Airwallex CEO、データ流出を否定！米国顧客データは中国に送信されていない

投資者 Keith Rabois は、Airwallex が中国に大規模なエンジニアリングチームと中国の株主を持つことにより、データ漏洩リスクが存在すると主張しました。Airwallex のCEO兼共同創業者 Jack Zhang はこれを否定し、主張は事実無根であり、同社は米国顧客データを中国に転送することは決してないと強調しました。彼は、米国顧客データは米国、オランダ、シンガポールのみに保存されており、中国本土および香港の従業員はアクセス権限を持たないことを明確にしました。

投資家 Keith Rabois のSNS上での告発が論争を引き起こす

Zhangが公に否定する前に、著名な投資家Keith RaboisはX（旧Twitter）上でAirwallexに対して一連の重大な告発を行いました。Raboisは、中国法が企業と市民に国家情報活動への協力を義務付けているため、中国と密接に関わる企業はデータセキュリティリスクに直面する可能性があると主張しました。彼は特に、Airwallexが中国に大規模なエンジニアリングチームを擁していることが、データ漏洩リスクを不可避にしていると指摘しました。

Raboisの論拠は中国「国家情報法」の関連条項に基づいており、同法は「いかなる組織及び市民も、法律に従い国家情報活動を支持・支援・協力しなければならない」と規定しています。彼は、たとえデータが米国のサーバーに保存されていても、中国の法律が中国で働くエンジニアにアクセス権限の付与やデータ取得の協力を強制する可能性があると述べています。さらに、RaboisはAirwallexに中国株主がいることも大きなリスク要因であると考えています。

これらの指摘は、フィンテックや暗号資産分野で広範な議論を引き起こしました。一部の投稿は後に削除されましたが、論争は既に拡大しています。Airwallexの支持者たちは反論し、一部のユーザーは告発の証拠を疑問視し、単なる憶測だと指摘しています。Airwallexの幹部も、同社が引き続きリージョナルデータアイソレーションに投資しており、規制要件を上回る措置を講じているとコメントしました。

Airwallex CEOがデータ保存構造を詳細説明

Zhangは回答の中で、Airwallexのデータ保存構造について詳細に説明しました。彼は、米国顧客データは米国、オランダ、シンガポールにのみ保存していると明言しています。中国本土および香港の従業員は米国顧客の個人情報（PII）にアクセスできないことを強調しました。このデータアイソレーション戦略は、Airwallexのグローバルコンプライアンス構造の中核部分です。

Zhangは、エンジニアチームの地理的位置とデータアクセス権限の違いについて特に説明しました。「人材は世界中に分布できるが、データアクセス権限はそうではない」と指摘しています。エンジニアの勤務地と顧客データの保存場所は異なり、アクセス権限は役割と必要性に基づき付与され、従業員の所在地には基づかないと述べています。このロールベースアクセスコントロール（RBAC）は、現代のクラウドセキュリティ構造の標準的な実践です。

Airwallexは現在、世界で70以上のライセンスを保有し、米国48州以上で規制を受けています。同社は、法的・技術的システムにより、いかなる外国政府による米国データへの不正アクセスも阻止できると表明しています。Zhangはまた、Airwallexは外国の情報機関からの非ローカルな機微データ提供要請には応じず、米国連邦のクロスボーダーデータ保護基準を遵守していると述べています。

Airwallex データ保護の4本柱

地理的分離：米国顧客データは米国・オランダ・シンガポールの3拠点のみに保存

アクセスコントロール：従業員の所在地ではなく、役割・必要性に基づいてアクセス権限を割り当て

多国規制：世界70以上の法域で金融サービスライセンスを保有

外国からの要請拒否：外国政府による非ローカルな機微データの要請には応じない

また、Airwallexのリーダーシップチームは米国、欧州、シンガポール、オーストラリアに分布しています。Zhangは、自身はロンドン在住であり、中国で実務責任は担っていないと補足しました。このような分散型のリーダーシップ体制は、単一国家による企業意思決定への影響力をさらに低減させています。

プライバシーポリシーの文言が新たな疑問を呼ぶ

しかし、議論はこれで収束しませんでした。一部のユーザーは、Airwallexのグローバルプライバシーポリシー文書に曖昧な表現があると指摘しました。同文書では、会社が中国を含む様々な国で顧客データを処理する可能性があると明記されています。批判者は、これがZhangの公開発言と矛盾しているとして、さらなる明確化を求めています。

この表現の違いは、グローバルなフィンテック企業が直面する複雑なコンプライアンス課題を浮き彫りにしています。企業は、グローバルプライバシーポリシーで全ての事業拠点をカバーする必要がありますが、同時に特定地域（米国など）の顧客データにはより厳格な保護を確保しなければなりません。Airwallexのグローバルプライバシーポリシーは、各国での多様な事業ラインを網羅するためのものと考えられますが、米国顧客データの特別な取り扱いについては明確に区別されていません。

Airwallexは、当該プライバシーポリシー条項がより厳格な連邦保護下にある米国顧客にも適用されるのかについて、正式な説明をまだ行っていません。同社は、米国顧客の個人識別情報（PII）は承認された地域に限定されていると主張していますが、こうした口頭での説明と文書化されたポリシーの間の不一致が、批判者に疑問を投げかける余地を与えています。

法的観点から見ると、グローバルプライバシーポリシーの曖昧な表現は事業運営上の柔軟性を維持するためかもしれませんが、現在の地政学的に敏感な環境下では、こうした曖昧さが企業の負担となる可能性もあります。多くの多国籍フィンテック企業は現在、より細分化されたリージョナルプライバシーポリシーを採用し、地域ごとに顧客データの取り扱い方を明確に区別するようになっています。

規制違反は確認されずも、安全保障上の懸念は拡大

現時点では、いずれの規制当局もAirwallexに違反があると確認していません。米国財務省や金融犯罪取締ネットワーク（FinCEN）などの関連当局も正式な調査を開始したとは発表していません。法的観点では、Airwallexは現状コンプライアンスを維持しており、必要な営業ライセンスを保有し定期的な監査も受けています。

それにもかかわらず、この対立によってAirwallexは国家安全保障分野の注目の的となっています。特に、クロスボーダー・フィンテック企業が敏感な時期を迎えている現在、米中テクノロジー競争が激化する中で、中国が絡む越境データフローは追加的な審査を受けやすくなっています。TikTokやファーウェイの事例が示すように、実際のデータ乱用の証拠がなくとも、国家安全保障上の懸念そのものが企業経営に重大な影響を及ぼす可能性があります。

現時点で、Airwallexは自社の立場を堅持しています。Zhangは「事実が雄弁に語る。ネット上の中傷も真実の前では明らかになる」と述べています。同社は、データ保護体制の独立監査の第三者への依頼や、より詳細なリージョナルデータ処理ポリシーの公表など、さらなる透明性向上策を検討中です。