nsa
サイバー法
サイバーセキュリティー

サイバーセキュリティーと人権:イスラエルのサイバー法はビッグブラザーの序章か

次の記事

2018年に市場を去ったスタートアップたち

[著者:Tehilla Shwartz Altshuler]
The Israel Democracy Institute(イスラエル民主主義研究所)による情報時代の民主主義プロジェクトのシニアフェローおよび代表。

サイバー攻撃には、移動体通信を麻痺させ、コンピューター化されたシステムの改変や消去を行い、コンピューターサーバーへのアクセスを不能にし、電力網や銀行システムを攻撃することで国家の経済や防衛に直接被害を与える力がある。

どの国にも必要なものであることは明らかだが、とくに国防上特殊な状況にあるイスラエルでは、サイバー防衛システムの維持管理が欠かせない。イスラエルでは、イスラエル・サイバー事象即応チーム(CERT-IL)を含む統合的なイスラエル国家サイバー総局(INCD)を設立し、首相官邸のイスラエル国家安全保障局やモサドなど、他のセキュリティー機関と密接に協力しつつ、問題に対処している。これは重要な機関であるため、立法権、目標、組織構造を明確に定義しておかなければならない。

しかし、おかしなことに、イスラエルはイノベーションと技術開発においては急成長を遂げた「スタートアップ・ネイション」でありながら、テクノロジーと人権と民主主義の価値の交差点で持ち上がっているジレンマに対処する法律では、恐ろしく立ち遅れている。セキュリティーとトラッキングに関する技術は、ほとんどが民間の目の届かない場所で開発されていて、統合されたINCDは、その活動を縛る法律が整備される前に設立された。

それに対して、イスラエルのサイバー防衛システムの活動の法的枠組みを定める目的で、サイバー法の最初の草案ができたのは、喜ばしいことだ。しかし、草案を見ると、国は国民をサイバー攻撃から守るのに必要な力以上のものを求めているように思える。未来のサイバー攻撃がどのようなものになるか、現時点では想定が難しいという理由もひとつにはある。しかし、市民活動の統制力を強めるためにテクノロジーを使うという政府の陰謀めいた部分もある。

この草案では、INCDは首相官邸に属することになり、インターネットや携帯電話からのデータを日常的に収集し、省庁、地方自治体、政府関連法人に提供することで、サイバー攻撃を特定しリアルタイムで対処できるようにするとある。それでも、「セキュリティー関連のデータ」の定義は曖昧なままで、2015年にアメリカのサイバーセキュリティ情報共有法(CISA)で定義された痕跡情報(サイバー脅威情報)よりもずっと範囲が広くなっている。

問題は、政府機関に公開されるネット上のあらゆる活動の記録や詳細な個人情報など、これらすべてが本当に必要なのかということだ。このような方法で収集された情報が、行動的特徴の割り出しに利用され、市民を縛る形で使われはしないだろうか。こうしたデータの収集と、広範囲で制限のない盗聴と、いったいどこが違うのだろう。そこまで深い情報を国が覗けるようになることは、国民のプライバシーと人権にとって、じつに重大な問題となる。

さらに、この法案が通れば、INCDは、サイバーセキュリティーを侵害する人物を絞り出すという名目で、さまざまなコンピューターへのアクセス権を持ち、情報の収集や処理ができるようになる。これには、すべての市民と企業のプライベートな情報が含まれる恐れがある。法案にはプライバシーを守る権利を尊重するようにも書かれているが、その権利を「必要以上に」侵害しない活動は認めている。つまり、恐ろしいほど曖昧な制限なのだ。しかも、収集した情報の使用の制限も不十分だ。どれだけの期間、情報を保管できるのか。INCDから警察や他の機関に提供してもよいのか。

同時に人権を守ってゆかなければ
サイバーでもテクノロジーでも
グローバルリーダーにはなれないと
自覚しておくべきだ

この法律は、INCDに、警察やプライバシー保護機関などを超える法的権限を与える。一般企業から営業許可を取り上げる権限すら持つ。その結果、他の機関との協力関係が崩れるのは明白だ。もちろん、最大の疑問は、この力がいつ行使されるかだ。その答えもまた、不安なものだ。「『重大な利益』を守る必要が生じたときはいつでも」とされている。

これは、国家の安全や人命を守るためのものかも知れない。しかし、草案には「大規模にサービスを提供する組織の適正な運営」という一文がある。これには、大手衣料品販売チェーンなども含まれるのだろうか。そうだとしたら、これは正当化されるのだろうか。

私たちが知っている、昔ながらのサイバーセキュリティーとは、おもに目に見えるインフラへの被害を想定したものだった。しかしこの草案では、首相の意思で、より多くの脅威をサイバーセキュリティーの対象リストに追加できるようになっている。そこでまた疑問がわく。「ソーシャルネットワークで議論を持ちかけ、市民の意識に悪い影響を与えること」や「フェイクニュースを広めること」などを首相が加えたとしたら、国家安全保障局に加えて、INCDにもこうした問題に対処する権限を与えることになるのだろうか。

さらに言えば、この草案では、こうした強大な力を持つ組織を監視する機関については、あまり触れられていない。しかも、INCDの長官には、サイバー攻撃が判明した際、秘密裏に活動できる権限が与えられている。たしかに、抑え込む前にサイバー攻撃の事実を公表してしまえば、さらなる被害を招きかねないため、それは理解できる。しかし、もし自分がかかっている病院にサイバー攻撃があり、医療の現場が混乱してしまったとき、いつまで真相を知らされずに我慢できるだろうか。銀行口座やデートサイトに登録したデータが漏洩した人たちはどうだろう。

この法案は、INCDに監視されない権力を与えるものであり、それは民主主義の常識から外れる。こうした力の乱用や、エドワード・スノーデンが暴露した米国家安全保障局の立ち入った監視プログラムPRISMは、とくにイスラエルにおいては警鐘と捉えるべきだ。EU一般データ保護規制(GDPR)が施行された今日、プライバシーの権利とは、もう自分の個人情報を自分で管理する権利ではないように思える。むしろ、プライバシーの権利とは、他人の人権の前提条件と考えるべきだ。この法律は重要だが、前代未聞の「ビッグブラザー」シナリオの第一段階だという印象を拭い去ることができない。

立法者は、ゆっくり時間をかけて、サイバー問題と、それがもたらす脅威と機会について学ぶべきだ。この法案の審議する人間は、デジタル世界におけるプライバシー権の意味を深く理解していなければならない。その知識は、よりバランスのとれた法案を作る上で役立ち、ひいてはイスラエルの人々を守ることにつながる。

この法案の趣旨には「イスラエルをサイバーセキュリティーの分野でグローバルリーダーにする」というものがあるが、創造性と独立心と奇抜な発想に支えられているイスラエルのような小さな国では、同時に人権を守ってゆかなければ、サイバーでもテクノロジーでもグローバルリーダーにはなれないと自覚しておくべきだ。

[原文へ]
(翻訳:金井哲夫)