Cloudflare透明性レポート - 2021年上半期

Cloudflareは、米国および他国の政府、裁判所、および民事訴訟の関係者から、ユーザーに関するさまざまな種類のデータの提供要請を受けます。Cloudflareが提供する可能性のある情報の種類についてさらに透明性を高めるため、当社が受ける要請の種類と、特定の種類の情報を提供する前に必要となる法的手続きを分類しました。当社はデータを提供する前に、すべての要請について法的要件の充足の有無を検討します。

また当社では、政府からのデータ提供要請が、国民の個人データを保護するための他の政府の規制枠組みと矛盾する場合があることも認識しています。Cloudflareは、対象となる人物の居住国のプライバシー法に抵触する政府の個人データ開示要請には、法的に異議を唱えるべきであると考えています。当社には、そうした抵触をもたらすと判断される政府の要請を受け取った前例は、まだありません。

本レポートには、Cloudflareのパートナーが受け取る可能性のある、政府からのデータ提供要請に関する情報は含まれていません。

基本的な契約者情報の要請

Cloudflareが最も頻繁に受け取る要請は、Cloudflareのお客様を特定するために使用される可能性のある情報に対するものです。この契約者基本情報には、お客様が当社のサービスにサインアップした時に提供した氏名、メールアドレス、住所、電話番号、サービス料の支払い手段ないし支払い元、お客様のアカウントに関する非コンテンツ情報（ログイン時刻やアカウントへのログインに使用されるIPアドレスなど）などの情報が含まれます。緊急の場合を除き、Cloudflareは、この種の情報を他国または国内の政府当局または民事訴訟当事者に提供する前に、サピーナ（罰則付き召喚状）またはそれに相当する他国政府の手続きなどの有効な法的手続きを踏むよう求めます。

米国政府。 電子通信プライバシー法（ECPA）に基づき、米国政府は、事前の司法審査を必要としない法的手続きの一種であるサピーナ（罰則付き召喚状）によって、契約者情報の開示を強制することができます。Cloudflareは通常、ECPAで定められた通り契約者情報の提供前にサピーナを要求しますが、人の死亡または重傷の急迫した危険を伴う要請である場合は、遅滞なく情報を法執行機関に開示する場合があります。Cloudflareは、緊急の情報開示要請を受けた場合、事案ごとに状況に応じた評価を行います。緊急性のある情報開示要請については、時間が許す時に法的手続きを経るよう法執行機関に求めています。

ECPAに基づいて発令されるサピーナとは別に、一部の米国政府機関が契約者データに関する行政上のサピーナを発令することがあります。Cloudflareは、米国証券取引委員会（SEC）から、こうしたサピーナを数多く受領しています。

国家安全保障目的の要請。 米国政府は、国家安全保障に関するさまざまな種類のデータ要請を発令することもできます。米国政府は、外国情報監視法（FISA法）に基づいて、FISA裁判所に裁判所命令を申し立て、米国企業にユーザーの個人情報の引き渡しなどを求めることができます。米国政府は、契約者データおよび非コンテンツデータに対して、サピーナと同様の国家安全保障書簡（NSL）を発行することもできます。通常、FISA裁判所命令とNSLのいずれにも守秘義務が伴います。

Cloudflareは以前から、特に性質上無期限である場合、この種の守秘義務に対して懸念を抱いてきました。2013年、このようなNSLの受領後、Cloudflareは行政的に課せられた箝口令に異議を唱えました。Cloudflareは、刑事責任の脅威の下、当社の弁護士と限られたスタッフ以外にこのNSLに関する情報を開示することを禁止されていました。CloudflareはNSL-12-358696の対象顧客情報の提供は行いませんでしたが、NSLの守秘義務規定は2016年12月までの約4年間有効でした。当社が編集済みコピーを添えてNSLの受領を開示したのは、その有効期限が過ぎてからでした。

米国外の政府。 Cloudflareは、刑事共助条約（MLAT）などの外交手続きを経て米国の裁判所を通じて発令される、米国外の政府からの契約者データを含むあらゆる種類の情報の要請に対応します。これらの要請に応じて米国外の政府に提供される情報は、同様の米国裁判所命令に応じて米国政府に提供される情報と同じです。

Cloudflareは、米国の裁判所制度を介さずに米国外の政府から寄せられた契約者情報の要請については、事案ごとに状況に応じた評価を行います。Cloudflareは、要請が現地の法律を遵守し、国際規範とCloudflareのポリシーに則っている場合に限り、当社の裁量により、現地のサピーナに相当するものに応じて契約者データを提供することがあります。

2018年3月、米国は海外データ合法的使用明確化法（CLOUD）を可決し、これにより、米国政府は他国の政府と行政協定を締結し、特定の犯罪を捜査・起訴するために相手国に保管されているデータに両政府が直接アクセスできるようになりました。　　　この法律により、米国とこのような協定を結んだ国の法執行機関は、米国の法執行機関と協力して裁判所命令など米国の法的手続きを要することなく、自国の法的手続きを用いて、米国企業に直接コンテンツデータを求めることができます。

Cloudflareは、政府によるデータへのアクセスは、コンテンツ要請に関する独立した事前司法審査を含め、法の支配と適正手続きの原則に則ったものでなければならず、ユーザーは政府が自分のデータにアクセスする際に通知を受ける権利を有し、企業はアクセス要請に対して法的な異議を申し立てるための手続き上の仕組みを整備する必要があると考えています。米国内外を問わず、当社は、法執行機関からの要請に対し、その要請に過剰性もしくは違法性がある、またはその要請が不当に発令されたものである、もしくは当社ユーザーに対する透明性の維持に不必要な制限を課していると判断した場合には争います。

民事手続き。 Cloudflareは、デジタルミレニアム著作権法（DMCA）に基づいて発令された、著作権を侵害しているとされるユーザーに関する情報を求めるサピーナなど、民事訴訟の当事者から契約者データを要求する法的手続きに対応します。

緊急要請。 Cloudflareは、法執行機関や政府からデータの緊急要請をたびたび受けます。Cloudflareは、人の死亡または重傷の危険が伴う緊急事態が発生したという誠実な確信が持てる場合には、自発的に対応します。

その他の非コンテンツデータの要請

Cloudflareは、上述したような類の契約者データの要請以外に、Webサイト訪問者のIPアドレス、サポートに連絡した日時のログなど、お客様のアカウントやWebサイトに関連するトランザクションデータについて裁判所命令を受けることがあります。Cloudflareでは、このようなデータは限られた期間しか保持しないため、Cloudflareがこうした要請に対応するデータを保有していることは稀です。

裁判所命令。 裁判所命令とは、裁判官や判事によって発令されるデータ提供要請のことです。裁判所命令がある場合、Cloudflareは、サピーナに応じて提供できる基本的な契約者情報と、その他の非コンテンツ情報の双方を提供することがあります。通常、Cloudflareが受ける裁判所命令には一定期間の秘密保持要件が含まれます。

電話利用記録の捕捉と追跡。 Cloudflareは、アカウントやWebサイトへの訪問者のIPアドレスなど、非コンテンツ情報のリアルタイムでの開示を求める、裁判所より発令された「電話利用記録装置による捕捉と追跡の命令（Pen Register Trap and Trace Order）」を定期的に受けます。当社は、そのような要請に対しては、限定的なフォワードルッキングデータを提供します。

コンテンツデータの要請

Cloudflareは通常、ホスティングプロバイダーやメールサービスプロバイダーではないため、従来の意味でのお客様のコンテンツ（メールや、お客様が作成したその他の種類の素材など）は保有していません。法執行機関が不正利用に関する苦情の内容やサポートの通話内容を求めることは稀ですが、要請があった場合、CloudflareはU.S. v.Warshak事件の原則に従って、これらの電気通信の内容について捜索令状を要求します。当社は現在まで、そのような令状は受け取っていません。

捜索令状。 捜索令状には、司法審査、捜査する相当な理由、捜索場所の記載、要求された項目の詳細が必要です。当社は多数の捜索令状を受け取りますが、前述のように、それらの令状に対応するお客様のコンテンツは保有していません。

傍受。 傍受命令とは、通信内容をリアルタイムで引き渡すことを企業に求める裁判所命令です。法執行機関は、このような命令を取得するために極めて厳密な法的要件を充足する必要があります。Cloudflareでは、このような傍受命令を受けたことはありません。

国家安全保障目的の要請。 米国政府は、ユーザーの通信内容を政府に引き渡すよう米国企業に求める裁判所命令をFISA裁判所に申し立てることができます。前述のように、Cloudflareは、FISAの裁判所命令で通常求められる種類の（従来の意味での）お客様コンテンツにはアクセスできません。国家安全保障目的の要請はすべて、公表が高度に規制されているため、Cloudflareがそのような命令を受けた場合は、NSLとFISA命令（コンテンツおよび非コンテンツ）の合計が属する件数帯（「0～249」から始まる250件単位の帯）を報告することになります。

Cloudflareは、インターネットに接続する世界中のWebサイトやアプリケーションのセキュリティとパフォーマンスを強化するグローバルネットワークを運営しています。Cloudflareのインフラストラクチャは、お客様のWebサイトを直接攻撃から守り、サーバー間のリクエストを処理するために、Webサイトとインターネットユーザーの間に位置しています。そのため、WHOISのデータにはCloudflareのネームサーバーが、当社のサービスを利用しているWebサイトのDNSレコードにはCloudflareのIPアドレスが表示される場合があります。

関連する記録に連絡先が記載されているため、Cloudflareは、著作権侵害を主張する著作権者や、コンテンツが違法であるとの見解を示す政府から、当社のネットワークからコンテンツを削除するよう要請されます。Cloudflareは、他者がホストする素材をインターネットから削除できないため、通常、Webサイトコンテンツへのアクセスがあり根本的な問題への対処が可能なWebサイトホスティングプロバイダーへ、コンテンツの削除要請を転送します。

Cloudflare製品の中には、まだ少数ながらもストレージを含むものが増えてきています。Cloudflareネットワーク上に最終的に保存されたコンテンツの場合は、ネットワーク上でトランジットしたり一時的にキャッシュされるものとは異なり、当社で苦情内容を精査して、追加の措置が必要かどうかを慎重に判断します。

Cloudflare製品の中には、まだ少数ながらもストレージを含むものが増えてきています。Cloudflareは、最終的にホストされたコンテンツに対する異なった法的要件と期待を反映して、当社のネットワークに保存されたコンテンツ（ネットワーク上でトランジットしたり一時的にキャッシュされるものとは異なる）に関しては別個の利用規約を定めており、不正利用の苦情への対応プロセスも異なります。Cloudflareネットワーク上に保存されているコンテンツについて有効な削除要請を受けた場合、Cloudflareは当該コンテンツへのアクセスを適宜無効にします。このレポートでは、Cloudflareが受けた、当社ネットワークに保存されたコンテンツへのアクセスを無効化するよう求める要請の詳細を報告しています。

著作権に基づくコンテンツ削除要請

Cloudflareは、デジタルミレニアム著作権法（DMCA）に基づき、当社が受けるコンテンツ削除要請を精査します。当社がホストしている限られた量のコンテンツに関してDMCAに基づく苦情を受けた場合、ユーザーが侵害の疑いに異議を唱える反論通知をすることができるようにするため、当社は侵害の疑いをユーザーに通知し、DMCAに則ってコンテンツを削除します。

コンテンツブロックの要請

Cloudflareは法執行機関、政府機関、または他国の裁判所から、管轄地域の法律に基づいてコンテンツへのアクセスをブロックするよう書面による要請を受けることもあります。表現の自由に重大な影響を与える可能性があるため、Cloudflareは個々のコンテンツブロックの要請について事案ごとに状況に応じた評価を行い、その要請に関する事実上の根拠と法律上の権限を分析します。

命令が有効であり、Cloudflareの対応が必要であると当社が判断した場合、現地の法律に違反する地域に限定したコンテンツへのアクセスブロックを実施することがあります（「ジオブロッキング」と呼ばれる行為）。当社は、可能な場合には、過剰な要求を明確化し範囲を絞ります。

統一ドメイン名紛争処理の要請

Cloudflareは、ICANN公認のドメインRegistrarとして、商標に基づくドメイン名紛争については、ICANNの統一ドメイン名紛争処理方針（UDRP）に従います。Cloudflareはこの方針に基づき、ICANNが承認した紛争委員会から有効なUDRP検証要請を受け次第、(1) 登録者とRegistrarの情報が変更されないよう、係争期間中は係争中のドメイン名をロックし、(2) WHOIS情報のマスクを解除するか、情報を紛争委員会に提供します。

Cloudflareは、ICANNの承認を受けた紛争委員会から有効な決定通知を受け取り次第、その決定に基づいて、適宜、被申立人がドメインを管理できるようにドメインのロックを解除し、あらかじめ定められた時期にドメインを申立人に譲渡して、被申立人がRegistrarの管轄内にある現地の法制度による法的紛争を開始できるようにするか、ドメインを削除します。