スティーブン・ニコルソンは、警察にFacebookのパスワードを渡すことを拒否したため、投獄された。問題は、テクノロジー企業が犯罪関連データを簡単に渡すことを阻む、長く複雑なプロセスがあることだ。
ワシントン・ポスト/ゲッティイメージズ
7月25日の朝、13歳のルーシー・マクヒューはサウサンプトンのレッドブリッジにある自宅を出た。白い袖にアメリカのロックバンド「フォーリング・イン・リバース」のロゴが前面に大きく入った黒いジャケットを着て、サウサンプトン総合病院に向かって歩いていた。午前9時28分、彼女はテスコ・エクスプレスの前を通り過ぎるところを防犯カメラに捉えられた。翌日午前7時45分、自宅からわずか3.2キロメートル離れたサウサンプトン・スポーツセンターの森の中で、彼女の遺体が発見された。彼女は刺されていた。これを受け、ハンプシャー警察は、犯人と凶器(ナイフ、ハサミ、またはその他の鋭利物とみられる)の追跡のため、「オペレーション・リファンド」を開始した。
7月27日、24歳のスティーブン・ニコルソンが殺人容疑と児童への性的行為の疑いで逮捕された。介護士であるニコルソンは両方の容疑で保釈されたが、警察の捜査に全面的に協力しなかったため、懲役14ヶ月の判決を受けた。警察によると、特に彼はFacebookアカウントのパスワードを警察に提供しなかったという。法廷審問で検察は、ニコルソンがマクヒューが殺害される「数日前」までマクヒューの実家に滞在しており、自分が送ったメッセージにアクセスしたいと考えていると主張した。
ニコルソン氏は、デバイスやオンラインアカウントへのログイン情報や暗号化キーの提供を怠ったとして英国の裁判所から有罪判決を受けた最初の人物ではない。ロンドン警視庁のクレシダ・ディック長官は、法執行機関がソーシャルメディア企業のデータにアクセスしようとする際、「非常に長い手続き」に直面すると述べた。彼女はシステムはより簡素化されるべきだと述べ、LBCの質問に対し、情報へのアクセスは「数分以内」であるべきだと同意した。
しかし、そんなことが可能なのでしょうか?警察がFacebook、Google、Twitter、あるいは大手IT企業からデータを入手したい場合、システムはどのように機能するのでしょうか?一言で言えば、それは複雑で、場合によっては長引くプロセスです。
英国の法執行機関が従うことができる法制度は主に2つあります。ニコルソン氏のケースでは、捜査権限規制法(RIPA)違反を認め、情報提供命令が出され、14ヶ月の刑期が言い渡されました。RIPAは2000年に導入され、地方自治体(地方議会を含む)に、犯罪の疑いがある場合に監視活動を行う権限を与えています。(2016年には、地方議会がRIPAを用いて犬の散歩をする人や一般市民を2,800件も追跡していたことが判明しました。)
RIPA法第3部では、当局が暗号鍵の引き渡しを求める命令を出すことが認められています。decoded:legalのテクノロジー・インターネット弁護士であるニール・ブラウン氏は、RIPAに基づく開示通知は通信会社だけでなく、あらゆる個人に対しても発行できると説明しています。彼は、RIPAがFacebookのようなオンラインアカウントに適用されるかどうかについては懐疑的です。
ガーディアン紙によると、ニコルソン氏は警察に詳細を明かすことを拒否した。フェイスブックのアカウントから大麻に関する情報が見つかると考えていたためだ。ブラウン氏は、他の犯罪で自己を有罪にしないために、要求された詳細を伏せることは法律で認められていないと述べている。
この事件におけるリパ氏の利用は珍しいことではない。2009年には、テロ犯罪の容疑で捜査を受けていた男性が、自分のコンピューターの暗号化キーを警察に提供することを拒否したため、懲役9ヶ月の判決を受けた。児童性的虐待事件で起訴された19歳の男性は、自分のコンピューター上のロックされたファイルに50文字の暗号化パスワードを提供することを拒否し、少年院で16週間の禁錮刑を言い渡された。また2016年には、ロンドン在住の男性が、自分の携帯電話のパスワードを警察に提供しなかったため、懲役6年の判決に3ヶ月の延長が言い渡された。
英国の国家犯罪対策庁は2016年、ハッカーのローリー・ラブにノートパソコンのパスワードを明かさせるためにリパ法を回避しようとした。しかし裁判所は、人権保護を確実にするためにはリパ法を使うしかなかったとして、法執行機関の主張を却下した。
しかし、ニコルソン氏への起訴は、マクヒュー氏に何が起きたのかを説明するのに役立つと思われる詳細情報を警察が入手するのに役立っていません。ニコルソン氏は現在保釈中で、死亡に関する捜査は継続中です。警察にとって、Facebookからアカウントの詳細を引き出すには、別のアプローチが必要になるでしょう。
フェイスブックはニコルソン氏のアカウントを凍結し、アカウント内の情報を編集できないようにしている。「当社は法執行機関と緊密に連携しており、警察がこのような犯罪捜査で情報を入手するために従っている法的メカニズムは確立されています」と同社の広報担当者は述べ、法執行機関と連携するチームが英国にも拠点を置いていると付け加えたが、その人数については明らかにしなかった。
米国外の法執行機関や警察が米国に拠点を置く企業から情報を入手するために、相互刑事援助制度が存在します。米国は英国を含む世界60カ国以上と刑事共助条約(MLAT)を締結しており、捜査中の犯罪に関する情報提供において各国がどのように協力するかが規定されています。(本稿掲載時点で、EUユーザーのデータが欧州で保管されているかどうかについて、FacebookはWIREDの質問に回答していません。)
しかし、MLATシステムは大手IT企業からのデータ開示請求の急増によって機能不全に陥っている。「MLATプロセスは深刻な問題を抱えている」と、カリフォルニア大学バークレー校法科大学院人権センターのエグゼクティブディレクター、アレクサ・ケーニグ氏は述べている。米国司法省の統計によると、2000年以降、コンピューター記録の開示請求は1000%以上増加している。「このシステムはリソース不足で非効率であり、情報のやり取りに数ヶ月、あるいは数年かかることも珍しくない」とケーニグ氏は指摘する。
そして、まさにこれが法執行機関を苛立たせている。「英国が不満を抱くとすれば、それは十分な人員配置と迅速な要請処理を怠った米国司法省に対するものだ」と、スタンフォード大学ロースクールのプライバシー担当ディレクター、アルバート・ジダリ氏は述べている。つまり、これは完全にテクノロジー企業の責任ではないのだ。2016年にアップルとFBIが暗号化技術をめぐって争ったことは、企業が場合によってはユーザーのプライバシー権を擁護する姿勢を示した。
2015年、当時は国家犯罪庁(National Crime Agency)に勤務し、現在はFacebookのグローバルポリシー責任者を務めるゲイル・ケント氏は、MLAT(Malware and Taxation:法的措置)要請の煩雑さを概説したブログ記事を執筆しました。ケント氏によると、英国検察庁(Crown Prosecution Service)が要請書を作成し、それが内務省に提出され、その後米国司法省に送られ、そこで審査された後、企業の所在地の地域に送付されます。その後、米国の法的文書に変換され、関係企業に送られ、その後、再び米国司法省に送られるという一連の手続きが踏まれるとのことです。
「この国と国をまたぐ手続きの長さは、通信を従来の郵便サービスで行わなければならないという法律によってさらに長くなる可能性がある」とケント氏は当時書いている。「英国では、MLAを通じた通信データの請求には最大13ヶ月かかることがある。」
システムは徐々に変化しつつあります。Googleは以前、法執行機関へのデータ提供システムの複雑さについて不満を表明していました。今年初め、米国は「海外におけるデータの合法的利用の明確化に関する法律(クラウド法)」を制定しました。この法律は、米国企業のデータへのアクセスを可能にする新たな手段を提供します。この法律により、Facebook、Twitter、Googleなどの米国テクノロジー企業が、国内の令状を通じて信頼できる国に直接データを提供することを各国間で新たな協定で認めることになります。Facebookは、この法律によってプロセスが加速すると考えています。
しかし、英国と米国の間では、クラウド法に基づく合意はまだ成立していない。2016年、ワシントン・ポスト紙は、英国の諜報機関がFacebookとGoogleのデータへの直接的な盗聴を要請したいと考えていると報じた。「世界に必要なのは、デジタル情報交換のための包括的かつグローバルな枠組みだ。理想的には、法執行と法的責任の利益と、プライバシーと表現の自由の利益のバランスが取れたものが望ましい」とケーニグ氏は述べている。
しかし、警察や法執行機関の要件と個人のプライバシー権のバランスを取るのは難しい状況です。ケーニグ氏は、感情的な法的問題ではあるものの、被害者と被告人の両方の権利を考慮に入れるべきだと付け加えています。
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
