オンライン・データ・ストレージが絶好調。市場をリードするのはもちろんアメリカ。グーグル・ドライブ、iCloud、Dropboxといったプロバイダーが、大西洋を越えて世界をリードしています。
しかし、そのサービスの質は高いものの、ナショナリズムの罪を犯していないかどうかは定かではありません。自社のデータをアメリカのサービス・プロバイダーにオンライン上で保存することは、重大な過ちになりかねません。
米国は現在、軍事、経済、産業のいずれにおいても世界をリードする大国です。そうすることで、その政府は、国際社会全体に押し付けるあらゆる力を持つ特権を自らに横領しているのです。
この場合、愛国者法やクラウド法のような米国の法律は、非米国民に適用される統治政策の武装した翼なのです。言い換えれば、あなたの選択次第で、アメリカの行政と司法はあなたとあなたのデータに対する権限を持つということです。
世界の民主主義の急先鋒であるアメリカは、特にチェック・アンド・バランスの理論と憲法の実践において、最高の政治システムを持っていると思うかもしれません。言い換えれば、モンテスキューのような国家論者がこよなく愛した三権分立が最も達成されているということです。
現実はまったく同じではありません。20世紀後半以降、2018年のクラウド法に至るまで米国が導入してきた大規模監視法は、憲法に反するだけでなく、法の支配の古典的ビジョンにも反しているように思えます。言い換えれば、このような法律を導入する他の国家は、おそらく即座に警察国家の烙印を押されるでしょう。
というのも、米国は愛国者法とクラウド法に加え、外国情報監視法と大統領令という法律と大統領令を法的武器としているからです。これらの法律文書に照らして、米国企業が管理するクラウドにデータを保存することがなぜ危険な選択なのかを説明します。そのために、クラウド利用を決めた後に適用される法律を見ていきます。
パトリオット法とは何ですか?
愛国者法は、2001年9月11日の同時多発テロからわずか45日後に成立したアメリカの国土安全保障法です。言い換えれば、ニューヨークでの出来事にまだトラウマを抱えている議会によって、大急ぎで可決されたということです。
その結果、警察当局に捜査の白紙委任状が渡されたのです。なぜそうなるのでしょうか?なぜなら、裁判官の令状が必要であるにもかかわらず、「正当な理由」がないという理由で反対することができなくなったからです。
その結果、あなたが知らされることもなく、米国の裁判官が異議を唱えることもなく、あなたのデータはすべて押収されてしまうのです。米司法省によれば、愛国者法は最高裁がすでに認めている判例を成文化したものに過ぎないからです。
たとえば1979年には、秘密捜査が違憲であるという主張は「軽薄」であるという判決を下しています。その12年前にはすでに、警察官は被告人に捜査の理由や根拠を告げる必要はないという判決を下していました。
しかし、フランスやヨーロッパの企業にとって愛国者法の新しい点は、その域外適用です。つまり、アメリカの領土や利益を脅かすテロリスト個人またはグループとの関係が疑われた瞬間から、あなたの会社に対してあらゆる行政手段が発動されるのです。
テロ集団とのつながりを築くつもりがなくても、あるいは過激な思想を持つ顧客を見逃していたとしても、逃げ切れると思わないでください。愛国者法は見かけによらず、実際にはそれほど明確なものではないのです。その前に、もう一つのセキュリティ対策であるクラウド法を見てみましょう。
クラウド法とは?
クラウド法は、米国当局がオンラインデータストレージソリューションのユーザーのデータにアクセスできるようにするために2018年に成立しました。
公式には、司法省によって、第三国の当局が、刑事訴訟の一環としてデータにアクセスすることを目的として、データをホストしているすべての米国企業に要求できるようになると発表されています。
より詳細には、米国のあらゆる行政機関が、それが:
– 米国内に保存されている
– 米国内に保存されている、あるいは米国企業によって世界各国に保存されている限り、
– 要求された企業や政府関係部署を除けば、誰にも知られることなく。
この最新の米国の法律は、米国政府に役立つ唯一の手段ではありません。
外国情報監視法(FISA)とは?
FISAは1978年、連邦当局の監視行為を規制しようとする議会によって可決されました。愛国者法と同様、この法律は既存の慣行を成文化しようとするものでした。
2008年に追加された第702条は、米国企業に米国領土外の人物の標的型監視を促進する義務を課しています。
この法律は特に、スパイ対策に有益な情報を所持、受信、または伝達している疑いのある非米国市民を対象としています。その範囲は愛国者法と同様、国際テロ対策が公式目的。
大統領令12333
1981年にロナルド・レーガンが署名した大統領令12333は、ワシントン・ポスト紙が指摘するように、愛国者法215条よりもさらに大きな可能性を提供する文書です。
ただし、今回の大統領令12333号は、海外に住む米国市民のみに適用されます。これでもまだ、アメリカの諜報機関があなたのアメリカ人の顧客に興味を持った場合、あなたのデータを調べることができます。
この政令の下では、米国の諜報機関が押収するすべてのデータは令状なしに行われるため、裁判官や議会による管理さえもありません。
おわかりのように、法律は必ずしも強者の権力に対する弱者の保証ではありません。個人の自由や、より広くは公共の自由全体を常に守っているとは言い難いのです。特にその適用、ひいては解釈について考えるようになると。
法は解釈によってのみ存在するもの
法律を正しく理解することは、法律を読むだけでは決してできません。なぜでしょうか?なぜなら、法律を文字通り適用することは常に不可能だからです。つまり、ある法律の範囲を理解するには、それがどのように適用されるのかを理解する必要があるのです。これがアメリカの愛国者法とクラウド法がもたらす問題です。
愛国者法が「疑わしい活動」に言及するとき、そのような活動はどのように定義されるのでしょうか?この概念には何が含まれるのでしょうか?特定の活動を疑わしいと表現できるのは、解釈によってのみ可能です。問題は、各政権がこの法律を独自の方法で、しかも完全に秘密裏に解釈していることです。
つまり、いったんあなたのデータがアメリカの企業に保存されると、CIA、NSA、財務省といった行政機関の裁量で、すべてのデータにアクセスできるということです。退屈でしょう?犯罪者でもテロリストでもないからといって、捜査の対象から逃れられると思わないでください。
この法的兵器の主な目的は、テロリストを追い詰めることではなく、自由競争を歪めることなのです。米国が自由貿易の模範だと思いましたか?それは間違いです。
しかも、データ収集は顧客のデータだけに関わるものではありません。米国財務省もデータ収集に関心を持っているのです。FCPAを見れば、デジタルデータを保存することは間違いなくコストになることがわかるでしょう。
FCPA法、すなわち非米国企業への新たな課税
1977年に成立した海外腐敗行為防止法は、米国の裁判所が企業に多額の罰金の支払いを命じることを認めています。2014年にはアルストムが7億7200万ドル、2008年にはシーメンスが8億ドル、2010年にはダイムラーが1億8500万ドル、2010年にはアルカテル・ルーセントが1億3700万ドルを支払っています。これらは大きな金額のほんの一部です。
証拠はどのようにして作られると思いますか?クラウドにあるデータなど、あらゆる手段で。米国に子会社も従業員もいないから安全だと思っているのであれば、米国の利益が損なわれた時点でFCPAが適用されることを知るべきです。ここでも「米国の利益」という概念は解釈の余地があり、重要なのはあなたの利益ではありません。
米国の法律に関するこのような情報を考慮すると、フランスまたは欧州の企業が欧州の領土で管理するクラウドという選択肢は、十二分に興味深いものに思えます。しかし、有名なRGPDを把握しておく必要があります。
フランスと欧州の法律に照らしたGDPR
一般データ保護規則(GDPR)は、欧州連合(EU)により採択されたもので、欧州内で活動する企業に対し、ユーザーがインターネット上で預けるデータの安全性を保証するものです。
特に米国へのデータ移転における企業の役割を理解する前に、ユーザーのデータ処理に責任を負う企業に課される義務と関連する罰則について見ておくことが重要です。
データ管理者の義務
特に、RGPDはデータ収集において子供の権利が保護されることを保証しています。13歳未満の児童に関するデータ収集は依然として禁止されていますが、13歳から16歳の児童については、保護者の承認がある場合、および児童を直接対象としたサービスに関連する場合に限り許可されます。
RGPDはまた、データ管理者に対し、収集目的に厳密に必要なデータのみを収集し、関係者の要求に応じてデータを削除できるようにすることを求めています。
RGPDが課すすべての義務を遵守することにより、監督当局から証明書が授与される場合があります。この証明書は3年間有効です。
RGPDの詳細については、CNIL (Commission Nationale de l’Informatique et des Libertés) が、超零細企業(VSE)および中小企業(SME)向けのオンラインガイドを発行しています。このガイドでは、ファイルのリストを作成し、データを分類し、それらを安全に管理する方法を説明します。
RGPDに規定された義務を遵守しなかった場合、非常に重い罰則が課される可能性があります。
不遵守の場合に適用される罰則
フランスでは、CNILは3つの方法で事件を取り上げます:
– CNILのウェブサイト上でユーザーから直接苦情を受けた場合、
– ウェブサイトまたは会社の検査
– データ侵害
CNILは、LégifranceおよびCNILのウェブサイトでの公表から、最高2,000万ユーロまたは前会計年度の全世界の売上高の4%までの罰金まで、あらゆる制裁措置を取ることができます。
CNILは、GoogleとYoutubeのクッキーポリシーについて、Googleに1億5000万ユーロの罰金を科しました。CNILは、ユーザーがクッキーを受け入れるのと同じように簡単にクッキーを拒否することができないとして、米国企業を批判。
同じ2021年12月31日、CNILはフェイスブックにもグーグルと同じ理由で6000万ユーロの罰金を科しました。
こうした重い罰則だけでも、欧州におけるデータ保護の問題の重要性が浮き彫りになっています。しかし、グローバル化した世界では、特にインターネット上では、あらゆるネットワークが相互に浸透しており、データの共有がデータ保護の明確化をやや複雑にしています。
プライバシー・シールドからシュレムIIへ、裁判官が個人データの保護者に
ヨーロッパで収集されたデータは第三国に転送されることがあります。特に欧州と米国の間では、親会社が個人データを子会社や別のサーバーに転送する場合があります。
2016年から2020年まで、欧州連合から米国へのデータ移転に適用される規制は、プライバシー・シールドによって管理されていました。これは、米国における個人データの処理に関して欧州のユーザーに保証を提供する二国間条約でした。
しかし、このデータ保護の保証は、この条約が私たちに信じさせるほど、アメリカ側では有効ではありませんでした。シュレムという名のオーストリアの弁護士が、フェイスブック・アイルランドを相手取って裁判を起こし、米国に全部または一部が転送された自分の個人データは、ソーシャル・ネットワークの全ユーザーと同じようには保護されないと主張しました。
欧州連合司法裁判所は、シュレムスIIと呼ばれる判決で原告を支持し、プライバシー・シールドに終止符を打ちました。判決の主な論点は、米国の公的機関やその諜報機関が、転送された個人データに容易にアクセスできることでした。
フランス国内でも、政府のデータ収集に反対する団体が立ち上がりました。例えば、Conseil d’Etatは、Covid 19の予防接種予約に関する政府とDoctolibプラットフォームとの提携について裁定を下さなければなりませんでした。
Conseil d’Etatは、データセキュリティの質を検証した後、医療データが収集されていないという理由で、協会の要求を拒否しました。
同様に、La Quadrature du Netのような団体は、2011年2月25日に制定された、インターネットサービスプロバイダにデジタルデータの保持を義務付ける政令に対し、Conseil d’Etat(行政裁判所)で異議を申し立てました。
行政裁判官は、国家安全保障、国家の基本的利益の擁護、犯罪との闘いに関する理由で、彼らの主張を却下しました。
しかし、欧州の法執行機関が、判事の事前の許可なしにISPや企業を徴発することは不可能です。捜査官が報告する捜査の状況において、このような要請の有用性を評価するのは判事です。
結論
結論として、欧州における公的機関によるデータ処理およびデータへのアクセスは、EU加盟国の内務省または司法省の権限に属するか否かを問わず、高度に規制されています。欧州には米国に匹敵する法律はありません。
そのため、企業がクラウドベースのソリューションを使用してデータをオンラインに保存することを希望する場合は、データを欧州内で保存する欧州のサービスプロバイダーを選択することが重要です。
この場合、企業が欧州連合外の国、特に米国を拠点とする子会社にデータを転送していないかどうかを確認することも重要です。米国とつながりのない企業に米国の域外適用法を適用することは非常に困難です。
米国企業を経由してデータを保存することは、産業スパイや最もハイテクな不正競争行為への扉を大きく開くことになります。シーメンス、アルカテル・ルーセント、アルストムに見られるように、米国政府は裁判所に後押しされ、これらの企業が直面する競争を弱めるためには手段を選びません。
ですから、藪をつつくようなことはやめましょう。
