CloudflareとAPPIコンプライアンス

Cloudflareはセキュリティ、パフォーマンス、信頼性を提供する企業で、米国を本拠とし、日本にもオフィスを置くなどグローバルに事業展開して、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。当社は、お客様のWebサイトやインターネットアプリケーションの安全性を強化し、ビジネスクリティカルなアプリケーションのパフォーマンスを高め、個々のネットワークハードウェアを管理することの煩雑さとコストを解消します。Cloudflareのグローバルネットワークは、こちらで説明するように、世界中の270以上のエッジサーバーで稼働しており、お客様のために当社製品を速やかに開発してデプロイするための基盤を成しています。

お客様が当社のグローバルネットワークを介して送信、ルーティング、スイッチ、キャッシュすることを選択したデータに、Cloudflareがアクセスしたり制御したりすることはありません。Cloudflare製品がコンテンツの保存に利用されることがありますが、これは限られた場合です。どのCloudflareサービスを利用しているかにかかわらず、お客様がCloudflareグローバルネットワークで送信、ルーティング、スイッチ、キャッシュ、保存することを選択したデータに関しては、適用法および個々の契約上の取り決めを遵守する責任はすべてお客様が負うものとします。

お客様の代わりにCloudflareが処理する個人データの種類は、実装されるCloudflareサービスによって異なります。Cloudflareのネットワークを移動するデータの大部分はCloudflareのエッジサーバーに留まり、このアクティビティに関するメタデータは、お客様に代わって米国および欧州にある当社の主要データセンターで処理されます。

Cloudflareは、当社ネットワークにおけるイベントに関するログデータを保持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース（「API」）、アプリケーション（Cloudflare製品のCloudflare Zero Trustも該当する場合あり）の訪問者や許可されたユーザーに関する情報が含まれます。このメタデータには、ごく限られた個人データが（たいていIPアドレスの形で）含まれます。当社はお客様に代わって、この種の情報を、米国および欧州にある当社の主要データセンターで一定期間にわたり処理します。

Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界に先駆けて、プライバシーを強化する数々の最先端技術をリリースしてきました。特筆すべき点は、こうしたツールを使うと、お客様がUniversal SSLで通信内容を簡単に暗号化できたり、DNS-over-HTTPSまたはDNS-over-TLS、暗号化されたSNIを用いた通信でメタデータを暗号化してSSL鍵が保管される場所や、トラフィックを検査する場所の管理ができるということです。

Cloudflareは、業界標準に従ってセキュリティプログラムを整備しています。セキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データに適切な暗号化技術の使用が含まれます。

Cloudflareの全従業員が、プライバシーと情報セキュリティに関するオンボーディング訓練を受け、その後も毎年再訓練することを義務づけられています。

当社は現在、以下の認証を維持しています：ISO 27001、ISO 27701、SOC 2 タイプ2、PCI DSSレベル1のコンプライアンス。また、SOC 3レポートも維持しています。当社の認証については、こちらをご覧ください。

日本から米国へ移転する個人データを含め、個人データ保護のためにCloudflareが提供するセキュリティ対策については、当社の標準DPAの附則2をご覧ください。

Cloudflareのデータ処理補遺条項（DPA）は、お客様に代わって個人データを処理する際の義務を取り扱ったもので、Enterpriseサービス契約とセルフサーブサブスクリプション契約に参照によって組み込まれ、APPI第24条に従って越境移転を合法とするのと同水準と考えられています。さらに：

• 移転先国：Cloudflareは自社のグローバルネットワーク全体でデータを処理していますが、メタデータは米国およびEUにあるデータセンターでしか保存できません。米国のデータセンターへの移転は、当社のセキュリティサービスの多くを提供する上で必要なカスタマーゾーンのトラフィックメタデータに限定されています。

• セキュリティ対策：Cloudflareのセキュリティ対策は、当社DPAの附則2で一覧化されています。

• 確認：上記の認証の維持で実証されているように、Cloudflareではセキュリティ対策を定期的に検証し、その有効性を確認しています。

• 目的限定：当社は、お客様の指示に従って個人データを処理するだけであり、Cloudflareサービスの提供以外の目的で個人データを販売、保持、利用、開示することはありません。また、当社はお客様のエンドユーザーデータをプロファイリングや追跡に使わず、いかなるマーケティング目的ないし広告目的にも使用しません。

• 漏えい通知：個人データの漏えい（当社DPAで定義）があった場合、Cloudflareは影響を受けるお客様に遅滞なく通知し、当該の個人データ漏えいに関してお客様への妥当な協力と助力を行います。

• 副処理者：当社の副処理者には、中国子会社を除く子会社が含まれます。世界中の当社のお客様ないしネットワークから取得したデータには、中国子会社の従業員はアクセスできません。

米国には国レベルの包括的プライバシー保護法がなく、プライバシーとデータ保護についてはセクターごとのアプローチがとられています。たとえば、個人の健康情報のプライバシーについては「医療保険の相互運用性と説明責任に関する法律（HIPPA）」、金融機関が処理する情報については「グラムリーチブライリー法（GLBA）」、教育機関については「家庭教育の権利とプライバシーに関する法律（FERPA）」という連邦法があります。さらに、連邦取引委員会（FTC）は、不公正で欺瞞的な取引慣行から消費者を保護するために調査し、執行措置をとる執行権限を有します。FTCのこの権限は、妥当なデータセキュリティ対策を実装しなかったり、プライバシーとセキュリティに関して不正確な記述や誤解を招く記述（プライバシーポリシー中の記述を含む）をしたりした企業に対して措置をとる際に行使されてきました。

Cloudflareは、当社が受けたデータ開示請求の詳細と当社の対応を説明した「透明性レポート」を発行しています。一般的に、法執行機関や政府機関からお客様のデータを請求された場合、当社はDPAに従って、法律で禁止されていない限り、当該請求についてお客様に通知します。個人データの法的請求が係属中である旨を通知されたお客様は、個人データの開示を阻止すべく介入を試みることができます。当該請求は法の抵触を起こすと当社が判断した場合（請求されているデータの主体が米国の裁判管轄外に居住する場合など）は、必ずDPAに従って当該請求を拒否し、法的救済を申し立てています。

第702条外国情報監視法（「FISA」）の第702条は、米国外に在住する非米国民の通信内容を対外諜報目的で請求する権限を、米国政府に与えています。米国政府はこの第702条を使って、特定の対外諜報対象に関連する特別な「セレクター」（メールアドレスなど）を通じて通信内容を収集します。この権限は通常、通信内容の収集に用いられ、第702条の遵守を求められる「電子通信サービスプロバイダー」は、通信内容にアクセス可能なメールプロバイダーやその他のプロバイダーを指すのが一般的です。

透明性レポートで記した通り、Cloudflareはコアサービスの提供で、この種の従来型カスタマーコンテンツにアクセスすることはできません。さらに、Cloudflareには、当社のネットワークを通過するお客様のコンテンツのフィードをいかなる政府にも提供せず、提供を求められた場合は、当社が違法または違憲と考える請求からお客様を保護するために法的救済措置を消尽するという長年のコミットメントがあります。

大統領命令12333号：大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集についてです。大統領命令12333号には、米国企業の協力を強要する規定はありません。

Cloudflareは、緊急時以外において、いかなる政府系機関でも顧客データを提供する前に法的手続きを要請するというコミットメントを長年持ち続けています。したがって、大統領命令12333号の下で自発的に要求に従うことはありません。さらに、Cloudflareは個人データがどのような種類の好奇の目にもさらされないように転送中のデータ、コンテンツとメタデータの両方にセキュリティを追加するよう先頭に立って強化してきました。たとえば、2014年、Universal SSLを開始し、すべてのCloudflareのお客様のために、かつては高価で困難だった暗号化を無料にしました。そして当社は、開始したその週に、暗号化されたWebの規模を2倍にしました。暗号を対象とする法律が増加しているため、政府または第三者からの要請を受けて、当社の暗号化を弱体化させたり、暗号を改ざん、または破壊したりすることは決してないと明言してきました。

CLOUD法海外データ合法的使用明確化法（CLOUD法）は、米国の調査権限を拡張するものではなく、法執行機関が有効な令状を取得しなければならないという厳しい要件に変わりはありません。CLOUD法はコンテンツへのアクセスにも適用されます（上記の通り、当社は一般的にコンテンツは保存しません）。法執行機関は通常、クライドプロバイダーではなくデータをコントロールできる主体（つまりお客様）からデータを得ようとするということに、注意する必要があります。

CLOUD法は、法の抵触を起こす法的請求の棄却または変更を裁判所に申し立てるメカニズムを、プロバイダーに提供しています。国民が影響を受ける外国の政府が米国とCLOUD法協定を締結している場合、プロバイダーはその申立を通じて、請求の存在を当該外国政府に開示することができます。Cloudflareは、このような法の抵触を起こす命令に対しては、法的な異議申し立てをすると約束してきました。今のところは、このような法の抵触を起こすと判断するような命令は受けていません。

最後に、当社はDPAで「当社がお客様に代わって処理する個人データを請求する第三者の法的手続きが法の抵触を起こすと判断できた場合は、法律で禁じられていない限り、お客様に通知する」と公約しています。個人データの法的請求が係属中である旨を通知されたお客様は、個人データの開示を阻止すべく介入を試みることができます。

Cloudflareは、お客様の信頼を獲得し維持することが極めて重要と考えており、2022年にAPPIが改正されるずっと以前からデータ保護策を実施してきました。当社は、2013年に受けた法的手続きに関して2014年にCloudflare初の透明性レポートを発行した際、いかなる政府機関に対しても顧客データを提供する前に、緊急時でない限り法的手続きを要求することと、お客様や請求先に関する情報を開示する前に、法律で禁止されていない限り、当該のお客様に情報請求の法的手続きがとられている旨通知することをお約束しました。当社は、いかなる政府機関に対しても、暗号化キーや当社ネットワークを通過するコンテンツのフィードを提供したことはなく、ネットワークに法執行機関の設備をデプロイしたりしたこともないと公言しました。また、そうしたことを求められた場合は、「当社が違法または違憲と考える請求からお客様を保護するために、あらゆる法的救済措置を消尽する」と表明しています。Cloudflareの創立時から、透明性レポートでこうした表明（コミットメント）を年2回再掲載し、さらに拡大してきました。

必要があれば、訴訟を起こすことでお客様を保護するという当社のコミットメント、および透明性に対する当社の信念を実践してきました。2013年、お客様の権利を保護するために電子フロンティア財団の協力を得て、米国政府発行の国家安全保障書簡（NSL：National Security Letter）に異議を申し立てました。申し立ての理由は、当社がNSLに関する情報を関係のあるお客様に公表することを政府が制限できる条項があったからです。Cloudflareが要求に応じて、お客様の情報を提供することは一切ありませんが、2016年に裁判所が制限を撤廃するまで、情報の非開示の条項は守られてきました。

当社は、いかなる政府による個人データの請求も、その個人が居住する国のプライバシー保護法に抵触するような請求については法的な申立をすべきだという立場を明確にしてきました（たとえば、政府のデータ請求に関する透明性レポートとホワイトペーパー、データプライバシーと法執行機関の請求に関するCloudflareのポリシーなどで）。Cloudflareは、米国の判例法および制定法の現行枠組みに従い、法の抵触を根拠として米国当局の個人データ請求の棄却を米国裁判所に申し立てる場合があります。

当社はお客様向けの標準DPAを更新し、上記の補完的措置と安全策を契約上のコミットメントとして盛り込んでいます。それらの契約上のコミットメントは、DPA第7条でご確認いただけます。