日本政府のサイバースパイ・サイバー攻撃を合法化する法律はいらない
サイバースパイ・サイバー攻撃法案反対の団体署名が呼びかけられています。下記に共同声明の本文と賛同方法の説明があります。
(共同声明)サイバースパイ・サイバー攻撃法案(サイバー安全保障関連法案)の廃案を要求します―サイバー戦争ではなくサイバー領域の平和を
https://www.jca.apc.org/jca-net/ja/node/440
ぜひ団体賛同をよろしくお願いします。
サイバースパイ・サイバー攻撃法案という言い方は、この共同声明ではじめて登場していて、とくに合意がとれているわけではありません。能動的サイバー防御法案などさまざまな言い方がされています。サイバースパイ・サイバー攻撃法案という表現がわかりにくいという意見もいただいてます。これは「日本政府のサイバースパイ・サイバー攻撃を合法化する法案に反対」という意味です。
サイバースパイを取り締ることは必要ではないか?
サイバースパイを取り締まるなら必要ではないか。また、サイバー攻撃は実際の被害があるから取り締ることは必要ではないか、という疑問の声をいただいています。この点についての私の意見を以下いくつか書いておきます。
サイバースパイの取り締まりをやらせてはいけない理由は以下です。どうやってサイバースパイを取り締るのかを考えてみるとわかるのですが、国際法上もスパイとは身分を偽り見破られないように潜んで情報を収集すると定義されています。ですから、スパイの発見のためには、網羅的に多くの人たちを常時監視してスパイと思われる兆候を把握する、ということになります。しかも、政府にとってスパイとは、「敵国」のスパイだけではなく、政府の動静を調査するジャーナリストや反政府的な言動のアクターも含まれうる可能性があります。実空間で公安警察が集会やデモを監視していますが、これと同じことがネットで起きているに違いない、と思わないといけません。しかしネットでは監視されている実感が伴わないので油断するのです。スパイの取り締まりのためにネットの監視権限を政府に与えると、私たちの通信の秘密は確実に侵害されることになります。だから、この法案をサイバースパイ法案と呼びたいと思います。
政府によるスパイ活動の最近の例(英国がアップル社に出した命令)
昨年から今年にかけて、英国政府が調査権限法(今回の法案作成で日本政府がお手本のひとつにした法律)を用いてアップル社に対して、ユーザーに知られないようにして、iCloudの暗号化されたデータに捜査機関がアクセスして暗号を解読して読めるようにする「裏口」を設置することを命じた事件があります。この件は極秘の捜査でしたが、ワシントンポストにすっぱ抜かれて明みにでました。英国は、アップル社をまきこんで、つまり、官民連携して、スパイ行為をしようとしたわけです。iCloudは日本も含め世界中の人が利用しています。そのなかにはいわゆる英国の「敵国」のスパイが利用している場合もあれば英国に移住して自国政府に対して反政府活動をしている活動家もいるでしょう。誰のデータなら英国政府が裏口から密かにアクセスしてよく、誰のデータはダメなのか、などということをあらかじめ決めることはできません。スパイであればOKという風に仕訳を事前にやることなどできません。だから英国政府はiCloudでの暗号解読をアップル社に密かに命じて網羅的に監視が可能な条件を整えようとしたのだと思います。この英国のアップルに対する極秘命令にアップルは応じていない可能性があり、現在も揉めておりアップルは英国政府を提訴したとも報じられています。
どの国の政府も、スパイ摘発とかテロ対策などを口実に私たちの正当な通信の秘密を侵害します。上の英国政府の例でも、いったん裏口からデータを取得できるようにしてしまえば、いくらでも政府の都合にあわせてこの仕組みを使うことになりますし、こうした裏口は必ず英国が敵とみなす国のスパイも利用しようと画策するので、逆にセキュリティ上は脆弱になります。
増加するサイバー攻撃には新法も必要ではないか?
もうひとつのよくある疑問として、現状ではサイバー攻撃がますます深刻になっているので、新たな防止策は必要ではないか、というものです。私の考え方は、新規の立法も法改正も不要であり、自衛隊や警察に私たちのコミュニケーションのセキュリティを守る能力もその動機もない、というものです。本法案の狙いは別のところにあると思います。
私たちのコミュニケーションのセキュリティを守る能力は私たち自身が協力して確保すべきものです。権利は私たちの不断の努力なしには保障できないことを憲法も明記しています。私たちには通信の秘密を防御できる能力もあるし手段もあるのです。政府はこうしたことに私たちが気づくことを望んでいません。市民自らによる防御の手段を使わせたくないのです。実空間での「攻撃」「防衛」との類推で私たちを不安にさせて、私たちには何もできないと思い込ませて警察や自衛隊に委せるべきだ、という世論を作りたいのです。
なので、サイバー領域の攻防の焦点は、国家に依存しないで自分たちの通信を防衛するというところになります。これが実空間での安全保障とは大きく異なるところになります。
官民連携によるスパイ事件を暴露したのは軍でも警察でもなかった
例を二つ挙げます。世界規模で起きた大きなスパイ活動として、イスラエルの企業NSOが世界中の政府に売り込んだスパイ技術をめぐる事件があります。Wikipediaに「NSOグループ」の項目があり、以下のように書かれています。
「NSO Group Technologiesとは、スパイウェアのPegasusなどを開発している、イスラエルの企業である。複数の国の政府などが顧客であり、同社が開発したスパイウェアはジャーナリストや人権活動家、企業経営者の監視に使用されている。AppleやFacebookはユーザーを監視したなどとして同社に対して訴訟を起こしている。アメリカ政府は2021年に、国家安全保障と外交政策上の利益に反する行為をしたとしてNSOグループをエンティティリストに含め、米国企業によるNSOグループの製品供給を事実上禁止した」
https://ja.wikipedia.org/wiki/NSO_Group
NSOの事案は標的型と呼ばれるスパイウェアを用いたものです。スパイの対象となる人物のスマホにこの仕組みを密かにインストールします。スマホの通話、メール、マイク、カメラなどを自由にコントロールして情報を収集できてしまう。このNSOグループの存在が発見されたのは、アラブ首長国連邦の人権弁護士が自分のスマホにちょっとした異変を感じて、カナダのトロント大学が運営しているシチズンラボに問い合わせ、シチズンラボが他の民間機関と協力して独自に調査して、スパイウェアの身元を明かにしたことに始まります。この調査には政府も警察も全く関与していません。調査の結果、このスパイウェアがイスラエルのNSOグループの製品でありアラブ首長国連邦の政府が関与していることを突き止めました。これが公表されたのがきっかけで、世界中で知られるようになり、NSOが他にも複数の政府に同様のスパイウェアを提供していたことも暴露されました。この大規模なスパイ活動は、各国とも官民一体となった技術協力を通じて行なわれているところが特徴的でもあり重要な点です。米国でNSOの製品を禁じているのは本当かどうか不明ですが、禁止措置をとらざるをえなかったのは、NSOに対する批判の声が世界規模で高まったからです。法案のなかの官民連携にはNSOのような企業との連携もありうることをしっかりと自覚する必要があると思います。
日本では小笠原みどりさんが注目して記事を書いています。
「スパイウェアに狙われるジャーナリスト 不都合な真実の消去に協力する企業」https://globe.asahi.com/article/14142629
「スパイ活動は国家間のフェア・ゲームか? 被害に遭うのは個人」
https://globe.asahi.com/article/14219502
しかし、残念なことに日本国内の運動の側は関心をもちませんでした。私も十分には取り組めていませんでした。日本政府とNSOとの関係はいまのところ不明です。
シティズンラボのレポートの日本語訳(機械翻訳)は下記にあります。
https://cryptpad.fr/pad/#/2/pad/view/UjG+-uMYVQToAwKCuBslbtPskrYsQonX+koLrKneMwg/
このなかにこのスパイウェアへの対処方法も記載されています。(iOSを最新バージョンにするだけですが)
NSOについてはアムネスティの記事があります。(機械翻訳のままです)
https://cryptpad.fr/pad/#/2/pad/view/-2on9u929fNqAyg0gVQIx-orc7hiNeg540P-Z4VJbog/
電子フロンティア財団の市民のための自衛マニュアル
もうひとつの例として、米国の電子フロンティア財団(EFF)の例を紹介します。EFFは独自に市民による自衛マニュアルを作成しています。一部は以下に日本語にしてあります。
https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/category/eff_%e8%87%aa%e5%b7%b1%e9%98%b2%e8%a1%9b%e3%83%9e%e3%83%8b%e3%83%a5%e3%82%a2%e3%83%ab/
ここにはデモに参加する場合の注意からパスワードについての注意事項などまで、項目別に解説があります。米国の事例なので直ちに日本には適用できないところもありますが、参考になります。元のサイトが大幅な改訂をしているので改訳を進めています。翻訳に協力していただいている皆さんに感謝します。
実空間での安全保障での「防衛」となると、自衛のための武力行使の肯定といった薮蛇の手段をとるとか逃げるとかしかありませんが、サイバーでは自分たちでの防御がかなりのところまで可能です。私たちが防御の体制を構築することはどこの政府にとっても監視やスパイが困難になるので好みません。だからこそ彼らが好まないことをきちんと実践することが大切だと思います。とはいえ、苦手な人たちが多いのも事実で、これは私のようにネットで活動してきた者が十分説得力をもって民衆によるサイバーセキュリティの可能性を提起できてこなかったことによると反省しています。多くの国には有力な市民のためのサイバーセキュリティに取り組む団体がありますが、日本にはありません。これが私たちのネット環境を脆弱にしている一つの大きな原因だと思います。
—————————
3・16シンポジウム案内
-インターネット監視・先制サイバー攻撃法案に反対する‐
■とき 3月16日(日)14時~16時(13時15分開場)
■会場 文京区民センター3A集会室
■パネラー
●青木理さん(ジャーナリスト)
●小倉利丸さん(JCA‐NET理事)
●海渡雄一さん(秘密保護法対策弁護団)
■発言 市民団体
■参加費 500円
■呼びかけ団体(3月9日現在)
「秘密保護法」廃止へ!実行委員会、共謀罪NO!実行委員会、
許すな!憲法改悪・市民連絡会、経済安保法に異議ありキャン
ペーン、平和をつくり出す宗教者ネット、ふぇみん婦人民主ク
ラブ、ND配備反対ネットワークかわさき、秘密法と共謀罪に反
対する愛知の会、秘密保護法対策弁護団、東京地域ネットワーク
JCA-NET
※オンライン配信あります。→
https://youtube.com/live/1AQdiDt0u6U