(訳者まえがき)以下に訳したのは、restoreprivacy.comの記事です。ProtonMailは暗号化メールサービスの大手として有名で、メールのプライバシーを重視する場合の選択肢としてよく推奨しているし、言及することも多い。しかし、プライバシーを最優先にする、匿名性を重視する、エンド・ツー・暗号化を徹底する、などといったサービスであったとしても、そのサービスが拠点を置く国の法律に抗うことは容易ではない。以前に問題になったフランスからの情報開示要請も、今回のスペインからの要請も、いずれも、法的手続きを経ての正式の開示要請と考えられるために、これを拒否する(裁判で争う)ということをこうした営利企業に期待することはできないだろう。とはいえ、そうであっても、現状では、残念ながら、日本のプロバイダーのメールサービスではコンテンツの暗号化に対応しておらず、提供する個人情報から本人を特定される可能性は極めて高い。しかも、裁判所からの令状なしでのプロバイダーによる協力もありえることから考えると、ProtonMailやTutanotaといった海外の暗号化サービスは貴重である。しかし、Protonmailは2022年に約6,000件のデータ要求に応じている。ProtonMailのアカウント数は7000万である。Lineのアカウント数は約2億で2022年の捜査機関への開示数は約3500だから、数値の定義を正確に合わせられないものの、この限りではProtonMailの方が開示の割合が高い。この限りではProtonが格段に捜査機関に対して高い防御を実現できているわけではない。しかし、重要な点は、ProtonMailのばあいは、メールのコンテンツが暗号化されているために、コンテンツを押収できても復号は極めて困難だろう、ということだ。これはLineにはないメリットになるだろう。

暗号化メールサービスを利用するばあい、ありがちな「誤解」は、暗号化メールサービスをオールマイティと錯覚して、暗号を使っているから自分の身元が特定されないとか、監視されない、といった感覚にとらわれてしまうことかもしれない。この場合、むしろセキュリティが甘くなる。もともとIPアドレスやリカバリーメールがどのように自分の特定に繋がるのかは実感できず、しかも防御方法(VPNとかTorとか)も日常生活の知識として普及していない。たとえば、ProtonMailを読むには暗号データを復号化して読むことになるが、この復号化に必要なパスワードを盗まれてしまうとか、スマホでProtonMailにアクセスしてログアウトしないまま他のアプリを操作したりしているうちにログインしたままなことを忘れる。こうした状態は、暗号化メールを利用するメリットを自分で削いでしまっている。

私は、暗号化メールサービスは必須だと思っている。むしろこうしたメールサービスがインターネットでデフォルトになることを願っている。しかし、これだけでは、プライバシーも私たちの秘匿すべきコミュニケーションも防御できないことを自覚することが必要で、それなりの対策の努力が必要になると思う。ではどうしたらいい？という問いへに自分なりの答えをもつことも大切になる。(小倉利丸)

2024年5月6日 アレックス・レカンダー著 — 40件のコメント
ProtonMail、スペインでの逮捕につながるユーザーデータを公開
追記：Protonはこの件について重要な詳細を確認し、RestorePrivacyにコメントを寄せた。

Proton Mailは、スペイン当局とカタルーニャ独立組織「Democratic Tsunami」のメンバーが関与した法的要請に対して果たした役割について、厳しい視線にさらされている。

Proton Mailはスイスに拠点を置く安全なメールサービスで、エンドツーエンド暗号化と厳格なノーログポリシーによるプライバシー保護への取り組みで有名である。2021年、Proton Mailはフランスの気候変動活動家の逮捕につながる法的要請に応じたことで物議を醸した。スイス法の下、Proton Mailは個人のIPアドレスに関する情報を収集し、スイス当局に提供することを余儀なくされ、当局はそれをフランスの警察と共有した。

今回、スペイン警察が関与したこの最近の事件は、プライバシーへの懸念と、国家安全保障を口実にした暗号化通信サービスの限界を浮き彫りにし、長い間議論されてきた問題を再び表舞台へと押し出した。

この論争の核心は、Proton Mailがスペイン警察に、「Xuxo Rondinaire」という仮名を使用する個人のProton Mailアカウントに関連付けられたリカバリーメールアドレスを提供したことにある。この個人は、Mossos d’Esquadra（カタルーニャ州警察）の一員であり、その内部情報を利用して「Democratic Tsunami」運動を支援している疑いがある。

Proton Mailからリカバリー用メールアドレスを受け取った後、スペイン当局はAppleに、そのメールアドレスに関連する追加情報の提供を要請し、その結果、この人物が特定された。

この事件は、複数の管轄区域や企業を巻き込んだ一連の要請が行われたという点において特に注目に値する。テクノロジー企業、ユーザーのプライバシー、法執行機関が複雑に絡み合う様子を浮き彫りにしている。

これらの要請は、反テロリズム法という名目で行われたが、Democratic Tsunamiの主な活動が抗議行動や道路封鎖であったため、このような措置の妥当性と正当性について疑問が呈されている。

以前と同様、Proton Mailがこれらの要請に従うことは、スイス法によって義務付けられている。スイス法では、適切な手続き（スイス裁判所システム）を経て正式に要請された国際的な法的要請には協力することが義務付けられている。

昨年、Proton Mailが2022年に約6,000件のデータ要求に応えたことを私たちが指摘したとき、Protonは、受信トレイの内容は安全だと説明してきた。

すべてのケースにおいて、メールの内容、書類、ファイルなどは常に暗号化されており、読むことはできないことにご注意ください。

ProtonがRestorePrivacyに昨年提出した声明

Protonの透明性報告書を見ると、Proton Mailでは昨年だけで5,971件のデータ要求に応え、前年度より若干増加していることがわかる。

このように多くのデータ要求がバックグラウンドで発生している中、さまざまなサービスで共有するデータを保護することがこれまで以上に重要となっている。

優れた OPSEC の重要性

このような状況は、厳格な OPSEC（運用セキュリティ[訳注]）を維持することの重要性を強く思い起こさせるものである。リカバリ情報やプライマリの暗号化メールサービスと同等のプライバシー保護機能を備えていない可能性のある二次サービス（Apple アカウントなど）にリンクすることに伴う潜在的な脆弱性について、常に認識しておくべきである。

プライバシーを懸念するユーザー、特に機密性の高い業務や政治活動に携わるユーザーにとって、プライバシーツールを使用する際には OPSEC を最優先事項とすべきである。

• 個人の身元や主要な業務活動に直接結びつく可能性のある、復旧用メールアドレスや電話番号をリンクさせない。
• 匿名性をさらに高めるために、使い捨てのメールアドレスや仮想電話番号の使用を検討する。
• 可能な限り、IPアドレスを隠すために優れたVPNサービスを使用すること。 (これを怠ったことが、フランスのProton Mailユーザーが警察にIPログを入手された後に逮捕された原因となった。)
• 匿名支払い方法によるサービス購入を検討する。
• 通信サービスプロバイダーの法的義務やポリシーについて、特に国際的な法執行機関からの要請への対応について、常に最新の情報を得ておく。

Proton Mailや同様のサービスは、メールプラットフォーム上で相当な保護とエンドツーエンド暗号化を提供しているが、法的および政府からの介入を免れるわけではない。ユーザーは、セキュリティの必要性とサービスプロバイダーが負う可能性のある法的義務のバランスを取りながら、慎重にこの問題に対処する必要がある。

RestorePrivacyは、Proton Mailに本件に関するコメントと、Proton Mailの関与について問い合わせたが、現時点ではコメントは得られていない。

更新：Protonからの声明と追加コメント
Protonは現在、この事件の詳細を確認し、RestorePrivacyに以下のコメントを提供した。

スペイン国王に対する脅迫容疑が浮上しているスペインのテロ事件については承知しているが、原則として特定の事件についてはコメントしない。Protonは、この事件でAppleから取得したデータがテロ容疑者の特定に使用された事実が示すように、最小限のユーザー情報しか保有していない。Protonは、デフォルトでプライバシーに重点を置いており、デフォルトで匿名性を重視していない。匿名性を重視するには、Appleアカウントをオプションの復旧方法として追加しないなど、適切な情報セキュリティを確保するためにユーザーによる一定のアクションが必要だからだ。なお、Protonは回復用アドレスの追加を求めていない。というのも、この情報は理論的にはスイス裁判所の命令により開示される可能性があるためである。スイスではテロ行為は違法行為であるため、この情報は開示される可能性がある。

Protonの広報担当者

ProtonはRestorePrivacyへのメールの中で、復旧用メールアドレスの追加は任意であると指摘した。これは事実であるが、私たちはProton Mailがアカウント作成時に確認用メールアドレスを要求していることも確認している。本日テストしたところ、ProtonはVPNサービスやTorを通じて署名する際に確認用メールアドレスを要求した。

Proton Mailのメール認証

Proton Mailでは、登録時に確認用メールアドレスの入力を求められる場合がある。
Protonは、この確認用メールアドレスは「この1回限りの確認にのみ使用される」と説明している。この確認用メールアドレスは、復旧用メールアドレスとは異なり、アカウントと関連付けられて使用されることはないと思われる。

出典：https://restoreprivacy.com/protonmail-discloses-user-data-leading-to-arrest-in-spain/

訳注：OPSECとは、日常の作業のなかで、機密情報が外部に漏れる恐れのある要因を特定して防ぐ対策をとること。このケースでは、メールのコンテンツは暗号化で 防御されていたが、それ以外のリカバリー用のメールアドレスやVPNやTorを用いないProtonmailの利用という行動がリスクを招いた。