国民のインターネット記録を収集する政府の取り組みは試験段階を終えつつあるが、多くの詳細は依然として一般の目に触れないままである。
イラスト:アンジャリ・ネア、ゲッティイメージズ
英国政府は、何百万人もの人々のウェブ履歴を記録・保存できる可能性のある、物議を醸す監視技術をひそかに拡大・開発している。
公式報告書と支出書類によると、英国警察は昨年、人々の「インターネット接続記録」を収集できるシステムの試験運用を成功と判断し、全国導入に向けた作業を開始した。導入されれば、法執行機関は強力な監視ツールを手に入れることになるだろう。
批判者たちは、このシステムは非常に侵入的であり、当局はこれまで人々のデータを適切に保護してこなかった過去があると指摘している。この技術とその運用の多くは秘密に包まれており、関係機関はシステムに関する質問に答えることを拒否している。
2016年末、英国政府は捜査権限法を可決し、国の監視およびハッキング権限に抜本的な改革を導入しました。この法律は、法執行機関と情報機関が何を行えるか、また何にアクセスできるかに関する規則を追加しましたが、人々のプライバシーへの影響が広く批判され、「スヌーパー憲章」というあだ名が付けられました。
特に物議を醸したのは、いわゆるインターネット接続記録(ICR)の作成でした。この法律では、インターネットプロバイダーと電話会社は、上級裁判官の承認を得て、ユーザーの閲覧履歴を12ヶ月間保存するよう命じられる可能性があります。
ICRは、あなたがオンラインでアクセスしたすべてのページのリストではありませんが、それでもあなたのオンライン活動に関するかなりの情報を明らかにする可能性があります。例えば、Wired.comにアクセスしたという事実はICRに含まれていても、この記事を読んだという事実はICRには含まれない場合があります。また、IPアドレス、顧客番号、情報へのアクセス日時、転送されたデータ量などもICRに含まれる可能性があります。英国政府によると、インターネット接続記録は、例えば旅行アプリ「EasyJet」が誰かのスマートフォンでいつアクセスされたかを示すことはできても、アプリがどのように使用されたかを示すことはできないとのことです。
「ICRは非常に侵入的であり、通信事業者や諜報機関による過剰な保持から保護されるべきだ」と、英国の人権団体プライバシー・インターナショナルの弁護士兼法務担当者であるヌール・ハイダー氏は語る。同団体は、捜査権限法に基づくデータ収集と取り扱いを法廷で争ってきた。
ICRの開発と利用についてはほとんど知られていない。捜査権限法(Investigatory Powers Act)が可決された際、インターネット企業はICRの収集と保管に必要なシステムの構築には何年もかかると述べていた。しかし、現在ではその一部が着実に整いつつあるようだ。2月には、英国の治安と警察を監督する政府機関である内務省が、これまでの捜査権限法の運用に関する義務的なレビューを発表した。
報告書によると、英国の国家犯罪庁(NCA)はICRの「運用面、機能面、技術面」を検証し、記録収集による「運用上の大きなメリット」を発見したという。児童の違法画像を提供するウェブサイトに「焦点を当てた」小規模な試験では、これらのウェブサイトにアクセスしていた120人が見つかった。「情報調査」の結果、法執行機関に認知されていたのはこれらの人物のうち「わずか4人」だったことが判明した。
WIREDは2021年3月にICRの試験的運用の存在を初めて報じましたが、当時は試験に関する詳細情報がさらに乏しかったため、どの通信会社が関与していたかは依然として不明です。内務省の2月の報告書は、この試験運用が法執行機関にとって有益であり、英国全土へのシステム拡大の基盤を築くのに役立つ可能性があることを初めて公式に示したものです。内務省の報告書では、試験運用の結果、「ICRは現在、一部の潜在的に重要な捜査には利用できないようだ」と述べられており、将来的に法律が改正される可能性を示唆しています。
2022年5月、内務省は調達通知を発行し、「国家ICRサービス」の構築に向けた将来の試験運用が「現在進行中」であることを明らかにし、この通知の存在は、公共部門テクノロジー関連の出版物であるPublicTechnologyによって最初に報じられました。通知によると、政府は法執行機関が捜査のためにICRデータにアクセスできるようにする技術システムの構築に最大200万ポンドの予算を計上していました。
この技術システムの契約は、2022年7月に防衛企業Bae Systemsに発注された。WIREDの情報公開法に基づく請求に対し、内務省はBaeとの契約書の一部を提供したが、商業上の理由から技術的な詳細は明らかにしなかった。(Baeの広報担当者は、機密性とセキュリティ上の理由から具体的な契約内容については言及できないと述べた。)
内務省のFOIA(情報公開法)に関する回答では、国家安全保障と法執行上の理由を理由に、ICRに関する内部調査の詳細を明らかにすることを拒否した。内務省の広報担当者は、英国は「個人データとプライバシーの保護に関して、世界で最も強固で透明性の高い監督体制の一つ」を有していると述べ、ICRの試験運用が進行中であることを確認した。
ICRが英国全土に展開されるかどうか尋ねられた内務省の広報担当者は、情報公開法(FOIA)に基づく回答を例に挙げ、追加情報の提供は法執行活動を危険にさらす可能性があると指摘した。FOIAに基づく回答は、「法執行能力や標的に関する情報は非常に機密性が高く、特にデジタル通信の分野では、犯罪グループや個人が高度な技術的知識と認識力を示すことが多いため、その傾向が顕著です」と述べている。さらに、「そのため、捜査方法や技術的能力の性質に関する機密情報は、公に知られないようにすることが極めて重要です」と続けている。
諜報機関、警察、地方自治体を監督する捜査権限コミッショナー事務局(IPCO)は、これまでのICR収集は「小規模な試験」を支援するためのものであり、発行されたデータ保管通知の数に関する数字は「提供できない」と述べている。捜査権限法に関する独立した別個のレビューが今夏に公表される予定である。国家犯罪庁(NCA)は、ICRの活用を評価するためにICRの試験に現在も参加しており、「データの活用は業務に不可欠」であると述べた。
これまでのところICRの利用は限定的である可能性があるにもかかわらず、既に1件の失敗例が記録されています。IPCOは2022年1月に発表した2020年度年次報告書の中で、インターネット接続リクエストの提供を求められた匿名の通信会社が「承認されたデータ量を超えるデータを提供した」と指摘しました。原因は?技術的なエラーでした。それ以上の詳細は明らかにされていません。
WIREDは英国のインターネットサービスプロバイダー(ISP)と通信会社9社に連絡を取り、ユーザーのインターネット接続記録を作成・保存できるかどうかについて尋ねた。8社はコメント要請に応じなかった。唯一コメントを求めたTalkTalkは、英国法に基づく「義務を果たす」としながらも、ICRの存在については「肯定も否定もできない」と述べた。
英国におけるICR収集の拡大の可能性は、特に技術の進歩に伴い、世界中の政府や法執行機関がますます多くのデータへのアクセスを試みていることと相まって生じています。複数の国が暗号化のバックドアの作成を推進しており、人々のプライベートなメッセージや通信へのアクセスを可能にする可能性があります。米国では、FBIが外国情報監視法(FISA)第702条を行使し、海外の対象者の通信を傍受していることをめぐり、激しい論争が巻き起こっています。
プライバシー・インターナショナルのハイダー氏は、人々のデータをさらに収集する権限を付与しても、人々の「セキュリティ強化」にはつながらないと述べています。「企業や広範な政府機関のデータ保持能力を強化しても、諜報活動が強化されるわけではありません」とハイダー氏は言います。「実際、データが悪用・濫用されるリスクが高まるため、セキュリティは低下すると主張しています。」
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
