■■■■■■■■■■■■■■■■■■ 6.8 集会とデモ ビッグデータがもたらす監視社会 G20デジタル経済・貿易会合への批判 ■■■■■■■■■■■■■■■■■■ 日時:6月8日(土)集会 14時から 場所:つくば市春日交流センター大会議室 (つくば市春日2-36-1 春日学園義務教育学校向かい つくばエクスプレスつくば駅よりバス 春日一丁目 春日二丁目下車) 地図は下にあります。 お話 小倉利丸さん(盗聴法に反対する市民連絡会) 参加費 500円 デモ 16時半から 会場からつくば駅周辺へむけて 主催 戦時下の現在を考える講座 連絡先090-8441-1457(加藤) mail: under_the_war_regime@yahoo.co.jp ■■またつくばでやる?■■ 二〇一六年のG7・科学技術担当大臣会合から三年、またつくばに各国閣僚 級の集まる国際会議がやってくる。大量の警察官と検問、公共施設や公園 からの締め出し、市民とは無関係な式典・イベント。そして抗議行動への 刑事弾圧。前回G7つくば会合の成果なんてこんなものしか浮かばない。こ れらを勘案してもなお、つくば市には国際会議がいいものに見えるらしい。 前回に続いて今回も経済効果が謳われているが、ほんとに効果あったのか? ■■G20ってなんだ?■■ G20は〇八年のリーマン・ショックへの対応から始まっている。従来の主 要国(と自ら名乗っている)によるG8では対応しきれないので地域の大国 に資金協力を仰いだものがG20である。いわばその場しのぎの危機管理だっ たはずが、いつの間にやらG7と同格の、世界の舵取りを考える集まりになっ ている。数は増えたがやっていることは同じ。一部の国が世界をどう自分た ちに都合よく引き回すかの相談だ。首脳会議は大阪。つくばで行われるのは デジタル経済と貿易の担当大臣会合である。 ■■デジタル経済?■■ デジタル経済とはITだのAIだのが中心となった経済活動のことだ。この分野 ではアメリカのGAFA(グーグル、アップル、フェイスブック、アマゾン) といった巨大IT企業が世界で力を誇っているが、中国のBATH(バイドゥ、 アリババ、テンセント、ファーウェイ)も台頭してしのぎを削っている。こ れら巨大IT企業は世界経済の牽引車と見なされる一方で、独占・寡占状態が 進むことによる弊害も指摘されていて、政府による規制が求められている。 今回のつくば会合では、その規制のあり方を含め、「信頼性のある自由なデ ータ流通、持続可能性と包摂性、人間中心のAI等」をテーマに話しあうらし い。 ■■ポイントカードはお持ちですか? ■■ 巨大IT企業は購入履歴の他、無料の検索やSNSサービスを通じて、大量の個 人情報をビッグデータとして蓄積している。最近はどこでも会計時にポイン トカードの提示を求められることが多いが、提示すればその個人情報もビッ グデータの一部になる。スマホ決済をすればもちろんそれもビッグデータの 一部になる。私たちは目先の利便性や無料・ポイントのメリットに惹かれて やすやすと個人情報を渡しているが、そこに落とし穴はないのだろうか? ■■またつくばでやり返す!■■ 各国政府は、デジタル経済を部分的には規制しつつも、基本的には経済成長 の力として推進している。その先ある(すでにある?)のはビッグデータに よる監視社会ではないのか? 集会では、監視社会の問題に詳しい小倉利丸さんのお話しを聴き、その後、 つくば市内をデモします! -------------------------------------- 会場付近の地図
ProtonMailをめぐる疑念から、問題の深刻さを考えたい
先月からProtonMailをめぐってネット上での議論が起きています。やや沈静化した模様ではありますが、私も含めてProtonMailを使っている方もいるので、ちょっと書きます。
発端は、Martin Steigerというスイスの法律家がブログに、ProtonMailが令状なしで、リアルタイム盗聴に協力しているのではないか、ということを書いたことにあるようです。
ProtonMail voluntarily offers Assistance for Real-Time Surveillance
この記事で彼は、チューリッヒのCybercrime Competence Center の検察官、Stephan Walderが昨年5月に刑法、刑訴法デジタル化のセミナーで、たまたま、捜査機関にとって都合のよい実例として、ProtonMailがリアルタイムの盗聴に令状なしで協力していると言及しました。
これに対して、ProtonMailはその事実を否定し、セミナーで発言したとされるWalderも、不正確な引用だとして、否定しました。
●スイスにおける監視法制の改悪
Steigerは、スイスの法規に厳格に従っていることをウリにしたビジネスをProtonMailは行なっているが、実は法律そのものに欠陥があると指摘します。
– スイスのデータ保護法は絵に描いた餅であって、しかもEUのGDPRより遅れていること
– 郵便と通信の監視に関するスイス連邦法(BÜPF)は、特に電子メールのプロバイダー、インスタントメッセージング、VPNサービスなどのインターネットサービスを監視できるように2018年3月1日に改訂されたこと
を指摘しています。 改正前のBÜPFは、インターネットサービスを除外していましたが、現在はProtonMailのようなサービスも監視対象になる、ということのようです。
ブログの記述からははっきりしませんが、ProtonMailのようなサービス業者は、メタデータへの捜査機関のアクセスについては令状なしでも応じる義務があるようにも読めます。しかし、このBÜPF法改正には、捜査機関によるリアルタイム監視を令状なしで行なうことに協力する義務は含まれていません。にもかかわらずProtonMailは任意で協力したことが批判されたわけです。日本のプロバイダーの任意の捜査協力にも通じる問題です。
●無令状盗聴をやっているのか?
議論になったのは、法的な義務がないのに、任意で、捜査機関のリアルタイう盗聴に協力しているという指摘は事実なのかどうか、という点にあります。Steigerのブログに対して、ProtonMailもセミナーで発言したWalderも、令状なしのリアルタイム盗聴を否定しており、このことをSteigerは後にブログに追記します。しかし、当事者が言葉の上で否定したとして、この言葉に信憑性があるのかどうかという疑念が残ってしまったわけです。
令状なしのリアルタイム盗聴をもし、実際にやっていたとすれば、ProtonMailにとっては大変なビジネス上のマイナスになります。広告で強調されているように、顧客のプライバイーを守ること、そのために、極力顧客の個人情報を取得せず、コミュニケーションのコンテンツ内容を知らることができない技術を用いることだけがビジネスの「信用」の基盤なので、下手したらこの信用が一挙に崩れかねないことにもなります。捜査機関側にとっても、本来令状をとるべきなのに令状なしで盗聴すれば、違法捜査になります。双方ともこの「事実」を認めることに何ひとつメリットはありません。だから当事者が否定しても、にわかに信じがたい、ということになるのは当然ともいえます。
スイスのインターネット関連の法律では、そのサービスや規模によって、当局に対するデータの提供などの義務に濃淡があり、SteigerはProtonMailはインバウンドコミュニケーションサービスの企業だと指摘しています。これに対して、ProtonMailは自らを監視義務が軽減された電気通信サービス提供者(FDA)だと主張しており、法的な位置付けでも解釈の対立があります。私のようにスイスの法規に疎い者には判断しかねるのですが、当事者にとってすら、法の適用や解釈であいまいな点があるということ自体が問題だといえます。
ではProtonMailは全く顧客に対するリアルタイム監視をやっていないのかというと、そうではないとSteigerは指摘します。ProtonMailは最近のリアルタイムモニタリングの事例について以下のように述べているからです。
「2019年4月、明確な犯罪行為の場合に、スイスの司法裁判所の要請により、スイスの法律に違反する特定のユーザーアカウントに対するIPログ記録を有効にした。」
(ProtonMailの透明性レポート )
Steigerは、このProtonMailの態度は、推定無罪の原則に違反するものだと批判しています。この批判は重要な問題を指摘してるともいえますが、捜査段階で推定無罪を捜査機関に求めるのは、無理があることも事実でしょう。ProtonMailは、裁判所の令状があっても、明確な犯罪行為があったとは認められなければ裁判所の要請を拒否するのでしょうか。そうではないでしょう、たぶん。ProtonMailは「明確な犯罪行為」とか「スイスの法律に違反する」という判断を下せないはずです。
また、Steigerはメタデータを捜査当局に提供できる点への危惧をユーザはもっと自覚すべきだと指摘しています。メタデータには、IPアドレス、送信者、受信者のアドレス、個々の電子メールの件名、日付と時刻、電子メールの長さなどが含まれ、これらから、かなりの情報が収集可能だという点を軽視すべきでないとも指摘しています。これはスノーデンも指摘していることだとSteigerは、スノーデンの言葉を引用しています。
●スイス法の限界
では、ProtonMailが宣伝で強調しているスイスのプライバシー法制や中立国としての立場の優位性は、ProtonMailのユーザを保護できるのでしょうか。この点についてもSteigerは悲観的です。
– 改訂BÜPFは、特にProtonMailなどのインターネットサービスを対象としている。
– 新しいインテリジェンスサービス法 (NDG)により、ProtonMailの使用は、 ケーブル監視その他の多くの監視手段による大量監視の対象となる可能性がある。
– スイスのデータ保護法は、絵に描いた餅であるか、諜報機関、警察当局、および検察官による監視には適用されない。
– スイスでの監視措置は強制措置裁判所 (ZMG)の秘密の司法機関によって承認されるもので、セキュリティ当局の効果的な監督下にはない。
上で述べられた法や制度の詳細を私は知りませんが、どこの国にも共通する諜報機関や国家安全保障、捜査機関への例外的な特権付与がスイスでも変りない、ということです。議論の余地ああるとすれば、スイスが他の欧州諸国よりマシなのかどうか、でしょう。この点でSteigerはEUに軍配を上げています。
最後にSteigerは、ProtonMailの広告に偽りあり、として、次のように述べています。
ProtonMail(またはProtonVPN)のユーザーは、サービスが信頼できるかどうか自分で判断する必要がある。
●ProtonMailの反論
これに対して、ProtonMailはブログで反論を書いています。
Response to false statements on law enforcement surveillance made by Martin Steiger
この反論では、リアルタイム盗聴については言及されていませんが、厳格に法を遵守していることを強調しています。ただし、Steigerも指摘しているスイスの関連法規の解釈にあいまいさがあることは認めていますが、解釈はSteigerとは異なるものだと言い、法解釈にあいまいさが残らないような措置を求めてもいます。
●私たちの問題として
これまで、私は日本のプロバイダーが日本の国内法に縛られ、また任意に個人情報を捜査機関や企業に提供してきたことから、よりプライバシー保護にシフトしているメールサービスのひとつとして、ProtonMailを紹介してきましたし、日本語化にも協力してきました。こうした私の行動で、ProtonMailにアカウントをもった方を何人も知っています。この意味で、今回、ProtonMailをめぐって起きている批判をきちんと紹介することも私の責任だと感じています。
やっぱりProtonMailもヤバいんじゃない?という声が聞こえてきそうです。これまでセミナーなどでProtonMailなどを紹介するときにコンテンツは暗号化されるがメタデータは暗号化されないこと、メタデータの重要性などを指摘してきました。その上で、やはりコンテンツの暗号化サービスは私たちにとっては重要であることに違いはありません。
Steigerは、サービスの信頼性は自分で判断すべきだという言葉で締め括っていますが、ではどうやって信頼性を確認できるのでしょうか。広告であれ透明性レポートであれ、いずれも「言葉」であって、実装されているプログラムそのものではありません。オープンソースとして公開されているプログラムの場合であれば、まだ実際の仕組みを技術的に確認できるかもしれませんが、果して皆が理解できるでしょうか。私たち皆がプライバシーの権利を守るための前提知識として、こうしたプログラムを理解することは、ほぼ不可能に近いでしょう。たとえ自分では理解しがたいプログラムであっても、知的財産権などでブラックボックスになっている技術よりは、公開されていることの方が、ずっとよいことは間違いないとも思います。
ProtonMailに疑問があるという場合、代替的なサービスとして何があるの、ということになります。この点についてSteigerは言及していません。私は、Tutanotaをもうひとつの選択肢として推薦してきました。では、Tutanotaは、ProtonMailよりも信頼できるのかどうか。Tutanotaも任意で捜査機関に協力することはないのかどうかは、わからないとしか言えません。ドイツに拠点がありますから、5Eyesと連携する(日本同様の)諜報機関を抱えている国でもあります。
日本のコミュニケーション法制が政府の監視や民間営利企業による情報収集に対して、プライバシーの権利や、自己情報コントロールの権利を優先させていないことは繰り返し批判されてきました。しかし、技術を法で規制できるというのは、幻想だと私は感じています。そしてまた、ITの技術者のなかに、コミュニケーションの権利を支えるような強固なコミュニティが生まれていないこと、政治や人権や市民的自由に深い関心をもつハッカーコミュニティがとても小さいということもまた問題だと思います。明らかにインターネット草創期にあった、企業や政府から自立した技術者たちの姿が、見えにくくなっているように感じるのは多分私の年のせいだろうとは思いますが。あるいは、国家安全保障や捜査機関のセキュリティがIT業界全体にとってビジネスチャンスとなってしまった結果かもしれません。
今、世界各国で、民衆が政府や巨大企業と対峙して大衆的な運動を展開するときに、ネットの世界は重要なコミュニケーションの武器になります。しかし同時に、権力による反政府運動への監視の道具となって人権弾圧の手段にもなっています。同じことは日本にもいえることです。5Gになればこうした動向は、ますます法の支配を逃れて技術のブラックボックスに支配される危険性があります。日々のコミュニケーションの権利をどう確立するのか、という問題は、非常に深刻な状況にきているといえます。
ProtonMailの問題を考えながら、監視されずに自由にコミュニケーションできる環境を、日本でどのように構築するのか、この問題への「答え」が出せないといけないと改めて感じています。