Day7「経済安全保障と主権」 @ ガバメントクラウドについて考えるAdvent Calendar 2022

この記事は、ガバメントクラウドについて考える Advent Calendar 2022のDay7「経済安全保障と主権」となります。

※こちらの記事は基本的には公開情報を元にしていますが、個人的な妄想・意見も含まれておりますので、ご承知おきください。

このAdvent Calendarは、日々活動している中で課題として感じることなどをどこかで整理しなくてはいけないと思っていて、ちょうど良いタイミングだったので、全日自分が思うところを書くというスタイルにチャレンジして、どこまで続けられるかやってみたいと思います。
https://adventar.org/calendars/8293

adventar.org

以前、以下のツイートに多くのことをまとめてみたのですが、改めて整理していきます。

https://twitter.com/jnakajima1982/status/1579632858112884736?s=20&t=btWntXZbQhm5IiKw6YduuA

経済安全保障と主権

クラウドに関しては、経済安全保障の文脈でクラウドが重要物資に指定されるなど、どこまで海外に依存するかについて継続して議論がかわされていることと思います。こちらについては、以前非常に詳しく解説した資料がありますので、こちらはぜひ読んでいただきたいものになります。

政治レベルでの主権に関する動き

こちらの記事からのアップデートをいくつかお伝えしたいと思います。まずは、自民党の経済安全保障対策本部の提言として、クラウドについて言及されています。

https://www.jimin.jp/news/policy/204403.html

わが国が目指すべき 経済安全保障の全体像について～新たな国家安全保障戦略策定に向けて～ | 政策 | ニュース | 自由民主党

以下が、クラウドに関する抜粋です。こちらを見る限り、クラウドサービスといった対象については、海外への依存度を踏まえて、データの機密性に応じたクラウドサービス利用における制度整備を考えるべきとして、その宛先として、それらが他国から日本国内に干渉されない形で保持できる国内のクラウドサービスを開発していくということが伺えます。

導入するシステムに係る部品、セキュリティ製品、クラウドサービスなどのサプライチェーン・リスク対応能力の獲得
データの管理に関する制度整備（情報の機密性に応じたクラウドサービスの利用に関する制度 整備（国産クラウド育成を含む）、データのオーナシップに関する制度整備、輸出・投資管理対象の柔軟な見直しなど）

ガバメントクラウドに主権の考慮が追加も…

これらの経済安全保障の観点で、「主権」について考える機運が高まっていたこともあり、ガバメントクラウドについても変化がありました。今年度のガバメントクラウドの要件に以下の文言が追加されました。

政府機関等からの開示請求に際しては、速やかに当庁に通知するとともに協議に応じること。また、当該請求に対して必要に応じて異議申し立て等の適切な対応を取るとともに、国内法以外に基づく開示請求であった場合は主権免除の適用について当該外国政府機関等に通知すること。

元々このあたりの課題感については、Cloud Actという米国の法律が懸念として挙げられていたのですが、政府としては各クラウドプロバイダのCloud Actへの見解を元に整理していたと考えています。各クラウドプロバイダからは共通して、データには勝手にアクセスしないし、米国政府からの依頼に対して異議申し立てもするし、他国の現地法より優先しない、開示要求がそもそも少ないなどの考えを外部向けに公開しています。

しかしながら同時に、必要に応じて情報開示していることは、それぞれのクラウドプロバイダがその開示件数などを公開していることから明らかです。これはこれで事実なわけですが、主権というものをどのように捉えているかによって、このガバメントクラウドの要件でクリアできるかが変わってくると考えています。国際法上守られているので、破られはしないだろうという前提に立つか、ロシア-ウクライナでのSAPのようにクラウドサービスの停止をされたり、アリババが台湾をクラウドアクセスから切り離したりというようなことは、国際法上で規定されているものが破られているという前提に立つかによって、対処が異なると思います。まさに後者が経済安全保障の観点であると思います。

ガバメントクラウドの要件に追加された「主権免除」という言葉は、「国際民事訴訟において、被告が国または下部の行政組織の場合、外国の裁判権から免除される、というもの。国際慣習法の一つ。」　とされています。

従って、こちらは国際慣習法であり、拘束力はないものとなり、対象は国際民事訴訟のみで、刑事訴訟は対象外となります。なお、慣習法ではなく条約化されたものとして「国連裁判権免除条約」がありますが、日本は批准していますが、批准国が足りず、まだ発効していない上に、米国は批准していませんので、この件には適用されません。この条約中では、民事訴訟であっても主権免除を主張できない場合が広く定められており、実質的には、クラウド上のデータについては保護されにくいと考えられます。また、上記は全て、データ主権に関する視点だけです。ロシア-ウクライナ戦争やアリババの台湾からの撤退に見られるように、運用・運営主権については、一切、対象にならないと思われます。

主権についての懸念があったため、この文言が追加されたものと思われますが、懸念する主権の侵害について、こちらの文言に適合され、海外政府に通知されたとしても、先の事例のように確実に守られることが保障されるものではないと考えます。むしろ、こちらの文言により、主権が守られているとして、混乱を招くケースがあると思われます。そもそも、このような主権免除について外国政府に通知することはできたとしても、それが守られるかどうかについて、先の戦争や撤退において懸念されているのであり、この文言が満たされたとしても、主権について保護されるものではないと考えられます。今までのソフトウェアによる実現ではなく、クラウド運営というスタイルになっているため、このようなことまで考慮する方針が必要になってきているのです。

継続してお伝えしておりますが、このあたりには政治的な思想なども絡んできて、判断が分かれるところになりますが、通常のオプトインされた情報でないデータを扱う際に、住民・国民や議会の理解が得られるかについて、現在のところはそれぞれが検討する必要があるということになります。ただ、現在政治レベルでこのあたりが整理されようとしてきているのは、先に共有したとおりです。

内閣官房・経済産業省の動き

省庁での動きも活発化しています。まず内閣官房から「経済安全保障法制に関する有識者会議」の資料が公開されています。

経済安全保障法制に関する有識者会議（令和４年度～）｜内閣官房ホームページ

https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/r4_dai4/siryou1.pdf

この中でクラウドプログラムについて言及があります。この図を見る限り、クラウドサービスを成すためのソフトウェアを自分たちで開発すべきと言っているように見えます。

こちらを2023年度から開発できるように支援し、2027年度までに提供できる体制を整えるということになっています。同じ文脈でハイブリッドクラウド利用基礎技術の開発やデータセンターの分散化なども挙げられています。

さらに、最近経済産業省からパブリックコメントが発出されています。「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく、インターネットその他の高度情報通信ネットワークを通じて電子計算機（入出力装置を含む。）を他人の情報処理の用に供するサービスの提供に用いるプログラムに係る安定供給確保を図るための取組方針（案）についての意見の募集について」というタイトルです。

経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく、インターネットその他の高度情報通信ネットワークを通じて電子計算機（入出力装置を含む。）を他人の情報処理の用に供するサービスの提供に用いるプログラムに係る安定供給確保を図るための取組方針（案）についての意見の募集について｜e-Govパブリック・コメント

いくつか説明のために抜粋していきます。ここでも機密性に応じたクラウドの利用促進をしていくとされています。

こうした状況を踏まえ、「経済財政運営と改革の基本方針 2022（令和 4 年 6 月 7 日 閣議決定）16」や「デジタル社会の実現に向けた重点計画（令和 4 年 6 月 7 日閣議決 定）17」において、政府が取り扱う情報の機密性等に応じたクラウドの利用促進、クラ ウドサービスや関連する暗号化等の技術開発や実証の支援とその成果の政府調達へ の反映などといった方針が示されている。

具体的な例としてフランスやドイツでも同様のことをやっていると書かれています。

フランス政府は 2021 年 5 月、経済復興策の一環として 18 億ユーロを充て、フラン スにおけるクラウドのエコシステムを支援する「クラウドのための国家戦略」を開始。 また、信頼できるクラウドの認証制度として、「SecNumCloud ビザ」の取得を促進して いる19。
ドイツでは、欧州委員会に承認されたドイツ復興・レジリエンス計画の中で「次世 代クラウド基盤とサービスの導入」のために 7 億 5,000 万ユーロ規模の予算を確保し ている20。

また、以下のパートでは、令和4年（2022年）中に、どのような基準で使い分けるかについて方針を定めるとされており、地方公共団体等とも記載があり、自治体向けにも意識されていると伺えます。そのため、もうそろそろ出てくるかも知れないですね。

「政府が取り扱う情報の機密性等に応じてパブリッククラウドとプライベートクラウドを組み合わせ て利用する、いわゆるハイブリッドクラウドの利用を促進する。このため、特に厳格な取扱いが必要と なる情報をクラウドサービスで扱う上での基準について、令和４年（2022 年）中に政府方針を定める。 また、政府として、クラウドサービスや関連する暗号化等の技術開発や実証を支援しつつ、その成果を 政府調達に反映していくなど、政府情報システムにおけるクラウド利用を、地方公共団体等の利用者の 理解と協力を得て、セキュリティを確保しつつ進める」旨を記載している。

これらの背景には、今やらなければ国内クラウド事業者が撤退してしまい、機密性が高いデータを保存する場所を他国に依存しなければならなくなるというリスクを危惧しているようです。

基盤クラウドプログラムの国内での開発体制を確保できなければ、国内に事業基盤 を有する事業者が撤退し、基盤クラウドの海外依存度が高まることが予想されるが、 そうなれば、我が国が自律的に管理すべき重要データを扱う情報システムも他国に依 存するおそれがある。

基盤クラウドプログラムを開発する前提で、ハイブリッドで利用する方針も合わせて検討していくことが書かれています。

さらに、経済安全保障重要技術育成プログラムにおいて、我が国として保護すべき重 要データの自律的な管理等が可能なクラウドとその他のクラウドを組み合わせて利用す る「ハイブリッドクラウド利用基盤技術」の開発を支援する施策と合わせて取り組んで いくこととする。

そもそも基盤クラウドプログラムとは何なのかということが少し垣間見られるのは以下のパートです。スケーリングやPaaSレベルを提供して委託範囲の中でセキュリティの高度化を図ることができるように定義されているようです。

① 基盤クラウドプログラムの技術開発
・生産技術の開発に取り組むべき基盤クラウドプログラムは、利用者の計算需要に応じて ハードウェア等の各計算資源を自動で拡張・縮小するように制御するもの及び共通化可能な機能をプログラムで自動化・効率化すること等でセキュリティの高度化を図ることを可能とするもののいずれかを含むものであること。
・当該プログラムを活用して、実際にクラウドサービスとして提供する、あるいは他者が クラウドサービスとして実装する事業として持続可能な事業計画等があること。
・当該プログラムを活用して提供されるクラウドサービスが、利用者の求めに応じてシス テム構成や運用体制の透明性や管理可能性に対応できるものであること。

この基盤クラウドプログラムは、各社が非常にリソースを投資して、現在の姿になっているので、これを数年でどこまで実現できるかについては懐疑的な部分もありますが、0から作るのか、ベースを利用して作るのかのスタートラインをどこに定義するかが実現可否にも関わってきそうです。

クラウド事業者の動き

元々、弊社だけでなく、MicrosoftやGoogle、Oracleさんもソブリンクラウドにまつわる動きがヨーロッパを中心に活発化していたのですが、先日AWSさんからも主権についての取り組みについて、発信し始めているように感じます。それだけこの件についての関心が高いことが言えるのではないかと思います。

AWS Digital Sovereignty Pledge: Control without compromise | Amazon Web Services

また、AWSがGoogle、Microsoftなどに比べてソブリンクラウドの取り組みが遅れていると認めているというような記事も出てきていることが確認されています。

AWS Admits to Being Far Behind Google, Microsoft in Sovereign Cloud

VMwareとしても、ソブリンクラウドの認定プロバイダーが現時点で全世界で29社が参画をしていただいており、日本でも日立製作所、NTTデータ、富士通、NECの4社が基準を充足して、主権を確保できる高い基準をクリアしたクラウドの提供が可能な準備が整ってきています。

また、ヨーロッパでは、非常にソブリンクラウドに関する興味が高いからか、個別のイベントが開催されているほどです。

Sovereign Cloud Summit 2022

以下が公開されたAgendaとなりますが、ヨーロッパでこのような取り組みをしているキーマンが登壇していることがわかります。セッションについては動画も公開されているので、興味がある方はご覧になってみると良いかもしれません。こちらはシンガポールでも開催されたようで、アジアでも取組状況が増えてきているようです。

これらの取り組みは主権という範疇を超えて、民間企業のビジネスシフトからの回避という観点でも取り組まれています。パブリッククラウドが否定されるものではなく、データやシステムを評価して、パブリッククラウドとソブリンクラウドを使い分けて、それらを連携させることを重視するように、ヨーロッパでは取り組まれています。そのため、ソブリンクラウド間ですら、その民間企業の決定などによって不利益を被らないように、データやシステムの可搬性を持つことを基準としています。

まとめ

前回の記事からのアップデートをまとめただけでも、かなり大きな動きが起きていると感じられたかと思います。このあたりは非常に重要で、この結果によって今までの検討がすべて無駄になってしまうなどのリスクがあるので、できるだけ整合性の取れた政府方針が固まると、進むべき道がはっきりするので、いろいろ活動が進むと思います。また、それを待たずしても、国民・住民や議会の考え・思想によって方針を変えざるを得ないこともあるので、このあたりを今から考えておくことは必要だと思います。

執筆後記

このようにガバメントクラウドを考えるAdvent Calendar 2022では、以下の流れで進んでいくことになると思いますので、Day7以降もお待ちいただければと思います。

• ガバメントクラウドの在り方

• ガバメントクラウドの整備における課題感

• ガバメントクラウドの利用における課題感

• ガバメントクラウドの今後について考えてみる

Twitterなどで情報発信していますので、もしよろしければ覗いてみてください。

Tweets by jnakajima1982