米連邦捜査局(FBI)がアップルに対し、テロ容疑者のアイフォーンのデータ保護措置解除を要求している、「バックドア(裏口)」問題は、米国のプライバシー保護政策にとって、非常に微妙な時期に表面化した。
成り行きが注目されていた、欧州連合(EU)との新たなプライバシー保護協定「プライバシー・シールド」に合意した、そのちょうど2週間後というタイミングだったのだ。
これもまた、発端は、米国家安全保障局(NSA)による大規模な情報監視の暴露、いわゆる「スノーデン事件」だった。
By thierry ehrmann (CC BY 2.0)
メルケル独首相の携帯電話を盗聴していたことなども明らかになったことを受け、EUは検討中だった新たなプライバシー保護法制「一般データ保護規則(GDPR)」の内容を強化。
さらにはこの影響で、欧州連合司法裁判所は、米EU間のプライバシー保護協定「セーフハーバー協定」を無効と判決。ようやく合意にいたったのが、新協定「プライバシー・シールド」だった。
今後、この協定はEU加盟28カ国による承認手続きに入る。
そこにFBIの「バックドア」問題が影を落とすだろう、との見立てもすでに出始めている。
●「保護の枠組みを無視」
昨年10月6日に、EU司法裁判所が旧協定「セーフハーバー協定」が無効である、と宣言してから、4カ月がかりの交渉だった。
EUは「個人データ保護指令」(1995年制定)によって、十分な保護措置が講じられていない第三国には、個人データを送信(移転)できない、と定めている。
ところが、米国との「セーフハーバー協定」(2000年締結)によって、米商務省が承認した米国企業に対しては、プライバシー保護が担保されていると見なして、個人データ送信を認めてきた。
その枠組みを揺るがしたのが、2013年にNSAのネット監視を暴露した「スノーデン事件」だ。
オーストリアのプライバシー保護活動家、マクシミリアン・シュレムスさんが、「セーフハーバー協定」はもはやEUの保護基準を満たしていないとして、NSAの監視対象とされたフェイスブックが、EU域内の利用者の個人データを、米国に送信することを中止するよう求めた。
これに対するEU司法裁の判断は次のようなものだった。
米国の国家安全保障、公益、法執行機関の要求が、セーフハーバーの枠組みより優先されており、セーフハーバーとの間で衝突が起きる場合には、米国側の要求は、個人データ保護の枠組みを無制限に無視する状態になっている。
つまり、NSAのネット監視により「セーフハーバー協定」は有名無実化している、と認定したのだ。
さらにこの判決を受け、EUのプライバシー保護当局の代表者が集まる「EUデータ保護指令第29条作業部会(WP29)」は、「2016年1月末」という期限を区切って、米国に対応を迫った。
この協定にのっとって、EUから米国に利用者の個人データを送信している企業は、アップルやフェイスブック、グーグル、アマゾンなどのIT大手を始め、約4400社にのぼると言われる。
包括的な「協定」の枠組みが消滅すれば、個人データ送信には、各社個別に承認手続きを踏むことが必要になってくる。
そこで、期限は過ぎたものの、なんとか合意にこぎ着けたのが、米EU間の新たな枠組み「プライバシー・シールド(プライバシーの盾)」だった。
●「プライバシーの盾」
「プライバシー・シールド」の具体的な文面は明らかにされていないが、主なポイントは3点。
・EU市民の個人データ取り扱い企業の義務強化と、断固たる法執行措置。欧州から個人データを米国に持ち込もうとする企業は、データの取り扱いと人権の保護についての確固たる義務を負う。米商務省は、各企業によるデータ保護の表明を監督し、違反した場合は、米連邦取引委員会(FTC)が法執行措置を取る。人事データを扱う場合には、EUデータ保護当局の決定にも従う義務がある。
・米国政府による個人データへのアクセスに対する保護と透明化義務の明確化。法執行、安全保障などの目的で米政府当局が個人データにアクセスする場合の、制限や保護、監督の仕組みを、文書によって明確に取り決める。これにより、米政府による、個人データの無差別な大量監視を禁じる。安全保障上の理由を含めたアクセス状況について、米EU代表による、年次の合同点検会合を持つ。点検作業は欧州委員会と米商務省が行い、情報機関の専門家やEUのデータ保護当局もこれに参加する。
・EU市民の人権保護のための救済措置。個人データが濫用されたと思うEU市民に対する救済措置を講じる。申し立てを受けた企業には、回答期限を課す。またEUデータ保護当局も、この申し立てについて、米商務省、FTCに通告できる。これに関するADR(裁判外紛争解決手続き)は無料とする。情報機関によるデータへのアクセスに関する申し立てについては、新設する「オンブズパーソン」が対応する。
ニューヨーク・タイムズによると、この新組織「オンブズパーソン」は米国務省内に設置することになるようだ。
またロイターによると、協定では、個人データの大量取得に関して、米国はその使用目的をテロ対策やサイバーセキュリティなど6分野に限定する、との記述もあるようだ。
●シュレムスさんの懸念
アップル、グーグル、マイクロソフトなどEUで展開する企業は「プライバシー・シールド」歓迎の声明を発表した。
だが、裁判の当事者であるシュレムスさんは、「セーフハーバー協定」からほぼ何の前進もないとし、「セーフハーバー1.1」(0.1だけのバージョンアップ)と名づけている。
「国内法もしくは国際公約による個人データ保護の明確化を求めた(EU司法裁)判決を無視することになりかねない」とし、この内容では「欧州委員会は司法裁に突き返されるための往復切符を発行しようとしているのでは」と述べている。
「スノーデン事件」のエドワード・スノーデンさんも、「これは〝プライバシー・シールド〟ではない。説明責任の隠蔽(アカウンタビリティ・シールド)だ」と協定を批判している。
この問題については、欧米の人権保護団体、消費者団体も踏み込んだ対応を要求してきた経緯もあり、簡単には収まりそうもない。
「プライバシー・シールド」は今後、「29条作業部会」で各国データ保護当局者らにより合意内容を検討することになっている。
●「バックドア」の影響
ニューズウィークによると、今回のアイフォーン「バックドア」問題について、当のシュレムスさんは、無差別大量の情報監視だった「スノーデン事件」とは別物、と捉えているという。
ただ、欧州の人々の怒りに火をつけ、米国政府にもビジネスにも、壊滅的な結果をもたらす可能性もある、と指摘している。
セキュリティにおける信頼は、政治上も商業上も極めて現実的な問題だ。欧州が米国の法律を信頼していなくても、実質的に〝米当局を閉め出す〟技術的なソリューションを使うことができた。もし、それすら損なわれるとなると、企業も消費者も、法的にも技術的にも、米国製品を信頼する理由がなくなるわけだ。
「スノーデン事件」による米国不信に「バックドア」が加わればどうなるか。
「プライバシー・シールド」について、セキュリティソフト企業「ESET」の上級セキュリティ・リサーチャーのスティーブン・コブさんは同誌にこう述べている。
プライバシー擁護派は、これ(バックドア問題)を「プライバシー・シールド」反対の立場から使うだろう。彼らはこう叫ぶんだ。「見ろ、米国はまだ安全じゃない」
さらにハーバード・ビジネス・レビューへの寄稿の中で、米CRM(顧客管理システム)ベンチャー「メダリア」の戦略ディレクター、ジェームズ・オールワースさんは、EUが「スノーデン事件」とEU司法裁「セーフハーバー協定」判決を経て、米国企業に欧州からのデータ送信を認めるべきかどうかの、検討をしているタイミングだと指摘。
「バックドア」は米国製品への信頼毀損につながりかねない、という懸念を示す。
2012年、米下院情報委員会がファーウェイ(華為技術)、ZTE(中興通訊)などの中国企業の製品について、「バックドア」の危険性があり締め出すべき、とする報告書をまとめた経緯を引いて、「皮肉にも、米政府はアップルをおなじ目にあわせようとしている」と述べている。
その影響は、米国のテクノロジー業界にとどまらず、米国経済の未来にも及ぶ、と。
●「スノーデン」と100倍返し
米EUの「スノーデン事件」をめぐる余波では、もう一つ進行中の大きな動きがある。
制定から20年以上たった「EUデータ保護指令」をネット時代に合わせて全面改定する新たな「一般データ保護規則(GDPR)」の策定だ。
2012年1月に欧州委員会が提案してから4年。ようやく昨年12月、欧州理事会、欧州議会との3者間で合意が成立した。今後、正式採択の後、2018年施行の予定だ。
当初案では、罰金は最高100万ユーロ(1億2500万円)もしくはグローバルな売上高の2%、とされていた。
これが、「スノーデン事件」を受けた欧州議会の修正案では、最高1億ユーロ(125億円)もしくはグローバルな売上高の5%と、金額的には当初案の100倍に跳ね上がったのだ。
昨年12月の合意ではやや落ち着いたが、それでも最高で2000万ユーロ(25億円)もしくはグローバルな売り上げの4%のうち高い方を罰金として課すことになっている。
例えばアルファベット(グーグル)の2015年の売上高は750億ドル(8兆5000億円)なので、その4%は30億ドル(3400億円)ということになる。
「スノーデン事件」による米国への不信感は、なお現在進行形ではある。
(2016年2月28日「新聞紙学的」より転載)