Clarifying Lawful Overseas Use of Data (CLOUD) Act

当社では、お客様が自らのデータのコントロールを維持すべきであると考えています。AWS は、アプリケーションやワークロードを構築、移行、管理するための、極めてセキュアなグローバルクラウドインフラストラクチャとなるよう設計されています。また、当社は、お客様が当社のサービスをご利用いただく際に、業界最高水準のプライバシーおよびセキュリティ保護を提供できるよう取り組んでいます。

AWS は、AWS オペレーターを含め、いかなる者もお客様のコンテンツにアクセスできないように製品とサービスを設計しています。当社がデータに関する法的要請に応じることができるのは、そのために必要な技術的能力が当社に備わっている場合のみです。AWS のお客様には、データへのアクセスを防止するためのさまざまな技術的措置および運用上のコントロールをご利用いただけます。例えば、AWS のコアシステムとサービスの多くは、オペレーターによるアクセスがゼロになるように設計されています。これは、サービスには、AWS オペレーターがお客様のデータにアクセスするための技術的方法がないことを意味します。

AWS コンピューティングサービスの基盤である AWS Nitro System は、専用のハードウェアとソフトウェアを使用して、Amazon Elastic Compute Cloud (Amazon EC2) での処理中に外部からのアクセスからデータを保護します。Nitro は、強力な物理的および論理的なセキュリティ境界を提供することで、AWS オペレーターを含め、権限のないいかなる者も EC2 上のお客様のワークロードにアクセスできないように設計されています。Nitro System の設計は、独立系サイバーセキュリティ企業である NCC Group によって検証されています。オペレーターによるアクセスを防止するためのコントロールは Nitro System の根幹を成すものであることから、当社のすべてのお客様に契約上の保証をさらに提供するために、AWS サービス規約にこれらのコントロールを追加しました。

また、当社は、転送中、保管中、インメモリのいずれであっても、データを暗号化するための機能とコントロールをお客様に提供します。すべての AWS サービスは既に暗号化をサポートしており、そのほとんどが AWS がアクセスできないカスタマーマネージドキーによる暗号化もサポートしています。暗号化されたコンテンツは、該当する復号キーがなければ無価値です。

オペレーターによるゼロアクセスをサポートするサービスの詳細については、「Operator Access on AWS」をご覧ください。

CLOUD Act は、テロや暴力犯罪から児童の性的搾取やサイバー犯罪に至るまで、重大犯罪の捜査において、サービスプロバイダーが保有する電子情報を法執行機関が迅速に入手できるようにするため、2018 年 3 月に制定されました。(米国司法省のウェブサイトのCLOUD Act に関するリソースをご覧ください。) 当該法令を支持する米国司法省 (DOJ) の当局者によって提供された証言によると、CLOUD Act の主眼は、重大犯罪についての国境を越えた捜査において、世界中の法執行機関がデータ提供を強制できる権限にあります。(2017 年 6 月 15 日の、House Judiciary Committee における DOJ の Deputy Assistant Attorney General である Richard Downing 氏の証言をご覧ください。)

米国の法執行機関は、米国の刑事訴訟手続に従って、独立した連邦裁判官によって発布された令状に基づいてのみ、サービスプロバイダーからコンテンツデータの提供を強制できます。米国の法令に基づき令状が発布されるためには、米国の裁判官は、犯罪が発生したと信じるに足る相当な理由があり、かつ、令状によって指定される捜索場所において、その犯罪の証拠が存在すると確信する必要があります (例えば、E メールアカウントなどの特定の電子アカウント内のデータ)。この法的基準は、具体的かつ信頼できる事実に基づいて確立される必要があります。すべての捜索令状は、信頼できる事実、具体性、および合法性に関するこの厳格な相当理由の判断基準を満たし、独立した裁判官によって承認され、範囲と管轄に関する要件を満たす必要があります。

米国との CLOUD Act に基づく行政協定に従ってデータを要請する外国政府も、同様の要件を満たす必要があります。DOJ は、「CLOUD Act に基づくデータ要請命令は、データを求める国の国内法制度の下で合法的に取得され、特定の個人またはアカウントを対象とし、明確かつ信頼できる事実、具体性、合法性、および重大性に基づく合理的な正当化理由を有しており、裁判官や治安判事などの独立機関による審査または監督の対象となる必要があります。一括データ収集は認められません」と説明しています。

また、DOJ は 2023 年 5 月に、検察官は他国に存在する証拠が必要であることを認識した場合、Department’s Office of International Affairs (OIA) に連絡すべきであるとするポリシーを発行しました。海外に所在することがわかっている証拠を求める検察官は、米国内のプロバイダーから当該証拠の開示を強制する命令を得る前に、OIA の承認を得る必要があります。海外の証拠に関する DOJ のポリシーでは、各国が主権を保護するための法令を制定していることが明記されており、OIA はこれらの問題に対処し、検察官が証拠を確保するための適切な手段を選択できるよう支援しています。

2025 年 6 月現在、この統計の報告を開始して以降、米国外に保存されている企業または政府のコンテンツデータが米国政府に開示されることになった、AWS に対するデータ要請はありません。この実績は、米国の法令、および米国司法省が運用するポリシーにおける堅牢な法的保護に加えて、AWS が提供する技術的な安全措置を反映するものです。

DOJ (DOJ) の Computer Crime and Intellectual Property Section は 2017 年にガイダンスを発行し、特別な事情がない限り、プロバイダーではなく、クラウドプロバイダーにデータを保存している企業など、企業からのデータ提供を求めるよう検察官に勧告しました。これは、企業から直接のデータ提供を求めるよう、重要なガイダンスを検察官に提供するものです。当社は、お客様である企業のコンテンツについてこのような要請を受けた場合、法執行機関がお客様に連絡を取るよう促し、法的に許容される場合はお客様に通知するよう、あらゆる合理的な努力を払います。

いいえ。CLOUD Act は、米国で事業を展開している、または米国に法的拠点を有するすべての電子通信サービスプロバイダーまたはリモートコンピューティングサービスプロバイダーに適用されます。例えば、CLOUD Act は、EU に本社を置き、米国で事業を展開しているクラウドサービスプロバイダーにも適用されます。フランスに本社を置き、米国で事業を展開するクラウドサービスプロバイダーである OVHcloud は、同社の CLOUD Act に関するよくある質問のページにおいて、「OVHcloud は公的機関からの合法的な要請に応じます。CLOUD Act に基づき、これには米国外に保存されているデータも含まれる場合があります」と記載しています。

米国の法令では、行政行為によって新たな法令を制定したり、CLOUD Act など、議会で可決された既存の法令に矛盾する行為をしたりすることはできません。

いいえ。多くの国では、重大犯罪が関係する法的手続きに対応するため、お客様データがどこに保存されていても開示が義務付けられています。この概念は、サイバー犯罪の捜査における協力の強化を目的とした最初の国際条約である、サイバー犯罪に関するブダペスト条約に盛り込まれています。例えば、英国の Crime (Overseas Production Orders) Act は、英国の法執行機関が犯罪捜査に関連して、英国外に保存されている電子データを取得することを認めています。米国司法省 (DOJ) による 2024 年の提出書類によると、ベルギー、デンマーク、フランス、アイルランド、スペインを含む複数の欧州加盟国の法令に同様の要件が定められています。

当社は、あらゆる国の法執行機関からの要請に対応するための非常に詳細な手順を定めています。当社は、AWS データ処理補遺条項の補足補遺条項で公に約束しているとおり、法的に有効かつ拘束力のある命令によって義務付けられている場合を除き、法執行機関からの要請に応じてお客様データを開示することはありません。当社は、法執行機関から要請を受けた場合、その正当性を検証し、適用法令に準拠していることを確認するために、慎重に検討します。AWS が企業であるお客様のコンテンツについて、法的に有効かつ拘束力のある要請を受けた場合、AWS は、あらゆる合理的な努力を尽くして法執行機関がお客様に連絡を取るよう促し、法的に許容されている場合はお客様に通知します。AWS は、AWS データ処理補遺条項の補足補遺条項で公に約束しているとおり、法令に抵触する要請、過度に広範な要請、または他の不適切な要請に対して異議を申し立てます。これらの手順を尽くした後も AWS がお客様データの開示を余儀なくされ、かつ、開示するための技術的な能力が当社にある場合、当社は、要請を満たすために必要最小限の情報のみを開示します。法執行機関からの要請に対する当社のアプローチの詳細については、「Law Enforcement Information Requests」ページにアクセスしてください。

いいえ。CLOUD Act は、通信を復号するようサービスプロバイダーを強制する新たな権限を法執行機関に付与するものではありません。

AWS は、転送中、保管中、インメモリのいずれであっても、データを暗号化するための機能とコントロールをお客様に提供します。すべての AWS サービスは既に暗号化をサポートしており、そのほとんどが AWS がアクセスできないカスタマーマネージドキーによる暗号化もサポートしています。暗号化されたコンテンツは、該当する復号キーがなければ無価値です。

AWS は、適用されるデータ保護関連法令を遵守することを契約上約束しています。また、政府機関からの過度に広範または不適切な要請 (そのような要請が欧州連合または加盟国の適用法令と矛盾する場合を含む) に対しては、異議を申し立てることを約束しています。

いいえ。CLOUD Act は他国の現地法令に替わるものではありません。実際には、CLOUD Act ではサービスプロバイダーが他国の法令や国益に抵触する要求に異議を唱える権利を認めています。