ここから本文です

ますます監視が強くなる!? 取り決めが具体化する「英国デジタル監視法」(後編)

6/1(木) 10:55配信

THE ZERO/ONE

前編では、Open Rights Groupによってリークされた内務省の草案文書「The Investigatory Powers (Technical Capability) Regulations 2017」の背景について説明した。今回はリークされた文書その内容について説明していく。

リアルタイムでのアクセス、エンドツーエンドの暗号化の禁止

多くのメディアが注目したのは、「政府機関が指定した個人のデータに、ほぼリアルタイムでアクセスできるようにすることが、あらゆる通信企業に対して要求される」という部分だった。これは英国のすべての電話事業と通信事業に関わる企業(ISPだけではなく、ウェブメールやSNSなどのプラットフォームも含む)が、「当局に指定された人物」の全ての通信内容、およびその人物に関する「二次的なデータ」を法執行機関へ一営業日以内に提供することが義務づけられる、という内容だ。その監視対象となる人物の指名は、所管大臣および首相が任命した裁判官によって認可される。

さらに同草案によれば、そのデータは「分かりやすい形で」提供されなければならないので、企業はユーザーの通信データに「電子的な保護」を行わないようにすることが要求される、とも記されている。つまり当局者が市民のデータにアクセスできるよう技術的に対処することが、英国の企業には義務づけられる。これらはまさしく、IPB(法案)が提出されたときから、多くのセキュリティ関係者やIT企業が懸念していたルールだった。

何が問題なのか?

最大の争点がどこにあるのかは、説明するまでもないだろう。英国の企業が、市民のデジタル通信に対して「特定の政府機関にしか復号できないエンドツーエンドの暗号」などというものを施すことは、技術的に不可能だ。したがって各企業が「A氏とB氏の間の通信を保護しつつ、そのデータにA氏でもB氏でもない人物が素早くアクセスできるようにする」ためには、エンドツーエンドの暗号化を取りやめ、何らかの抜け道を設けるしかない。それと同じ抜け道を、犯罪者や悪玉ハッカー、あるいは他の何者か(たとえば他国の諜報機関など)が利用しようと企むのは当然なので、市民のデータ通信のセキュリティは全体的に弱められることとなる。

次に争点となるのは、いわゆる「バルク型の監視(大量の無差別な一斉監視)」が国の諜報機関によって行われるのではないかという懸念だろう。漏洩した草案によれば、通信事業者には「顧客1万人あたり1人について、特定の人物の通信情報をいつでも同時に提供できる能力を持ったシステムを導入すること」が要求されている。英国のブロードバンドユーザーは約900万人なので、単純に計算すれば、英国の当局者はいつでも900人分の通信データと、その個々に関わる二次的なデータをほぼリアルタイムで同時に取得できるということになる。

また、企業がそれらの通信データや個人情報を提供する際には、対象となった人物に知らせないようにしなければならない。これはエドワード・スノーデンが現れて以降、何度も話題に上ってきた「市民に対する無差別かつ秘密裏の大量監視」を彷彿とさせるものだ。一度に900人ずつという上限はあるものの、その情報収集は法で許可された行為となるうえ、それを滞りなく進められるようにするべく、各事業者が「その能力」を適切な形で導入して管理しなければならない。

さらにもう一つ、気になる部分がある。この草案によれば、各通信事業者には「指定された技術」を適切に導入することが要求されている。それがどのような内容のものになるのかは分からないので、想像は広がるばかりだ。たとえば、「エンドツーエンドの暗号化が提供されない」ということを危惧したユーザーは、個人の判断で何らかの保護(Torの利用など)を導入する可能性がある。そのような保護を「迂回」するためのマルウェアやスパイウェアを、狙った相手のPC、あるいは携帯端末に送り込むような手法がIP Actによって導入される可能性も考えられるだろう。

ちなみに英国では今年4月、一人のロンドン警察の警官が「感染先の携帯電話やPCから、通話の内容やメールなどの情報を盗むマルウェア」を購入していたことが『Motherboard』によって伝えられたが、それが公的利用のための購入だったのか、あるいは個人で利用するためだったのかは判明していない。

1/3ページ

最終更新:6/1(木) 10:55
THE ZERO/ONE