について、分かりやすく解説します。
目次
米国クラウド法(CLOUD Act)とは何か
米国クラウド法(CLOUD Act)で何が変わったの?
米国クラウド法(CLOUD Act)の2つの仕組みを整理
日本企業が誤解しやすいポイント
日本企業の影響と対策とは
米国クラウド法(CLOUD Act)をどう捉えるべきか
まとめ:自社の「データ主権」を守るために
参考情報
FAQ
米国クラウド法(CLOUD Act)とは何か
米国クラウド法(CLOUD Act)は、2018年3月23日に米国議会で可決・成立した連邦法で、正式名称を「Clarifying Lawful Overseas Use of Data Act」といいます。この法律は包括歳出予算法(Consolidated Appropriations Act, 2018)の一部として制定されました。
また、この法律は、クラウドサービス事業者が管理する電子データについて、国境を越えた捜査・取得を可能にするための法的枠組みを明確化することを目的としています。
従来、海外に保存されたデータを捜査目的で取得する場合、「MLAT(刑事共助条約)」と呼ばれる国際的な手続きを経る必要があり、時間と手間がかかる点が課題となっていました。CLOUD Actは、こうした課題を解消し、犯罪捜査や安全保障上の要請に対して、迅速にデータへアクセスできる体制を整えるために作られた法律です。
対象となる「電子データ」は非常に広範で、メール、メッセージ、チャット履歴、業務ログ、保存ファイルなど、クラウド上で管理される情報全般が含まれます。個人情報はもちろん、企業の業務情報や顧客データ、場合によっては機密情報も対象となり得ます。
この法律がクラウド利用と密接に関係する理由は、データの保存場所ではなく、データを管理する事業者がどの国の法律に従うかが重視されるからです。たとえサーバが日本国内に設置されていても、運営会社が米国法の管轄下にある場合、米国の裁判所命令に基づきデータ開示を求められる可能性があります。
そのため、米国系クラウドサービスを利用する日本企業も、CLOUD Actと無関係ではありません。自社のデータがどのような法律の影響を受けるのかを正しく理解することが、リスク管理やコンプライアンス対応の第一歩となります。
米国クラウド法(CLOUD Act)で何が変わったの?
CLOUD Actによって最も大きく変わった点は、海外サーバに保存されているデータであっても、一定の条件を満たせば開示命令の対象になり得ると明確化されたことです。従来は、データがどの国に保存されているか、つまり「所在地」が重要視されてきました。しかしCLOUD Actでは、保存場所が米国外であっても、米国法の管轄下にある事業者が管理している場合、米国の裁判所がデータ提出を命じることが可能なのです。
この法律の特徴は、「データはどこにあるか」よりも、「誰がそのデータをコントロールできる立場にあるか」を重視する点にあります。たとえば、サーバが日本国内のデータセンターに設置されていても、クラウドサービスの運営会社が米国企業であれば、その企業は米国の司法命令に従う義務を負います。この考え方により、「日本リージョンに保存しているから安全」という従来の認識は成り立たなくなりました。
CLOUD Actを理解するうえで重要なのが、「保有(possession)」「管理(custody)」「支配(control)」という概念です。
・保有とは、データを物理的・技術的に保持している状態
・管理とは、運用やアクセス権限を管理している立場
・支配とは、法的または実質的にデータを提出できる権限を持つこと
米国クラウド法では、これらのいずれかに該当する場合、事業者はデータ開示を求められる可能性があります。特に「支配」の概念は広く解釈されるため、クラウド事業者が技術的にアクセス可能であれば、所在地に関係なく対象となり得る点に留意が必要です。
この仕組みにより、海外サーバはもちろん、日本国内のサーバに保存されたデータであっても、運営主体が米国法の影響下にある場合、CLOUD Actの適用範囲に含まれる可能性があります。その結果、企業が意図しない形で情報開示が行われるリスクも否定できません。CLOUD Actは、クラウド利用におけるリスクの判断軸を「場所」から「支配構造」へと大きく転換させた法律だといえるでしょう。
米国クラウド法(CLOUD Act)の2つの仕組みを整理
米国クラウド法(CLOUD Act)には、大きく分けて2つの重要な仕組みがあります。1つは、海外に保管されたデータに対しても米国の裁判所が開示を命じられるという考え方です。もう1つは、行政協定(Executive Agreement)を通じて、他国の捜査当局が迅速に電子証拠を取得できる枠組みを整えた点です。これらはいずれも、従来の国際捜査の在り方を大きく変えるものです。
まず1つ目の仕組みは、データの保存場所が米国外であっても、米国法の管轄下にある事業者がそのデータを保有・管理・支配している場合、米国の裁判所が開示を命じることができると明確にしました。従来はサーバの所在地が重視される傾向にありましたが、CLOUD Actではその考え方が転換されたのです。海外サーバ、日本国内のリージョンを問わず、事業者が実質的にデータをコントロールできる立場にあれば、開示命令の対象となり得ます。
2つ目の仕組みが、行政協定(Executive Agreement)です。これは、米国と一定の法制度や人権保護水準を満たす国との間で結ばれる協定で、相手国の捜査当局が、米国企業が管理する電子データを、従来よりも迅速に取得できるようにする枠組みです。この仕組みは、外交ルートを通じた国際刑事共助(MLAT)に比べ、手続きが簡素化され、捜査のスピード向上が図られています。
MLATはこれまで国際捜査の中心的な手段でしたが、申請からデータ取得までに長い時間を要するという課題がありました。CLOUD Actの行政協定は、その課題を補完し、デジタル時代に即した新たな国際捜査の形を示しています。
実際に、米国は2019年10月に英国と、2021年12月にオーストラリアと行政協定を締結しており、英国協定は2022年10月から、オーストラリア協定は2024年1月から発効しています。現在、カナダおよびEUとも交渉が進められており、この枠組みが現実に機能し始めていることが分かります。
このようにCLOUD Actは、単なる国内法ではなく、国際的なデータ取得のルールそのものを変える法律です。日本企業にとっても、クラウド利用に伴う法的リスクを考えるうえで、無視できない存在となっています。
日本企業が誤解しやすいポイント
米国クラウド法(CLOUD Act)については、日本企業の間でいくつか典型的な誤解が見られます。クラウド利用が一般化する一方で、法律の仕組みが十分に理解されていないことが、不安と過信の両方を生んでいるのが実情です。ここでは、特に誤解されやすいポイントを整理し、正しい理解を示します。
まず多いのが、「サーバが日本リージョンにあれば安全」という誤解です。確かに、データを国内に保存することは、災害対策や国内法遵守の観点では重要です。しかしCLOUD Actでは、データの保存場所そのものよりも、どの事業者がそのデータを管理・支配しているかが重視されます。そのため、サーバが日本国内にあっても、運営会社が米国法の管轄下にある場合、一定条件のもとで開示命令の対象となる可能性があります。「日本リージョン=米国法の影響を受けない」という理解は正確ではありません。
一方で、「米国政府が自由にデータを見られる」という極端なイメージも誤解の一つです。CLOUD Actは、米国政府に無制限の監視権限を与える法律ではありません。データ開示には、裁判所による令状や命令といった法的手続きが必要であり、捜査目的や必要性が審査されます。また、対象となるデータの範囲や取得方法にも一定の制限があります。米国政府が恣意的に企業データへ直接アクセスできるわけではありません。
さらに見落とされがちなのが、開示命令が出た場合の「対応の流れ」です。開示命令の直接の相手方は、クラウドを利用している企業ではなく、クラウドサービス事業者です。つまり、日本企業が知らないうちに、事業者が命令に基づいてデータを提出する可能性も理論上は否定できません。ただし、実際には契約条件や法的判断、異議申し立ての可否など、複数の要素が絡むため、すべてのケースで即時に開示されるわけではないのです。
重要なのは、「影響がない」と思い込むことでも、「すべて危険だ」と過度に恐れることでもありません。CLOUD Actは、法的な枠組みの中で運用される制度であり、その仕組みと限界を正しく理解することが、現実的なリスク判断につながります。日本企業に求められるのは、誤解に基づいた安心や不安ではなく、自社のクラウド利用状況を踏まえた冷静な理解と備えだといえるでしょう。
日本企業の影響と対策とは
米国クラウド法(CLOUD Act)の影響は、すべての日本企業に一様に及ぶわけではありません。しかし、個人情報や機密情報をクラウド上で扱う企業にとっては、無視できない論点です。特に業種やデータの種類によってリスクの大きさは異なり、契約内容の確認、暗号化、鍵管理、データ保存の考え方といった実務的な対策が重要になります。
影響を受けやすい業種として、まず挙げられるのがIT・SaaS・Webサービス事業です。これらの企業は、クラウド上に大量のユーザーデータを保管し、ログや通信内容、アカウント情報といった電子データを日常的に扱っています。加えて、AWS、Azure、Google Cloudなどの米国系クラウドの利用率が高い点も特徴です。そのため、CLOUD Actの考え方と自社のデータ管理体制を理解しておく必要があります。
金融業(銀行・証券・保険・FinTech)も注意が必要な分野です。顧客の個人情報や取引履歴、資産情報といった機密性の高いデータを扱うため、法規制や監督当局から求められる管理水準も高くなります。海外クラウドを利用する場合、万一のデータ開示リスクについて、社内外に対する説明責任がより重くなる点が特徴です。
医療・ヘルスケア関連分野では、診療情報や健康情報といった要配慮個人情報を扱います。電子カルテや医療クラウド、研究データの保存・共有にクラウドを利用するケースも増えていますが、委託先管理やデータの取り扱いについては特に慎重な判断が求められます。官公庁・自治体・公共関連も同様に、住民情報や行政データ、内部文書を扱うため、委託先クラウドの法的リスクが問題になりやすい分野です。
製造業や研究開発型企業においても、設計図や技術資料、研究データ、M&Aや新製品に関する情報など、社外秘情報を多数保有しています。これらのデータは個人情報ではなくても、企業価値に直結するため、開示リスクを含めた管理体制の検討が重要です。
こうした企業がまず確認すべきなのが、クラウド利用に関する契約内容です。どの事業者がデータを保有・管理・支配しているのか、開示命令が出た場合の通知有無や対応方針がどうなっているのかを把握しておく必要があります。また、暗号化は重要な対策の一つですが、それだけで十分とはいえません。暗号鍵を誰が管理しているのか、事業者側が技術的に復号可能かどうかといった点まで含めて検討することが求められます。データ保存についても、「どこに保存するか」だけでなく、「どの法制度の影響下に置かれるか」という視点が欠かせません。
なお、日本の個人情報保護法との関係について、重要な点があります。個人情報保護法第27条第1項第1号では「法令に基づく場合」は第三者提供の例外とされていますが、個人情報保護委員会はこの「法令」について日本法を指すとの見解を示しています。つまり、米国クラウド法のような外国法に基づく開示要求は、この例外には該当しないと解釈されています(令和元年6月の国会答弁による)。このため、日本企業が米国法と日本法の「板挟み」状態に陥る可能性があることは、認識しておく必要があります。
米国系クラウドベンダー日本法人の立ち位置
米国系クラウドベンダーの日本法人を利用している場合でも、注意が必要です。契約相手が日本法人であったとしても、親会社である米国企業がデータに対する管理権限を持っている場合、CLOUD Actに基づく開示命令の対象となり得ます。つまり、「契約は日本法人と結んでいるから安全」とは一概にいえません。
日本法人はあくまで販売やサポートの窓口であり、クラウド基盤や運用の実態は親会社が担っているケースも多く見られます。その場合、最終的な判断や対応は米国本社に委ねられる可能性があります。したがって、日本企業としては、契約形態だけで安心するのではなく、親会社を含めた支配構造を理解したうえでリスクを評価することが重要です。
米国クラウド法(CLOUD Act)をどう捉えるべきか
米国クラウド法(CLOUD Act)は、「クラウドを使うべきではない」と示す法律ではありません。実際、クラウドは業務効率や可用性、セキュリティ水準の向上において、多くのメリットをもたらしています。重要なのは、クラウド利用そのものを否定することではなく、法律の仕組みを正しく理解したうえで、適切な設計と運用を行うことです。
CLOUD Actについては、「米国政府にすべて見られてしまうのではないか」といった不安が先行しがちですが、前述のとおり、開示には裁判所命令などの法的手続きが必要であり、無制限にアクセスできるわけではないのです。その意味で、過度に恐れる必要はありません。一方で、「自社には関係ない」と考えて何も対策を取らないことも、現実的とはいえないでしょう。
クラウド利用で本当に重要なのは、「どのデータを、どのようなリスクの前提で扱うのか」という視点です。すべてのデータを同じレベルで考えるのではなく、個人情報や機密情報、業務の中核となる重要データについては、法的リスクや説明責任を踏まえた設計が求められます。契約内容の確認、暗号化や鍵管理、バックアップの分離など、これまで解説してきた対策を組み合わせることで、リスクは大きくコントロールできます。
日本企業に求められる現実的なスタンスは、「CLOUD Actを理由にクラウドを避ける」のではなく、「影響を受け得る前提で、選択と管理を行う」ことです。どのクラウドを使い、どのデータを預けるのかを整理し、必要に応じて使い分ける姿勢が重要になります。
法的リスクのない「純国産クラウド」への保管
米国クラウド法の影響を受けない最もシンプルな解決策は、資本もサーバも日本国内にある事業者を選ぶことです。運営会社が日本企業であり、データセンターも国内に設置され、適用される法律が日本法のみであれば、米国法の直接的な適用対象とはなりません。これは「データ主権」を重視する観点からも有効な選択肢です。
この点、「使えるプライベートクラウド」「使えるデータプロテクト」は外資資本の入っていない純国産企業が運営しており、データセンターも日本国内、適用法も日本法に限定されています。そのため、米国クラウド法の直接的な影響を受けない設計となっており、法的リスクをできるだけシンプルに整理したい企業にとって、有力な選択肢の一つといえるでしょう。
まとめ:自社の「データ主権」を守るために
米国クラウド法(CLOUD Act)は、決して「遠い国の法律」ではありません。クラウドを利用する以上、企業規模を問わず、すべての日本企業に関係し得る現実的なテーマです。特に、外資系クラウドを利用している場合、サーバの所在地だけで安心することはできず、運営会社の支配構造や適用される法律まで含めて考える必要があります。
重要なのは、過度に恐れることでも、無関心でいることでもありません。リスクを正しく理解したうえで、「どのデータが重要なのか」「どのデータは特に守るべきなのか」を整理し、適切に管理する姿勢が求められます。すべてのシステムを一気に切り替える必要はなく、個人情報や機密情報など、重要なデータだけでも“避難場所”を用意しておくという考え方は、現実的かつ有効です。
こうした視点は、セキュリティやコンプライアンス対策にとどまらず、BCP(事業継続計画)の観点からも重要です。万一の法的リスクや想定外の事態に備え、自社のデータをどのように守るのかを考えることは、経営判断そのものといえるでしょう。
自社の「データ主権」をどう確保するか。今一度、クラウドの使い方とデータの置き場所を見直すことが、これからの企業に求められています。
参考情報
米国政府公式資料
- 米国議会公式サイト(Congress.gov)- CLOUD Act法案情報
- 米国司法省 - CLOUD Act関連資料・ホワイトペーパー
日本政府資料
- 衆議院 - 米国クラウド法と個人情報保護法に関する質疑応答
- 個人情報保護委員会 - ガイドライン・Q&A
クラウド事業者公式見解
- AWS、Microsoft、Google各社の透明性レポートおよびCLOUD Act対応方針
専門家解説
- 法律専門家による論文・解説記事
- セキュリティ専門機関による分析レポート
FAQ
日本にサーバがあれば関係ないですか?
いいえ、必ずしも関係ないとはいえません。米国クラウド法では、データの保存場所よりも「誰がそのデータを管理・支配しているか」が重視されます。たとえサーバが日本国内にあっても、米国法の管轄下にある事業者が管理している場合、一定条件のもとで開示命令の対象となる可能性があります。
米国政府はいつでもデータを取得できるのですか?
いいえ、そのようなことはありません。データの取得には、裁判所による令状や命令などの法的手続きが必要です。無制限・無条件にアクセスできるわけではなく、捜査目的や必要性が審査されます。CLOUD Actは、恣意的な監視を認める法律ではありません。
中小企業でも影響はありますか?
はい、影響を受ける可能性はあります。企業規模の大小は、CLOUD Actの適用判断に直接関係しません。米国系クラウドを利用し、個人情報や業務データをクラウド上で管理している場合、中小企業であっても無関係ではありません。
個人情報保護法やGDPRとは矛盾しませんか?
一概に矛盾するとはいえませんが、緊張関係が生じる可能性はあります。CLOUD Actによる開示命令と、日本の個人情報保護法やGDPR上の義務が衝突するケースも想定されます。そのため、事業者側では法的検討や手続きが行われ、必要に応じて調整が図られます。企業としては、こうした前提を理解したうえでデータ管理を行うことが重要です。
クラウドの利用をやめるべきでしょうか?
いいえ、クラウド利用を一律にやめる必要はありません。CLOUD Actは「クラウドを使うな」という法律ではなく、重要なのはリスクを理解したうえで使い方を設計することです。特に重要なデータについては、国産クラウドを併用するなど、データの置き場所を使い分ける現実的な対応が有効です。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
