「個人情報が中国に流出していたのでは?」
中国の技術者が個人情報の一部にアクセス可能だったいわゆる「LINE問題」で、そんな不安を抱えた人も少なくないはずだ。
不安の根源は何か。
中国には、民間企業などに情報収集活動への協力を義務付ける「国家情報法」などの法制度がある。政府などが情報を奪い取る可能性が現実的なものと受け止められたのだ。
このように「合法的」に情報を獲得する手段を「ガバメントアクセス(GA)」と呼ぶ。そしてこのガバメントアクセスは、実は中国のみならず世界中で行われているとみられているのだ。
「合法的な諜報活動」であるガバメントアクセスの実態は。日本はこのリスクに備えているのか。取材した。
■中国と韓国
「ガバメントアクセス」とは「政府機関等の公的機関による、民間部門が保有する情報への強制力を持ったアクセス」を意味する(※1)。犯罪捜査などのため、令状をもとに情報開示を要求することも含まれ、日本でも一般的に実施されている。
しかし、この手法が近年、諜報活動にも活用されているという指摘がある。
日本でそのリスクが取り沙汰されたきっかけの一つが「LINE問題」だろう。この騒動で浮かび上がった問題は2つある。
1つ目は、個人情報の一部が、中国の拠点にいる業務委託先の中国人技術者から閲覧可能だったことだ。中国では2017年に、民間企業などに当局の情報収集活動への協力を義務付ける「国家情報法」が施行されるなど、日本をはじめとする民主主義国家とは大きく異なる法制度がある。
もう1つは、韓国へのデータ保管。LINEアプリの「トーク」で送信された画像や動画は韓国国内のサーバーに送られていたが、外部には「主要なデータは国内に閉じている」などと、実態とは異なる趣旨の説明をしていたのだ。
問題が明るみになったことを受け、LINE社は韓国のデータを日本に移す作業を開始。全ての作業が完了するのは2024年の見通しだ。
■海外にサーバー設置、大丈夫?
このうち、ガバメントアクセスのリスクが指摘されたのは、中国からのデータ閲覧だ。
実際に行われたかは定かではないが、少なくとも理論上、中国当局は法律を活用して中国の委託先企業に対しデータを渡すよう要求できる。
LINE問題を検証した外部有識者による委員会は、LINEが中国からのアクセスを許容し続けていた点について「ガバメントアクセスへのリスクやそれへの対応を怠った」と断じている。
LINEユーザーの心配事はこれにとどまらなかった。
外向けの説明とは異なり、画像や動画ファイルが韓国に保管されていた実態にも批判が相次ぎ、こちらでもデータ流出を懸念する声が上がった(LINE社は開示請求についてレポートを公表している)。
では、実際に海外にサーバーを置くことはリスクを伴うのだろうか。重要なデータは国内に保管すべきなのか。
■日本=安全ではないが...
「日本にデータを置いている企業や組織でも山ほど事件は起きています。『日本にあれば安全』ということはありません」
そう話すのは「川口設計」の川口洋・代表取締役だ。サイバーセキュリティの専門家で、LINE問題を検証した委員会では、技術検証部会の座長も担った。
「必要な措置が取られているかで判断すべきです」と川口さん。一方で、海外にサーバーを設置した場合には、ガバメントアクセスのリスクも生じると指摘する。
「アメリカのスノーデン事件(※2)もありました。日本にデータを置くべきだという議論があるのは、いざというときに日本の法執行機関で抑えられるという安心感があるからではないでしょうか」
かといって、全てのデータを日本国内に閉ざし、海外からのアクセスも許容しない、というのは現実的ではない。川口さんは「悩んでいる企業はたくさんある」としたうえで、こう訴える。
「ガバメントアクセスがどの程度あるか、となると、もう民間企業では調べようがありません。国が指針を示すなどしない限り、特定の国を避けることは難しいのではないでしょうか」
■許容すべき場合もある
ガバメントアクセスのリスクを、どこまで妥協して受け入れるか。
サイバーリスクや地政学などが専門で、東京海上ディーアール戦略・政治リスク研究所の川口貴久・主席研究員は「海外からのガバメントアクセスを許容すべきケースと、不適切なケースがある」と指摘する。
川口さんによると、ガバメントアクセスは「世界中どこの国でも起こり得る」。しかし、純粋に犯罪捜査などを目的としたケースと、諜報や自国の産業振興を狙ったものが混在しているという。
「民間企業には(データを渡せという)要請が本当に妥当なのか、検証する術がありません。合法ではあっても不当かは分からないのです」と川口さん。
民間企業にとっては、見えないガバメントアクセスがどの程度あるかは把握できず、データの引き渡しを拒否することも難しい。川口さんは、「2つの基準」に沿ってデータを置く国や委託事業者の所在国などをリスク評価する必要があると考えている。
「1つはその国が民主的な統制を受けているかどうか。例えば情報機関に対して議会が監視や監督をしているかです。他にも、司法が牽制を効かせているか、メディアが行政のチェック機能を果たしているか。こうした民主的なコントロールが効いているか、が一つの軸です」
「もう1つは実際にサイバー攻撃など不当な活動をしているかです。アメリカ国家防諜安全保障センターのビル・エヴァニナ前長官は、『中国はアメリカ成人の8割ものデータを持っている』と指摘しています。民主的なコントロールが効いておらず、実際に情報を取りに行っている国はNGだと思います」
ただ、この2つの基準もかなり流動的だ。「今は良いといっても、10年後も同じとは限りません」と川口さんは付け加えた。
サイバー空間上の諜報活動では、主にどんな情報が標的になるのか。
川口さんは、アメリカでは過去に信用情報大手のエクイファックスや、ホテルチェーン大手のマリオット・インターナショナル(※3)などがサイバー攻撃の標的にされたと指摘。「ポイントは国民全体を包括する、あるいは人の移動に関わることです。金融・医療・社会保障・情報通信。移動では航空、ホテル、旅行業界などです」と分析する。
では、不本意な情報流出をどう防ぐか。当然ながら、サーバーが日本に置かれているだけでは不十分だ。
川口さんは「サーバー所在地は日本でも、開発や運用委託先が海外という例は多い」としたうえで、こう話す。
「アクセスする会社が中国ではないからといって、安心はできません。資本関係を見て実質的な支配がどうなっているのかというデューデリジェンスをしたり、経営者や創業の経緯、それに研究開発のパートナーを調べたりといった作業が必要になります。国は大事な要素ですが、それだけではありません」
■政府の基準「ISMAP」の備え
日本の公的機関では、ガバメントアクセスへの対応は進んでいるのか。注目の制度が生まれている。「ISMAP(イスマップ)」と呼ばれるものだ。
これは、政府が求める統一的なセキュリティ基準のこと。基準を満たしたクラウドサービス事業者は公開リストに掲載され、中央省庁など政府機関はクラウドサービスを調達する際に、そのリストから事業者を選ぶ。
つまり、基準をクリアした事業者をあらかじめ認定しておくことで、セキュリティ要件で悩んだり、確認したりする手間が一定程度、省けるという仕組みだ。
ここにも、ガバメントアクセスを意識した設計が盛り込まれている。
内閣サイバーセキュリティセンターの担当者によると、ISMAPはサーバーの国外設置や海外からのアクセスを明文化して禁じていない。しかし、登録審査時に「国内法以外の法令が適用」されるリスクについて評価するための情報を求めるほか、利用者(省庁など)に影響を及ぼす可能性がある人の国籍を提出させているのだ。
「弊社は日本にデータセンターがあるので、外国の法律が適用されることは全くないです、と説明しました」。実際にISMAPを取得した「サイボウズ」の明尾洋一・セキュリティ室室長は審査過程をこう振り返る。国籍要件については「開発・運用や人材採用関連などの責任者の名前などを出しました」という。
ISMAPはまだ一般の知名度こそ低いものの、クラウドサービス事業者からの注目は高まっている。明尾さんも取得の背景には「政府の制度なので普及する可能性は高いと判断しました。SaaS(※4)ベンダーとして乗り遅れるのは良くない」という思いがあったと話す。
だが、ハードルは必ずしも低くない。
「技術的には(元々)ある程度やっていればクリアできると思います」と明尾さん。一方で登録に必須となる監査には一定の期間を必要とするほか、費用も「だいたい4桁万円(1000万円以上)かかりました。管理策基準と呼ばれる要求事項を読み込んで理解できる人材育成も必要です」と指摘する。
LINE問題をきっかけに、改めて注目が集まった国民の個人情報の海外流出リスク。「合法的な諜報」ガバメントアクセスに対し、一定のコストを支払ってでも対応する動きが広まりつつある。
※1... ガバメントアクセスの定義:渡辺翔太 (野村総合研究所)「ガバメントアクセス(GA)を理由とするデータの越境移転制限―その現状と国際通商法による規律、そしてDFFTに対する含意―」より
※2...スノーデン事件:2013年、アメリカ国家安全保障局(NSA)が、巨大IT企業の協力を得ながら大規模な情報収集活動を実施していたことが暴露された事件。元CIA職員のエドワード・スノーデン氏が告発した。
※3...エクイファックス:アメリカの消費者信用情報大手。2017年、1億4000万人超の個人情報が流出。氏名や住所、クレジットカード番号などが含まれていたとされる。FBIはサイバー攻撃に携わったとされる中国人民解放軍のハッカー4人を起訴している。
マリオット・インターナショナル:2018年、最大で約5億人分の顧客情報が盗まれたと発表。住所や電話番号、パスポート番号、生年月日などが流出した。ロイター通信は中国の諜報活動と関係している可能性があると報道している。
※4...SaaS:ソフトウェア・アズ・ア・サービスの略。インターネット経由で顧客が必要とする機能を提供すること。