米国司法判断

保証状。 米国内で保持されているデータを米国政府に引き渡すことを許可する保存通信法 (SCA) は、米国外には適用されない、と連邦控訴裁判所が判決した。

この判決は、データが米国内に保存されていない場合、Microsoft は顧客の電子メールに対する令状に従う必要がないことを意味します。この決定は、アイルランドのデータ センターに保存されている顧客データへのアクセスを阻止するために Microsoft が米国連邦政府に対して起こした訴訟に端を発しています。

2013 年 12 月、地方裁判所判事は捜索差押令状を発行し、それが Microsoft に送達されました。令状は「[任意の]権限を与えられた法執行官」に宛てられており、マイクロソフトが管理する「[編集済み]@MSN.com という電子メール アカウントとして知られている場所」を捜索するよう当該個人に命じられていた。 

この令状は、「Microsoft が所有、維持、管理、運営する施設」にある特定の電子メール アカウントに関連する情報に適用され、アカウントに保存されているすべての電子メールの内容、アカウントの識別に関するすべての記録と情報、およびサポート サービスとの連絡など、アカウントとアカウントに関する他の個人との間の通信に関するすべての記録を政府に開示するよう同社に指示しました。

しかし、令状の送達後、Microsoft は電子メール アカウントのコンテンツがアイルランドのダブリンのデータセンターにあると判断しました。米国に保管していた口座に関するすべての情報を公開し、令状を取り消すよう求めた。

しかし、裁判官はマイクロソフトの要求を認めませんでした。裁判所文書によると、裁判官は代わりに、SCAが裁判所に対し「海外のサーバーに保存されている情報」に対する令状発行を許可したと結論づけた。裁判官は、Microsoft は電子メール アカウントのコンテンツがどこに保存されるとしても作成しなければならないと述べました。

マイクロソフトは判事の命令に対して地方裁判所に控訴したが、地方裁判所は判事の決定を支持した。その後、米国第二巡回区控訴裁判所に令状の取り消しを求めて上訴した。

政府は控訴の中で、SCAの文言、構造、目的、立法経緯には「記録の強制作成が国内に保管されているものに限定される」ことを示すものは何もないと主張した。

しかし裁判所は、この議論には説得力があるとは認めず、議会はSCAの令状規定を米国外に適用するつもりはないとの判決を下した。これは、SCA の令状規定の焦点が、保存された通信におけるユーザーのプライバシー上の利益を保護することにあるためです。

「このように、同法はユーザーのプライバシーに焦点を当てていると判断したため、令状の執行が同法の違法な域外適用となると結論付けることにほとんど問題はない」とスーザン・カーニー判事は法廷で書いた。

彼女はさらに、「SCA は、米国外のサーバーに保存されている顧客の電子通信の内容について、米国を拠点とするサービス プロバイダーに対して SCA 令状を発行し強制することを米国の裁判所に許可していません。この場合の SCA 令状は、アイルランドのみに保存されている顧客の電子メール アカウントの内容を政府に提示するよう Microsoft に合法的に強制するために使用することはできません。」と説明しました。 (Microsoft 対 米国、米国第 2 巡回区控訴裁判所、No. 14-2985、2016 年)

パスワード。 元従業員が、故意に、そして詐欺の意図を持って、保護された業務用コンピュータに許可なくアクセスしたことにより、コンピュータ詐欺および濫用法(CFAA)に違反したと連邦控訴裁判所が判決した。

デビッド・ノサルは、エグゼクティブ・サーチ会社コーン・フェリー・インターナショナルで上級地域ディレクターとして働いていました。コーン フェリーの中核資産は、100 万人を超える経営幹部の情報を含むサーチャー データベースです。これはコーン フェリーの内部コンピューター ネットワークでホストされており、機密とみなされ、会社の業務でのみ使用されます。従業員が Searcher にアクセスするには、Korn Ferry が発行する独自のユーザー名とパスワードを使用してログインする必要があります。

2004年、ノサルは昇進を外され、コーン・フェリーを退職する予定であると発表した。彼は会社と交渉し、いくつかの公開幹部探索を完了するために契約社員としてさらに1年間留まることに決めた。 

ノサルはまた、同社と非競争契約を締結した。そして、追加の予防策として、コーンフェリーはノサル氏のコンピュータへのアクセスを取り消しましたが、残りの未解決の課題について従業員に研究の協力を求めることを許可しました。

しかし、ノサルは請負業者として働きながら、ベッキー・クリスチャンやマーク・ジェイコブセンを含むコーン・フェリーの同僚のグループとともに、密かに自分の検索会社を立ち上げる作業も進めていた。 

アクセス権が取り消されたにもかかわらず、ノサルとその共犯者は、ノサルの元エグゼクティブアシスタントの資格情報を使用してサーチャーにアクセスし続けた。彼女はノサルの要請でコーン・フェリーに留まっていた。彼らはこのアクセスを使用して、Searcher から情報とソース リストをダウンロードし、競合会社を立ち上げました。 

2005 年 3 月、ノサル、クリスチャン、ヤコブセンが会社を去った後、誰かがコーン フェリーに電子メールを送り、ノサルが競争禁止協定に違反して独自の事業を行っていると警告しました。同社は調査を開始し、同年後半に当局に警告した。

ノサルは後に、コーン・フェリーのデータベースへの不正アクセスおよびデータベースからのダウンロードに関するCFAAの「許可なく」規定に違反した共謀罪で起訴され、陪審によって有罪判決を受けた。

ノサルは有罪判決に対して控訴し、米国第9巡回区控訴裁判所に持ち込まれた。裁判所はノサルの有罪判決を支持し、この訴訟はパスワード共有や企業の内部コンピューター使用ポリシーへの違反に関するものではないと説明した。代わりに、それはノサルと彼の共謀者の行為に関するものでした。

「したがって、我々は、コーン・フェリーによってコンピューター・アクセス資格情報を取り消された元従業員であるノサルが、彼またはその元従業員の共謀者が現従業員のログイン資格情報を使用して元雇用主が所有するコンピューター・データにアクセスし、アクセスの取り消しを回避した際に、『許可なく』CFAAに違反する行為を行ったと判断する」と裁判所は説明した。 (米国対ノサル、米国第 9 巡回区控訴院、第 14-10037 号、第 14-10275 号、2016 年)

米国法律

アクセス。 米国司法省は、米国企業が保管する電子データを外国政府が取得しやすくする法案を提出しました。

この提案は現行の通信法を改正し、米国の電子通信サービスプロバイダーが、米国司法長官の認定を受けた外国政府からの命令に応じて電信通信または電子通信の内容を傍受または開示することを合法とするものである。

この修正案は、英国が米国政府を通じて要求する代わりに米国企業に電子データを直接提供するよう要求できるようにする潜在的な協定を実施するために必要である。

テロリズムを含む重大な犯罪と戦う目的で、電子データの安全かつプライバシーを保護した交換を許可する法律と題された提案が上院で受理された。 

米国規則

サイバーセキュリティ。バラク・オバマ大統領は、重大なサイバー事件に対する連邦政府の対応を規定する政策を成文化した、米国のサイバー事件の調整に関する大統領政策指令（PPD）を承認した。

PPD は、重大なサイバー インシデントを「単独で、または一連の関連インシデントの一部として、米国の国家安全保障上の利益、外交関係、経済、または米国国民の国民の信頼、市民的自由、公衆衛生と安全に明白な損害をもたらす可能性があるもの」と定義しています。

PPD は、連邦政府がサイバー インシデントにどのように対応するかについて明確な原則を確立し、重大なサイバー インシデントを区別し、政府の活動を特定の取り組み分野に分類し、重大なサイバー インシデントが発生した場合にそれぞれの部門に主導機関を設置します。

さらに、PPD は、物理的影響を伴うインシデントに使用されるようなサイバー統合調整グループの創設など、重大なサイバーインシデントに対する政府の対応を調整するメカニズムを作成します。 

また、米国のサイバー対応活動が国家の準備およびインシデント対応政策と一貫性があり、統合されていることを保証するように設計されており、「サイバーインシデントに対する我が国の対応が、悪意のあるサイバー活動によって引き起こされる物理的影響に対処するために取られる措置とシームレスに統合できるようになる」。 

その他の法律

ニューオーリンズ

雇用前審査。 ニューオーリンズのミッチ・ランドリュー市長は、一部の例外を除いて、市の請負業者が雇用の決定に消費者の信用履歴を使用することを違法とする法案を承認しました。

雇用均等アクセス法は、市の請負業者が雇用、報酬、または個人の雇用の条件、特権に関する決定を行うために、現従業員または将来の従業員の消費者信用履歴を調べたり使用したりすることを禁止しています。 

この法律は、市のすべての請負業者に適用され、市の契約の締結と同時に発効し、一部の例外を除き、市の契約に基づいてニューオーリンズで暦年に少なくとも 40 時間働くすべての従業員を対象としています。

たとえば、この法律は、10,000ドル以上の資産の責任を負う従業員や、セキュリティ許可が必要な従業員、または企業秘密や犯罪捜査の情報にアクセスできる従業員には適用されません。 

この法律は 2016 年 12 月 23 日に発効します。