ますます監視が強くなる!? 取り決めが具体化する「英国デジタル監視法」(前編)

江添 佳代子

May 31, 2017 08:00
by 江添 佳代子

2017年5月4日、オンラインにリークされた一つの草案文書「The Investigatory Powers (Technical Capability) Regulations 2017」が世界に波紋を投げかけた。この文書は、英国のデジタル監視法「Investigatory Powers Act(以下IP Act)」の技術的な特記事項に関わるもので、英国の政府機関が市民のオンライン活動の「リアルタイム監視」を目指していることなどが示されていた。

IP Act(およびIPB)とは何か?

漏洩した文書の内容について説明する前に、「そもそもIP Actとは何か?」という点を確認しよう。IP Actは2016年12月に可決されたばかりの新しい法で、英国の諜報部門の権限を拡大するものだ。このIP Actの草案にあたる「Investigatory Powers Bill(以下IPB)」は2015年11月、テリーザ・メイによって提出された。つまり現在のメイ首相(当時は国内務大臣)がIP Actの母である。

このIPBに関しては、昨年のThe ZERO/ONEで詳しく説明してきた。ここでは簡単におさらいしたのち、その後の1年間の流れについてもお伝えしたい。

IPBは、英国の既存のデジタル法(RIPA、DRIPA、CTSA、およびTelecommunications Act 1984)が通信事業者に課してきた責務を一つにまとめることにより、
・サイバースペースの全域で治安を維持できるようにする
・インターネットに法執行機関が立ち入れないエリアは存在しないことを明確にする
・諜報機関に実働の許可を与える
ための措置として立案されたものだ。前文では「テロリストや犯罪者に対抗するには、このような法が必要である」と強調されている。

エンドツーエンドの暗号化が禁止される?

この法案について多くのセキュリティ関係者が注目したの、「企業がユーザーに提供してきたエンドツーエンドの暗号化がどのように扱われるのか」という点だった。具体的に表現するなら「AとBの間で行われる通信内容を、第三者(法執行機関も含まれる)が盗聴できぬよう、通信を安全に保つ暗号化」を、国が企業に対して禁止するのか否かだ。

このIPBは「通信事業者に暗号化を禁止する意図はない」「彼らの暗号化に対し、既存の法を超えて新たな条件を追加することはない」と明言されている。しかし、ここに挙げられた「既存の法」(RIPA、DRIPA、その他)は、IPBが生まれるよりも前から議論の種となってきたものだった。これらの法を厳密に、かつ言葉どおりに遵守したいのであれば、結局のところ企業は「エンドツーエンドの暗号化をユーザーに提供しない」「政府機関のために何らかのバックドアを設ける」以外に手がないと考えられるからだ。曖昧に扱われてきた複数のルールがIPBによって「明確にまとめられる」のなら、そこには必ずエンドツーエンドの暗号化の禁止が盛り込まれるはずだ、と危惧する声は少なくなかった。

このようなルールが導入されようとしたのは、今回が初めてのことではない。実は、IPBを提出したメイ内務大臣(当時)は2012年にも「CDB」(Draft Communications Data Bill)というデジタル監視法案を提出していた

しかし当時、CDBは多くの英国市民やEUの議員たちから「市民のプライバシー権を侵害し、世界のインターネット通信の安全性そのものを損ねる法案」として反感を買い、「スパイの憲章(Snooper’s Charter)」と揶揄されて廃案となった。

そのためなのか、IPBの文面には「CDBとは違う」ということを印象づけようとするような表現が用いられていた。それでも「現実的に考えれば、これはCDBと同様の法案だ」と考える人々は多かったため、「スパイの憲章」というニックネームはCDBからIPBへと引き継がれていった。

パリ同時多発テロ事件が流れを変える

しかしIPBが提出されてから2週間後、パリで同時多発テロ事件が発生する。多くの犠牲者を生んだ悲惨な事件は、同じ欧州の英国にも大きな衝撃を与えた。それは市民が抱いていた「IPBに対する拒否反応」を弱めただけに留まらず、当時の英首相やロンドン市長も、テロに対抗できるデジタル監視の手段を望むコメントを発表した。さらに英国の議員たちの一部は、「通常のスケジュールどおりにIPBを審議するよりも、できるかぎり早く施行に移すべきだ」と政府に求めたほどだった。

やがて両院を通過したIPBは、「Investigatory Powers Act 2016」として女王に承認された。こうして、晴れて「法案(Bill)」から「法/法令(Act)」となったIP Actは、2016年12月30日に施行される運びとなった。そして現在、「スパイの憲章」のニックネームは、そのままIP Actにも引き継がれている(例: WikipediaのInvestigatory Powers Act 2016のページ)。
 
※参考記事
英国でも「デジタル監視論」が再熱(前編) 「IPB草案」は対テロ政策か、プライバシーの侵害か?
英国でも「デジタル監視論」が再熱(後編) アップルCEOもIPB推進に反対表明
シリコンバレーを悩ます「暗号規制論」 誰がためのデジタルサーベイランスか?

The Investigatory Powers (Technical Capability) Regulations 2017とは?

そして今年5月、オンラインに流出した文書は、「IPBから正式に法令となったばかりのIP Act」により有効となる特記事項の取り決めについて協議するため、英国内務省が作成した文書だと主張されている。つまり、英国の政府機関がどのようなデジタル捜査の権限を持つことになるのか、今後どのような権限を行使できるのかという具体的なルールの部分を「話し合うための」草案だったということになる。

したがって英国政府は、それをいきなり決定事項として世界に発表しようとしていたのではない。「内務省はオンラインの監視活動について、このようなルールを取り入れようとしています。皆さんはどう考えますか?」と議論するために作成された文書だ。その文書に対する意見の受け付けは4週間、という期間も設定されている。

しかし、それは一般公開を想定しない「わずかな数の企業や関係者」のみと協議するために作成された文書だった。つまり実際にIP Actの「特記事項」が採用されたとき、直接的な影響を受ける一般の英国市民や世界のIT企業や通信企業のほとんどには公開されないことを前提としていた。

この文書のコピーを入手したOpen Rights Group(※)は、文書そのもののPDFファイルをオンラインに漏洩するとともに、内容や注目すべき点についても簡単に説明するページを公開した

そこに記されていた内容が、世界のセキュリティ関係者やデジタル通信に関わる企業の注目を集めたのは当然のことだろう。しかし、そのリークは同時に「英国は、これほど重大な取り決めを、閉じられた世界の中だけで協議し、決定しようとしていたのか?」という批判の声も広く集めることとなった。

さらに漏洩した文書には、その草案自体が「すでに英国のTechnical Advisory Board(直訳:技術顧問委員会)によって概ね合意されている」ということも示されていた。英国メディア『The Register』の5月4日の報道によれば、このTechnical Advisory Boardは6つの通信企業(O2、BT、BSkyB、Cable and Wireless、Vodafone、Virgin Media)、および政府の諜報機関を代表する6人と会長のみで構成されているという。内務省が今後、その草案に関する意見を一般市民からも受け付ける予定だったのか、あるいは同委員会の外の人々にも何らかのチェックをさせる気があったのかは記されていない。
 
※Open Rights Group…デジタルの自由と人権の保護を訴える英国拠点の団体。活動内容は電子フロンティア財団に似ている。
 
(後編に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…