Google は政府からのユーザー情報リクエストにどう対応しているか
Google のもとには、世界中の政府機関からユーザー情報の開示リクエストが届きます。Google は、適用される法律を遵守するため、それぞれのリクエストを慎重に評価しています。リクエストにおいて過度の情報が要求されている場合は、それらをできるだけ絞り込み、場合によっては一切の情報の提出を拒否することもあります。Google が受け取ったリクエストの数や種類については、透明性レポートにまとめてあります。
リクエストへの対応方法は、Google サービスの提供者によって異なります。Google サービスのほとんどは、Google LLC(米国法に基づいて運営されている米国企業)または Google Ireland Limited(アイルランド法に基づいて運営されているアイルランド企業)が提供者となっています。実際のサービス提供者は、Google の利用規約で確認できます。組織が管理する Google アカウントの場合はアカウント管理者に確認してください。
政府機関からリクエストを受け取った場合、Google は情報を開示する前にユーザー アカウントにメールを送信します。組織が管理するアカウントの場合はアカウント管理者に通知します。
リクエストの条項によって法的に禁止されている場合は通知しません。法令または裁判所命令に基づく禁止期間を経過した場合など、法的な禁止措置が解除された後に通知を行います。
アカウントが無効または不正使用されている場合は通知しないことがあります。また、緊急時も通知しないことがあります(たとえば、子どもの安全や誰かの生命が脅かされている場合など)。その場合は、緊急事態が終了したことがわかった時点で通知します。
民事、行政、刑事事件に関わる米国政府機関からのリクエスト
政府が提供者にユーザー情報の開示を強制する権限は、アメリカ合衆国憲法修正第 4 条および Electronic Communications Privacy Act(ECPA: 米電気通信プライバシー法)により制限されています。米国当局は、少なくとも以下を行わなければなりません。
- すべての事件: 登録者の基本的な登録情報および特定の IP アドレスの開示を強制するための召喚状を発行する
- 刑事事件の場合
- コンテンツ以外の記録(メールの To、From、Cc、Bcc、タイムスタンプなど)の開示を強制するための裁判所命令を取得する
- 通信の内容(メール メッセージ、文書、写真など)の開示を強制するための捜査令状を取得する
米国政府機関からの国家安全保障に影響する事件に関わるリクエスト
米国政府が国家安全保障に関連する捜査において Google にユーザー情報の提供を強制する場合は、国家安全保障書簡(NSL)を使用するか、外国情報監視法(FISA)に基づいて付与されたいずれかの権限を使用できます。
- NSL は、限定的な登録者情報の提供を Google に強制する場合にのみ使用でき、司法による権限の付与は必要ありません。
- FISA に基づく命令および権限は、電子監視および保存データの開示(Gmail、Google ドライブ、Google フォトなどのサービスのコンテンツを含む)を強制する場合に使用できます。
米国外の政府当局からのリクエスト
Google LLC が、米国外の政府当局からデータの開示リクエストを受け取ることもあります。このようなリクエストを受け取った場合、ユーザー情報を提供することが以下のすべてと整合していればリクエストに応じることがあります。
- 米国法。つまり、適用される米国法(ECPA など)によりアクセスと開示が許可されている必要があります。
- リクエスト元の国の法律。つまり、その地域で同様のサービスの提供者にリクエストした場合に適用されるのと同じ適正手続きと法律上の条件を、当該政府当局が遵守する必要があります。
- 国際的な基準。これは、Global Network Initiative の Principles on Freedom of Expression and Privacy(表現の自由とプライバシーに関わる原則)、およびそれに関連する実施ガイドラインに準拠しているリクエストに対してのみデータを提供することを意味します。
- Google のポリシー。これには、適用されるすべての利用規約およびプライバシー ポリシーに加え、表現の自由の保護に関連するポリシーも含まれます。
欧州経済領域(EEA)内およびスイス国内において Google サービスの大部分の提供を担う Google Ireland にも、ユーザー情報のリクエストが届いています。
アイルランド政府機関からのリクエスト
Google Ireland がアイルランド政府機関からのユーザー情報のリクエストを評価する際にはアイルランド法を考慮します。アイルランド法では、アイルランド法の執行機関が Google Ireland にユーザー情報の提供を強制する場合には、司法により権限が付与された命令を取得することが義務付けられています。
アイルランド国外の政府当局からのリクエスト
Google Ireland は、欧州経済領域(EEA)内およびスイス国内においてサービスを提供しており、アイルランド国外の政府機関からデータ開示リクエストを受け取ることもあります。その場合、ユーザー情報を提供することが以下のすべてと整合していればリクエストに応じることがあります。
- アイルランド法。つまり、Irish Criminal Justice Act(アイルランド刑事司法法)など適用されるアイルランド法によりアクセスと開示が許可されている必要があります。
- アイルランドにおいて適用される欧州連合(EU)法。これは、一般データ保護規則(GDPR)を含む、アイルランドにおいて適用されるすべての EU 法を指します。
- リクエスト元の国の法律。つまり、その地域で同様のサービスの提供者にリクエストした場合に適用されるのと同じ適正手続きと法律上の条件を、当該政府当局が遵守する必要があります。
- 国際的な基準。これは、Global Network Initiative の Principles on Freedom of Expression and Privacy(表現の自由とプライバシーに関わる原則)、およびそれに関連する実施ガイドラインに準拠しているリクエストに対してのみデータを提供することを意味します。
- Google のポリシー。これには、適用されるすべての利用規約およびプライバシー ポリシーに加え、表現の自由の保護に関連するポリシーも含まれます。
Google は、誰かが死亡することまたは重大な身体的危害を受けることを防止できると合理的に判断した場合には、政府機関に情報を提供することがあります。たとえば、爆破予告、学校での銃乱射、誘拐、行方不明などの事件が考えられます。その場合でも、適用される法律と Google のポリシーに照らしてリクエストを評価します。