ProtonMailをめぐる疑念から、問題の深刻さを考えたい

先月からProtonMailをめぐってネット上での議論が起きています。やや沈静化した模様ではありますが、私も含めてProtonMailを使っている方もいるので、ちょっと書きます。

発端は、Martin Steigerというスイスの法律家がブログに、ProtonMailが令状なしで、リアルタイム盗聴に協力しているのではないか、ということを書いたことにあるようです。
ProtonMail voluntarily offers Assistance for Real-Time Surveillance

この記事で彼は、チューリッヒのCybercrime Competence Center の検察官、Stephan Walderが昨年5月に刑法、刑訴法デジタル化のセミナーで、たまたま、捜査機関にとって都合のよい実例として、ProtonMailがリアルタイムの盗聴に令状なしで協力していると言及しました。

これに対して、ProtonMailはその事実を否定し、セミナーで発言したとされるWalderも、不正確な引用だとして、否定しました。

●スイスにおける監視法制の改悪

Steigerは、スイスの法規に厳格に従っていることをウリにしたビジネスをProtonMailは行なっているが、実は法律そのものに欠陥があると指摘します。

– スイスのデータ保護法は絵に描いた餅であって、しかもEUのGDPRより遅れていること
– 郵便と通信の監視に関するスイス連邦法(BÜPF)は、特に電子メールのプロバイダー、インスタントメッセージング、VPNサービスなどのインターネットサービスを監視できるように2018年3月1日に改訂されたこと

を指摘しています。 改正前のBÜPFは、インターネットサービスを除外していましたが、現在はProtonMailのようなサービスも監視対象になる、ということのようです。

ブログの記述からははっきりしませんが、ProtonMailのようなサービス業者は、メタデータへの捜査機関のアクセスについては令状なしでも応じる義務があるようにも読めます。しかし、このBÜPF法改正には、捜査機関によるリアルタイム監視を令状なしで行なうことに協力する義務は含まれていません。にもかかわらずProtonMailは任意で協力したことが批判されたわけです。日本のプロバイダーの任意の捜査協力にも通じる問題です。

●無令状盗聴をやっているのか?

議論になったのは、法的な義務がないのに、任意で、捜査機関のリアルタイう盗聴に協力しているという指摘は事実なのかどうか、という点にあります。Steigerのブログに対して、ProtonMailもセミナーで発言したWalderも、令状なしのリアルタイム盗聴を否定しており、このことをSteigerは後にブログに追記します。しかし、当事者が言葉の上で否定したとして、この言葉に信憑性があるのかどうかという疑念が残ってしまったわけです。

令状なしのリアルタイム盗聴をもし、実際にやっていたとすれば、ProtonMailにとっては大変なビジネス上のマイナスになります。広告で強調されているように、顧客のプライバイーを守ること、そのために、極力顧客の個人情報を取得せず、コミュニケーションのコンテンツ内容を知らることができない技術を用いることだけがビジネスの「信用」の基盤なので、下手したらこの信用が一挙に崩れかねないことにもなります。捜査機関側にとっても、本来令状をとるべきなのに令状なしで盗聴すれば、違法捜査になります。双方ともこの「事実」を認めることに何ひとつメリットはありません。だから当事者が否定しても、にわかに信じがたい、ということになるのは当然ともいえます。

スイスのインターネット関連の法律では、そのサービスや規模によって、当局に対するデータの提供などの義務に濃淡があり、SteigerはProtonMailはインバウンドコミュニケーションサービスの企業だと指摘しています。これに対して、ProtonMailは自らを監視義務が軽減された電気通信サービス提供者(FDA)だと主張しており、法的な位置付けでも解釈の対立があります。私のようにスイスの法規に疎い者には判断しかねるのですが、当事者にとってすら、法の適用や解釈であいまいな点があるということ自体が問題だといえます。

ではProtonMailは全く顧客に対するリアルタイム監視をやっていないのかというと、そうではないとSteigerは指摘します。ProtonMailは最近のリアルタイムモニタリングの事例について以下のように述べているからです。

「2019年4月、明確な犯罪行為の場合に、スイスの司法裁判所の要請により、スイスの法律に違反する特定のユーザーアカウントに対するIPログ記録を有効にした。」
(ProtonMailの透明性レポート )

Steigerは、このProtonMailの態度は、推定無罪の原則に違反するものだと批判しています。この批判は重要な問題を指摘してるともいえますが、捜査段階で推定無罪を捜査機関に求めるのは、無理があることも事実でしょう。ProtonMailは、裁判所の令状があっても、明確な犯罪行為があったとは認められなければ裁判所の要請を拒否するのでしょうか。そうではないでしょう、たぶん。ProtonMailは「明確な犯罪行為」とか「スイスの法律に違反する」という判断を下せないはずです。

また、Steigerはメタデータを捜査当局に提供できる点への危惧をユーザはもっと自覚すべきだと指摘しています。メタデータには、IPアドレス、送信者、受信者のアドレス、個々の電子メールの件名、日付と時刻、電子メールの長さなどが含まれ、これらから、かなりの情報が収集可能だという点を軽視すべきでないとも指摘しています。これはスノーデンも指摘していることだとSteigerは、スノーデンの言葉を引用しています。

●スイス法の限界

では、ProtonMailが宣伝で強調しているスイスのプライバシー法制や中立国としての立場の優位性は、ProtonMailのユーザを保護できるのでしょうか。この点についてもSteigerは悲観的です。

– 改訂BÜPFは、特にProtonMailなどのインターネットサービスを対象としている。
– 新しいインテリジェンスサービス法 (NDG)により、ProtonMailの使用は、 ケーブル監視その他の多くの監視手段による大量監視の対象となる可能性がある。
– スイスのデータ保護法は、絵に描いた餅であるか、諜報機関、警察当局、および検察官による監視には適用されない。
– スイスでの監視措置は強制措置裁判所 (ZMG)の秘密の司法機関によって承認されるもので、セキュリティ当局の効果的な監督下にはない。

上で述べられた法や制度の詳細を私は知りませんが、どこの国にも共通する諜報機関や国家安全保障、捜査機関への例外的な特権付与がスイスでも変りない、ということです。議論の余地ああるとすれば、スイスが他の欧州諸国よりマシなのかどうか、でしょう。この点でSteigerはEUに軍配を上げています。

最後にSteigerは、ProtonMailの広告に偽りあり、として、次のように述べています。

ProtonMail(またはProtonVPN)のユーザーは、サービスが信頼できるかどうか自分で判断する必要がある。

●ProtonMailの反論

これに対して、ProtonMailはブログで反論を書いています。
Response to false statements on law enforcement surveillance made by Martin Steiger

この反論では、リアルタイム盗聴については言及されていませんが、厳格に法を遵守していることを強調しています。ただし、Steigerも指摘しているスイスの関連法規の解釈にあいまいさがあることは認めていますが、解釈はSteigerとは異なるものだと言い、法解釈にあいまいさが残らないような措置を求めてもいます。

●私たちの問題として

これまで、私は日本のプロバイダーが日本の国内法に縛られ、また任意に個人情報を捜査機関や企業に提供してきたことから、よりプライバシー保護にシフトしているメールサービスのひとつとして、ProtonMailを紹介してきましたし、日本語化にも協力してきました。こうした私の行動で、ProtonMailにアカウントをもった方を何人も知っています。この意味で、今回、ProtonMailをめぐって起きている批判をきちんと紹介することも私の責任だと感じています。

やっぱりProtonMailもヤバいんじゃない?という声が聞こえてきそうです。これまでセミナーなどでProtonMailなどを紹介するときにコンテンツは暗号化されるがメタデータは暗号化されないこと、メタデータの重要性などを指摘してきました。その上で、やはりコンテンツの暗号化サービスは私たちにとっては重要であることに違いはありません。

Steigerは、サービスの信頼性は自分で判断すべきだという言葉で締め括っていますが、ではどうやって信頼性を確認できるのでしょうか。広告であれ透明性レポートであれ、いずれも「言葉」であって、実装されているプログラムそのものではありません。オープンソースとして公開されているプログラムの場合であれば、まだ実際の仕組みを技術的に確認できるかもしれませんが、果して皆が理解できるでしょうか。私たち皆がプライバシーの権利を守るための前提知識として、こうしたプログラムを理解することは、ほぼ不可能に近いでしょう。たとえ自分では理解しがたいプログラムであっても、知的財産権などでブラックボックスになっている技術よりは、公開されていることの方が、ずっとよいことは間違いないとも思います。

ProtonMailに疑問があるという場合、代替的なサービスとして何があるの、ということになります。この点についてSteigerは言及していません。私は、Tutanotaをもうひとつの選択肢として推薦してきました。では、Tutanotaは、ProtonMailよりも信頼できるのかどうか。Tutanotaも任意で捜査機関に協力することはないのかどうかは、わからないとしか言えません。ドイツに拠点がありますから、5Eyesと連携する(日本同様の)諜報機関を抱えている国でもあります。

日本のコミュニケーション法制が政府の監視や民間営利企業による情報収集に対して、プライバシーの権利や、自己情報コントロールの権利を優先させていないことは繰り返し批判されてきました。しかし、技術を法で規制できるというのは、幻想だと私は感じています。そしてまた、ITの技術者のなかに、コミュニケーションの権利を支えるような強固なコミュニティが生まれていないこと、政治や人権や市民的自由に深い関心をもつハッカーコミュニティがとても小さいということもまた問題だと思います。明らかにインターネット草創期にあった、企業や政府から自立した技術者たちの姿が、見えにくくなっているように感じるのは多分私の年のせいだろうとは思いますが。あるいは、国家安全保障や捜査機関のセキュリティがIT業界全体にとってビジネスチャンスとなってしまった結果かもしれません。

今、世界各国で、民衆が政府や巨大企業と対峙して大衆的な運動を展開するときに、ネットの世界は重要なコミュニケーションの武器になります。しかし同時に、権力による反政府運動への監視の道具となって人権弾圧の手段にもなっています。同じことは日本にもいえることです。5Gになればこうした動向は、ますます法の支配を逃れて技術のブラックボックスに支配される危険性があります。日々のコミュニケーションの権利をどう確立するのか、という問題は、非常に深刻な状況にきているといえます。

ProtonMailの問題を考えながら、監視されずに自由にコミュニケーションできる環境を、日本でどのように構築するのか、この問題への「答え」が出せないといけないと改めて感じています。