CloudflareとGDPRコンプライアンス

Cloudflareはセキュリティ、パフォーマンス、信頼性を提供する企業で、米国を本拠とし、欧州にも5つのオフィスを置くなどグローバルに事業展開しており、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。当社は、お客様のWebサイトやインターネットアプリケーションの安全性を強化し、ビジネスクリティカルなアプリケーションのパフォーマンスを高め、個々のネットワークハードウェアを管理することのコストと煩雑さを解消します。Cloudflareのグローバルネットワークは、こちらで説明するように、世界300都市以上にあるエッジサーバーで稼働しており、当社がお客様のために速やかに製品を開発して展開するための基盤を成しています。

Cloudflareがお客様に代わって処理する個人データのタイプは、実装されるCloudflareサービスによって異なります。最もよく利用されるアプリケーションサービスやネットワークサービスについては、Cloudflareでお客様のコンテンツを保存することはしませんし、お客様が当社のグローバルネットワークで伝送、ルーティング、スイッチ、キャッシュすることを選択したデータは、当社では制御できません。Cloudflare製品がコンテンツの保存に利用されるケースもありますが、その数は限定的です。どのCloudflareサービスを利用しているかにかかわらず、お客様がCloudflareグローバルネットワークで伝送、ルーティング、スイッチ、キャッシュ、保存することを選択したデータに関しては、適用法および個々の契約上の取り決めを遵守する責任はすべてお客様が負うものとします。

アプリケーションサービスとネットワークサービスの場合、Cloudflareのネットワークを移動するデータの大部分はCloudflareのエッジサーバーに留まります。このアクティビティに関するメタデータは、お客様に代わって米国と欧州の当社データセンターで処理します。

Cloudflareは、当社ネットワーク上のイベントに関するログデータを保持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース（「API」）、アプリケーション（場合によってはCloudflare製品のCloudflare Zero Trustを含む）の訪問者や許可されたユーザーに関する情報が含まれます。このメタデータには、ごく限られた個人データが（たいていはIPアドレスの形で）含まれます。当社はお客様に代わり、このタイプの情報の処理を、米国と欧州の当社データセンターで有限期間行います。

Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界の先駆けとしてプライバシーを強化する数々の最先端技術をリリースしてきました。このツールを使うと、お客様は簡単にUniversal SSLで通信内容を暗号化したり、DNS-over-HTTPS、DNS-over-TLS、Oblivious HTTPなどの新しいプロトコルを使い暗号化その他の方法で通信のメタデータを保護したり、SSLキーの保管場所やトラフィックの検査場所を管理したりできます。

Cloudflareは、業界標準を超えるセキュリティプログラムを整備しています。当社のセキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データの保護に十分な暗号化技術の使用が含まれます。

当社は現在、以下の認証を維持しています：ISO 27001、ISO 27701、ISO 27018、SOC 2タイプII、PCI DSSレベル1のコンプライアンス。当社は、欧州クラウド行動規範とドイツのC5 2020基準に基づく認証も取得しています。当社の認証とレポートの詳細については、こちらをご覧ください。

欧州経済領域（「EEA」）から米国へ転送される個人データを含め、個人データ保護のためにCloudflareが提供するセキュリティ対策について、当社の標準DPAの付属書類2をお読みください。

EU一般データ保護規則（「GDPR」）は、EEAから第三国（GDPR対象外の国、または適切なデータ保護法を施行していると考えられる国）へ転送される個人データに関して、欧州のデータ主体が適切な保護対策、執行可能な権利、適切な法的救済措置を利用可能にするための法的メカニズムを多数提供しています。

こうしたメカニズムには、以下が含まれます。

• EU委員会は、移転先の第三国の法規範、人権と基本的自由の尊重、その他の要因を評価した上で、その国が適切なレベルの保護を確保しているか、判断している。

• データ管理者または処理者が拘束的企業準則（BCR）を導入している。

• データ管理者または処理者がEU委員会に採択された標準データ保護条項を導入している。

• データ管理者または処理者が承認された行動規範または承認された認証メカニズムを導入している。

Cloudflareが個人データをEEA、スイス、英国（「UK」）から越境移転する際は、欧州委員会のEU標準契約条項（「SCC」、必要に応じて補完的措置を含む）に依拠します。米国への移転については、EU・米国データプライバシーフレームワーク（「EU・米国DPF」）、スイス・米国データプライバシーフレームワーク（「スイス・米国DPF」）、およびEU・米国DPFの英国拡張へのコンプライアンス認証も取得しています。当社の標準データ処理補遺条項（「DPA」）には引き続きEU SCCを盛り込み、当社のデータ処理が複数の法的根拠に基づくようにします。

はい。Cloudflareが個人データをEEA、スイス、または英国から米国へ移転する場合は、それぞれEU・米国データプライバシーフレームワーク、スイス・米国データプライバシーフレームワーク、およびEU・米国データプライバシーフレームワークの英国拡張に基づく認証に依拠しています。これらの認証の期限が切れた場合、あるいは他の事情で無効となった場合、CloudflareはEUの標準契約条項（必要に応じて補完的措置を含む）に依拠して米国への移転を行います。当社ではEEA、スイス、英国からの他の越境移転に関しても標準契約条項を使っています。

2022年10月、米国のバイデン大統領が大統領命令14086号（「EO14086」）に署名しました。この命令は、EU・米国データプライバシーフレームワーク（DPF）を成立させるために、米国の信号諜報活動に対する新たな保護措置を導入するもので、欧州委員会はEO14086による保護を根拠にEU・米国DPFの十分性を認定しました。重要なのは保護がすべてのデータ移転に適用される点で、DPFの一つに従った移転も、EU標準契約条項（欧州データ保護会議（EDPB）の「2023年7月10日の十分性認定決定後にGDPRに基づき行われたデータ移転に関するインフォメーションノート」参照）に基づく移転も対象になります。

EO14086による新たな保護には、プライバシーと市民の自由に必ず配慮し、(i) 信号諜報活動は、妥当性を確認済みの諜報上の優先事項の推進に「必要」な場合に限り、(ii) 当該優先事項に「相応の」程度と方法に限って行うものとするといった保護措置が含まれます。また、EO14086は、個人が独立した拘束力あるレビューを得て、米国信号諜報活動により収集された自身の個人情報がプライバシー権を侵害する方法で処理されたと主張し、救済を求めることができる多層救済請求メカニズムも創設しています。

Cloudflareは、お客様の信頼を獲得し、それを維持することが極めて重要と考え、シュレムスII事件（事件番号C-311/18、データ保護委員会 対 フェイスブックアイランドとマクシミリアン・シュレムス）のずっと前からデータ保護措置を設けていました。それには、EDPBがシュレムスII事件後のガイダンス（移転ツールを補完してEUで定める個人データ保護レベルに適合させる措置に関する勧告01/2020（2021年6月18日採択））で推奨した追加措置も含まれます。

上記の通り、Cloudflareは個人データの処理に関して透明性の確保と説明責任の遂行に強くコミットしています。DPAはそのコミットメントの多くを拘束力のある契約にするものです。当社は、2013年に受けた法的手続きに関して2014年にCloudflare初の透明性レポートを発行した際、いかなる政府機関に対しても顧客データを提供する前に、緊急時でない限り法的手続きを要求することと、お客様や請求先に関する情報を開示する前に、法律で禁止されていない限り、当該のお客様に情報請求の法的手続きがとられている旨通知することを約束しました。当社は、いかなる政府機関に対しても、暗号化キーや当社ネットワークを通過するコンテンツのフィードを提供したことはなく、ネットワークに法執行機関の設備をデプロイしたこともないと公言しました。また、そうしたことを求められた場合は、「当社が違法または違憲と考える請求からお客様を保護するために、あらゆる法的救済措置を消尽する」と表明しています。Cloudflareの創立時から、透明性レポートでこうしたコミットメントを年2回改めて表明し、内容も拡大してきました。

当社は、透明性に対する信念とお客様保護のコミットメントを、必要に応じて訴訟を起こすことで実践してきました。2013年には、電子フロンティア財団の協力を得て、お客様の権利を保護するために米国政府発行の国家安全保障書簡（NSL：National Security Letter）に異議を申し立てました。申立理由は、NSLに関する情報を当社が関係するお客様に開示することを政府が制限できるという条項があったからです。Cloudflareがこの請求に応じてお客様の情報を提供することは一切ありませんでしたが、情報不開示の条項は2016年に裁判所が制限を撤廃するまで有効でした。

当社は、その個人が居住する国のプライバシー保護法に抵触するようないかなる政府による個人データの要請にも、法的に異議を申し立てるべきだという立場を繰り返し明確にしてきました（たとえば、政府のデータ要請に関する透明性レポートと当社のホワイトペーパー、データプライバシーと法執行機関の要請に関するCloudflareのポリシーをご確認ください）。EDPBは、この評価において、GDPRにはこうした抵触がある可能性を認識しました。GDPR準拠への当社のコミットメントが意味するのは、米国政府によるデータ要請に応じてGDPRの対象と特定されるデータを提出する前に、Cloudflareが法的救済措置を追求するということです。Cloudflareは、米国の判例法および制定法の現行枠組みに従い、法の抵触を根拠として米国当局の個人データ要請の棄却を米国裁判所に申し立てる場合があります。

当社はお客様向けの標準データ処理補遺条項（「DPA」）に、上記の補完的措置と保護措置を契約上のコミットメントとして盛り込んでいます。それらの契約上のコミットメントは、DPA第7条でご確認いただけます。さらに、Cloudflareでは強力なセキュリティ対策と暗号化プロトコルを使用しており、その内容はDPAの付属書類2でご確認いただけます。

当社では、EO14086に基づく追加保護措置に加え、これらの補完的措置と保護措置を引き続き適用します。

Cloudflareは今後もこの分野の動向を注視し、引き続きEU GDPR 第44条および第46条への準拠を徹底します。同時に、Cloudflareの現行のDPAおよび標準契約条項（SCC）に基づくコミットメントと、データプライバシーフレームワークの認証に基づくコミットメントも、引き続き実行していきます。

Cloudflareでは、独自のプライバシー法（EUの一般データ保護規則（GDPR）など）を有する米国以外の国・地域に居住する非米国籍の人に、米国政府が居住国のプライバシー法に抵触する要求を行った場合、こうした要求に対し法的に異議を申し立てるべきであると確信しています。

クラウド法は米国の捜査権限を拡大するものではありません。法執行機関が有効な令状を取得しなければならないという厳しい要件に変わりはありません。CLOUD法はコンテンツへのアクセスにも適用されます（上記の通り、当社は一般的にコンテンツは保存しません）。さらに、クラウド法は米国の法執行機関が企業データへのアクセスを求める際の既存の慣行を変えるものではありません。法執行機関は通常、クライドプロバイダーではなくデータをコントロールできる主体（つまりお客様）からデータを得ようとするということに、注意が必要です。法執行機関がそうしたデータをCloudflareに請求した場合は、当社でなくお客様にデータを請求するよう勧めます。

当社は、米国の国家安全保障当局に関して、欧州連合司法裁判所（CJEU）が「シュレムスII事件」（事件番号C-311/18、データ保護委員会 対 フェイスブックアイランドとマクシミリアン・シュレムス）に関する判決中の分析で言及した追加説明を提供することが有益だと考えています。

第702条外国情報監視法（「FISA」）の第702条は、米国外に在住する非米国民の通信内容を対外諜報目的で請求する権限を、米国政府に与えています。米国政府はこの第702条を使って、特定の対外諜報対象に関連する特別な「セレクター」（メールアドレスなど）を通じて通信内容を収集します。この権限は通常、通信内容の収集に用いられ、第702条の遵守を求められる「電子通信サービスプロバイダー」は、通信内容にアクセス可能なメールプロバイダーやその他のプロバイダーを指すのが一般的です。

透明性レポートで記した通り、Cloudflareはコアサービスの提供で、この種の従来型カスタマーコンテンツにアクセスすることはできません。さらに、Cloudflareには、当社のネットワークを通過するお客様のコンテンツのフィードをいかなる政府にも提供せず、提供を求められた場合は、当社が違法または違憲と考える請求からお客様を保護するために法的救済措置を消尽するという長年のコミットメントがあります。

大統領命令12333号：大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集についてです。大統領命令12333号には、米国企業の協力を強要する規定はありません。

Cloudflareは、緊急時以外において、いかなる政府系機関でも顧客データを提供する前に法的手続きを要請するというコミットメントを長年持ち続けています。したがって、大統領命令12333号の下で自発的に要求に従うことはありません。さらに、Cloudflareは個人データがどのような種類の好奇の目にもさらされないように転送中のデータ、コンテンツとメタデータの両方にセキュリティを追加するよう先頭に立って強化してきました。たとえば、2014年、Universal SSLを開始し、すべてのCloudflareのお客様のために、かつては高価で困難だった暗号化を無料にしました。そして当社は、開始したその週に、暗号化されたWebの規模を2倍にしました。暗号を対象とする法律が増加しているため、政府または第三者からの要請を受けて、当社の暗号化を弱体化させたり、暗号を改ざん、または破壊したりすることは決してないと明言してきました。

Cloudflareが個人データをEEA、スイス、英国（「UK」）から越境移転する際は、EU標準契約条項（「SCC」、必要に応じて補完的措置を含む）に依拠します。米国への移転については、EU・米国データプライバシーフレームワーク（「EU・米国DPF」）、スイス・米国データプライバシーフレームワーク（「スイス・米国DPF」）、およびEU・米国DPFの英国拡張へのコンプライアンス認証も取得しています。それらは当社の標準DPA（セルフサービスサブスクリプション契約で参照として引用）に記載されています。個人データの移転にSCCが必要な場合は、必要程度に応じて当該データに関するSCCをDPAに盛り込んでいます。そのため、適切な越境データ移転メカニズムの存在を特に確認する必要はありません。

Cloudflareが個人データをEEA、スイス、英国（「UK」）から越境移転する際は、EU標準契約条項（「SCC」、必要に応じて補完的措置を含む）に依拠します。米国への移転については、EU・米国データプライバシーフレームワーク（「EU・米国DPF」）、スイス・米国データプライバシーフレームワーク（「スイス・米国DPF」）、およびEU・米国DPFの英国拡張へのコンプライアンス認証も取得しています。それらは当社の標準DPA（標準Enterpriseサブスクリプション契約（「ESA」）に盛り込まれています）に記載されています。そのため、適切な越境データ移転メカニズムの存在を特に確認する必要はありません。

2019年8月8日以降にCloudflareとESAを結び、カスタム契約を結んでいないEnterpriseご契約者は、標準ESAの対象となります。旧バージョンのESA、カスタムESAまたはカスタムDPAには、越境データ移転メカニズムに関する表記がない場合があります。それに該当するお客様や、ご自身のDPAについて質問があるEnterpriseご契約者は、当社のCustomer Successマネージャーまでお問い合わせください。

当社は、GDPR（またはその英国版やスイス版）の対象となる個人データをEU圏内に留め、米国に移転して処理しないことを希望するお客様もおられると承知しています。そのご希望に沿うために、Cloudflare Data Localization Suiteを導入しました。このスイートを使えば、企業はCloudflareのグローバルネットワークが提供するパフォーマンス機能とセキュリティ機能のメリットを享受しつつ、エッジで簡単にルールを設定して、データの保管・保護場所を制御することができます。

Data Localisation Suiteは、既存のサービスにいくつかの新機能を追加したパッケージです。

a) 地域サービス　Cloudflareは、100か国以上、300都市以上にデータセンターを設置しています。お客様は、地域サービスとジオキーマネージャーソリューションを組み合わせることで、TLSキーが保管されTLSターミネーションが行われるデータセンターのロケーションを選択できるようになります。トラフィックはグローバルに取り込まれ、L3/L4のDDoS軽減を適用します。一方、セキュリティ、パフォーマンス、信頼性の機能（WAF、CDN、DDoS軽減など）は、指定のCloudflareデータセンターでのみ提供されます。

b) Metadata Boundary　Customer Metadata Boundaryは、お客様を特定できるエンドユーザートラフィックのメタデータがEU圏内に留まることを保証するものです。これには、お客様が閲覧するすべてのログと分析が含まれます。これは、お客様を特定できるエンドユーザーメタデータが当社のエッジで単一のサービスを経由し、コアデータセンターの一つに転送されるようにすることによって行われます。あるお客様に関してMetadata Boundaryを有効にすると、当社のエッジは、そのお客様を特定する（つまり、そのお客様のアカウントIDを含む）すべてのログメッセージがEU圏外へ送信されないようにします。そのログメッセージは、EU内のコアデータセンターにのみ送信されます。

c) キーレスSSL　キーレスSSLは、お客様がCloudflareで使用するSSLプライベートキーを保管・管理できる機能です。お客様は、ハードウェアセキュリティモジュール（「HSM」）、仮想サーバー、お客様が制御する環境でUnix/LinuxやWindowsを実行するハードウェアなど、さまざまなシステムをキーストアに使用することができます。

d) ジオキーマネージャー　Cloudflareの顧客基盤は実に国際的で、プライベートキーの置き場所については、地域によって異なる規制・法的要件とリスク特性があることを、当社は承知しています。当社はそのことを念頭に、キーの保存場所を決定するための極めて柔軟なシステムを設計することにしました。ジオキーマネージャーを使うと、お客様はプライベートキーの露出を特定の場所に限定できます。キーレスSSLと似ていますが、お客様のインフラストラクチャ内でキーサーバーを実行するのではなく、お客様が選んだ場所でCloudflareがキーサーバーをホストします。

当社の透明性レポートで概説している通り、Cloudflareではお客様の個人情報を政府機関や民事訴訟当事者へ提供する前に有効な法的手続きを踏むよう要求します。当社は、人命の危険や深刻な人身傷害が関わる緊急事態を除いて、政府関係者が法的手続きを経ず行った請求に応じてお客様の個人情報を提供することはありません。

お客様がご自身の権利を行使する機会を確保するために、Cloudflareのポリシーでは、法的に禁止されていない場合、情報開示の前にお客様の情報を要求する召喚状やそのほかの法的手続き、その法的手続きを行っているのが政府機関なのか民事訴訟に係る民間機関なのかをお客様に通知します。特に、当社のDPAでは、法的に禁止されない場合に限り、個人データがGDPRに準拠する場合など法の抵触を提起するお客様の代わりに、当社が処理する個人データを要求する第三者の法的手続きを特定することができるかどうか、お客様に通知すると明示しています。個人データに関する法的請求が係属中であると通知されたお客様は、個人データ開示を防ぐために介入を求めることができます。

さらに、米国法では、企業が、GDPRの対象データへの法的要請など、法律に抵触する可能性がある命令に異議を申し立てるメカニズムが提供されています。クラウド法は、たとえば、法の抵触をもたらす法的要請の棄却や変更を裁判所に申し立てるメカニズムを、プロバイダーに提供しています。国民が影響を受ける外国の政府が米国とクラウド法協定を締結している場合、プロバイダーはその申立を通じて、この要請の存在を当該外国政府に開示することができます。Cloudflareは、このような法の抵触をもたらす命令に対しては、法的に異議を申し立てることを約束してきました。当社は今のところ、このような法の抵触をもたらすと判断されるような命令は受けていません。

2022年10月、米国のバイデン大統領が大統領命令14086号（「EO14086」）に署名しました。この命令は、EU・米国データプライバシーフレームワーク（DPF）を成立させるために、米国の信号諜報活動に対する新たな保護措置を導入するもので、個人データが信号諜報活動により不法に収集されたと主張する個人が利用できる救済請求メカニズムの創設などが定められています。個人は米国の市民的自由保護官（「CPLO」）へ苦情を申し立てることができ、CPLOはその苦情の内容を調査して、諜報機関に対して拘束力のある決定を下すことができます。CPLOの決定に不服があれば、データ保護審査裁判所（「DPRC」）への控訴が可能です。

最後に、CloudflareはEU・米国DPFとその英国拡張（「DPF」と総称）、およびスイス・米国DPFに従い、当社が行うお客様の個人情報の収集および利用についてDPFの原則に関わる苦情を受けた場合は、それを解決することを約束します。詳細については、当社プライバシーポリシー第7条をご確認ください。

当社は、EU離脱後に英国がデータ保護分野で加えている変更を注視してきました。現在、EU GDPRは、英国の2018年EU（離脱）法第3条および2018年データ保護法（「UK GDPR」）により英国内法化されています。Cloudflareは、英国情報コミッショナー事務局が2018年英国データ保護法第119条(A)（「英国補遺条項」）に基づき発表した越境データ移転に関する補遺条項（バージョンB1.0）に従い、EU SCCのメカニズムおよび英国補遺条項に依拠して、英国の個人データを英国外へ移転する場合があります。Cloudflareはお客様との契約によってEU SCCのメカニズムと英国の補遺条項、および補完的措置に依拠し、EU・米国データプライバシーフレームワークの英国拡張が承認された暁にはそれに依拠します。