CloudflareのGDPRへの取り組み

米国に本社を置くCloudflareは、セキュリティ、パフォーマンス、信頼性を扱う企業で、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。企業ネットワークを堅牢にし、ビジネスクリティカルなアプリケーションのパフォーマンスを高めるお手伝いをします。そして、個々のネットワークハードウェア管理に伴う複雑性を解消し、コスト削減に貢献します。CloudflareのAnycast ネットワークは、こちらで説明されているように、世界で200以上のエッジサーバーで導入されており、お客様のために、速やかに当社製品の開発、デプロイするための基盤となっています。

Cloudflareは、お客様がCloudflare Anycast ネットワークを介して送信、ルーティング、スイッチ、キャッシュすると選択したデータにアクセスすることも、制御することもありません。Cloudflare製品がコンテンツの保存に利用されることがありますが、これは限られた場合です。ご利用いただいているCloudflareサービスに関係なく、お客様がCloudflare Anycast ネットワークを介して、送信、ルーティング、スイッチ、キャッシュ、保存すると選択したデータに関連して、適用される法律および個々の契約上の合意を遵守する全責任をお客様が負うものとします。

お客様の代わりにCloudflareが処理する個人データの種類は、実装されるCloudflareサービスによって異なります。Cloudflareのネットワークを通過するデータの大部分がCloudflareのエッジサーバーにとどまりますが、このアクティビティに関するメタデータは、お客様に代わり、米国にある本社のメインデータセンターで処理されます。

Cloudflareは、当社のネットワークにおけるイベントに関するログデータを維持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース（「API」）、またはアプリケーションの訪問者および/または認証されたユーザーに関する情報が含まれます。これには、Cloudflare製品のCloudflare for Teamsが該当することがあります。このメタデータには、ほとんどの場合IPアドレスの形式でごく限られた個人データが含まれます。当社は米国にあるメインデータセンターでお客様の代わりにこの種類の情報を一定期間処理します。

Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界に先駆けて、プライバシーを強化する数々の最先端技術をリリースしてきました。特筆すべき点は、こうしたツールを使うと、お客様がUniversal SSLで通信内容を簡単に暗号化できたり、DNS-over-HTTPSまたはDNS-over-TLS、暗号化されたSNIを用いた通信でメタデータを暗号化してSSL鍵が保管される場所や、トラフィックを検査する場所の管理ができるということです。

Cloudflareは、業界標準に従ってセキュリティプログラムを整備しています。セキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データに適切な暗号化技術の使用が含まれます。

当社は現在、ISO 27001とSOC 2 Type II、PCI DSS レベル 1準拠の証明を保持しています。また、SOC 3レポートも保持しています。当社の証明書については、こちらをご覧ください。

欧州連合（EU）から米国へ移転する個人データを含め、個人データ保護のためにCloudflareが提供するセキュリティ対策について、当社の標準DPAの付属書類2をお読みください。

GDPRには、欧州経済領域（EEA）から第三国（GDPR対象外の国、または適切なデータ保護法を施行していると考えられる国）へのデータ主体者の個人データ移転に関して、欧州のデータ主体者が適切な防御措置、執行可能な権利、適切な法的救済策を使えるようにする法的メカニズムが多数あります。

こうしたメカニズムには、以下が含まれます。

• EU委員会は、移転先の第三国の法規範、人権と基本的自由の尊重、その他の要因を評価した上で、その国が適切なレベルの保護を確保しているか、判断している。

• データ管理者または処理者が拘束的企業準則（BCR）を導入している。

• データ管理者または処理者がEU委員会に採択された標準データ保護条項を導入している。

• データ管理者または処理者が承認された行動規範または承認された認証メカニズムを導入している。

Cloudflareは個人データをEEAから米国へと移転するための法的メカニズムとして、標準契約条項（SCC）に依拠しています。また、以前はプライバシーシールドに付与された妥当性に関する決定にも依拠していました。しかし、2020年7月に欧州連合司法裁判所（CJEU）が「Schrems II」事件判決（事例C-311/18、データ保護委員会対 FacebookアイルランドとMaximillian Schrems氏）で、EU-米国間のプライバシーシールドのパラダイムを無効とする判決が下されました。このプライバシーシールドを無効とする判決は、Cloudflareがお客様に代わって処理をする個人データに対する強力なプライバシー保護を変えるものではありません。プライバシーシールドの下で認定された時のようにデータ保護の原則に従うことをお約束します。

お客様の信頼を獲得・維持することは、Cloudflareにとって不可欠だと考えているため、「Schrems II」事件判決以前よりもかなり前から、データ保護の対策を講じてきました。2013年に受けた法的手続きに関して、2014年にCloudflare初の透明性レポートを発行した時、緊急時以外において、いかなる政府機関でも顧客データを提供する前に法的手続きを要請し、法的に禁止されていない場合、お客様/請求先に関する情報を開示する前にお客様に法的手続き要請の通知を提示することをお約束しました。当社はこれまでいかなる政府機関に対しても、暗号化キーを渡したことはなく、当社のネットワーク内を通過するコンテンツフィードを提供したりネットワーク内に法執行機関の設備をデプロイしたりしたことはないと公式に発表しました。また、こうしたことを求められた場合、当社は「違法または違憲であると考える要求からお客様を保護するためにあらゆる法的救済措置を講じる」と表明しています。Cloudflareの創業時から、透明性レポートでこうした表明（コミットメント）を年2回再掲載し、さらに拡大させてきました。

必要があれば、訴訟を起こすことでお客様を保護するという当社のコミットメント、および透明性に対する当社の信念を実践してきました。2013年、お客様の権利を保護するために電子フロンティア財団の協力を得て、米国政府発行の国家安全保障書簡（NSL：National Security Letter）に異議を申し立てました。申し立ての理由は、当社がNSLに関する情報を関係のあるお客様に公表することを政府が制限できる条項があったからです。Cloudflareが要求に応じて、お客様の情報を提供することは一切ありませんが、2016年に裁判所が制限を撤廃するまで、情報の非開示の条項は守られてきました。

さらに最近、2020年1月に投稿したプライバシーデーのブログで、いかなる政府要求に対しても、その個人が居住する国のプライバシー法に抵触する個人データを要求した場合は、法的に異議申し立てをするべきだという当社の立場を明らかにしました。欧州データ保護会議（EDPB）は、昨年発表した評価において、GDPRにはこうした違反がある可能性を認識していました。GDPR準拠への当社のコミットメントが意味すること。それは米国政府によるデータ要求に応じて、GDPRの対象と特定されるデータを生成する前に、Cloudflareが法的な救済措置を追求するということです。Cloudflareは、米国における既存の判例と法定の枠組みに従い、こうした法の抵触に対して、米国の裁判所に米国当局からの個人データ要求を棄却するように求める場合があります。

当社は契約上の責任として当社のお客様が追加の保護措置を取り入れられるように、標準データ処理補遺条項（DPA）を更新しました。当社のDPA第7条で契約上の責任についてご覧いただけます。

Cloudflareでは、独自のプライバシー法（EUの一般データ保護規則（GDPR）など）を有する米国以外の国・地域に居住する非米国籍の人に、米国政府が居住国のプライバシー法に抵触する要求を行った場合、こうした要求に対し法的に異議を申し立てるべきであると確信しています。

クラウド法は米国の捜査権限を拡大するものではありません。法執行機関が有効な令状を取得しなければならないという厳しい要件に変わりはありません。クラウド法はコンテンツへのアクセスにも適用されます（上記の通り、当社は一般的にコンテンツは保存しません）。さらに、クラウド法は米国の法執行機関が法人データへのアクセスを求める際の既存の慣行を変えるものではありません。法執行機関は、通常、クラウドプロバイダーではなく、データを実質的に支配する主体（つまりお客様）からデータを得ようとするという点に注意が必要です。

Cloudflareは、今後もGDPRの対象となっているデータを所有するお客様に標準契約条項（SCC）を提供していきます。この分野における展開だけでなく、代替となる移転メカニズムにも注目していきます。

「Schrems II」事件判決を踏まえて、当社のお客様がGDPRが適用されるデータ主体者と米国へ移転されるデータがGDPRの下で適切な保護を受けられるという追加の確証を求めていらっしゃることを当社は理解しています。追加の保護措置についてはすでに説明した通りです。

欧州連合司法裁判所（CJEU）が「Schrems II」事件判決の分析で米国の国家安全保障当局の数を考慮していたため、これらの当局を米国データ処理者に適用することについていくつか疑問も出ています。これらの当局がデータ移転に関連しているかどうか、またはどのように関連しているかを説明するには、欧州連合司法裁判所（CJEU）が参照する当局の追加説明が必要です。

第702条：外国情報監視法（FISA:Foreign Intelligent Serveillance Act）の第702条は、米国政府が対外諜報目的で、米国外に在住する、米国国籍を持たない「非米国民」の通信要求を許可するものです。米国政府は、この702条を使って特定の対外諜報対象に関連するメールアドレスといった特別な「セレクター」を通して通信内容を収集します。この権限は通常、通信内容の収集に用いられ、702条を順守するよう求めている「電子通信サービスプロバイダー」とは、多くの場合、メールプロバイダーや通信情報にアクセスできるそのほかのプロバイダーのことを指します。

透明性レポートに記載のとおり、Cloudflareはこのタイプの従来の顧客コンテンツにアクセスすることはありません。さらにCloudflareは、当社のネットワーク内を通過するお客様のコンテンツのフィードをいかなる政府にも提供したことがなく、こうしたことを求められた場合、違法または違憲であると考える要求からお客様を保護するためにあらゆる法的救済措置を講じるという公約を長年にわたって表明してきました。

大統領命令12333号：大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集についてです。大統領命令12333号には、米国企業の協力を強要する規定はありません。

Cloudflareは、緊急時以外において、いかなる政府機関でも顧客データを提供する前に法的手続きを要請するという公約を長年持ち続けています。したがって、大統領命令12333号の下で自発的に要求に従うことはありません。さらに、Cloudflareは個人データが好奇の目にさらされないように転送中のデータ、コンテンツとメタデータの両方にセキュリティを追加するよう率先して取り組みを行ってきました。たとえば、2014年にUniversal SSLを開始し、すべてのCloudflareのお客様のために、かつては高価で困難だった暗号化を無料にしました。そして当社は、Universal SSLを開始したその週に、暗号化されたWebの規模を2倍に増やしました。暗号を対象とする法律が増加しているため、政府または第三者からの要請を受けて、当社の暗号化を弱体化させたり、暗号を改ざん、または破壊したりすることは決してないと明言してきました。

Cloudflareでは、EDPBのガイダンスで勧告されている追加のデータ保護対策の多くがすでに実施されています。このガイダンスは、2020年1月にEDPBから草案が発表されたもので、転送ツール以外にも適切な追加的保護措置を講じ、2020年11月10日に採択されたEUレベルの個人データ保護への準拠を図るよう勧告しています。この草案は2020年12月21日の時点で依然審議中となっています。

Cloudflareは、すでに述べたとおり、個人データの処理に関して透明性と説明責任をきわめて重視しており、さまざまな取り組みに契約としての実効性を与えるためDPAにも変更を加えています。また、定期的に透明性レポートも発行しています。レポートはこちら（https://www.cloudflare.com/en-gb/transparency/）からご覧いただけます。さらに、Cloudflareでは強力なセキュリティ対策と暗号化プロトコルを使用しており、その内容は最新版のDPAの付属書類2の中でご確認いただけます。Cloudflareは欧州のお客様を重視しており、EDPBの審議終了後に発表されるであろうガイダンスの最終版に向けて万全の準備を整えています。

今後もCloudflareはこの分野の動向を注視し、引き続きEU GDPR 第44条および第46条への準拠を徹底します。同時に、Cloudflareの現行のDPAや標準契約条項（SCC）に基づくさまざま取り組みについても、引き続き進めていきます。

2020年10月5日、当社のセルフサービス型サブスクリプション契約を更新し、この中で最新の標準DPAについて言及することで契約の一部として取り入れました。そして、サブスクリプションを利用されるお客様に代わって当社が処理する個人データがGDPRに準拠する範囲において、当社のDPAはこのデータに関するEU標準契約条項を取り入れます。よって、標準契約条項が締結されているかどうか確認する必要はありません。当社の最新DPAには、上記のとおり追加の保護対策も組み込まれています。

DPAは、各種文書に引用により組み込まれていますが、カスタマーダッシュボードからも最新版をご確認いただけます。ダッシュボードにアクセスし、［設定］タブにある［環境設定］からご確認ください。

2020年10月、当社は標準Enterprise サブスクリプション契約（ESA）を更新し、この中で最新の標準DPAについて言及することで契約の一部として取り入れました。Enterpriseのお客様が2019年8月8日以降にCloudflareとESAを結び、カスタム契約を結んでいない場合、標準ESAの対象となります。こうしたお客様は、最新のDPAはESAの中で言及することで、同契約に組み込まれているため、お客様は何もする必要がなく、サブスクリプションのお客様に代わって当社が処理する個人データがGDPRに準拠する範囲において、当社のDPAはこのデータに関するEU標準契約条項を取り入れます。当社の最新DPAには、上記のとおり追加の保護対策も組み込まれています。Cloudflareの最新の標準DPAはこちらでご確認いただけます。

旧バージョンのEnterpriseサブスクリプション契約（ESA）をご契約のお客様は、Cloudflareとの間ですでにEU標準契約条項を締結されている可能性があります。その場合、お客様の側ではアクションは必須ではありませんが、カスタマーダッシュボードにある最新版DPAには追加の保護対策に関する文言も盛り込まれており、こちらに同意していただくことも可能です。これまでCloudflareのEU-米国間およびスイス-米国間のプライバシーシールド認証に依拠されていたお客様については、カスタマーダッシュボードで最新版の DPA に同意していただく必要があります。同意するには、ダッシュボードにアクセスし、［設定］タブにある［環境設定］に移動します。DPAを表示し、内容を確認の上、同意してください。

Cloudflareとカスタム契約を締結されているお客様については、DPAに関するご不明点がある場合はCustomer Successマネージャーにお問い合わせください。

2021年6月4日に発表された欧州委員会の新しい標準契約条項（SCC）を慎重に検討を進めています。新しいSCCには実施まで18か月の猶予期間を認めるサブセット条項が含まれており、その期間を利用して現行のお客様との契約を新SCCに移行する予定です。

お客様によっては、GDPRの対象となる個人データを米国に移転せず、引き続きEU圏内に置いて処理することを希望される場合もあります。そうした場合には、Cloudflare Data Localization Suiteをご紹介いたします。これにより、企業のお客様はCloudflareのグローバルネットワークが持つパフォーマンスおよびセキュリティ上のメリットを享受しつつ、エッジ側で簡単にルールを設定して、データを保管および保護する場所を制御することができます。

Data Localisation Suiteは、既存のサービスにいくつかの新機能を追加したパッケージです。

• 地域ごとのサービス：Cloudflareは、100か国以上200以上の都市にデータセンターを設置しています。地域ごとのサービスと、Geo Key Managerソリューションを組み合わせることで、TLSキーを保管して、TLSターミネーションが行われるデータセンターのロケーションをお客様が選択できるようにします。トラフィックはグローバルに取り込まれ、L3/L4 DDoS 軽減を適用します。その一方でセキュリティ、パフォーマンス、信頼性の機能（WAF、CDN、DDoS 軽減など）が指定されたCloudflareデータセンターのみで提供されます。地域ごとのサービスでは、メタデータの一部が、今でも米国オレゴン州ポートランドにあるコアデータセンターに送信されます。しかし、当社がこうしたログに収集する個人データは、IP アドレスだけです。

• Keyless SSL：Keyless SSLは、お客様がCloudflareで使用するSSLプライベートキーを保管・管理できる機能です。お客様は、ハードウェアセキュリティモジュール（HSM）、仮想サーバー、お客様の管理下でUnix/LinuxやWindowsを実行するハードウェアなど、さまざまなシステムをキーストアに使用することができます。

• Geo key Manager：Cloudflareは、実に国際的な顧客基盤を持っています。プライベートキーの配置に関しては、世界各地のお客様がそれぞれ異なる規則要件と法的要件、リスク特性があることを当社は学びました。その概念を念頭に置き、キーの保存場所を決定するための非常に柔軟なシステムを設計することにしました。お客様は、Geo key Managerを使うと、特定の場所へのプライベートキーの公開を制限することができます。Keyless SSLと似ていますが、インフラストラクチャ内でキーサーバーを実行するのではなく、Cloudflareはお客様が選んだロケーションでキーサーバーをホストします。

• Edge Log Delivery: Edge Log Deliveryを使用することにより、お客様はエッジから選択したパートナー（希望する地域内のAzureストレージバケットやオンプレミスのデータセンター上で実行するSplunkのインスタンスなど）に直接ログを送信できます。このオプションにより、こうしたログが米国内またはEU域内にあるCloudflareのコアデータセンターを経由することなく、お客様は希望する地域内で完全なログを取得することができます。

• Jurisdiction Restrictionsを装備したWorkers Durable Objects：Durable Objectsは、開発者がインフラストラクチャのオーバーヘッドに悩まされず状態の管理ができる、サーバーレスなストレージ／連携テクノロジーです。Juridiction Restirictionsを使用すれば、開発者が個別にインフラストラクチャを構成する作業をすることなく、現地の規制に準拠してそのデータを処理／保管することができます。この機能により、グローバルでありながら各地の規制に準拠したアプリケーションを容易に開発できます。

透明性レポートで概説されている通り、Cloudflareは緊急時を除いて、当社のお客様に関する個人情報を、政府機関または民事訴訟の当事者に渡す前に、有効な法的手続きを要求します。法的手続きを伴わない要請に対して、政府関係者にお客様の個人情報を提供することはありません。

お客様がご自身の権利を行使する機会を確保するために、Cloudflareのポリシーでは、法的に禁止されていない場合に限り、情報開示前にお客様の情報を要求する召喚状やそのほかの法的手続き、その法的手続きを行っているのが政府機関なのか民事訴訟に関わる民間機関なのかをお客様に通知します。特に、当社のDPAでは、法的に禁止されていない場合に限り、個人データがGDPRに準拠する場合など法の抵触を提起するお客様の代わりに、当社が処理する個人データを要求する第三者の法的手続きを特定することができるかどうか、お客様に通知すると明示しています。個人データに関する法的要求が保留されていると通知をされたお客様は、個人データの開示を防ぐために介入を求めることができます。

さらに、米国法では、企業がGDPRの対象データの法的要求などの法に抵触する可能性を持つ命令に抗議できる仕組みを提供しました。たとえば、海外データ合法的使用明確化（CLOUD： Clarifying Lawful Overseas Use of Data）法は、プロバイダーが法の抵触を引き起こすような法的要求を取り消す、または修正するよう裁判所に申し立てられる仕組みを提供しています。このプロセスによって、プロバイダーは国民が影響を受ける外国政府に対して、その政府が米国とCLOUD法を締結している場合、その要求の存在を開示することができます。Cloudflareは、このような法抵触を引き起こす命令に対して法的な異議申し立てをすると表明してきました。今日まで、このような法の抵触をもたらすと判断する命令を受けたことはありません。

2021年1月1日から正式施行されるBrexit（英国のEU離脱）に伴うデータ保護関連の議論について、Cloudflareも継続的に動向を注視しており、GDPRから英国独自法規への移行にも対応できるよう、準備を進めてきました。Cloudflareは引き続き、英国およびEEA圏外に個人データを転送する際に用いる通常のDPAに含まれるSCCを利用する予定です。上記の手引きにしたがって、お客様がCloudflareとの間で適切なDPAを締結していることをご確認ください。Cloudflareは今後もこの分野の動向を注視し、引き続き英国ならびにグローバルにおけるデータ保護関連法規の遵守を徹底します。