- 米国のハイパースケーラーは米国クラウド法に従っており、これはスイスの理念に反する
- Privatimは真のエンドツーエンド暗号化とチェーン全体の透明性向上を提唱
- 顧客が自分でデータを暗号化できる場合、米国のハイパースケーラーも許容される
スイスのデータ保護担当官は、真のエンドツーエンド暗号化が欠如していることから、公共機関に対し、Microsoft、Amazon、およびGoogleなどの業界ハイパースケーラーのクラウドサービスを利用しないよう警告しています。
これは、多くのSaaSベンダー、特に米国クラウド法の対象となる企業が、スイス国内にデータが保存されていたとしても、米国当局にデータを引き渡すよう求められる可能性があるためです。
クラウドプロバイダーは、セキュリティを検証するための十分な透明性を提供していないことでも批判されており、「外部サービスプロバイダーの長い連鎖」がデータセキュリティをさらに複雑にしています。
スイス、Microsoft 365、AWS、Google Cloudの利用に警鐘
スイスデータ保護官会議であるPrivatimも、SaaSの利用は公共機関にとって大きな管理権限の喪失を意味し、市民の基本的権利に対するリスクに影響を与えられなくなると警告しています。
最終的にPrivatimは、国際的なSaaSプロバイダーは、政府が自らデータを暗号化でき、プロバイダーが鍵にアクセスできない場合を除き、機密性の高いデータや極めて重要なデータには利用すべきでないと述べています。
スイスはすでに厳格なデータプライバシー法で知られており、2023年9月のスイスデータ保護法改正では、国境を越えたデータ開示などにさらなる要件が追加されています。
米国クラウド法は、プライバシーや主権に関するスイスの基準に反しており、特にスイス国内にホストされているデータであっても、米国クラウド法の影響を免れないことが問題です。
今回の警告とは別に、スイスにはすでに独自のビッグテック代替サービスがあります。Protonは強力なセキュリティで急速に名を上げており、法律で求められたとしても同社はユーザーデータにアクセスできません。
ProtonはスイスおよびEUのインフラを利用し、スイス法を遵守しているだけでなく、クライアントサイド暗号化(CSE)も提供し、保護の必要がない部分はオープンソース化しています。
米国の3大ハイパースケーラーがクラウド市場の約3分の2を占めているため、適切かつ準拠した代替サービスの選定はやや困難になりますが、欧州のデータプライバシーの潮流が続けば、これら企業にとって大きな成長機会となるでしょう。
