米国司法省（DOJ）の起訴に関する弊社の見解

最初に次の 3 つの重要な論点を主張したいと思います。

1. 弊社は米国の利益を諸外国の脅威から守る、米国政府の取り組みを支持します。DOJ の指摘どおり、Zoom は本件に関し米国政府に全面的に協力してきました。加えて弊社は、徹底した内部調査を実施し、本件で起訴された中国の元従業員を社内ポリシー違反により解雇しました。また弊社の調査が完了するまでその他の従業員を休職処分としました。
2. 弊社は自由でオープンなアイデア交換の実現にまい進しています。DOJ が明確にしているとおり、Zoom や同業他社を含め、あらゆる米国企業は、中国ビジネスにおいて、いくつかの課題に直面しています。Zoom はさまざまな措置を通じ、全社の価値観を明確にしています。弊社は 7 月に「政府要請ガイド」を発行しました。同ガイドに従い、弊社は常にユーザーのプライバシー、セキュリティ、安全を優先し、行政機関のあらゆるリクエストを慎重に検討します。さらに弊社は、Zoom プラットフォームに多大な資本を投下し、堅牢なポリシーと安全対策を設けました。
3. 弊社は今後も進化し続けるデータ セキュリティ課題の先手を打ち、果断に対処していきます。弊社はすでに、全世界の無料版および有料版ユーザー向けにエンドツーエンド暗号化機能の提供を開始しました。社内のアクセス コントロールを大幅に強化しました。さらに、中国での直接およびオンライン サービスの販売を打ち切り、米国内、インド内、シンガポール内のエンジニアリング ハブを立ち上げました。

背景

2019 年 9 月、何の警告もないまま、中国政府によって中国内の Zoom サービスが遮断されました。弊社は当時、企業規模が現在よりはるかに小さく、主に法人顧客を対象としていました。この遮断により、多国籍企業のお客様の多くが、中国内の従業員やパートナーと効果的にコミュニケーションできなくなり、大きな混乱が生じました。影響を受けたお客様から、Zoom はサービス再開に向けて直ちに対処するよう要請を受けました。

このサービス遮断で、Zoom はかつてなく難しい立場に立たされました。急成長企業によくあるように、弊社は可能な限り最高のプロダクトの構築と顧客満足度の向上にひたむきに取り組んでいました。まだまだ成長途上だった当時、弊社の視野はそのように絞り込まれており、社会的懸念や政策的懸念にまで意識が向いていませんでした。

このサービス遮断の解消に向けて取り組む中で、中国政府からは Zoom が中国の法律の順守を確約するよう求められました。その一環として、法執行機関の要請を受け付ける社内連絡先を指名すること、米国内に保管されている、中国を基盤とするユーザーのデータを、中国内のデータセンターに転送することも要求されました。Zoom のサービスの復旧を目指し、CEO をはじめとする Zoom 社員が訪中し、2019 年 10 月に同国政府関係者と会談しました。中国政府が Zoom サービスの遮断理由とした問題に対し、弊社が取りうる措置の概要を説明しました。これが DOJ の訴状に記されていた「是正計画」です。この計画には、監査・検証が可能な方法で実際の ID とデータをローカライズするという中国内要件を順守するための対策や、中国の局地的法規制要件を満たす中国法人の設立も含まれていました。中国現地のパートナー業者と連携し、中国内で主催されるミーティングの内容を分析して違法行為を特定・報告し、中国の法を犯しているミーティングを強制終了するテクノロジーの開発など、実行しなかった対策も、計画には盛り込まれていました。政治的、宗教的、性的に露骨な特定の種類のミーティングを強制終了するなど、Zoom が過去に中国の法を順守するために取った措置の詳細情報も、同じく記載されていました。この是正計画の目標は Zoom サービスの回復であり、中国政府は最終的に 2019 年 11 月 17 日に Zoom のブロックを解除しました。

2019 年 10 月、Zoom は問題の従業員（現在解雇済み）を中国の政府担当窓口に指名しました。この元従業員の職務には、アカウント停止、ミーティング打ち切り、ユーザーデータを求める中国政府の要請に対応することも含まれていました。事実関係に関する DOJ の主張は、この起訴の公表まで弊社に共有されていませんでしたが、弊社は、この元従業員が特定の社内アクセス コントロールを回避しようとしたことを筆頭に、さまざまな点で Zoom のポリシーに違反していたことを社内調査中に突き止めました。そこで弊社はこの人物を解雇しました。また弊社の調査が完了するまでその他の従業員を休職処分としました。

この人物が Zoom に雇用されていた間に取った措置で、中国以外を拠点とするユーザーが主催したものも含め、天安門広場の追悼ミーティング、宗教活動や政治活動を伴うミーティングが数件、強制終了されることになりました。Zoom はこれらのミーティングの特定の一部と関連するホストのアカウントを閉鎖しました。この元従業員が、一部とはいえ個人ユーザーのデータを中国当局と共有したり、共有するよう指示したりしていたことも、社内調査中に弊社の知るところとなりました。現在の社内調査段階では、この元従業員もその他の Zoom 従業員も、10 人未満の個人ユーザーのユーザーデータを除き、中国以外を拠点とするユーザーのユーザーデータは中国政府に提供していないと弊社は判断しています。この元従業員は、天安門広場の追悼のためのミーティング情報を共有した可能性もあります。ただし、なんらかの企業データが中国政府に共有された形跡はありません。

訴状では問題の元従業員が中国の新疆（きょう）地方に関連づけられた Zoom アカウントとユーザー アカウントを取得したとされていますが、そのデータは匿名化されていたことが弊社の調査で判明しているため、弊社としては、現時点では、そのデータが中国政府と共有されたと考える根拠がありません。

DOJ と証券取引委員会（SEC）の調査

2020 年 6 月、司法省のニューヨーク東部地区連邦検事局（EDNY）から Zoom に大陪審の召喚状が届きました。この召喚状では、中国政府を含む外国政府、外国政党と Zoom のやり取りに関する情報が要求されていました。加えてユーザーデータの保管とアクセス、Zoom のプライバシー ポリシーの開発と実施、Zoom が Zoom 上での天安門広場の追悼に関連して取った措置の情報も、要求されていました。Zoom には以後、関連情報を求める EDNY からの追加の召喚状が複数届きました。

2020 年 7 月には、司法省のカリフォルニア州北部地区連邦検事局と（NDCA）と米国証券取引委員会から召喚状が届きました。どちらの召喚状も、Zoom の暗号化、Zoom の暗号化に関連する Zoom の声明、使用状況に関する指標の計算、関連する情報開示など、多様なセキュリティ課題、プライバシー課題に関連する文書と情報を求めていました。さらに NDCA の召喚状では、Zoom 社員と中国政府代表者のあらゆる接触、いずれかの外国政府が Zoom の米国ユーザー関連のポリシー、手続き、業務、措置に影響を及ぼした、または及ぼそうとした影響に関する情報も要求されていました。

弊社はこれらの調査すべてに全面的に協力しており、弊社でも独自に徹底的な社内調査を実施してきました。

これまでの取り組み

弊社は複雑で論争の多い国際社会を切り抜けていく方法を徹底的に検討しています。弊社はパンデミック下の世界の支援に尽力してきました。この苦難の時代に世界中の個人、学校、病院、行政機関、企業がつながり続けられるように支えてきたことを光栄に思います。また米国政府に提供している行政機関向け Zoom プラットフォームは、100% 米国本土内のデータセンターで稼働しており、米国を基盤とする米国民のみが管理しています。

自由でオープンなアイデア交換の推進は、弊社の主要な使命の一つです。この数か月間、弊社はこの使命に真摯に取り組むこと、最高水準の信頼とセキュリティの維持に全力で取り組むことを再確認しました。これらの取り組みを実現する堅牢なツールとポリシーの開発に尽力してきました。以下はその一例です。

• エンドツーエンド暗号化: 世界中の無料版および有料版ユーザー向けにエンドツーエンド暗号化機能の提供を開始しました。
• ジオフェンシングによるデータ ルーティング: 中国本土の弊社データセンターの周辺に厳格なジオフェンシングを実装しました。中国からの参加者が含まれる場合を除き、ミーティング内容が、中国本土の当社データセンター（トラフィック ルーティングを行う 19 か所のコロケーション データセンターのいずれか）を通してルーティングされることは一切ありません。有料版 Zoom のお客様は、データ ルーティングに使用するデータセンターを具体的に選択できます。
• 社内のアクセス コントロール: 社内のアクセス コントロールを大幅に強化しました。たとえば Zoom のグローバル プロダクション ネットワークに対する、中国を基盤とする従業員のアクセスを制限しました。
• 政府要請ガイド: 政府要請ガイドを施行しました。このガイドは、Zoom が常に Zoom ユーザーのプライバシー、セキュリティ、安全性を優先しつつ、政府のあらゆる要請を慎重に検討することを規定しています。あらゆる政府からの要請は、Zoom の米国法務部の承認を得て対処することが義務化されました。
• 従業員トレーニング: データ保護とコンプライアンスに重点を置き、強力な従業員トレーニングを実施しました。 

このほかにも、多数のセキュリティ強化策を文書化しましたが、弊社の取り組みに終わりはありません。米国を拠点とするセキュリティ エンジニアリング チームとソース コンプライアンス チームを設置しており、両チームが定期的にソースコードをレビューしています。また Zoom は、現職の従業員と従業員候補に関する必要情報を確実に取得して内部の脅威のリスクを評価する Insider Threat Program（内部脅威対策プログラム）と現職の従業員と従業員候補の不審な行動の兆候を警告するシステムを確立しているところです。

Zoom は Zoom ユーザーにサービスを提供するために存在しています。弊社のプラットフォームを信頼して利用する数百万の人々の期待に応えるべく、今後もまい進していきます。

* 弊社が新しく把握した情報を反映して、天安門広場の追悼ミーティングに関する Zoom の 6 月 11 日のブログ投稿を更新しました。

将来の見通しに関する記述のセーフハーバー

この投稿に含まれる記述には、1933 年証券法第 27A 改正条項と 1934 年証券取引所法第 21E 改正条項で意味するところの「将来の見通しに関する記述」が含まれており、これらの記述は、この投稿で取り上げた、政府による調査と内部調査、ならびにこれらの調査の対象となった背景事案に関する弊社の現時点での考えに基づいています。これらの調査は進行中であり、いつ調査が完了するか、調査の結果、最終的にどのような事実が判明し、政府がどのような措置を取り、または取らない可能性があるかは、わかっていません。

現在の見通しに関する記述はあくまで推測であり、今後さらに発生する事象、リスク、不確実性の影響を受ける可能性があり、弊社の管理の埒外にあるもの、現時点では弊社が知りえないものが多々含まれています。これらのリスクと不確実性には、進行中の調査の結果として、または米国政府の提示する証拠によって弊社の知るところとなる可能性がある追加の事実、米国政府の法執行機関ならびに規制機関が本ブログ記載の事象に関連して取る措置、弊社のビジネス運営に影響を及ぼすような（中国内での操業能力、これらの事象、リスク、不確実性が弊社従業員に及ぼす可能性のある潜在的影響など）中国政府による措置を含み、これらに限定されません。弊社プラットフォームの安全性とセキュリティの継続的な確保に関して、弊社がこのほかに直面する事象、リスク、不確実性には、弊社のセキュリティ対策がいつか破られるリスク、変化の激しいプライバシー、データ保護、情報セキュリティに関する法規制、標準、ポリシー、契約上の義務へのコンプライアンス違反もしくはその疑い、弊社のコロケーション データセンターからのサービスの遅延もしくは停止、インターネット インフラストラクチャの障害、またはブロードバンド アクセス障害などが考えられます。これらが原因となって既存ユーザーと潜在ユーザーの弊社プラットフォームに対する信頼が損なわれる可能性もあります。追加のリスクと不確実性により、実際の展開と結果は将来に関する記述の想定内容と大きく異なるものになる可能性があります。そのようなリスクと不確実性は、「リスク要因（Risk Factors）」という表題の下、また 2020 年 10 月 31 日に終了した年度の Form 10-Q に関する年次報告書を含む証券取引委員会への最新提出書類の別の箇所にも記載されています。

将来の見通しに関する記述は、あくまでも作成時点での考えです。弊社は、法的義務がない限り、これらの記述の更新に着手することはなく、特にこれらの記述を更新する義務の一切を放棄します。