Amazonクラウド、「東京データセンターも、米パトリオット法の対象内」と説明
「Amazonはアメリカの会社なので東京リージョンもパトリオット法の対象内です」
今月3月2日に、日本国内のデータセンターとして「東京リージョン」の稼働を発表したAmazonクラウド。その東京リージョンは米パトリオット法の対象内であることを、アマゾン ウェブ サービス ジャパンの小島英揮(おじまひでき)氏が、3月4日に行われたJapan AWS User Group(JAWS)主催の「JAWS-UGサミット2011春」で、参加者の質問に答える形で明らかにしました。
パトリオット法によるデータセンターのリスクとは
パトリオット法は、米国内外のテロリズムと戦うことを目的とした米国の法律です。2001年に米国で発生した同時多発テロ事件後に、捜査機関の権限を拡大する法律として成立しました。
情報通信の分野についての主な点は、電話回線の傍受に加えてISPにおける通信傍受も可能となり、捜査令状により電子メールやボイスメールを入手でき、またテロ活動の防止を目的としていれば捜査機関が金融機関やネットサービス企業に対してプライバシー情報の提出を求めることも可能になった点などです。
パトリオット法については、国会図書館「外国の立法」の平成14年刊行の翻訳「米国愛国者法(反テロ法)(上)」(pdf)およびNTTデータの「米国マンスリーニュース 2005年5月号 愛国者法とプライバシー」、平成21年度 産学連携ソフトウェア工学実践事業報告書「クラウド・コンピューティングに関する国内外の制度・技術動向等の調査研究」(野村総合研究所)などが参考になります。
ちなみに2月後半、オバマ大統領はまもなく期限切れを迎える予定の同法を3カ月延長する法案に署名。今後さらに期限を延長すべきかどうかの議論が行われています。また、オバマ政権は、すべてのネットサービスやクラウドに盗聴機能を義務づける法案を準備中と過去に報じられており、捜査機関がネットを傍受する権限を拡大したがっていることが見受けられます。
強制捜査のリスクはあるのか?
Publickeyでは、2009年4月にテキサス州のデータセンターがFBIによって押収され機能停止に追い込まれた事件を、記事「FBIが令状によりデータセンターを押収、巻き添えの顧客は大損害」で紹介しました。
タイトルで示されているようにこれは「令状によって押収」された例です。これが「パトリオット法によって押収された」と解釈されている例(記事1)などが散見されますが、少なくともこの記事を書いた時点でこのケースにパトリオット法が適用されているという情報はなく、本当にパトリオット法によって本件が起きたのかどうかは確認できていません。しかし米ガートナーのリポート「クラウド・コンピューティングのセキュリティとコンプライアンスについて理解しておくべきこと」では「ある顧客に対して警察などの法執行機関による調査がなされた場合、機器やデータが押収される可能性があり、他の顧客にも影響が及ぶ恐れがある」と指摘されています。
ただし、米国の捜査機関は日本での警察権を持ちませんから、米パトリオット法による米国捜査機関の強制捜査が日本国土にある東京リージョンに対して行われることは基本的に考えにくいのではないでしょうか。あるとすれば、米国内からインターネット経由で捜査機関が東京リージョンのデータへアクセスする、といった範囲のことではないかと思います。
国内のデータセンターに強制捜査が入るとすれば、それは日本の法律に基づいた日本の捜査機関によるものですから、そのリスクは国内のすべてのデータセンターで変わりません。
日本国土にある東京リージョンがパトリオット法の対象内であるとして、そこにどのようなリスクがあるのか、詳細はこのブログで解説できる範囲を超えています。もし詳しい方がいたら情報をお待ちしています。
なぜ東京にあるデータセンターがパトリオット法の対象内か
東京リージョンがどのような理由でパトリオット法の対象となるのか、Publickeyでは詳細を確認するために電子メールで問い合わせをしていますが、返答はまだもらえていません。おそらく、以下のようなロジックではないかと考えられます。
(1)Amazonクラウドの「利用規約」および「AWSカスタマーアグリーメント」によれば、東京リージョンに関する準拠法は米国ワシントン州法とされ、所轄裁判所は米国ワシントン州キング郡の州裁判所または連邦裁判所である。
(2)つまり、Amazonクラウドのサービスは、(Amazon日本法人ではなく)米Amazon Web Servicesが提供しているサービスである。そのため、米Amazon Web Servicesに対して米国で下された処置については、自動的に米Amazon Web Servicesのサービスであるところの東京リージョンにも及ぶ。
技術的にみて東京リージョンのデータセンターに対する操作を米国からリモートで行うことは十分可能でしょうから(通常の運用管理を海外からやっていたとしても驚くに当たりません)、米国から東京リージョンにリモートでアクセスし、捜査機関からの要請に対応することが想定されます。
正しく情報を把握したうえで、グローバルにうまく活用する
東京にデータセンターが置かれれば、パトリオット法のリスクから解放されると考えていた人は少なくないと思います。しかし、それほど単純に考えることはできないということが分かりました。
クラウドを構成するデータセンターはグローバルに広がっており、それをうまく活用することがこれからのIT関連企業には求められています。そのためには、どの国の法に基づいて運用され、その法の中身はどういうものなのか、どこにどのようなリスクがあるか、それらを正しく把握したうえで冷静に判断し、条件に合わせて活用していくという姿勢がいっそう求められることでしょう。
ところで、国内のデータセンターに対する国内の捜査機関による捜査というのはどのくらいあるものなのでしょうか? 次の記事「国内データセンターに強制捜査が入るリスクの現実度は?」では大手データセンター事業者にインタビューをし、そのことを明らかにしています。
追記(2013/6/2):2013年5月31日に米国大使館で行われたセミナーで、米国が日本のデータセンターのデータを直接差し押さえることはないだろう、という見解が示されたと、ブログ急がば回れ、選ぶなら近道の記事「パトリオット法は日本のDCに適用されるのか?についてのメモ」で説明されています。
関連記事
あわせて読みたい
