はい、米国当局は EU のクラウド データをスパイすることができます。 その方法は次のとおりです

米国政府の法執行機関と諜報機関は、ヨーロッパにあるクラウドに保存された医療ファイルや情報ファイルなどにアクセスできます。 EU の一見強力なデータ保護にもかかわらず、財務記録、企業秘密や取引、さらには政府文書さえも 法律。

音 なんとなく懐かしい?

元マイクロソフトのプライバシー責任者キャスパー・ボーデン氏 パネルディスカッションで話す 今週ブリュッセルで、米国の法律は政府が米国人以外の国民のファイルをスパイすることを認めていると警告した および文書、そして新しいヨーロッパ全体のデータ保護法の提案が特にそのようなものを許可していると述べています。 監視。

ボーデン氏はパネルに対し、Amazon、Apple、 Microsoft、Google 製品（コストを抑えるためにインフラストラクチャをアウトソーシングする企業を含む） ダウン— スパイされる危険性がある 米国政府による。

「政党である必要はない」と同氏は出席者に語った。 「活動家グループや政治活動に携わる人物、さらには米国の外交行為に関連する外国領土からの単なるデータの可能性もあります。」

同氏はまた、今年後半に欧州議会議員によって採決される予定の新たなEUデータ保護規則には、外国国家のスパイ行為を可能にする「抜け穴」が導入されていると警告した。 同氏は、前述のような米国に本拠を置くインターネット大手企業は、必要に応じて欧州国民のデータの引き渡しを強制されており、さもなければ制裁や訴追に直面する可能性があると警告した。

しかし、実際には、それはもうそれほど秘密ではありません。

「域外」法律学の地で 2 年近く研究した後、私は よく考えられた理論を発表したこの記事では、欧州企業が適切な法的手段を通さずに米国などの第三国にデータを引き渡すことをどのように強制される可能性があるかを詳細に説明しています。

これが、いわゆる「世界法廷」、ハーグの国際司法裁判所で正しいと証明されれば、国際法違反となる。

その理由は、法執行機関や政府機関はいわゆる「相互法的支援」（MLA）を利用する必要があるためです。 積極的な法執行を支援するために外国政府に国民データの提供を求める正式なプロセス 調査。 多くの国は、自国での捜査において他国を支援するために MLA 条約を締結しています。

しかしそうすることで、要請側の政府は、テロ攻撃のような何かが進行中である可能性を示唆するために、たとえ少量であっても情報を提供しなければならない可能性があることを意味する。 そして、英国や米国のような政府は、インテリジェンスカードを胸にぴったりと近づけることを好みます。

欧州委員会の報道官は次のように述べています。

第三国のいかなる法的行為も、関連する EU 法または加盟国の法律を法的に無効にすることはできません。これにはデータ保護規則も含まれます。 EU における個人データの処理は、適用される EU データ保護法を尊重する必要があります。

たとえば、米国の法執行機関が欧州連合で事業を展開している企業からの情報を要求した場合、 それらの企業の国籍が何であれ、既存の協力ルートと相互法的支援を利用する必要があります。 協定

一言で言えば、公式の法的相互扶助チャンネルを利用するか、まったく気にしないでください。

この記事の公開後、Microsoft UK マネージング ディレクターのゴードン フレイザーは、 大手テクノロジー企業の欧州地域責任者として初めて認めた。 欧州に保存されているデータが第三国政府の要請に基づいて加盟27カ国圏外に転送されないことを保証できる企業は存在しない。

理論が証明した、ある考え。 しかしそれだけでは十分ではありませんでした。

アムステルダム大学ロースクールのオランダ人法学者グループもこの理論を採用し、最終的には それは正確であると結論付けた. 米国などの EU 外の国は、機密データや個人データを「盗む」ことができます。 ヨーロッパの企業がそれを自国政府に返し、諜報機関がふるいにかけられるようにする を通して。

理由が何であれ、それは問題ではありません。 諜報機関は次のような奇妙なことをたくさん行っています。 テロリストの爆弾製造フォーラムにカップケーキのレシピを植え付ける.

「方法」を説明する前に、「理由」を検討する価値があります。 

簡単な歴史の授業

米国への鍵』 海外のクラウドベースのコンテンツにアクセスする権限はありますか? 外国情報監視法（FISA）は 1978 年に初めて議会を通過し、愛国者によって修正されました 9 月 11 日のテロ攻撃からわずか 1 か月後の 2001 年の法律により、米国政府にさらに大きな権限が与えられました。 米国国民と海外の人々に関するデータを取得する. この法律はクラウド コンピューティングが存在する前の時代に制定されました。

しかし問題は、1995 年に欧州委員会が法規制を批准した際に、法律の不平等が静かに表面化したときから、知らず知らずのうちに始まりました。 欧州データ保護指令は、欧州連合の 5 億人の人口をデータから保護することを目的としています。 第三国の法律。

2008 年に FISA が最後に改正されたとき、米国政府に大量監視の権限を与え、特に米国外の米国人以外のデータを対象とする一連の条項が追加されました。 「セクション 1881a」として知られるこの権限はクラウド コンピューティングにも適用され、 アメリカ自由人権協会によると （ACLU）「個別の調査も不正行為の発見もなしに」国民を標的にした。

によれば、セクション 1881a のこれらの権限のほとんどは、FISA の以前のバージョンですでに定義されていました。 昨年の欧州議会の報告書、しかし「これらすべての要素の組み合わせは新しいものでした」。 この修正案は 2012 年末に定められたが、議会によって延長された 時間しかないので.

電子フロンティア財団 (EFF) によると、2007 年には FISA に基づく盗聴の申請が 2,370 件ありました。 「FISA盗聴のリスクは非常に低いが、FISAに基づいて秘密の身体検査を受けるリスクも同様である」 プライバシー団体は言う: 「FISA に基づいてあなたに関する記録が秘密裏に召喚されるリスクははるかに高くなりますが、政府があなたの通信記録を追跡している場合、政府は [緘口令] を発動する可能性が高くなります。」

セクション 1881a は、米国政府とその法執行機関が合理的にアクセスできる限り、米国人以外の国民に関するデータを取得することを許可する法的戦略として残っています。

簡単に言うと、ヨーロッパまたは米国外のどこかに住んでいるが、その国に拠点を置くサービス、または米国外のサービスを利用している場合、 Apple の iCloud、Google Drive、さらには Facebook など、米国に本拠を置く企業の場合、データは米国による検査を無料で受けられます。 当局。

問題は、英国マイクロソフト社の常務取締役が皮肉にもその場にいたジャーナリストの耳を突くようなことをうっかり発言するまで、ヨーロッパの権力者は誰もこのことを知らなかったことだ。 ソフトウェア巨人のクラウド生産性スイートの発売、Office 365、2 年前ロンドン。

「ああ、でも私のデータはヨーロッパのデータセンターに保存されている」と思うかもしれません。 正しいですが、あなたがヨーロッパ国民であるか、 27 加盟国のいずれかに居住している場合、米国のプロバイダーによってホストされているデータが保存されている可能性があります。 ヨーロッパの土壌。

しかし、それは第三国の覗き見から安全であるという意味ではありません。 それは、他の政府がそのデータを取得するために、国際的に合法ではない方法を使用しなければならないことを意味するだけです。

仕組みは次のとおりです

訴訟を避けるためだけでなく、話をわかりやすくするため、そして公平な立場をとるためにも、偽の会社を例に挙げてみましょう。 結局のところ、これは、前述の Amazon、Apple、Google、Microsoft、Facebook、さらには Twitter など、ヨーロッパやその他の地域に拠点を置く米国に拠点を置くあらゆる企業に当てはまります。

スリックリザード米国法人 は、北半球の企業にデータ ストレージを提供することに注力している、米国に本拠を置くテクノロジー大手です。 本社には、北米の顧客向けの米国データセンターがあります。 欧州の同等企業にサービスを提供し、EU 法を遵守するため、つまり基本的に EU データを加盟 27 か国のブロック内に保持するために、同社は 英国ロンドンに拠点を置く Slicklizzard U.K. Ltd. という完全子会社で、欧州連合加盟国であるアイルランドのダブリンにデータセンターを所有しています。 州。

この設定は、実際の企業のサービスを使用している人には馴染みのあるものかもしれません。

米国政府はSlicklizzard US Corp.にFISA令状を送付。 公的な記録がなく、秘密裏に召集されるFISA法廷は「相当な理由」を受け取らなければならないが、これは文書や記録を要求するのと同じくらい簡単な場合もある 諜報活動またはテロリズムの捜査「のため」. 実際には、これらの令状は人々に対しても適用される可能性があります。 複数の程度の分離 有罪判決を受けていない「容疑者」のテロリストから。

令状にはいわゆる国家安全保障書簡（NSL）が添付されているが、これはどう見ても「口封じ」である。 命令」により、会社がその子会社や近隣のオフィスを含む誰に対しても令状を開示することを妨げます。 世界。

スリックリザード米国法人 令状を争うか、それが合衆国憲法修正第 1 条の権利の侵害であると主張し、一部の裁判所がこれを認定して緘口令を覆したと主張する。 あるいは何もせず、ただ命令に従うだけです。

後者を採用する方がはるかに簡単でシンプルです。 結局のところ、緘口令が敷かれているのです。 誰も分かりません。

FISAの令状は「容疑者」の詳細を要求しているが、今のところ米国が捜査しているジョン・ドゥと呼ぶことにしよう。 政府の法執行機関はテロ捜査の一環として捜査を望んでおり、これは一般的な要求である FISAの下で。

John Doe はドイツに住んでおり、ヨーロッパ国民であるため、ダブリンにある Slicklizzard U.K. Ltd のデータ センターに個人データと機密データを保管しています。 一見、FISA令状は米国企業の管轄外であるためDoeには届かないように見えるが、実際はそうではない。

スリックリザード米国法人 令状を履行しなければ、米国事務所に対する制裁を受ける義務がある。 発覚すれば米国当局による訴追か、EU当局からの軽い平手打ちとわずかな罰金のどちらかになる可能性があるが、緘口令が敷かれているのにどうしてそんなことができるだろうか。

そこで、Slicklizzard US Corp. 同社が完全所有する子会社に指示し、ロンドンに拠点を置く子会社に以下のことを実行するよう命令できる 理由や事前警告なしに、Doe のすべてのデータをダブリンのデータセンターから米国に拠点を置くデータに送信する行為 中心。 こうしたことすべてがあり、同社はロンドンの子会社にその目的を伝えることもできないし、緘口令に違反したことで米国で制裁を受けることもできない。

これは米国と EU のセーフハーバー協定により合法であり、米国企業は EU を拠点とする企業と同じレベルの保護でデータを扱わなければなりません。 ただし、セーフハーバーは FISA 令状から保護するものではありません。

それが米国のデータセンターに到着した瞬間、米国の法的管轄下に置かれ、米国当局が取得できるようになります。 その後、データは、そのデータを必要とする要求機関に送信されます。

そして、それが、米国政府や、特にその企業が直面する可能性がある場合に、自国の法律が他国の法律に優先できる他の政府のやり方です。 その州の法律に基づく制裁を受ければ、国際法上の「相互法的支援」を利用せずにヨーロッパ人やさらに遠方の人々に関するデータを取得できる。 条約。

次に、このシナリオ (実際には非常に単純なシナリオ) を前述の企業のいずれかに適用します。 iTunes コレクションから個人の Dropbox ストレージ、Google Gmail または Microsoft Office 365 まで 企業データから、Facebook や Twitter の非表示情報、アクティビティ、 検索します。

これらのFISA令状は秘密であり、データも限られているため、それが実際に起こったのか、これから起こるのかはわかりません。 しかし、私たちが知っているのは、それが できる 起こる。

データをクラウドに置く前に、よく考えてください。