・Disclaimer自分は弁護士ではないし、その手の専門家ではありません。よってここに書いてあることを信じて、何かを行ってヤバい事になっても一切責任は負いませんし、それは自身の責任で処理してくださいね。まじめに会社の公式見解でもなければ、クラウドベンダーの代弁でもありません。

・問題
自分の問題は以下、単純に「業務系システムを日本国内のDCのクラウドに上げている状態で、パトリオット法が適用された時に、そのクラウド上の業務系データが、一方的に米局政府に差し押さえられるということが起こりうるか？」という点につきます。

・個人的な結論
　結論から言うと、それは「ない」ですね。つまり、一方的かつ直接的に国内DCのデータが米国政府に押さえられることはないと思います。勿論、一定の要件を満たしたテロ等の嫌疑がある場合にはすべて正式の手続きに則った上で、米国当局の要請をうけて日本の司法がしかるべき手続きを実行する、ということはあるということだと思います。

　これは先日、米国大使館で行われたセミナーの（というか一種のシンポジウムだと思うけど）での個人の心証です。

セミナーの内容は事実上米国政府のコメントに近いと思われます。非常に重要なので記録として残しておきます。

・セミナーの概要
題目：クラウドコンピューティングと法規制セミナー
Cloud Computing Laws and Regulations: Clarifying Misunderstandings and Facts

開催日日時：2013/5/31 10:00-12:00

開催場所：米国大使館

主催：ISACA Tokyo Chapter

スポンサード：
・American Embassy
・Ministry of Internal Affairs and Communication
・American Chamber of Commerce in Japan IT Committee

サポート：
・Amazon Data Service Japan KK
・Google Japan Inc
・Microsoft Japan Co Ltd
・Salesforce.com Co Ltd

プログラム：
1. Welcome and Introduction
Andrew Wylegala, US Embassy Tokyo, Minister for Commercial Affairs

2. Opening Remarks
Kurt Tong, Deputy Chief of Mission

3. Greetings
ISACA（情報システムコントロール協会）梶本　政利

4. Introduction of US Government Speakers
Andrew Wylegala, US Embassy Tokyo, Minister for Commercial Affairs

5 US Government Speakers〜キー・ノート

5-1 Stephan Bell, US Department of State, Bureau of Economic and Business Affairs, Counselor to the Office of International Communications and Information Policy
[The US Government's View on the Importance of Cloud Computing and Law Enforcement Access Issue]

5-2 Jeffery Olsen US Department of Justice, Director for Asia/Pacific Affairs
[Clarifying Myths Surrounding of the USA PATRIOT Act]

6 パネル・デイスカッション
・モデレイター
Toshiyuki Zamma, Assistant to Government CIO(座間敏如　政府CIO補佐官)
・パネラー
Yasuhiko Taniwaki, Deputy Director-General, Ministry of Internal Affairs and Communication
(谷脇康彦 総務省・官房審議官)
Shino Uenuma, Attorney, South Tranomono Law Office
(上沼紫野　弁護士　虎ノ門南事務所）
Stephan Bell, US Department of State
Jeffery Olsen US Department of Justice

自分の印象

・開催場所について
そもそも大使館でやるとかどうよ、とか思っていたら案の定、入り口のセキュリティチェックの大渋滞。荷物保管のための管理タグが足らないとか、事前に登録しているのだから人数ぐらい把握しておけばいいのに・・・。入れた時に最初の挨拶とか終わっていました。

人数は150名前後でした。ほぼ満席でとにかくスーツ以外はゼロ。年齢もたぶん50代が一番多かった気がする。公職の人も多くいるように見えました。

とはいえ、結論から言うと、大使館でやったというのは正解で、内容から見ると結果として「米国政府の公式見解セミナー」というに足る舞台装置になっていたと思います。その辺の招待プライベートセミナーではなく、大使館で堂々と話しました的な内容になってました。

・パネリストについて
メインのスピーカーは
・Stephan Bell, US Department of State, Bureau of Economic and Business Affairs, Counselor to the Office of International Communications and Information Policy
最初はビデオで参加という話でしたが、当日は回線が不良とかで、声だけで参加していました。

・Jeffery Olsen US Department of Justice, Director for Asia/Pacific Affairs
現地に出席していました。要するに米司法省です。

両者とも米国政府関係筋ということでいいかと思います。役職とかよくわかりませんが、一応、話の内容としては米国政府の立ち位置を当事者的に話していたと思います。

あとは、米国サイドから説明資料が配られてましたが、米国サイドとしては誤解が酷いので懸命に解こうとしているという内容です。米国としてはいろいろと考慮しているというサイド・エビデンスにはなると思いますが、それ以上のものではない気がします。（とはいえ、ないよりは圧倒的にましですね。社内の稟議書にPATRIOT法のことを記述する羽目になった人は入手しておくといいとは思います。）

・話や議論の中で重要だったポイントを列挙しておきます。

1.国際的な枠組みについて
　とにかくあれやこれややっております、という話だったかと。主として、米国とEUで特にプライバシー情報の取り扱いが違うので、調整が大変だという話だと思います。要するにEUは一律で厳しく細かくという方針。一方、USではsafe harbor ruleでしかも個別に決めましょう、という方針、というのはその辺のWebの情報と医療機関系の情報では重さが違うでしょ？個別に決めるべきという考え方のようです。尚、配られた資料だとかを見ると日本でPATRIOT Actが云々というよりもむしろEUと米国間で、いろいろつばぜり合いをやっているようです。

　日本はただいま検討中とのこと。一応建て付けは個人情報保護法ですが、アレはあまりに形式的すぎて実質利用に制限がかかりすぎなので、なんかもうちょっと考えないといけませんという話も出ておりますよ、という話でした。（まぁ例のIDの話とかいろいろダダ漏れ状態で、もっとフレキシブルにってのは話はわかりますが、いろいろ物議が出ると個人的には思います。罰則つけたらつけたで運用とか不透明になるでしょうし・・・）
　ま、要するに細かい話はともかく、ワールドワイドでの枠組みの検討に入っているという背景もあり、一方的にプライバシー侵害になることはやりにくいということの説明だったと思います。

2.PATRIOT Actについて
　一般に言われているのはPATRIOT法が適用されると「テロ対策なら海外の国のDCであっても、海外の国の令状もとらずにデータとか差し押さえ可能」ということがあるか？ということですね。まぁ冷静に考えればあり得ないのですが、テロになると戦争までやってしまう国なので、米国ならあり得るんじゃないですか、とこんな話ですね。

　んで、今回のセミナーでの米国政府のコメントで「それはないよ」ということを割と正式に言ったということになると思います。基本的にdue processに乗っ取ってやります、ということが原則だそうです。手続き的には、テロやらなんやらの嫌疑がある場合に、日本のしかるべき当局に相談の上、日本の裁判所の許可取って、しかも日本の執行に委任するということになりますよ、という風に言っていることになります。（勿論、詳細は管轄権の話にはなりますが、PATRIOT Actの話ではないですね。）

　とりあえず米国の法務省の人間がわざわざ公言している手前、これを覆すのはかなり無理があると思います。（そもそもPATRIOT Actというのは、Toolの話であって具体的な内容にはあまり踏み込んではいないようです。そのようなニュアンスの話も出ていました。運用としてはかなり制限的に行われるということのようです。・・・NSL連発してんだろ、って話はネットでは見るのですが、そもそもPATRIOT Act発行以前からNSLは使われているようですね。）

3.要するにPrivacyの問題と重なるということ
　まぁ要はここに集約されるということでしょう。超法規的な措置とかないない、という話であれば、では普通の措置でどこまでやるのか？ということに尽きます。本来的なPATRIOT法の運用もこの話に収斂します。要するに公権力としてどこまで個人の情報に関与できるか？こういうコンテクストですね。米国当局の力説は、全世界でもっとも個人情報を保護しているのは米国である、ということがどうやら言いたいｗ
　このあたりはちゃんとむしろ押さえたおいた方がいいなぁ、とは思いました。

4.データロケーションは考慮する
　これは質疑応答の中でのStephan Bellのコメントでした。要するに海外のDCとUS国内のDCでは取り扱いが違う、ということでした。明確にしゃべったと思います。「いくらなんでも海外のDCに米国が直接手出しはないよ、常識で考えてほしい」という風に感じました。

　ということはですね。穿った見方をすれば、米国のDCはそれなりアレだ、ということにはなりますね。まぁ管轄権の問題ではありますが、少なくともクラウドを業務で利用するのであれば、日本のDCを処理の実行やデータの置き場拠点にした方がリスクが少ない、と米国が自らいっているようなものです。リスク観点から言うと、グローバルなクラウドベンダーでも、日本DCのある・ないは極めて大きいといえると思います。
　とはいえ、逆に言えば各国のプライバシーの尊重はどこまで考慮されているのか？という問題にもなるわけで、米国当局としては米国が一番安全といいたいようですが。

・指摘に上がった論文
以下の論文の話が出ていました。参考にしてくれというのが向こうの説明。
A Hogan LovellsWhite Paper 「A Sober Look at National Security Access to Data in the Cloud」
http://www.hldataprotection.com/files/2013/05/A-Sober-Look-at-National-Security-Access-to-Data-in-the-Cloud.pdf

　ぱっとみたところ、今はむしろ、PATRIOT法の話ではなくFISAの方が問題らしく（正直、文言だけみると確かに突っ込みどころ満載だわね、という印象ではあります。）、特にEUサイドでは、米国政府に一方的に監視される恐れがあるので、米国のクラウドは使うな、という論調があるようで、それをいちいち否認している内容です。
　もはやクラウドを巡る主導権争いは国策レベルでの話になっており、そのあたりのPaperですね。これはなかなかおもしろいので興味のある人は一読をお勧めします。そもそも題名やIntroからしてアレな感じで、なかなか香ばしい。

　そもそもこの論文は、以下の論文のupdateです。んで本論の方がむしろPATRIOT Actにちゃんと言及しています。日本としてこちらの方が誤解を解くには重要だと思います。

A Global Reality:Governmental Access to Data in the Cloud
http://www.cil.cnrs.fr/CIL/IMG/pdf/Hogan_Lovells_White_Paper_Government_Access_to_Cloud_Data_Paper_1_.pdf

この中の、Section 2 のUNITED STATESの部分はかなり参考になります。

・実際の注意点について
　個人的な結論としては、仮にPATRIOTS Actが発動したとしても、しかるべき手続きが踏まれるということになり、これは要するに日本で犯罪捜査が行われるときの日本国内での取り扱いとあまり変わらんということになると思います。
　ということでむしろ問題は国内の問題になっている気がします。ちゃんと手続きの乗っ取ってDCのデータってしかるべきところに提出されるんですよね？という問題に還元されます。つまり、PATRIOTS Actの問題ではないですね。

　某クラウドベンダーの営業さんがお客さんにPATRIOTS Actの適用が日本のDCでもありますとか説明したという話もありましたが、正しくない気がします、あるいは言い方が不適切かなと思います。そもそもPATRIOTS Actが適用されるかどうかは、クラウドベンダーには決定権はなく、運用元の米国政府が決める話なので、クラウドベンダーの側で、適用される・されないと話したところで、そもそも根拠がないわけです。そういった意味では今回のセミナーは非常に「米国政府がかなり気をつかっているし、誤解だと思っている」ということを強くアピールしていたのは、有用な情報でした。「んなことやったら、めちゃくちゃになるでしょう？常識で考えてくださいよ。個人情報の保護を国是にして一番やっているのがウチですよ？」というのが、言外の米国法務省の正式なコメントだと思います。