あなたのデータを巡る綱引き: CLOUD法とSHIELD法がセキュリティとプライバシーをどう対立させるか
米国政府は、テクノロジー企業がユーザーのデータに関する政府の要求をどのように処理するかについて、CLOUD法とSHIELD法という2つの主要な法律を制定しました。一見すると、これらの法律は矛盾した目的を持っているように見えますが、それぞれの法律の微妙な違いを理解することが鍵となります。
2018年に成立したCLOUD法は、米国の法執行機関が、たとえそのデータが海外に保存されていても、テクノロジー企業に対して要求されたデータを提供することをより容易に強制できるようにします。一方、提案されているSHIELD法は、米国政府が最初にレビューしない限り、外国政府のデータ要求に対するテクノロジー企業の対応能力を制限します。
この記事では、それぞれの法律の起源、影響、強みと弱みを深く掘り下げ、米国がセキュリティ、プライバシー、国際協力のバランスを取るために両方の法律を必要とする理由を論じます。
CLOUD法:法執行機関の権限拡大
Clarifying Lawful Overseas Use of Data(CLOUD)法は、2018年3月に議会で可決され、大規模な包括的支出法案の一部として法律に署名されました。CLOUD法は、米国のテクノロジー企業が、たとえそのデータが米国外のサーバーに保存されていても、米国の法執行機関からの正当なデータ要求に従わなければならないことを明確にしています。
これは、テクノロジー企業がより多くのユーザーデータをリモートで保存し始めた(「クラウド上で」)ために生じた法的なグレーゾーンを解決しました。以前は、テクノロジー企業は海外データにアクセスできないと主張し、米国当局は外国に保存されたデータを要求するために煩雑で遅い相互法的支援条約を通じて行動しなければなりませんでした。
CLOUD法は、データの場所に関係なく、米国のテクノロジー企業が有効な国内の捜索令状に従わなければならないことを明確にしています。また、米国が他国と二国間協定を結び、データ要求を直接交換しやすくすることを可能にします。
支持者は、CLOUD法がデジタル時代において犯罪を効果的に捜査するために必要であると主張しました。しかし、批判者は、他国のプライバシー法を弱体化させ、市民のデータを侵害する権威主義的な政権を助長する可能性があると懸念を表明しました。人権団体も、新しい直接データ共有協定の乱用に対する十分な保護が提供されていないと主張しました。
全体として、CLOUD法は国境を越えたデータへのシームレスなアクセスを可能にしますが、主権と人権の懸念を引き起こします。米国のテクノロジー企業は、グローバルに米国の令状に従わなければならないことが明確になり、法的な不確実性が減少しましたが、他国のデータに対する自律性も弱体化しました。法律の影響は、二国間協定が交渉される中でまだ発展しています。
SHIELD法:外国からのデータアクセスの保護
法執行機関の権限を拡大するCLOUD法とは対照的に、Safeguarding Americans’ Private Records Act(SHIELD法)は、テクノロジー企業によって保存されている米国市民のデータへの外国政府のアクセスを制限することを目的としています。SHIELD法は2020年に議会に提出されましたが、可決されませんでした。この法律は、米国の管轄下にある企業が、米国司法省によってレビューされ許可されない限り、外国政府の米国ユーザーデータの要求に応じることを禁止します。
SHIELD法の支持者は、中国やロシアのような敵対国による米国市民のデータの悪用から保護するために必要であると主張しています。法案の支持者は、現在の米国法がテクノロジー企業が外国政府にプライベートデータを提供することを防いでおらず、これがアメリカの権利を弱体化させていると言います。
外国の要求に対する米国政府のレビューを要求することは、重要な監視の層を追加します。批判者は、SHIELD法が他国に同様の制限的な法律を採用させ、インターネットアクセスをバルカン化し、世界的なウェブを分断する可能性があると反論します。他国がデータフローを相互に制限する場合、テクノロジー企業は矛盾する法的義務に直面する可能性があります。
まだ法律にはなっていませんが、SHIELD法の原則は、米国政府が米国市民のデータに対する管理を再主張する、ますます国家主義的で保護的なアプローチを反映しています。しかし、インターネットシステムのグローバルな相互接続性とテクノロジー企業の多国籍性が、純粋に国内の規制を複雑にしています。
US Cloud Act vs. SHIELD Act: 類似点、相違点、皮肉
対照的な目的を持っているにもかかわらず、CLOUD法とSHIELD法は、米国政府が米国のテクノロジー企業が米国市民のデータを共有する際に管理すべきであるという基本的な前提を共有しています。CLOUD法は米国の法執行機関のアクセスを拡大し、SHIELD法は外国政府のアクセスを制限します。どちらも米国の管轄権を主張し、外国のデータ要求に対する米国市民の権利を保護することを目的としています。
しかし、これらの法律は、国境を越えた管轄権の拡大に関してほぼ反対の立場を取っています。CLOUD法は、世界中のデータに対する米国の令状の権限を主張します。対照的に、SHIELD法は、米国政府によって許可されない限り、米国のデータへの外国のアクセスを遮断しようとします。この矛盾は、相互接続された世界におけるデータ規制の複雑さを浮き彫りにしています。アメリカは、グローバルにデータにシームレスにアクセスしながら、他国が米国の国境を越えてデータにアクセスすることを阻止することは完全にはできません。
しかし、ある意味で、両方の法律は、米国市民のデータに関する他国の意図に対する皮肉な懐疑を共有しており、外国の搾取からアメリカのプライバシーを保護しようとしています。米国はCLOUD法を通じて世界中の市民のデータにアクセスする権利を主張し、SHIELDを通じてデータへの外国のアクセスを拒否しています。
しかし、民主的な説明責任と権利の保護は、アメリカだけに限定されるべきではありません。最終的に、プライバシーとセキュリティの両方が、国際的な協力と共有されたデータ保護原則に基づく合意を必要とします。
US Cloud Act vs. SHIELD Act: 両方の法律が必要な理由
情報時代のこの段階では、毎日大量の機密データが生成、処理、保存されている中で、CLOUD法とSHIELD法の両方が市民の権利を保護するための正当な懸念に応えています。法執行機関は、正義を維持するためにデジタル証拠への効果的なアクセスを必要としています—これがCLOUD法の動機です。同時に、市民の個人データは、外国の大量監視や抑圧から保護されるべきです—これがSHIELDの動機です。これらの法律の間の緊張にもかかわらず、プライバシーと正義の両方の原則は重要です。
理想的には、微妙な合意が両方の目的を維持することができます。二国間のCLOUD法の合意は、法執行機関のデータアクセスを確保しながら、基本的な市民の自由の保護を設定することができます。SHIELD法の外国要求のレビューは、正当なケースを許可しながら、無差別なデータ押収を制限することができます。単一の国がグローバルなインターネットを一方的に規制することはできません。しかし、米国は、CLOUDを通じてセキュリティを追求し、SHIELDを通じてプライバシーを維持するという両方の政策の流れを通じて、自国の利益を主張することが正しいです。慎重に組み合わせれば、これらの2つの法律はデジタル時代のための包括的なアメリカのデータ政策を形成することができます。
Kiteworksは、米国の組織が政府の監視から機密コンテンツを守るのを支援します
CLOUD法とSHIELD法は、データ規制の根底にある難しいトレードオフを体現しています。相互接続された世界では、政府は法執行機関のアクセス、プライバシー権、国際協力のバランスを取らなければなりません。これらの米国の法律は矛盾しているのではなく、国内の調査を促進しながら市民を外国の過剰な干渉から保護するという正当な並行する利益を表しています。両方の政策を賢明に実施することで、セキュリティと自由を維持することができます。しかし、これは、正義とプライバシーの重要な原則をバランスさせる持続可能な国際規範を形成するための微妙な調整と交渉を必要とします。
Kiteworks Private Content Networkは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送を統合し、組織がファイルの入出を管理、保護、追跡できるようにします。
Kiteworksは、組織が機密情報にアクセスできる人、共有できる相手、第三者が受け取った機密コンテンツとどのように(およびどのくらいの期間)やり取りできるかを制御することを可能にします。これらの高度なDRM機能により、不正アクセスやデータ侵害のリスクを軽減します。
これらのアクセス制御とKiteworksのエンタープライズグレードのセキュアな伝送暗号化機能により、組織は厳格なデータ主権要件を遵守することも可能です。
さらに、Kiteworksの顧客は自分の暗号化キーを管理します。その結果、Kiteworksは顧客データにアクセスできず、顧客の情報のプライバシーとセキュリティを確保します。対照的に、Microsoft Office 365のような他のサービスは、顧客の暗号化キーを管理または共同管理しているため、政府の召喚状や令状に応じて顧客のデータを提供することがあります。Kiteworksを使用すると、顧客は自分のデータと暗号化キーを完全に管理でき、高いレベルのプライバシーとセキュリティを確保します。
Kiteworksの展開オプションには、オンプレミス、ホスティング、プライベート、ハイブリッド、FedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、外部で共有される際には自動エンドツーエンド暗号化、多要素認証、セキュリティインフラストラクチャ統合を使用して保護し、すべてのファイル活動、つまり誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告します。最後に、GDPR、ANSSI、HIPAA、CMMC、Cyber Essentials Plus、IRAP、DPAなどの規制や基準へのコンプライアンスを証明します。
Kiteworksについて詳しく知りたい方は、カスタムデモを今すぐスケジュールしてください。