「霞が関が米国のパブリッククラウドを使うのは駄目だが民間企業ならよいのでは、とおっしゃいますが、当の霞が関が国民のデータを米国クラウドに置こうとしています」
つい最近、ある仕事をしていて、米国企業が運営するパプリッククラウドサービスに日本企業のデータを置くことの是非を巡って情報セキュリティーの専門家と話し合った際、こう言われて遅まきながら驚いた。
議論の対象となっていたのは個人のデータ、あるいは個人が特定される可能性があるデータである。専門家が「個人に関わるデータを載せたいなら国産クラウドを選ぶほうがよい。米国企業のクラウドではたとえデータを保存するデータセンターが日本国内にあったとしても米国政府の要請に応じてクラウド会社がデータを米国政府へ開示するリスクがある」と言った。
確かに2018年に成立した「Clarifying Lawful Overseas Use of Data Act」、いわゆる「CLOUD Act」に基づいて米国政府は米国内に本社がある企業に対し、米国外に置いているデータについても開示要求が出せる。
国産クラウドを推すかのような専門家にこう言った。「米国のパブリッククラウドの肩を持つわけではないですが、CLOUD Actによる問題は民間企業の場合ほとんど起きないのでは。米国と日本が戦争をしたら別ですが。霞が関が米国のパブリッククラウドを使ってよいのか、とは思いますが、民間の場合致し方ないかと。扱うデータの機微度によって匿名加工をするとか、バックアップを国産クラウドか社内に持つといった備えは要るでしょうが」
これに対する専門家の応答が冒頭の発言である。かつて日経コンピュータの編集長を務めたこともあったのに、なんとも恥ずかしいことだが、政府や地方自治体が使うガバメントクラウドの調達先としてデジタル庁が2021年10月、米Amazon Web Services(AWS)と米Googleの2社を選んでいたことを知らなかった。「遅まきながら驚いた」と書いたゆえんである。
関連記事: 「マルチクラウド」の準備足りないデジタル庁、AWS・Google以外の選択肢は増えるかAWSもGoogleも米国企業である。繰り返しになるが、2社のパブリッククラウドに日本国民のデータを置いた場合、たとえ2社の日本国内にあるデータセンターを使ったとしても、米国政府はAWSとGoogleに命じて、日本の国民データを開示させることができる。
契約や運用で日本の国民データが米国政府に開示される危険を抑えられるのか。日本企業が米国クラウドを使う場合、日本国内にあるデータセンターを必ず使う、米国のクラウド事業者と個別に契約し紛争時の裁判所を日本側にしておく、データを暗号化して解除キーは日本側で管理する、といったやり方がある。
だが技術面の対策をどうするか、という話ではない。日本政府が日本国民のデータを率先して米国のパブリッククラウドに載せる、といった政策の是非が問われる。民間企業が一定のリスクをとって米国クラウドを使う話とは全く違う。
ちなみに米国政府はパブリッククラウドを積極活用する動きを見せているがクラウド事業者は米国企業である。“データ主権”を唱え、個人データの保護を強めるEU諸国の政府は住民データの保存に米国のパブリッククラウドを使っていない。
