近年、AWS や Microsoft Azure、Google Cloud などのパブリッククラウドが事実上の標準となり、国境を越えたインフラ構築が容易になりました。一方で、「データを物理的にどこに置くか」「誰がそのデータにアクセスできるか」 という観点からは、見過ごせない法的リスクがあります。
本稿では、検証可能な法令・判例・実例に基づき、海外パブリッククラウド利用に伴うデータ主権上のリスクと、専用サーバー (コロケーション) という選択肢の意義を整理します。
この記事の要点
・米国系クラウドは CLOUD Act により、データが日本にあっても米国当局へ開示義務を負う
・EU 司法裁判所は FISA 702 を理由に Privacy Shield を無効化 (Schrems II)
・中国系クラウドは 国家情報法 により政府への協力義務
・専用サーバーは契約と物理的位置によって、こうしたリスクを構造的に緩和できる
1. 米国 CLOUD Act — データの物理位置は守ってくれない
法令の概要
CLOUD Act (Clarifying Lawful Overseas Use of Data Act) は 2018 年 3 月に米国で成立した連邦法です (Department of Justice)。
この法律の核心は、米国に拠点を置くサービス事業者は、データが米国外に保存されていても、適切な令状によって米国当局への提示が義務付けられる という点にあります。Stored Communications Act (18 U.S.C. § 2703) を改正するかたちで明文化されました。
何が問題か
AWS、Microsoft、Google などはいずれも米国法人です。そのため、東京リージョンや大阪リージョンに保存されているデータであっても、米国の司法手続きによって開示を強制される可能性があります。
⚠ 誤解されやすいポイント
「日本リージョンを選んだから、データは日本法だけで保護される」という理解は不正確です。サービス事業者の本国法 (米国の場合 CLOUD Act 等) が、データの物理的所在地を超えて適用されます。
立法の背景: Microsoft Ireland 事件
CLOUD Act が制定された直接のきっかけは、Microsoft Corp. v. United States (2013–2018) です (Supreme Court 17-2)。
米司法省が Microsoft に対し、アイルランドのダブリンにあるサーバーに保存されたメールデータの提出を命じたところ、Microsoft は「米国の令状は域外には及ばない」として争いました。第二巡回区控訴裁は 2018 年 1 月に Microsoft 勝訴の判断を下しましたが、その 2 か月後に CLOUD Act が成立し、結果として最高裁は本件を mootness (訴えの利益消失) として処理しました。
つまり議会は、司法判断で米国政府の権限が制限される前に、立法によって域外データへの強制権限を確立した ということです。
2. FISA Section 702 — 非米国人の通信は対象になる
Foreign Intelligence Surveillance Act (FISA) Section 702 は、米国情報機関が 米国外にいると合理的に判断される非米国人 を対象に通信を収集できる権限を定めています (ODNI 公式)。
クラウド事業者はこの権限のもとで政府からの要請に応じる義務を負います。本条項は 2024 年に成立した「Reforming Intelligence and Securing America Act」により 2026 年 4 月まで延長されています (Congress.gov R48592)。
日本企業が米系クラウドを利用した場合、本社 (日本) のメールやファイルが、米国情報機関の収集対象となり得るということです。
3. Schrems II 判決 — EU 司法裁判所の警鐘
2020 年 7 月、EU 司法裁判所は Schrems II 判決 (Case C-311/18) で、EU と米国の間のデータ移転枠組みであった Privacy Shield を全面無効 としました (Norton Rose Fulbright)。
無効化の理由はまさに FISA Section 702 と大統領令 12333 による米国政府の大量監視の存在 でした。EU 市民が米国の監視に対して実効的な司法救済を受けられないことが、EU 基本権憲章に違反すると判断されたのです。
この判決が示しているのは、EU の最高裁にあたる機関が、米国法のもとでのデータ取り扱いを「個人情報保護の十分性を欠く」と公式に判断した という事実です。日本国内でこの判決と同じ拘束力はないものの、リスク評価の材料としては重く考えるべきものです。
4. 中国系クラウドの場合 — 国家情報法による協力義務
中国系クラウド (Alibaba Cloud、Tencent Cloud など) を利用する場合は、別の枠組みでの考慮が必要です。
中国国家情報法 (2017 年施行) 第 7 条 は、すべての組織と国民に国家情報活動への協力を義務付けています。さらに サイバーセキュリティ法 (2017)、データセキュリティ法 (2021)、個人情報保護法 (PIPL、2021) が組み合わさり、中国政府は事業者に対して幅広いデータアクセスを命じることが可能です (日本個人情報保護委員会)。
5. 日本の制度的対応 — 越境データ移転の規制強化
個人情報保護法 (APPI) 2022 年改正
2022 年 4 月に施行された改正 APPI では、外国の第三者へ個人データを提供する場合、移転先の国の個人情報保護制度や、実施する安全管理措置の内容を本人へ通知する義務 が事業者に課されました (個人情報保護委員会 FAQ)。
つまり、米国・中国系のクラウドに顧客データを置く場合、CLOUD Act や国家情報法の存在を顧客に説明する必要があるということです。
経済産業省・デジタル庁のスタンス
経済産業省は 2022 年に「データの越境移転に関する研究会」を設置し、2025 年 1 月にも「産業データの越境データ管理等に関するマニュアル」を改訂しています (METI)。
デジタル庁の「標準ガイドライン DS-310」(2022) では、政府情報システムにおけるクラウド利用について、データの機微度に応じてハイブリッド構成や専用インフラの優先利用 を促しています。
6. クラウドサービス停止のリスク — Parler 事件
データアクセス以外にも、クラウド事業者が一方的にサービスを停止する リスクがあります。
2021 年 1 月、AWS は SNS サービス Parler のホスティングを 24 時間の予告で停止しました (TechCrunch)。Parler が AWS に対して提起したサービス復帰の仮処分申請も、同月 21 日に裁判所により棄却されています。
この事例が示すのは、クラウド事業者は単なるインフラ提供者ではなく、ポリシー判断によってサービスを即時に停止する権限を保有している という事実です。複数の事業者にまたがる依存関係がある場合、復旧までに数日から数週間を要することもあります。
7. 技術的リスク — マルチテナント環境の側面攻撃
2018 年に公開された Spectre / Meltdown は、CPU の投機的実行 (speculative execution) に起因する設計上の脆弱性でした。これらは特に マルチテナント (共有ホスト) のクラウド環境において、他テナントのメモリを読み取られる可能性 を示しました (トレンドマイクロ)。
ハイパーバイザーやコンテナによる論理的な隔離だけでは、CPU レベルのサイドチャネル攻撃を完全には防げないことが明らかになりました。
8. 専用サーバー (コロケーション) という選択肢
以上のリスクに対して、専用サーバー または コロケーション という形態は、いくつかの構造的優位性を持ちます。
| 観点 | パブリッククラウド | 専用サーバー |
|---|---|---|
| データ物理位置 | 事業者が指定したリージョン (米系・中華系の管轄外法令対象) | 契約で明示された物理 DC |
| 第三者アクセス | 事業者の本国法令に従う義務あり | DC 所在国の法令のみ |
| サービス停止 | 事業者ポリシー判断で即時停止可 | 契約上の通知期間が義務化 |
| 物理隔離 | マルチテナント (他社と CPU 共有) | 物理サーバー専有 |
| サイドチャネル攻撃 | リスクあり (Spectre 等) | 同一ホスト上に他社不在 |
重要なのは「適材適所」
専用サーバーが万能というわけではありません。スケーラビリティや初期コストの観点ではクラウドに利がある場合も多く、実際のシステム設計では データの機微度に応じてハイブリッド構成 をとることが現実的です。
💡 推奨される使い分け
パブリッククラウド向き: 公開情報、スケール変動が大きいサービス、開発/検証環境
専用サーバー向き: 個人情報、機密情報、業務継続性が重要な基幹系、規制業界 (金融・医療等)
まとめ
クラウドの利便性は否定すべきものではありません。しかし、データがどの国の法律下に置かれ、誰がアクセスできるか という問いを設計段階で意識せずに導入すると、後になって法令対応や顧客説明で困難に直面する可能性があります。
特に以下のような要件があるシステムでは、専用サーバーの採用を検討する価値があります。
- 個人情報を大量に扱う
- 顧客との契約で「日本国内のみのデータ管理」を約束している
- サービス継続性が事業の生命線である
- 業界規制 (金融・医療等) でデータ保管場所の明示が必要
TOYO Hosting では、海外パートナーデータセンターでの専用サーバー提供に加え、ご要件に応じたインフラ設計のご相談も承っております。「自社のデータを、どの国の、どの法律の下に置くか」を整理する第一歩として、お問い合わせフォーム よりお気軽にご連絡ください。
参考資料
- CLOUD Act Resources — U.S. Department of Justice
- Microsoft Corp. v. United States — Supreme Court 17-2
- FISA Section 702 — Office of the Director of National Intelligence
- Schrems II 判決の詳細解説 — Norton Rose Fulbright
- 中華人民共和国の制度 — 個人情報保護委員会
- 産業データの越境データ管理等に関するマニュアル (2025) — 経済産業省
- 改正個人情報保護法 FAQ — 個人情報保護委員会
- AWS が Parler のホスティング停止 — TechCrunch
※ 本記事は法令解釈に関する一般的な情報提供であり、特定の事案への適用については弁護士等の専門家にご相談ください。