AWSが英国内務省と4億5000万ポンドのクラウドコンピューティング契約を締結、詳細が明らかに

自由民主党のティモシー・クレメント・ジョーンズ議員が提出した書面による質問に対し、内務省次官のシャープ卿は、警察業務がAWSによって運営されている間、一部のAWS従業員は現行の契約に基づく特定の業務について審査を受ける必要がある可能性があることを認めた。シャープ氏の反応は、4億5000万ポンドの取引に新たな光を当てた。この合意は、AWSの従業員をあらゆる種類のセキュリティチェックから免除するものとして批判されている。

クレメント・ジョーンズ議員は3つの疑問を提起した。(1)契約に基づいて働くAWS従業員にはセキュリティクリアランスが必要かどうか。 （２）契約が2018年データ保護法第59条（５）に準拠しているかどうか（３）AWSによって処理された英国内務省のデータが理論的には外国政府に提供される可能性があるかどうか。最初の質問に対して、シャープ氏は「AWS の従業員は、セキュリティクリアランスを必要とする特定の業務を行う場合、セキュリティクリアランスの対象となる」と回答しました。これは、契約書の技術基準セクションに「ベンダー従業員の許可要件はない」と記載されている文言と矛盾しているようです。しかし、政府筋によると、シャープ氏が「一般解約契約」と呼ぶ契約書にこれらの要件が記載されているにもかかわらず、AWS のスタッフは英国内務省のデータを扱う際に依然として審査要件の対象となっているという（ただし、そもそもなぜこの条項が含まれていたのかは謎のままである）。

シャープ卿はまた、契約に基づいて保存されるデータは英国内務省の管理下に置かれるべきであり、AWS は警察や英国内務省の管理下にある個人データにアクセスすることはできないと述べた。さらに、彼は次のように答えました。「AWS はどのようなデータが保存されているかを把握しておらず、セキュリティ管理が実施されているため、処理の性質に関する指示は提供しません。契約の設計上、個人データに必要な保護を提供するために契約上拘束力を持たない詳細は契約に含まれていません。」

同氏は、英国のデータ規制当局である情報コミッショナー事務局（ICO）もこの取り決めを認識していたと付け加えた。 Business InsiderがICOに確認を求めたところ、広報担当者は、ICOには2018年データ保護法第59条に対するいかなる免除も与える権限がないと述べた。同条では、データ処理はデータ管理者とデータ処理者の間で「処理の性質と目的、個人データの種類と関係するデータ主体のカテゴリー」を定めた契約に従わなければならないと規定されている。

データは保存時も転送時も暗号化されます

セコン・ソリューションズのシニアパートナーでクラウドセキュリティの専門家であるオーウェン・セイヤーズ氏は、シャープ氏が回答の中で、AWSの従業員が何が保存または処理されているか分からないようにセキュリティ対策が講じられていたと示唆したことは、英国内務省がデータ保護法に違反している可能性があると考えている。セイヤー氏は「データ保護法第59.5条に基づき、内務省はAWSに対し、データが何であるか、AWSに伝えるべきデータのカテゴリーは何か、そしてそのデータに関して処理者がどのような義務を負っているかを告げなければならない。それが法律だ。ICOは彼らの責任を免除することはできない」と語った。

セイヤーズ氏はまた、AWS は自社施設内に保管されている内務省のデータを技術的に検査できないというシャープ氏の説明は、データが保存時および転送中に暗号化されているため不正確である可能性があると示唆した。部門がデータを AWS に保存しているだけであれば、それは正しいかもしれませんが、データを処理する場合は、データを復号化する必要があります (現在、その作業が行われているようです)。 Sayers 氏は次のように説明しています。「このような状況が発生すると、個々のマシンのキャッシュ ファイルに存在するか、プロキシ サーバーに存在するか、ネットワーク上の他のキャッシュ領域に存在することになります。AWS 管理者はいつでも、マシンのスナップショットを取得して、その中の情報を取得できます。」

同氏は、この理由から、法執行機関の機密データを扱うクラウド施設のスタッフは審査を受ける必要があると付け加えた。さらに、データ管理者とデータ処理者の両方が、プロセスに対する国民の信頼を維持するために監査要件に従う必要があります。彼は、これまでのところ、英国内務省と AWS との最新の契約に関する問い合わせに対する回答には、そのような傾向は見られないと考えている。

「シャープ氏の回答に誤解を招く意図はなかったと確信している。彼は単にクレメント・ジョーンズ議員の質問に答えただけだと確信している。しかし、その回答は意味をなさず、精査に耐えない」と彼は述べた。

シャープ氏の対応について詳しく説明するよう求められた内務省の広報担当者は、「請負業者は、法令遵守に関する我々の期待の一環として、適用されるすべての法律とデータ保護規制を遵守する必要がある」と述べた。

AWSは業界メディアのコメント要請にまだ応じていない。