(PI) ペガサスを飼いならす。監視技術の拡散を食い止める方法

Categories
< Back
You are here:
Print

(PI) ペガサスを飼いならす。監視技術の拡散を食い止める方法

NSOグループのスパイウェアの悪用が次々と明らかになる中、監視技術産業と彼らが販売する能力に挑戦するために、世界中で何が行われているかを見ていく。

キーポイント

● 最近の発覚により、監視技術産業がもたらす脅威が再び浮き彫りになっている。
● 世界中で、活動家などがこの産業とそれが販売する能力に異議を唱えている。
● 政府、企業、そして人々を対象としたキャンペーンなど、変えるべき点をいくつか取り上げる。

2021年7月27日

Photo by Tim Mossholder on Unsplash

アムネスティ・インターナショナルとForbidden Storiesが、NSOグループのスパイウェアの潜在的なターゲットに関する重要な情報を公開し続けるなか、私たちはすでに多くのことを把握している:何かをしなければならない、ということだ。

しかし、具体的に何をしなければならないかは、それほど明白ではない。監視産業による大規模な悪用について世界が知るのはこれが初めてではないにもかかわらず(実際、今月に入ってからも初めてではない)、変えるべきものが何なのかがわかりにくい。

では、世界中で500社以上が販売している監視技術の普及と利用には、どのような課題があるのだろうか。

以下では、活動家などが保護を推進するために世界中で行っている戦略のいくつかを見ていく。これらは大きく分けて、政府、産業界、そして人々にターゲットを絞っている。

はっきり言って、簡単な解決策はない。また、いつでもどこでもすべての人を保護できるような仕組みもない。むしろ、適切な保護は、関係する企業、販売しているテクノロジー、それを使用する人、場所などの要因によって、大きく異なる可能性がある。

政府をターゲットに

法律を変える

監視の使用を統制する法的枠組みは、最も分かりやすい出発点だ。もし、あるテクノロジーの使用に際して効果的なセーフガードを提供できる法律が存在すれば、市場で入手可能なものに関わらず、そのような法律がテクノロジーの使用方法を制限するため、権利は保護されるという理論が成り立つ。

例えば、監視は裁判官の承認した令状に基づいてのみ実行されるようにすることが、重要なセーフガードとなる。その他にも、権限が実際に法律で規定されていなければならないことを意味する合法性から、違法な監視の対象となった人々が救済措置を受けられるようにすることまで、数多くの原則と保護措置が設けられていなければならない。NSOが販売するスパイウェアに適用されるセーフガードの一覧は、こちらで見ることができる

NSOのようなツールに関して言えば、現在、政府機関によるマルウェアの使用を具体的に規制することを目的とした法律を持つ国は、英国ドイツスウェーデンなどほんの一握りで、いずれも(理由は異なるが)人権法が求める基準には達していない。

人権基準に適合しない法律に異議を唱え、適合する法律を制定することは、世界中の多くの監視活動家の重要な仕事である。例えば、PIは、国内外の裁判所において、監視権限の使用方法に制限を設けることに成功し、いくつかの裁判で勝訴している。

最近の顕著な例としては、南アフリカのamaBhungane Centre for Investigative JournalismとジャーナリストのStephen “Sam” Patrick Soleによって達成されたものがある。2008年、国家スパイが少なくとも6ヶ月間、Soleの電話通信を録音していたことを知った彼らは、南アフリカの規制枠組みにおける特定の条項の合憲性に異議を唱えた。今年初め、南アフリカの憲法裁判所は、南アフリカの情報機関が使用する一括傍受の権限は違法であり無効であると宣言した。その後、同機関は権限の停止を確認した。

このような訴訟の長所は明らかだ。テクノロジーの使用方法に直接影響を与え、その使用に対して強力な保護を置くことができる。

しかし、このような戦略は時間がかかり、法的な挑戦は結論に達するまでに何年もかかることがあり、その間にテクノロジーや法律そのものが進歩している可能性がある。また、その効果は関係する地域のみに限定されることが非常に多い。

amaBhunganeの勝訴に関するデイリーマーベリックの記事

調達に関する法律

特に米国で有効だった手段のひとつは、監視テクノロジーの調達とその後の使用に関する透明性を促進し、人々が当局が使用するツールについて発言できるようにする法律の使用である。

例えば、ACLUのCommunity Control Over Police Surveillance (CCOPS) initiativeは、地方政府当局が採択するための模範となる法律を提供している。この模範法は、例えば、警察が監視テクノロジーを購入する前に地元当局の承認を得なければならないこと、当局は市民からフィードバックを求め、アクセス可能な使用ポリシーを確立しなければならないこと、市民と地元当局に説明責任を果たす目的で年次報告書を提出することを保証するものだ。また、このような法律には、顔認識など特定のテクノロジーの使用を禁止する条項が含まれることもある。

米国では、CCOPSの取り組みの結果、シアトル、パロアルト、サンフランシスコなど多くの都市で、自治体が使用しているテクノロジーとその影響を誰でも確認できる法律が制定されている。

米国以外では、最近、欧州連合(EU)でも同様の取り組みが始まっている。欧州各地の市民社会組織は、バイオメトリクスによる大規模な監視を禁止する法律をEUに可決させることを目指しており、プライバシー・インターナショナルもその重要なメンバーとして加わっている。

このような法律は、透明性、市民参加、説明責任を促進する一方で、警察よりも高度なテクノロジーにアクセスできることが多い連邦政府機関や、地元の代表権が不十分な国、統治システムが機能していない国には適用されていないのが現状である。

シアトル条例のページ
https://www.seattle.gov/tech/initiatives/privacy/surveillance-technologies に掲載されているシアトルの監視テクノロジーページのスクリーンショット。

監視の原動力

世界の多くの国の安全保障機構は、間違いなく大多数が、米国、中国、EU諸国など、多額の軍事・情報予算を持つ強力な国に強く依存し、その影響を受けている。こうした影響力のある国は、資金、テクノロジー、専門知識を持ち、他国に影響を与え、自国政府の協力を得るために、それらを提供している。

米国は2019年、外国への安全保障支援に190億ドル近くを費やしたが、その一部には監視訓練や機器の提供が含まれている。相手国の情報機関に装備を提供するNSAから、監視法に関する立法支援を行う司法省まで、目まぐるしく重複する米国の機関や組織が、現在、海外の相手国に監視支援を行っている。

同様に、中国も「一帯一路」構想の一環として、インターネットをコントロールするためのトレーニングを提供するなど、世界各国に同様の支援を行っている。

EUとその有力な加盟国も、特に近隣の国境エージェンシーに対して監視のための支援を提供している。プライバシー・インターナショナルは最近、大規模な文書公開によって入手した数百枚のスライドを公開し、EUの機関が北アフリカやバルカン半島の職員に人々を監視する方法を教え、盗聴器やその他の監視装置を提供していることを明らかにした。

国連のさまざまな機関も、各国に機器や訓練を提供している。例えば、国連薬物犯罪事務所では、携帯電話からデータを抽出するための監視ソフトを各国に提供している。

このように、どのような政府に対しても、国民を監視するための機器や資金、専門知識を提供する国際的な支援者が後を絶たないのである。実際、米国は、民主主義テクノロジー・パートナーシップ法などの構想により、国際的な影響力を強める中国に対抗しようとしているため、近い将来、さらに多くの潜在的資金源が存在する可能性がある。民主主義技術パートナーシップ法では、各国に米国の監視装置を装備させることになる。

プライバシー・インターナショナルでは、変革のための2つの主要な優先事項を掲げている。第一に、援助国政府は、十分なセーフガードなしに人々を監視することを含む人権侵害に使われる可能性のある機器や訓練の提供を止める必要がある。第二に、これらの政府は代わりに、監視権限の乱用を防止する法的枠組みの推進と、相手機関が人権侵害に関与しないことを保証するために、その豊富な資源を投入する必要がある。

プライバシー・インターナショナルが入手した、欧州連合法執行訓練庁European Union Agency for Law Enforcement Trainingがボスニア・ヘルツェゴビナの治安当局に伝えていた内容を示す訓練用スライド。


輸出コントロール

大規模な兵器産業や監視産業が存在する国はすべて、自社の機器を誰に販売できるかを規定する法律を持っている。これらの輸出コントロール法では、特定の種類の監視装置を販売する企業は、何を誰に販売したいのかなどを政府の関連部署に申請する必要がある。そして、政府部門は、その申請を承認するか否かを決定する。

例えば、政府が「人権侵害に使われるリスクがある場合は、テクノロジーの輸出を認めない」というポリシーを持っている場合、政府はそのライセンスを拒否することができる。実際、NSOグループは、イスラエル政府から一部のクライアントへの輸出を止められたと主張している。さらに、政府によっては、受け取った申請書と、それを承認したかどうかを公表しているところもある。これは、一般市民や国会議員が、政府省庁の決定に対して説明責任を果たすことを可能にし、監視輸出に関する貴重な情報源となる。

これは、書類上では人権を守るための重要な仕組みのように聞こえるが、実際には国家の安全保障上の配慮が支配的な仕組みであり、人権はしばしば周辺的な役割しか果たしてない。輸出規制の対象となる軍事機器と同様、政府は経済的・安全保障的な理由からこうした輸出を大幅に許可する傾向にある。例えば、英国はここ数年、通信傍受機器の輸出について300件以上のライセンス申請を承認し、人権上の理由から30件しか拒否していない。さらに、大多数の国は、どのような輸出を承認または拒否しているかについての情報を提供せず、この情報を一般に公開しないことを選択している。

PIを含む市民社会組織は長年にわたり、こうした問題に対処するため、EUなどに対し、輸出管理当局がライセンスを査定する際に人権への配慮を中心に据えた規則を制定し、その決定に関するデータを公表して責任を負うよう求めてきた。

何年にもわたる交渉の末、今年9月には新しい規則が発効する予定であり、私たちはそれが実現することを望んでいる。しかし、EU諸国は、責任を持ってこの規則を実施しなければ、これまで通りのことを続けようとする可能性がある。

こうした保護は極めて重要だが、イスラエルのような国は一貫して、ほんの一握りを除いてすべての申請を単純に承認し、プロセス全体をただの事務的手続きに追いやったに過ぎない。さらに、あるテクノロジーをライセンス供与の対象とするためには、何がコントロールされねばならないかを技術的な言葉で説明する必要がある。この文言があまりにも大雑把だと、IT セキュリティ研究者の間で情報を共有する能力が損なわれるなど、意図しない重大な結果を招く可能性がある。

https://www.liberties.eu/en/stories/surveillance-company-authorization-to-export-surveillance-systems-to-egyptian-government-revoked/11389 のスクリーンショット


国際人権機関

国連やその他の国際機関は、規範を策定し、人権に関する法律の国際的な遵守を維持する上で重要な役割を担っている。

国連人権理事会のような機関は、人権侵害に対処し、調査を開始し、世界各国の政府に勧告を行うことができる。例えば、ユニバーサル・ピリオディック・レビュー(普遍的定期審査)の仕組みでは、誰でもその国の人権基準の遵守状況について証拠を提出することができ、理事会はこれを使って各国に対して勧告を行うことができ、監視やプライバシー問題に関して何度も勧告を行ってきている。

国連特別報告者もまた、人権法の保護と促進に重要な役割を担っている。プライバシーの権利や表現の自由など、特定のテーマや国を担当し、人権問題の推進や啓発に重要な貢献をし、人権侵害の報告に対して定期的に行動している。2019年には、意見と表現の自由に関する特別報告者が、監視産業とその人権への干渉に関するレビューを開始し、最終的に、人権に準拠した規制枠組みが整備されるまで、監視技術の販売、移転、使用を直ちにモラトリアムするよう求めた。

人権義務を真剣に受け止めている国家にとって、これらの機関は規範を発展させ、その行動を導く力として働き、国内では簡単に検閲されたり無視されたりしても、活動家が証拠を持ち込むことができる重要な国際的場として機能することができる。しかし、いかなる勧告も強制できる権限は限られている。

意見と表現の自由に関する国連特別報告者によるモラトリアムの呼びかけのスクリーンショット。


サイバーセキュリティの推進

政府の最優先事項は国民の安全を守ることであるという理由で、積極的な監視権限が正当化されることがよくあるが、そのような権限は実際には人々の安全を損なうことが多い。

例えば、NSOグループのスパイウェアは、IT機器やネットワークの脆弱性を突いて、機器にアクセスし、データを流出させるものだ。しかし、このような脆弱性は、犯罪者や外国人を含む、脆弱性に気付いた誰にでも悪用される可能性がある。アップル社などのデバイスメーカーに報告せず、これらの脆弱性を利用することで、NSOグループやこのような手法を用いる各国政府は、意図的にITセキュリティを損なっている。

他の監視技術も同じような問題を抱えている。2020年、調査報道局(Bureau of Investigative Journalism、TBIJ)は、監視会社がチャンネル諸島のネットワークにアクセスし、そこから世界中の携帯電話を追跡している実態を暴露した。これは、通信インフラ内のITセキュリティの弱点を利用したものだ。

サイバーセキュリティを優先しない政府は、敵対する外国政府や悪意のある第三者を含め、人々を監視の対象にしやすくしているというのが、このことの最終的な影響だ。

むしろ、責任ある政府は、ITインフラを可能な限り安全にするために資源を活用し、産業界に優れたサイバーセキュリティを維持するインセンティブを与え、そうでないものを罰するべきだ。

例えば先週、ドイツ連邦憲法裁判所は、政府がITシステムの脆弱性を特定した場合、政府はITシステムのユーザーを第三者によるシステム攻撃から保護するために努力する義務があると判示した。

TBIJのExposeのスクリーンショット、https://www.thebureauinvestigates.com/stories/2020-12-16/spy-companies-using-channel-islands-to-track-phones-around-the-world で入手可能。


産業界をターゲットに

サイバーセキュリティの確保

人々のデータから富を築いた大企業は、顧客を確実に保護する責任を負っている。カリフォルニアの役員室で下された決定は、今や世界中の何十億もの人々の生活に重大な影響を及ぼしている。例えば、メッセージング会社がエンドツーエンドの暗号化を提供し、送信される通信の内容を読み取ることができないようにするという決定は、メッセージを読み取るために使用できる監視技術の種類を大幅に制限する。

アップルやマイクロソフトなどの大企業は、顧客を監視から守るために利用できる膨大なリソースへのアクセスも持っている。例えば、マイクロソフトは最近、イスラエルのマルウェア企業であるCandiruが使用するマルウェアに対する市民社会とIT研究者の理解を深め、技術的な保護策を開発し、その悪用から顧客を守るためのソフトウェアアップデートを提供することに協力した。

WhatsAppはさらに一歩進んで、ハッキングから守るために制定された法律に違反していると主張して、米国の裁判所でNSO Groupに直接異議を申し立てた。PIを含む市民社会団体、他のテクノロジー企業、監視の専門家は、裁判に関与することでWhatsAppをサポートしている。

アクセス・ナウによるWhatsAppの異議申し立てへの介入発表のスクリーンショット


標準化団体

サイバーセキュリティに関する重大な決定は、役員室や政府部門だけで行われるわけではなく、重要な設計上の決定を行う非政府および政府間の標準化団体も数多く存在する。インターネット技術タスクフォース(IETF)、Internet Corporation for Assigned Names and Numbers(ICANN)、World Wide Web Consortium(WWWC)、国際電気通信連合(ITU)、第3世代パートナーシッププロジェクト(3GPP)などの組織はすべて、現代の IT インフラの機能の大部分を支配するプロトコルを開発している。

どの団体が何を決定するかは、現在論争の的となっている。IETFのような団体が「マルチステークホルダー主義」に依拠しているのに対し、ITUのような団体は完全に政府で構成されており、これは、中国のような政府が、非常に権威主義のインターネット標準を推進するために利用できることを意味している。

これらの機関がサイバーセキュリティとオープンインターネットを優先させることで、インフラプロトコルの脆弱性に依存した監視が行われにくくなる。例えば、5G標準は、いくつかの監視ツールの使用に対する重要な制限事項を含んでいる。

2017年のArticle 19の更新のスクリーンショット、https://www.article19.org/resources/internet-engineering-task-force-discusses-human-rights-in-plenary-meeting-for-the-first-time-in-its-history/ で入手可能。


非合法な監視への抵抗と透明性

世界中の政府は、大手テック企業に監視の実施を認めさせようと、ますます押し付けがましい法律を成立させている。単純なレベルでは、こうした法律は、例えば、犯罪捜査の一環として令状が提示された場合、企業が保有するユーザーデータを政府当局に提供するよう要求することがある。

しかし、このような法律は、通信事業者などの企業に対して、当局が同社のネットワークに直接アクセスできるようにすることを求める場合もあり、その場合、企業自身はどのようなデータが収集されているのかを把握することができない。中国とロシアはおそらくこの点で最も悪名高いが、このような「直接アクセス」は世界中の他のいくつかの管轄区域でも一般的であり、人々の権利に大きな脅威を与えている。同様に、他の権限も、企業に政府の監視を許可させるために使われることがある。例えば英国では、政府は、技術能力通知Technical Capability Noticesとして知られるものを使って、監視を容易にするために製品を秘密裏に改変するよう企業に強制することも可能だ。

ここで重要なのは、膨大な量の顧客データを収集したりアクセスしたりする企業にとって、それが合法的かつ人権基準に沿った形でのみアクセスされるよう、できる限りのことを行うことだ。例えば、政府機関からのデータ提供の要請を慎重に検討し、その要請が著しく違法である場合には情報提供を拒否するといったことが、簡単な例として挙げられる。

例えば、最近、グローバル・ネットワーク・イニシアティブ(地球上の大手ハイテク企業を含むマルチステークホルダー組織)は、このような行為を控えるよう政府に要請する重要な声明を発表した。

また、これらの企業の多くは、監視行為に関する重要な情報を公開している。その中には、これまでに受けたデータ要求の件数や提供したデータ、その国での監視活動の仕組み、さらには直接アクセスのシステムが使用されているかどうかといった情報が含まれることもある。このような取り組みにより、活動家やジャーナリストは、世界中の監視システムと政府の慣行をよりよく理解できるだけでなく、政府の責任を追及するための重要なツールにもなっている。

電気通信事業者TeliaによるLaw Enforcement Disclosure Reportのスクリーンショット。https://www.teliacompany.com/en/sustainability/reporting/law-enforcement-disclosure-report/ で入手可能。


デューデリジェンスの要件

監視技術を販売する企業には、人権を保護する責任がある。国連の「保護、尊重、救済」の枠組みの一部として、これらの企業は、その事業が他者の人権を侵害することを回避することを保証し、自らが関与する人権への悪影響に対処する義務を負っている。

例えば、電子フロンティア財団は、「テクノロジー企業が “抑圧の小さな助っ人 “にならないためには」というガイドを作成し、人権侵害を可能にする取引への参加を控えるよう企業に呼びかけている。

昨年9月には、米国務省が監視企業向けに、人権侵害を助長しないための適正評価に関するガイダンスを発表しています。同様に、techUKと英国政府は、企業がサイバーセキュリティ製品の輸出に関連する人権および国家安全保障上のリスクを特定し、管理できるようにすることを目的とした企業向けガイダンスを作成した。

米国国務省の適正評価ガイダンス


会社の所有権

企業が株式公開されているということは、最終的に株主に対して説明責任を果たすべきことを意味する。したがって、これらの株主に人権義務を真剣に受け止めるよう説得することは、彼らが統治する会社、あるいは彼らの投資を求めている会社に直接的な影響を与えるはずだ。同様に、NSOグループのような企業を所有するプライベート・エクイティ企業も、その運営を決定する力を持っている。そのため、市民社会グループは、NSOのオーナーであるプライベート・エクイティ企業ノバルピナに対し、その活動についてより透明性を高め、人権への悪影響を防止、緩和、是正するための具体的な手段を講じるよう求めている

環境・社会・ガバナンスの原則は、投資家やファンドの意思決定においてますます大きな役割を果たすようになってきている。最近、複数の資金の貸し手がNSOグループへの融資を行わない理由としてこのような懸念を挙げており、マイクロソフトは顔認識テクノロジーを販売する企業には投資しないと発表した。

しかし、このコミットメントがどこまで本物であるかは、まだわからない。例えば、最近、トムソン・ロイター社に対して、捜査用ソフトウェアの提供を含む政府機関との契約の見直しを求める株主提案が行われたが、賛成は17%にとどまった。

マイクロソフトにエニイビジョンへの投資を中止するよう求めるキャンペーンのウェブサイト。https://dropanyvision.org。


従業員による活動

特に米国の大手ハイテク企業では、従業員が監視を含む様々な社会問題に取り組んでいる。

テック業界における集団行動を記録しているCollective Action in Techは、413件のそのような行動を挙げている。 例えば2018年には、グーグルの約5000人の従業員が、無人機攻撃の標的を改善することを目的としたプログラム、プロジェクト・メイブンの米国防総省との契約を打ち切るよう要求して成功させた。

同様に、グーグルとマイクロソフトの両社は、最近、米国防総省のクラウドホスティング提供契約100億ドルに入札した際、自社の社員からの圧力に直面し、グーグルは「AI原則」との矛盾を理由に辞退している。最後に、Tech Workers Coalitionは、包括的で公平なテック業界を目指すテック企業の従業員にガイドやヒントを提供している。

Collective Action in Techのスクリーンショット、https://collectiveaction.tech/2020/tech-workers-versus-the-pentagon/ より入手可能。


人を対象として

デジタル・セキュリティ・トレーニング

監視テクノロジーに対する最後の防御策は、人々がどのような監視テクノロジーがあり、どのように安全を確保するかを認識することだ。

例えば、プライバシー・インターナショナルでは、最近、抗議行動における警察のハイテク監視能力に関する一連のガイドを発表した。

ソフトウェアをアップデートする、不審な電子メールファイルを開かない、2ファクタ認証などのセキュリティ保護を有効にするなどの簡単な行動も、あなたとあなたの大切な人のデジタルセキュリティに大きな影響を与える可能性がある。

そのため、デジタル・セキュリティ・コースは広く普及しており、特定の状況にある人々の意識を向上させるのに役立っている。しかし、どこに住んでいるか、誰が自分をスパイしようとしているか、何をスパイしようとしているかによって、もたらされる脅威は人それぞれであることを理解することが重要だ。つまり、政府が携帯電話のウェブカメラを密かにオンにできることは事実だが、だからといって誰もが標的になるとは限らない。また、エンドツーエンドで暗号化されたメッセージングアプリを使っているからといって、そのようなハッキングから安全であるとは限らない。

人々に誤った安心感を与えたり、恐怖を与えたりしないよう、こうしたトレーニングは個々の状況に合わせて行われる必要がある。その際、脅威のモデル化の概念が重要であり、セキュリティ上の完璧はありえないということを理解する必要がある。セキュリティ・プランナーが提供するようなリソースは、こうした脅威をよりよく理解するのに役立つ。

そのため、個人が意識を高め、自らを守るための手段を講じることは重要だが、その責任を個人だけに負わせることはできない。

プライバシー・インターナショナルの「抗議する自由」ガイド


国際的な対応

テクノロジーが人々の日常生活でより中心的な役割を果たすようになるにつれ、監視技術やそれを販売する企業がもたらす脅威は増大し続けるでしょう。この脅威を軽減するために、人々、政府、産業界のすべてが果たすべき役割を担っている。

その役割が具体的に何であるかは、文脈に大きく依存する。ある国ではある種のメカニズムが一部の人々を保護するかもしれないが、他の場所では現実的でない、あるいは効果的でない可能性がある。政府機関がNSOグループの技術をどのように利用するかを制限する法律は、ある国では効果があるかもしれないが、当局が基本的人権と法の支配を尊重しない別の国では、同様に役に立たないかもしれない。

重要なのは、自国の状況を理解している人々や活動家が、このような変化を推進できるようにすることだ。

https://privacyinternational.org/news-analysis/4602/taming-pegasus-way-forward-surveillance-tech-proliferation

Table of Contents