法律は変わった、今こそ弁明せよ：米国がマイクロソフトにアイルランドの電子メールに関する新たな令状を発行

米政府はマイクロソフトに対し、同社のアイルランドのサーバーに保管されている電子メールにアクセスするための新たな令状を発行し、同時に最高裁判所に現行の法廷闘争を却下するよう求めた。

この長引く争いは、マイクロソフトが海外に保管していた容疑者の電子メールへのアクセスを求めたアメリカの検察当局がマイクロソフトを訴えた2014年に始まった。

連邦政府は、米国通信保存法第2703条に基づいて私的なメッセージを要求したが、レドモンドは捜索令状は米国国境を越えてはいけないとして拒否した。

2016年7月、米国第2巡回控訴裁判所はマイクロソフトに有利な判決を下したが、司法省はこの判決に対して最高裁判所に控訴している。

しかし、先週承認された「CLOUD法（海外におけるデータの合法的使用の明確化に関する法律）」と呼ばれる新しい法律の成立により、この紛争に大きな疑問符が投げかけられた。

既存の法律とは対照的に、CLOUD 法は、データが米国外で保管されている場合でも、当局が企業にデータの引き渡しを要求できることを規定しています。

そこで司法省は、CLOUD法が可決されたことを考慮して、控訴裁判所の判決を取り消し、訴訟を無意味なものとみなして却下すべきであると主張する申立て（PDF）を最高裁判所に提出した。

司法省の主張は、CLOUD法が現在、紛争の中心となっている令状を直接規制しており、それが紛争を解決するというものである。

米政府は、マイクロソフト社が現行の令状に基づき、問題となっている情報を完全に従い開示することは依然として可能であると主張したが、マイクロソフト社が協力していないと不満を述べた。

「マイクロソフトは、今回の訴訟で問題となっている第2703条令状にクラウド法が適用されることも、マイクロソフトが当初の令状に基づいて必要な情報を開示する予定であることも認めようとしなかった」と文書には記されている。

虫眼鏡付き地球儀

クラウド法案が上院に提出され、海外に保管されているデータへの米国のアクセスが円滑化される

そのため、司法省は「求められている情報を入手する最も効率的な手段は、CLOUD法に基づく新たな令状によるものである」と判断し、3月30日にその決定を下したと述べたが、令状を発行する必要はなかったはずだと主張している。

提出書類では、政府は「間違いなく情報を得る権利がある」と述べ、さらに次のように付け加えている。

「マイクロソフトは、国外に保存されたデータにまで及ぶため、そのような令状が域外適用上不当であると主張する根拠をもはや持たない。これは、却下申立における唯一の主張であった…したがって、当事者間にはもはや実際の争いはなく、訴訟はもはや無意味である。」

マイクロソフトにコメントを求めたが、広報担当者は「何もお伝えできることはない」と述べた。

しかし、ブラッド・スミス会長は以前からCLOUD法案について概ね支持的な声明を出している。先週法案が可決された際には、スミス会長はブログで「4年以上も訴訟の対象となってきた問題の解決に向けた重要な一歩」だと述べた。

この新法が、政府が望むとおりに企業にあらゆるデータの提出を強制できるほど完璧なものなのかどうかはまだ分からない。

Wallace LLP のクラウド弁護士である Frank Jennings 氏は、CLOUD 法はプロバイダーにとって有益な明確化を提供するが、それが紛争の終わりではないかもしれないと述べた。

「クラウド法は、データが米国外にある場合でも、プロバイダーにデータの保存、バックアップ、または開示を義務付けています。この明確化は有益です。クラウドプロバイダーは、最新の法律を遵守する明確な義務を主張できるようになりました」と彼は述べた。「しかし、戦いはまだ終わっていません。」

ジェニングス氏は、次の段階は「米国のプロバイダーが、米国外のデータが自社の『所有、保管、または管理』下にあるのではなく、顧客または第三者など他の誰かのものであることを示すことになる」と述べた。

顧客が復号鍵を保有するデータ暗号化を標準で提供することも可能だと彼は述べた。「これは『データ暗号化はできるが、中身は分からない』というアプローチです」

CLOUD法の可決と、EUのサーバーに保存されているデータへのアクセスをEU内のキャンペーングループが非難しているが、この法律が可決されたことで、新たな争いが勃発する恐れもあると同氏は述べた。

例えば、大西洋横断データ移転協定「プライバシーシールド」に異議を唱えようとする人々に新たな推進力を与える可能性があるが、EUのデータ保護当局がこれをどう評価するかはまだ明らかではない。

「（一般データ保護規則（GDPR）とともに発足する）新しい欧州データ保護委員会が、これを『国家安全保障を守るための必要かつ相応な措置』と認識するのか、それともGDPRを遠くから侵害し弱体化させようとする試みと認識するのかを見守る必要がある」とジェニングス氏は述べた。®