衆議院議員の松平浩一氏が先月23日、自身のブログで日本におけるサイバー犯罪捜査の課題について語っています。松平氏はアメリカの「海外データ合法的仕様明確化法(クラウド(CLOUD)法)」を紹介した上で日本でのサイバー犯罪に関する判例や課題について触れています。松平氏は「捜査・執行が諸外国と比べ十分にできないことになれば、日本が犯罪の標的になる可能性も高まる」「政府は、時代に合わせるだけでなく、時代の先を読むサイバー犯罪捜査の枠組みを、国内、国外において整備することに今以上に尽力すべき」と述べています。
1 はじめに
インターネット等の情報通信技術の発達により、複数の国にまたがって行われる犯罪が増加し、証拠が国外に存在するケースも増加している。しかし、警察、検察による捜査や裁判といった刑事手続は、国家権力の行使であり、原則として自国の領域内においてのみ許されている。そのため、従来より、越境捜査に関しては条約や司法共助の仕組みが整備・拡大されてきた。しかし、外国に所在するサーバに犯罪の証拠となるデータが保管されているという事態の増加は、従来の司法共助等を拡大するという方向性では対応が困難になっている。
このような背景のあるなか、米国では2018年3月23日、民間企業が保持する電子通信データへの国境を越えたアクセスを簡易化することを目的とした「海外データ合法的使用明確化法」(Clarifying Lawful Overseas Use of Data Act)[1]が成立した。同法は、その頭文字から、クラウド(CLOUD)法と呼ばれているため、本記事でも以下「クラウド法」と表記する。
以下、同法の内容を概観し、日本のサイバー犯罪捜査の課題について検討する。
2 クラウド法について
(1)クラウド法の概要
クラウド法は、主として、①米国の法執行機関の権限を規定する部分と、②外国の法執行機関の権限を規定する部分の2つの部分で構成されている。
①米国の法執行機関の権限
クラウド法は、米国の法執行機関に、米国に所在する企業が海外の自社サーバに格納しているデータの内容を強制的に開示させる法的権限を与えている。
クラウド法による改正以前の「通信保存法」(Stored Communications Act:SCA)[2]では、裁判所の令状により、企業に対して通信データの開示を命ずることができると定められていたが、米国「外」に保存されているデータについての強制的な開示の可否については解釈が分かれていた。
クラウド法成立の直前、連邦最高裁判所は、米国がMicrosoft社のアイルランドのサーバに格納された通信データの開示を求めた裁判(以下、「Microsoft訴訟」という。)において、この問題に判断を下すことが期待されていた。しかし、訴訟継続中にクラウド法が成立したことにより、データが米国内に存在するか否かに関わらず、米国政府が自国の企業に対して、自社が所有、管理するデータの提供を求めることができると定められた。これにより、連邦最高裁判所は、Microsoft訴訟は争訟性を喪失した(moot)と決定し、両当事者の合意の下、手続きが打ち切られることになった[3]。
“No live dispute remains between the parties over the issue with respect to which certiorari was granted. …
Further,the parties agree that the new warrant has replaced the original warrant. This case, therefore, has become moot. ”
United States v. Microsoft Corp., 584 U.S.(2018) (per curiam)
このように、クラウド法は、従来解釈が分かれていた、米国内の企業が米国「外」に保存しているデータの強制的な開示の可否について、それを可とすることを明示したところに特徴がある。
②外国の法執行機関の権限
クラウド法の成立以前、外国政府が米国内のデータの開示を求める場合、刑事共助条約(Mutual Legal Assistance Treaty)または文書送付嘱託書(Letters Rogatory)に基づき米国政府へ援助を要請する必要があった。
しかし、クラウド法では、米国政府がプライバシー及び市民的自由の保護の基準に適合する等の要件を満たしているとして選定した外国政府が、直接、米国企業に対してデータの開示を要求するための「行政協定」(executive agreement)を締結することができるとされている。これにより、協定を締結した国の法執行機関は、自国で起きた犯罪の捜査及び訴追の一環として、米国内に存在するデータへアクセスすることが可能となる。
(2)日本企業への影響
クラウド法の成立により、米国に所在する企業は、米国政府からデータ開示要求がある場合には、たとえ当該データの物理的な保管場所が海外である場合でも、その要求にこたえる必要が生じる。つまり、日本から米国に進出して現地法人を設立している日本企業が、日本国内のサーバにデータを保管している場合であっても、米国政府からの情報開示に従う必要が生じることとなる。この場合、当該日本企業は、開示をしなければ米国法に、開示をすれば日本法(個人情報保護法等)に違反するという板挟みの状況に陥るおそれがある。日本の個人情報保護法には、「法令に基づく場合」は保護義務の例外とする規定があるが、この法令とは「日本法」のことで、外国の政府からの命令に応じることはこの例外規定にはあたらないと解されており、個人情報保護委員会も同様の立場を明示しているからである[4]。
なお、クラウド法では、強制開示に例外が設けられている。すなわち、
①プロバイダーが、顧客が米国民でなく、米国に居住していないと合理的に信じる場合
②プロバイダーが、開示を行うことがデータの所在する国の法律に違法する重大な危険があると合理的に信じる場合
③その国がクラウド法で認可された米国との行政協定を締結している場合
という3つの要件を満たす場合、企業は強制開示に応じなくてよいとされる[5]。
しかし、行政協定締結の要件は厳しく設定されていることから、強制開示を拒否できる可能性はそれほど大きくないと指摘されている[6]。
そのため、米国へ事業展開をしつつも、日本国内のサーバにデータを保管しておくという企業においては、データの管理方法や、情報開示を要求された際の対応について、あらかじめ十分に検討しておくことが望ましいだろう。
