ますます監視が強くなる!? 取り決めが具体化する「英国デジタル監視法」(前編)

江添 佳代子

May 31, 2017 08:00
by 江添 佳代子

2017年5月4日、オンラインにリークされた一つの草案文書「The Investigatory Powers (Technical Capability) Regulations 2017」が世界に波紋を投げかけた。この文書は、英国のデジタル監視法「Investigatory Powers Act(以下IP Act)」の技術的な特記事項に関わるもので、英国の政府機関が市民のオンライン活動の「リアルタイム監視」を目指していることなどが示されていた。

IP Act(およびIPB)とは何か?

漏洩した文書の内容について説明する前に、「そもそもIP Actとは何か?」という点を確認しよう。IP Actは2016年12月に可決されたばかりの新しい法で、英国の諜報部門の権限を拡大するものだ。このIP Actの草案にあたる「Investigatory Powers Bill(以下IPB)」は2015年11月、テリーザ・メイによって提出された。つまり現在のメイ首相(当時は国内務大臣)がIP Actの母である。

このIPBに関しては、昨年のThe ZERO/ONEで詳しく説明してきた。ここでは簡単におさらいしたのち、その後の1年間の流れについてもお伝えしたい。

IPBは、英国の既存のデジタル法(RIPA、DRIPA、CTSA、およびTelecommunications Act 1984)が通信事業者に課してきた責務を一つにまとめることにより、
・サイバースペースの全域で治安を維持できるようにする
・インターネットに法執行機関が立ち入れないエリアは存在しないことを明確にする
・諜報機関に実働の許可を与える
ための措置として立案されたものだ。前文では「テロリストや犯罪者に対抗するには、このような法が必要である」と強調されている。

エンドツーエンドの暗号化が禁止される?

この法案について多くのセキュリティ関係者が注目したの、「企業がユーザーに提供してきたエンドツーエンドの暗号化がどのように扱われるのか」という点だった。具体的に表現するなら「AとBの間で行われる通信内容を、第三者(法執行機関も含まれる)が盗聴できぬよう、通信を安全に保つ暗号化」を、国が企業に対して禁止するのか否かだ。

このIPBは「通信事業者に暗号化を禁止する意図はない」「彼らの暗号化に対し、既存の法を超えて新たな条件を追加することはない」と明言されている。しかし、ここに挙げられた「既存の法」(RIPA、DRIPA、その他)は、IPBが生まれるよりも前から議論の種となってきたものだった。これらの法を厳密に、かつ言葉どおりに遵守したいのであれば、結局のところ企業は「エンドツーエンドの暗号化をユーザーに提供しない」「政府機関のために何らかのバックドアを設ける」以外に手がないと考えられるからだ。曖昧に扱われてきた複数のルールがIPBによって「明確にまとめられる」のなら、そこには必ずエンドツーエンドの暗号化の禁止が盛り込まれるはずだ、と危惧する声は少なくなかった。

このようなルールが導入されようとしたのは、今回が初めてのことではない。実は、IPBを提出したメイ内務大臣(当時)は2012年にも「CDB」(Draft Communications Data Bill)というデジタル監視法案を提出していた

しかし当時、CDBは多くの英国市民やEUの議員たちから「市民のプライバシー権を侵害し、世界のインターネット通信の安全性そのものを損ねる法案」として反感を買い、「スパイの憲章(Snooper’s Charter)」と揶揄されて廃案となった。

そのためなのか、IPBの文面には「CDBとは違う」ということを印象づけようとするような表現が用いられていた。それでも「現実的に考えれば、これはCDBと同様の法案だ」と考える人々は多かったため、「スパイの憲章」というニックネームはCDBからIPBへと引き継がれていった。

パリ同時多発テロ事件が流れを変える

しかしIPBが提出されてから2週間後、パリで同時多発テロ事件が発生する。多くの犠牲者を生んだ悲惨な事件は、同じ欧州の英国にも大きな衝撃を与えた。それは市民が抱いていた「IPBに対する拒否反応」を弱めただけに留まらず、当時の英首相やロンドン市長も、テロに対抗できるデジタル監視の手段を望むコメントを発表した。さらに英国の議員たちの一部は、「通常のスケジュールどおりにIPBを審議するよりも、できるかぎり早く施行に移すべきだ」と政府に求めたほどだった。

やがて両院を通過したIPBは、「Investigatory Powers Act 2016」として女王に承認された。こうして、晴れて「法案(Bill)」から「法/法令(Act)」となったIP Actは、2016年12月30日に施行される運びとなった。そして現在、「スパイの憲章」のニックネームは、そのままIP Actにも引き継がれている(例: WikipediaのInvestigatory Powers Act 2016のページ)。
 
※参考記事
英国でも「デジタル監視論」が再熱(前編) 「IPB草案」は対テロ政策か、プライバシーの侵害か?
英国でも「デジタル監視論」が再熱(後編) アップルCEOもIPB推進に反対表明
シリコンバレーを悩ます「暗号規制論」 誰がためのデジタルサーベイランスか?

The Investigatory Powers (Technical Capability) Regulations 2017とは?

そして今年5月、オンラインに流出した文書は、「IPBから正式に法令となったばかりのIP Act」により有効となる特記事項の取り決めについて協議するため、英国内務省が作成した文書だと主張されている。つまり、英国の政府機関がどのようなデジタル捜査の権限を持つことになるのか、今後どのような権限を行使できるのかという具体的なルールの部分を「話し合うための」草案だったということになる。

したがって英国政府は、それをいきなり決定事項として世界に発表しようとしていたのではない。「内務省はオンラインの監視活動について、このようなルールを取り入れようとしています。皆さんはどう考えますか?」と議論するために作成された文書だ。その文書に対する意見の受け付けは4週間、という期間も設定されている。

しかし、それは一般公開を想定しない「わずかな数の企業や関係者」のみと協議するために作成された文書だった。つまり実際にIP Actの「特記事項」が採用されたとき、直接的な影響を受ける一般の英国市民や世界のIT企業や通信企業のほとんどには公開されないことを前提としていた。

この文書のコピーを入手したOpen Rights Group(※)は、文書そのもののPDFファイルをオンラインに漏洩するとともに、内容や注目すべき点についても簡単に説明するページを公開した

そこに記されていた内容が、世界のセキュリティ関係者やデジタル通信に関わる企業の注目を集めたのは当然のことだろう。しかし、そのリークは同時に「英国は、これほど重大な取り決めを、閉じられた世界の中だけで協議し、決定しようとしていたのか?」という批判の声も広く集めることとなった。

さらに漏洩した文書には、その草案自体が「すでに英国のTechnical Advisory Board(直訳:技術顧問委員会)によって概ね合意されている」ということも示されていた。英国メディア『The Register』の5月4日の報道によれば、このTechnical Advisory Boardは6つの通信企業(O2、BT、BSkyB、Cable and Wireless、Vodafone、Virgin Media)、および政府の諜報機関を代表する6人と会長のみで構成されているという。内務省が今後、その草案に関する意見を一般市民からも受け付ける予定だったのか、あるいは同委員会の外の人々にも何らかのチェックをさせる気があったのかは記されていない。
 
※Open Rights Group…デジタルの自由と人権の保護を訴える英国拠点の団体。活動内容は電子フロンティア財団に似ている。
 
(後編に続く)




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…