米国がオランダの規制当局メールを読んだ日 ―「データ国内保管なら安全」を覆すデータ主権の正体と、日本のクラウド調達への教訓

皆さんは、インターネット上のサービスを使うとき、「自分のデータはどこに保存されているんだろう？」と考えたことはありますか？特に、大切な情報や個人のプライバシーに関わるデータであれば、その保管場所は気になるところでしょう。多くの人や企業は、「データが国内や特定の地域内（例えばEU域内）に保管されていれば安全だ」と考えてきました。しかし、最近報じられたある出来事が、この常識を大きく揺るがしています。

それは、アメリカの巨大IT企業マイクロソフトが、オランダの政府機関職員のメールや会議の記録を、アメリカの議会に提出していたというニュースです。驚くべきは、これらのデータがEU域内に保管されていた可能性が高いにもかかわらず、アメリカ側に渡ってしまったという点です。オランダの政府機関は、EUの新しいルールである「デジタルサービス法（DSA）」の実施を担当する重要な役割を担っていました。その担当者の情報が、アメリカの議会に、しかも個人名が伏せられない形で提出されたという事実は、私たちに大きな問いを投げかけています。

これまで、クラウドサービスを利用する際に「データは〇〇国内に保管します」という約束は、利用者にとって安心材料の一つでした。しかし、今回の件は、たとえデータがどこに保管されていようと、そのサービスを提供している企業の「国籍」が重要になる可能性を示唆しています。アメリカの企業が提供するサービスであれば、たとえデータがEU内や日本国内に置かれていても、アメリカの法律や政府機関の要請によって、データがアメリカ側に開示される可能性がある、ということです。

これは「データ主権」という考え方に関わってきます。データ主権とは、簡単に言えば「その国のデータは、その国が管理・支配する権利を持つ」という考え方です。しかし、グローバルなITサービスが普及した現代では、物理的な国境を越えてデータが行き来するため、このデータ主権をどう守るかが非常に難しい問題となっています。特に、アメリカには「CLOUD法」という法律があり、アメリカ企業が海外に保管しているデータであっても、必要に応じて開示を求める権限があります。今回の件は、まさにこの法律の力が、EUのデータ保護の枠組みを乗り越えて適用された可能性を示しています。

この問題は、私たち一人ひとりのデータだけでなく、政府機関や企業がクラウドサービスを選ぶ上でも大きな教訓となります。単に「データが国内にあるから安全」という視点だけでなく、そのサービスを提供している企業の背景、適用される可能性のある法律など、より多角的な視点での検討が求められる時代になったと言えるでしょう。