CloudflareのGDPRへの取り組み

Cloudflareはセキュリティ、パフォーマンス、信頼性を提供する企業で、米国を本拠とし、欧州にも5つのオフィスを置くなどグローバルに事業展開しており、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。当社は、お客様のWebサイトやインターネットアプリケーションの安全性を強化し、ビジネスクリティカルなアプリケーションのパフォーマンスを高め、個々のネットワークハードウェアを管理することのコストと煩雑さを解消します。Cloudflareのグローバルネットワークは、こちらで説明するように、世界中の200を超えるエッジサーバーで稼働しており、お客様のために当社製品を速やかに開発してデプロイするための基盤を成しています。

お客様が当社のグローバルネットワークを介して送信、ルーティング、スイッチ、キャッシュすることを選択したデータに、Cloudflareがアクセスしたり制御したりすることはありません。Cloudflare製品がコンテンツの保存に利用されることがありますが、これは限られた場合です。どのCloudflareサービスを利用しているかにかかわらず、お客様がCloudflareグローバルネットワークで送信、ルーティング、スイッチ、キャッシュ、保存することを選択したデータに関しては、適用法および個々の契約上の取り決めを遵守する責任はすべてお客様が負うものとします。

お客様の代わりにCloudflareが処理する個人データの種類は、実装されるCloudflareサービスによって異なります。Cloudflareのネットワークを移動するデータの大部分はCloudflareのエッジサーバーに留まり、このアクティビティに関するメタデータは、お客様に代わって米国および欧州にある当社の主要データセンターで処理します。

Cloudflareは、当社ネットワークにおけるイベントに関するログデータを保持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース（「API」）、アプリケーション（Cloudflare製品のCloudflare Zero Trustを含む場合があります）の訪問者や許可されたユーザーに関する情報が含まれます。このメタデータには、ごく限られた個人データが（たいていIPアドレスの形で）含まれます。当社はお客様に代わって、この種の情報を、米国および欧州にある当社の主要データセンターで一定の限られた期間にわたり処理します。

Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界に先駆けて、プライバシーを強化する数々の最先端技術をリリースしてきました。特筆すべき点は、こうしたツールを使うと、お客様がUniversal SSLで通信内容を簡単に暗号化できたり、DNS-over-HTTPSまたはDNS-over-TLS、暗号化されたSNIを用いた通信でメタデータを暗号化してSSL鍵が保管される場所や、トラフィックを検査する場所の管理ができるということです。

Cloudflareは、業界標準を超えるセキュリティプログラムを整備しています。当社のセキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データの保護に十分な暗号化技術の使用が含まれます。

当社は現在、以下の認証を維持しています：ISO 27001、ISO 27701、ISO 27018、SOC 2タイプ2、PCI DSSレベル1のコンプライアンス。当社の認証とレポートの詳細については、こちらをご覧ください。

欧州経済領域（「EEA」）から米国へ転送される個人データを含め、個人データ保護のためにCloudflareが提供するセキュリティ対策について、当社の標準DPAの付属書類2をお読みください。

EU一般データ保護規則（「GDPR」）は、EEAから第三国（GDPR対象外の国、または適切なデータ保護法を施行していると考えられる国）へ転送される個人データに関して、欧州のデータ主体が適切な保護対策、執行可能な権利、適切な法的救済措置を利用可能にするための法的メカニズムを多数提供しています。

こうしたメカニズムには、以下が含まれます。

• EU委員会は、移転先の第三国の法規範、人権と基本的自由の尊重、その他の要因を評価した上で、その国が適切なレベルの保護を確保しているか、判断している。

• データ管理者または処理者が拘束的企業準則（BCR）を導入している。

• データ管理者または処理者がEU委員会に採択された標準データ保護条項を導入している。

• データ管理者または処理者が承認された行動規範または承認された認証メカニズムを導入している。

Cloudflareは個人データをEEAから米国へと転送するための法的メカニズムとして、欧州委員会の標準契約条項（「SCC」）と補完的措置に依拠しています。また、以前はプライバシーシールドに付与された十分性認定にも依拠していました。しかし、2020年7月に欧州連合司法裁判所（「CJEU」）が「Schrems II」事件判決（事例C-311/18、データ保護監視当局対FacebookアイルランドとMaximillian Schrems氏）で、EU-米国間のプライバシーシールドのパラダイムを無効とする判決を下しました。このプライバシーシールドを無効とする判決は、Cloudflareがお客様に代わって処理をする個人データに対する強力なプライバシー保護を変えるものではありません。プライバシーシールドの下で認定を受けた際に約束したデータ保護の原則に従います。

2022年3月、欧州委員会と米国商務省は、EEAから米国へのデータ転送を規律する新しい大西洋横断データプライバシー枠組みに合意しました。当社はこれらの動向を注視しており、実施に関する詳細が明らかになった時点で、この枠組みに依拠するか、どのように依拠するかを決定します。

お客様の信頼を獲得・維持することは、Cloudflareにとって不可欠だと考えているため、「Schrems II」事件判決以前から、データ保護の対策を講じてきました。2013年に受けた法的手続きに関して、2014年にCloudflare初の透明性レポートを発行した時、緊急時以外において、いかなる政府系機関でも顧客データを提供する前に法的手続きを要請し、法的に禁止されていない場合、情報公開をする前にお客様または請求先に、法的手続き要請の通知を提示することをお約束しました。当社はいかなる政府機関も暗号化キーを渡したことはなく、当社のネットワーク内を通過するコンテンツフィードを提供したりネットワーク内に法執行機関の設備をデプロイしたりしたこともないと公式に発表しました。また、こうしたことを求められた場合、当社は「違法または違憲であると考える要求からお客様を保護するためにすべての法的救済措置を消尽する」と表明しています。Cloudflareの創立時から、透明性レポートでこうした表明（コミットメント）を年2回再掲載し、さらに拡大させてきました。

当社は、透明性に対する信念とお客様保護のコミットメントを、必要に応じて訴訟を起こすことで実践してきました。2013年には、電子フロンティア財団の協力を得て、お客様の権利を保護するために米国政府発行の国家安全保障書簡（NSL：National Security Letter）に異議を申し立てました。申立理由は、NSLに関する情報を当社が関係するお客様に開示することを政府が制限できるという条項があったからです。Cloudflareがこの請求に応じてお客様の情報を提供することは一切ありませんでしたが、情報不開示の条項は2016年に裁判所が制限を撤廃するまで有効でした。

当社は、その個人が居住する国のプライバシー保護法に抵触するようないかなる政府による個人データの要請にも、法的に異議を申し立てるべきだという立場を繰り返し明確にしてきました（たとえば、政府のデータ要請に関する透明性レポートと当社のホワイトペーパー、データプライバシーと法執行機関の要請に関するCloudflareのポリシーをご確認ください）。EDPBは、この評価において、GDPRにはこうした抵触がある可能性を認識しました。GDPR準拠への当社のコミットメントが意味するのは、米国政府によるデータ要請に応じてGDPRの対象と特定されるデータを提出する前に、Cloudflareが法的救済措置を追求するということです。Cloudflareは、米国の判例法および制定法の現行枠組みに従い、法の抵触を根拠として米国当局の個人データ要請の棄却を米国裁判所に申し立てる場合があります。

当社はお客様向けの標準データ処理補遺条項（「DPA」）を更新し、上記の補完的措置と保護対策を契約上のコミットメントとして追加で盛り込んでいます。それらの契約上のコミットメントは、DPA第7条でご確認いただけます。

Cloudflareでは、独自のプライバシー法（EUの一般データ保護規則（GDPR）など）を有する米国以外の国・地域に居住する非米国籍の人に、米国政府が居住国のプライバシー法に抵触する要求を行った場合、こうした要求に対し法的に異議を申し立てるべきであると確信しています。

クラウド法は米国の捜査権限を拡大するものではありません。法執行機関が有効な令状を取得しなければならないという厳しい要件に変わりはありません。クラウド法はコンテンツへのアクセスにも適用されます（上記の通り、当社は一般的にコンテンツは保存しません）。さらに、クラウド法は米国の法執行機関が法人データへのアクセスを求める際の既存の慣行を変えるものではありません。法執行機関は、通常、クラウドプロバイダーではなく、データを実質的に支配する主体（つまりお客様）からデータを得ようとするという点に注意が必要です。

Cloudflareは、今後もGDPRの対象となっているデータを保有するお客様にSCCと補完的措置を提供していきます。この分野における展開だけでなく、代替となる転送メカニズムにも注視していきます。

「Schrems II」事件判決を踏まえて、当社のお客様がGDPRが適用されるデータ主体者と米国へ移転されるデータがGDPRの下で適切な保護を受けられるという追加の確証を求めていらっしゃることを当社は理解しています。追加の保護措置についてはすでに説明した通りです。

CJEUが「Schrems II」事件判決の分析において多くの米国の国家安全保障当局を考慮していたため、当社はこれらの当局を米国のデータ処理者に適用することにいくつか疑問を抱きました。これらの当局がデータ転送に関連しているかどうか、またはどのように関連しているかを説明するには、CJEUが参照する当局について何らかの追加説明が必要です。

第702条：外国情報監視法（「FISA」）第702条は、米国外に在住する非米国民の通信内容を対外諜報目的で要請する権限を、米国政府に与えています。米国政府はこの第702条を使って、特定の対外諜報対象に関連する特別な「セレクター」（メールアドレスなど）を通じて通信内容を収集します。この権限は通常、通信内容の収集に用いられ、第702条の遵守を求められる「電子通信サービスプロバイダー」は、通信内容にアクセス可能なメールプロバイダーやその他のプロバイダーを指すのが一般的です。

透明性レポートで記した通り、Cloudflareはコアサービスに関してはこの種の従来型カスタマーコンテンツにアクセスすることはできません。さらに、Cloudflareには、当社のネットワークを通過するお客様のコンテンツのフィードをいかなる政府にも提供せず、提供を求められた場合は、当社が違法または違憲と考える要請からお客様を保護するために法的救済措置を尽くすという長年の公約があります。

大統領命令12333号：大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集について規定しています。大統領命令12333号には、米国企業の協力を強制する規定はありません。

Cloudflareは、緊急時以外において、いかなる政府系機関でも顧客データを提供する前に法的手続きを要請するというコミットメントを長年持ち続けています。したがって、大統領命令12333号の下で自発的に要求に従うことはありません。さらに、Cloudflareは個人データがどのような種類の好奇の目にもさらされないように転送中のデータ、コンテンツとメタデータの両方にセキュリティを追加するよう先頭に立って強化してきました。たとえば、2014年、Universal SSLを開始し、すべてのCloudflareのお客様のために、かつては高価で困難だった暗号化を無料にしました。そして当社は、開始したその週に、暗号化されたWebの規模を2倍にしました。暗号を対象とする法律が増加しているため、政府または第三者からの要請を受けて、当社の暗号化を弱体化させたり、暗号を改ざん、または破壊したりすることは決してないと明言してきました。

Cloudflareでは、EDPBのガイダンス（2021年6月18日採択された「個人データ保護のEUレベルの遵守を確保するための転送ツールを補完する措置に関する勧告2020年第1号」）で勧告されている追加の保護対策の多くがすでに実施されています。Cloudflareは、すでに述べたとおり、個人データの処理に関して透明性と説明責任をきわめて重視しており、さまざまな取り組みに契約としての実効性を与えるために、DPAにも変更を加えています。また当社は、透明性レポートも引き続き公開しています。さらに、Cloudflareでは強力なセキュリティ対策と暗号化プロトコルを使用しており、その内容はDPAの付属書類2の中でご確認いただけます。

今後もCloudflareはこの分野の動向を注視し、引き続きEU GDPR 第44条および第46条への準拠を徹底します。同時に、Cloudflareの現行のDPAや標準契約条項（SCC）に基づくさまざま取り組みについても、引き続き進めていきます。

当社のサブスクリプション契約は、当社の標準DPAを引用することにより、これを契約の一部として組み込んでいます。そして、サブスクリプションを利用されるお客様に代わって当社が処理する個人データがGDPRに準拠する範囲において、当社のDPAはこのデータに関するEU標準契約条項を組み込みます。したがって、標準契約条項が締結されているかどうか確認する必要はありません。当社のDPAには、上記のとおり追加の保護対策も組み込まれています。

DPAは、各種文書に引用により組み込まれていますが、カスタマーダッシュボードからも標準DPAをご確認いただけます。ダッシュボードにログインし、［設定］タブにある［環境設定］からDPAを確認し、同意してください。

当社の標準Enterpriseサブスクリプション契約（「ESA」）は、当社の標準DPAを引用することにより、これを契約の一部として組み込んでいます。したがって、これらのお客様について対応は必要ありません。お客様に代わって当社が処理する個人データがGDPRに準拠する範囲において、当社のDPAはEU標準契約条項を組み込んでいます。当社の標準DPAには、上記のとおり追加の保護対策も組み込まれています。

2019年8月8日以降にCloudflareとESAを結んでいるが、カスタム契約を結んでいないEnterpriseのお客様は、標準ESAの対象となります。旧バージョンのESAまたはカスタムESAもしくはカスタムDPAに基づくEnterpriseのお客様には、2021年版のEU標準契約条項が組み込まれていないかもしれません。これらのお客様には、最新版の契約文言が組み込まれるようにご連絡を差し上げています。カスタマーダッシュボードにある当社の標準DPAには2021年版のEU標準契約条項と追加の保護対策に関する文言が盛り込まれており、該当するお客様にはこちらに同意していただくことも可能です。これまでCloudflareのEU-米国間およびスイス-米国間のプライバシーシールド認証に依拠されていたお客様については、カスタマーダッシュボードで最新版のDPAにも同意していただく必要があります。同意するには、ダッシュボードにログインし、［設定］タブにある［環境設定］に移動します。そのまま画面上でDPAを確認し、同意してください。

Enterpriseのお客様は、DPAに関するご不明点がある場合、Customer Successマネージャーにお問い合わせいただくことができます。

2021年6月4日に発表された欧州委員会の新SCCを、GDPRの対象となるすべての新規のお客様との契約に組み込みました。新SCCには実施まで18か月の猶予期間を認めるサンセット条項が含まれており、その期間を利用して現行のお客様との契約を新SCCに移行する予定です。

お客様によっては、GDPRの対象となる個人データを米国に移転せず、引き続きEU圏内に置いて処理することを希望される場合もあります。そうした場合には、Cloudflare Data Localization Suiteをご紹介いたします。これにより、企業のお客様はCloudflareのグローバルネットワークが持つパフォーマンスおよびセキュリティ上のメリットを享受しつつ、エッジ側で簡単にルールを設定して、データを保管および保護する場所を制御することができます。

Data Localisation Suiteは、既存のサービスにいくつかの新機能を追加したパッケージです。

• 地域ごとのサービス：Cloudflareは、100か国以上200以上の都市にデータセンターを設置しています。地域ごとのサービスと、Geo Key Managerソリューションを組み合わせることで、TLSキーを保管して、TLSターミネーションが行われるデータセンターのロケーションをお客様が選択できるようにします。トラフィックはグローバルに取り込まれ、L3/L4のDDoS軽減を適用します。一方、セキュリティ、パフォーマンス、信頼性の機能（WAF、CDN、DDoS 軽減など）は、指定のCloudflareデータセンターのみで提供されます。

• Metadata Boundary：Customer Metadata Boundaryは、お客様を特定できるエンドユーザーのトラフィックのメタデータがEU圏内に留まることを保証するものです。これには、お客様が閲覧するすべてのログと分析が含まれます。これは、お客様を特定できるエンドユーザーのメタデータが当社のエッジの単一サービスを経由して、コアデータセンターの一つに転送されるようにすることによって行われています。あるお客様に対してMetadata Boundaryを有効にすると、当社のエッジは、そのお客様を特定する（つまり、そのお客様のアカウントIDを含む）すべてのログメッセージがEU圏外に送信されないようにします。そのログメッセージは、EUのコアデータセンターにのみ送信されます。

• Keyless SSL：Keyless SSLは、お客様がCloudflareで使用するSSLプライベートキーを保管・管理できる機能です。お客様は、ハードウェアセキュリティモジュール（HSM）、仮想サーバー、お客様の管理下でUnix/LinuxやWindowsを実行するハードウェアなど、さまざまなシステムをキーストアに使用することができます。

• Geo key Manager：Cloudflareは、実に国際的な顧客基盤を持っています。プライベートキーの配置に関しては、世界各地のお客様がそれぞれ異なる規則要件と法的要件、リスク特性があることを当社は学びました。その概念を念頭に置き、キーの保存場所を決定するための非常に柔軟なシステムを設計することにしました。お客様は、Geo key Managerを使うと、特定の場所へのプライベートキーの公開を制限することができます。Keyless SSLと似ていますが、インフラストラクチャ内でキーサーバーを実行するのではなく、Cloudflareはお客様が選んだロケーションでキーサーバーをホストします。

透明性レポートで概説されている通り、Cloudflareは緊急時以外、政府系機関または民事訴訟者に当社のお客様に関する個人情報を提供する前に、有効な法的手続きを要求します。法的手続きを伴わない要請に対して、政府関係者にお客様の個人情報を提供することはありません。

お客様がご自身の権利を行使する機会を確保するために、Cloudflareのポリシーでは、法的に禁止されていない場合、情報開示の前にお客様の情報を要求する召喚状やそのほかの法的手続き、その法的手続きを行っているのが政府機関なのか民事訴訟に係る民間機関なのかをお客様に通知します。特に、当社のDPAでは、法的に禁止されない場合に限り、個人データがGDPRに準拠する場合など法の抵触を提起するお客様の代わりに、当社が処理する個人データを要求する第三者の法的手続きを特定することができるかどうか、お客様に通知すると明示しています。個人データに関する法的請求が係属中であると通知されたお客様は、個人データ開示を防ぐために介入を求めることができます。

さらに、米国法では、企業が、GDPRの対象データへの法的要請など、法律に抵触する可能性がある命令に異議を申し立てるメカニズムが提供されています。クラウド法は、たとえば、法の抵触をもたらす法的要請の棄却や変更を裁判所に申し立てるメカニズムを、プロバイダーに提供しています。国民が影響を受ける外国の政府が米国とクラウド法協定を締結している場合、プロバイダーはその申立を通じて、この要請の存在を当該外国政府に開示することができます。Cloudflareは、このような法の抵触をもたらす命令に対しては、法的に異議を申し立てることを約束してきました。当社は今のところ、このような法の抵触をもたらすと判断されるような命令は受けていません。

EU離脱後の英国でのデータ保護分野における変化について、当社は継続的に動向を注視してきました。Cloudflareは引き続き、英国およびEEA圏外に個人データを転送する際に用いる標準DPAに組み込まれている、EUのSCCメカニズムを英国のデータ転送補遺条項とともに利用していく予定です。上記の手引きにしたがって、お客様がCloudflareとの間で適切なDPAを締結していることをご確認ください。Cloudflareは今後もこの分野の動向を注視し、引き続き英国ならびにグローバルにおけるデータ保護関連法規の遵守を徹底します。