西村高等法務研究所（NIALS）CLOUD Act（クラウド法） 研究会報告書 Ver.2.0

企業におけるデータの蓄積が進み、また、データが国境を越えて活発に移転するようになった昨今においては、国内で犯罪が行われていても、当該犯罪の捜査にとって重要な証拠となるデータを企業が保有し、しかも、当該データを保存したサーバが国外に所在する場合が増えており、被疑者の端末内に保存されたデータを取得することのみならず、企業が国内外において保有しているデータを取得することの重要性が高まっています。こうした中、世界各国において、企業が国内外で保有するデータの取得を巡る検討が進んでおり、2018年3月には、米国において、捜査機関が、企業が国外に所在するサーバに保存しているデータの開示命令等を行う際の手続きを明確化したClarifying Lawful Overseas Use of Data Act（以下「CLOUD Act」といいます。）が成立しました。

NIALSは、2019年3月、宍戸常寿東京大学大学院法学政治学研究科教授（座長）、石井由梨佳防衛大学校人文社会科学群国際関係学科准教授及び成瀬剛東京大学大学院法学政治学研究科准教授を委員として、日本における米国CLOUD Actへの対応を出発点に、企業が保有するデータの捜査目的での取得に関する法的課題等の検討を行う「CLOUD Act（クラウド法）研究会」（以下「本研究会」といいます。）を設置しました。本研究会は、同年12月に、その成果を取り纏めたものとして、「西村高等法務研究所『CLOUD Act（クラウド法）研究会報告書』 - 企業が保有するデータと捜査を巡る法的課題の検討と提言 - 」（以下「本報告書」といいます。）を公表しました。

西村高等法務研究所（NIALS） CLOUD Act（クラウド法） 研究会報告書 - 企業が保有するデータと捜査を巡る法的課題の検討と提言 - （2019年12月）

そして、本報告書の公表後、企業が保有するデータの捜査目的での取得を巡って、国内外で様々な動きがあったことから、本研究会は、2022年8月以降、本報告書のアップデートに向けた検討を行い、2023年4月、本報告書をアップデートいたしました。アップデートされた本報告書の提言の柱は、以下の各点に集約されます。

1    企業が保有するデータを取得する捜査手法の更なる活用と新たな制度設計の検討：

　企業におけるデータの蓄積が進んだ昨今において、捜査機関としては、企業とも連携しながら、データ主体や企業の利益にも配慮しつつ、企業が保有するデータの効率的かつ実効性のある取得を実現すべきである。そのための制度として、現行法上、記録命令付差押えが存在し、積極的な活用が期待されるが、課題も存在する。そのような中、現在、法務省の法制審議会・刑事法（情報通信技術関係）部会において、令状手続の電子化・オンライン化や、電磁的記録提供命令の創設に向けた検討が行われており、これらが実現することで、捜査機関と企業の間の円滑な連携を通じたデータの効率的かつ実効性のある取得が更に促進されることが大いに期待される。これらの制度の設計にあたっては、データを保有する企業に対するオンラインでの令状の呈示及びデータの提出におけるセキュリティの確保や、データ主体に対する事前又は事後の通知等の手続の公正性・透明性の担保、秘密保持の義務付け制度等の拡充、データの保護に関する他の法令との関係性の整理等の様々な検討課題があるところ、こうした検討課題について、技術革新・捜査の高度化や国内外の企業の対応方針・対応状況、諸外国・国際的なフォーラムにおける動向も踏まえつつ、捜査機関の捜査能力と関係者の権利保護の双方を強化する方向で、議論を深めていく必要がある。
　また、企業が保有するデータを取得する捜査手法としては、他にも、データが保存されたサーバに捜査機関が自らアクセスしてデータを取得する方法（リモートアクセス）がある。このような捜査手法には、企業に対してデータの提出を求める捜査手法とは異なる有用性がある一方で、今後、データ主体やサーバ管理者である企業の利益や手続保障に配慮する制度設計を更に検討することが望まれる。
　加えて、取得したデータの公判での利用も見据えた検討も求められる。この点、法務省の法制審議会においては、データが証拠として提出された場合の公判における取り調べ方法等について検討が進んでいるが、更に進んで、裁判所において証拠として提出されたデータの真正性や証明力を適切に評価するための、客観的な指標（標準等）を構築することが望ましい。

2    捜査目的での越境的なデータの取得に関する国際法上の議論の深化と国家間の枠組み構築への参画：

　各国の捜査機関が国外に保存されたデータを取得する方法を巡る国際法上の評価については、国内外で議論が行われている。国際法上、他国の領域における管轄権の行使は主権侵害に当たるが、他国領域に所在するサーバに保存されたデータを捜査により取得することは、例えば、国内の企業に対して国外に保存されたデータの提出を命じる場合等、手法次第では必ずしも他国の領域における違法な管轄権の行使とはいえないと整理することも可能である。日本でも、令和3年最高裁決定を契機として、越境的なデータの取得に関する手法やその限界についての議論が進展しているが、適切かつ迅速に国外に保存されたデータを取得することの重要性に鑑みて、他国の主権を尊重するとの姿勢を堅持しつつ、国際法に適合的な手法の検討を深化させるべきである。
　国際連携の進め方については、サイバー犯罪条約と同第二追加議定書のような、多国間での枠組みを構築するアプローチのほかにも、CLOUD Actが定める行政協定が想定しているように、二国間（又は複数国間）の枠組みを積み重ねていくアプローチも想定できる。日本としては、多国間の枠組み構築に向けた議論にも参画しつつも、信頼ある自由なデータの流通（Data Free Flow with Trust）の理念に沿って、例えば、企業が保有するデータへの公的機関によるアクセス（ガバメントアクセス）に関するOECDガバメントアクセス宣言のような国際的に認められた原則や基本的な価値観を共有する有志国間で、そのような二国間（又は複数国間）の枠組み作りを着実に先行させていくことが効果的であると考えられる。今後、日本国内で電磁的記録提供命令その他の制度整備が進めば（提言1参照）、米国をはじめとする有志国との二国間（又は複数国間）の連携を可能とする制度的な下地も整うことになるため、有志国との国際協定の締結のために必要な法的論点の検討を進めておくことが望ましい。

3    企業におけるガバメントアクセスに対する透明性確保の取組の推進：

　企業が保有するデータの捜査目的での取得について、データ主体や市民社会の理解を得る上では、政府レベルでの取組に加えて、ガバメントアクセス要請についての対応状況を集計した透明性レポートの公表や、対応方針の作成・公表など、ガバメントアクセスに関する透明性を確保するための企業や産業界側での自主的な取組も重要となる。
　このような取組は、企業にとって、データ主体である利用者に安心感を与え、市民社会全体の企業に対する信頼も向上し、長期的には企業の競争力の源泉や利益にも資するものである。そこで、今後、企業や産業界側においても、ガバメントアクセスに関する透明性の確保に向けた具体的な取組（捜査機関からの情報開示要請への対応方針や対応状況の開示等）についての議論が更に深まり、その実践も増えていくことが期待される。

著者等 Authors