最新情報:木曜日、US Newsは、米国上院商務科学運輸委員会の匿名の代表者の発言を引用し、CISPAは「ほぼ確実に棚上げされるだろう」と報じました。US Newsはまた、ACLU(アメリカ自由人権協会)の立法顧問であるミシェル・リチャードソン氏の発言も引用し、「今のところは死んだも同然だ。CISPAは議論を呼ぶことが多く、範囲が広すぎる。昨年上院が検討したようなプログラムとは全く異なるものだ」と述べています。リチャードソン氏は、新たな法案が採決に至った場合、数ヶ月かかる可能性があると見積もっています。
サイバーセキュリティとオンラインプライバシーは、決して両立しない運命にあるように見える、二つの重要な関心事です。悪意のあるハッカー、スパマー、その他のインターネット上の悪党が裁きを受けてほしいと思うのは当然ですが、同時に自分のオンラインデータも守りたいと考えるのは当然です。
しかし、サイバー犯罪対策の大部分は、膨大な量のオンラインデータを収集し、不審な活動の手がかりとなる針を探し出すことにあります。 あなたのオンラインデータも、こうした山に巻き込まれ、スキャンされる可能性があります。その過程で何が起こるかは、誰にも分かりません。
だからこそ、先週米国下院を通過し、現在委員会で審議中のサイバーインテリジェンス共有および保護法(CISPA)には注目する必要があるでしょう。CISPAは、サイバーセキュリティ調査員間のデータ共有に関する現行の規制を緩和することを目的としています。これは一見合理的に思えるかもしれませんが、データの取り扱い方法、具体的にはデータの共有方法、そして個人を特定できる情報(PII)の最小化方法をめぐって議論が巻き起こっています。
さらに、この法案は、データを共有する政府と民間企業に、高いレベルの訴訟免責を与えるものです。彼らがあなたのデータを共有している状況では、これは必ずしも安心できるものではありません。
サイバーセキュリティの仕組みを理解する第一歩は、オンラインデータが既にスキャンされているという事実を受け入れることです。政府、法執行機関、そして民間企業は皆、疑わしいインターネット活動に警戒を強めています。スパマー、ボットネット、そしてTwitterのようなサイトへの悪意のあるハッキングは、サイバー犯罪の広範なカテゴリーに該当します。さらに深刻なのは、「重要インフラ」(電力・水道施設、通信ネットワークなど)や民間人を攻撃しようとする試みです。
CISPAは、データが法案で「サイバー脅威情報」と定義され、犯罪解決に役立つ可能性がある場合に、民間企業が法執行機関や政府機関とデータを共有することを認めるものです。電子プライバシー情報センターの国家安全保障フェロー、ジェラミー・スコット氏は、この用語の曖昧さがプライバシー問題の大きな部分を占めていると指摘します。「この定義では『ネットワークの脆弱性』や『ネットワークの完全性に対する脅威』といった用語が使われており、その解釈は民間部門に委ねられています」とスコット氏は言います。
データに関する定義は曖昧で、過剰な共有を招く可能性がある
CISPAの曖昧さは、民間企業が情報を過剰に共有する余地を大きく与えています。「例えば、ソーシャルネットワーキングサイトがサービス拒否攻撃を受けたとします」とスコット氏は言います。「サイトは政府に対し、より関連性の高い診断情報を提供するだけでなく、影響を受けたすべてのプロフィールに関する個人情報(例えば、誰とつながっているか、プロフィールの経歴など)も提供できます。ただし、ソーシャルネットワーク側がその情報を『サイバー脅威情報』の一部とみなす限りにおいてです。」
アメリカ自由人権協会(ACLU)の立法顧問ミシェル・リチャードソン氏によると、ナイジェリアから送られてくるくだらないスパムメール一つ一つが、あなたのデータを更なる調査の標的にしてしまう可能性があるという。「これらは日常茶飯事であり、この法案の下ではサイバーセキュリティ上の出来事に該当します」とリチャードソン氏は述べている。電子フロンティア財団(EFF)のアクティビズム・ディレクター、レイニー・ライトマン氏は、サービス事業者は「サイバー脅威情報」とみなしたあらゆるデータを共有することができ、「それが『善意』に基づいて『サイバーセキュリティ目的』である限り、法的手続きなしに」共有できると述べている。
データ共有はより簡単に、あるいは自動化される
ACLUのリチャードソン氏は、CISPAの下ではデータ共有はスムーズになる、それも本当にスムーズになると付け加えた。政府が具体的に情報を要求するプロセスを経るのではなく、「彼らは、情報を自動的に政府に転送するような何らかのプロセスについて話している」とリチャードソン氏は言う。
データが自動的にルーティングされる場合、いつ、どのようにPIIがデータから削除されるかがより大きな問題となります。残念ながら、ユーザーIDを完全に匿名化することを検討している人はいません。CISPAの立案者は、PIIを削除するための合理的な努力を払うという、単なる「最小化」で満足しています。EPICのスコット氏は、ここで「サイバー脅威情報」の定義が再び重要になると述べています。「CISPAは、サイバー脅威情報という広範な範囲に該当する限り、政府に提供される情報を削除したり、その他の方法で絞り込んだりすることを(民間企業に)要求していません。」
提供企業が共有するデータからPII(個人情報)を削除するのは理にかなっているように思えるかもしれませんが、CISPAの下では、その責任は政府にあります。デビッド・ルデュック氏は、CISPAを支持するソフトウェア開発者とデジタルコンテンツ企業を代表する大手業界団体、ソフトウェア&情報産業協会(SIA)の公共政策担当シニアディレクターです。ルデュック氏は、サイバーセキュリティにおけるPIIの重要性を軽視し、サイバー犯罪対策に携わる専門家の関心事ではないと述べています。「セキュリティの専門家は、特定の行動の蔓延やマルウェアの拡散パターンといった傾向に注目するものであり、個人情報ではありません」と彼は言います。
ルデュック氏はまた、CISPAが改正され、政府による最小化が任意から義務化されたことを指摘する。「連邦政府は、サイバー脅威への対応に必要のない特定の個人に関する情報を除外するため、民間部門から受け取る情報を最小限に抑えなければならない」と同氏は述べている。
しかし、この修正案は、民間企業間で共有されるデータがどうなるかという問題には対処していません。CISPAの下では、PII(個人情報)を最小限に抑える義務は政府のみにあるため、民間企業はPIIが比較的多いデータを、最小限に抑える努力をすることなく、企業間で共有してしまう可能性があります。下院でのCISPA採決に先立ち、アダム・シフ下院議員(カリフォルニア州選出、民主党)は、CISPAへの反対を明確に表明しました。「民間企業は政府を介さずに情報を共有できます」とシフ議員は述べました。「そのような状況で、政府が決して保有しないものを、どうやって最小限に抑えることができるでしょうか?したがって、この法案に含まれる政府側の最小限化だけでは不十分です。」
シフ下院議員はこの抜け穴に対処するための修正案を提出したが、CISPA の提案者がそれを下院に提出して採決を一度も行わなかったと不満を述べている。
民間企業が気にしていること:訴訟
共有と最小化という議論の裏に隠されたCISPAの真の目的は、データを提供する企業が訴訟を起こされることを防ぐことにあるように思われます。消費者がCISPAについて知っておくべき最も重要なことは何かと尋ねられたSIIAのルデュック氏は、賠償責任リスクがサイバーセキュリティの取り組みを阻害していると答えました。「残念ながら、現在の法的枠組みでは、企業をはじめとする民間団体は、サイバーセキュリティの脅威やインシデントの防止または軽減に役立つと考えられる情報を共有することで、規制や法的措置のリスクに直面しています」と彼は述べています。
訴訟の可能性はやや古風な感じがする。結局のところ、これほど大規模なデータスキャンが行われれば、後々自分たちに不利益が及ぶまでは、ほとんどの人は自分のデータが利用されているのか、あるいは悪用されているのか全く分からないだろう。しかし、もしそうなった場合、法的救済のプロセスがあれば良いだろう。ここでも、CISPAの曖昧な文言はプライバシー保護を困難にしている。ACLUのリチャードソン氏は、「共有できる情報だけでなく、共有された情報に基づいて下したあらゆる決定も免責される。彼らは実際に『決定』という非常に幅広い用語を使っています」と述べている。
「善意」は多くの善意による損害をカバーします
しかし、SIIAのルデュック氏は、訴訟手続きは存在すると主張している。「個人が訴訟を起こしたり、裁判所を利用して救済を求める権利を失うことはありません」と彼は言う。「企業が『誠意を持って』行動していないと判断された場合、個人に損害を与えたとして責任を負う可能性が高いでしょう。」
EFFのライトマン氏は、「善意」の言い訳は簡単に行き過ぎてしまう可能性があると指摘する。責任から保護されれば、企業はより多くのデータをより自由に共有できるようになる。例えば、ライトマン氏は「Netflixは、軽度のDDOS攻撃を受けるまでの3週間に映画『ハッカーズ』を視聴した全員の氏名、クレジットカード番号、自宅住所、アカウントアクティビティのリストを政府に提供できるだろう」と述べている。CISPAは現在、国土安全保障省などの機関を通じてデータ共有の民間監視を規定しているが、データがその後軍事機関に渡された場合、この監視は終了する。
「彼らがそのデータを使って何をしたのか、私たちには決して分かりません」とライトマン氏は言う。「善意に基づく行為ではないと思いますが、顧客がそれを発見し、後から証明するのは困難でしょう。」
CISPAは遠くまでは行かないかもしれない
これはCISPAの上院承認獲得に向けた2度目の試みであり、大統領が現状のままではCISPAを拒否する意向を明確に表明していることを考えると、その成功は確実とは言い難い。完璧な法案など存在しないものの、反対派はCISPAの曖昧さと抜け穴がゲームを台無しにしていると指摘する。ACLUのリチャードソン氏は、「中国が知的財産権を侵害し、盗んでいると人々は懸念している。もし中国がそのような法案を制定していれば、苦情はもっと少なかっただろう。CISPAは広範囲に及び、日常の多くの活動を網羅している」と述べている。
上院議員らもサイバーセキュリティに関する代替法案を準備しているが、これも昨年は成立しなかった。ジョン・D・ロックフェラー上院議員(民主党、ウェストバージニア州選出)は、2013年サイバーセキュリティ及び米国サイバー競争力法案の提案者となっている(2012年に同様の法案を提出したが頓挫した)。下院でのCISPA採決後に発表されたプレスリリースで、ロックフェラー上院議員は「CISPAのプライバシー保護が不十分だとしても、下院での本日の行動は重要である。サイバーセキュリティを強化するためには、一つだけではなく、あらゆる要素について行動を起こす必要があり、上院はまさにそれを実現する」と述べた。今週初め、同法案の共同提案者であるダイアン・ファインスタイン上院議員(民主党、カリフォルニア州選出)は、「現在、超党派で情報共有法案を起草しており、合意に達し次第、審議を進める」と述べた。
現状の法案は、オンラインプライバシーとサイバーセキュリティ対策の間の複雑な綱引きを如実に示している。ACLUのリチャードソン氏は、CISPAが上院に刺激を与え、より良い解決策を見出すだろうと確信している。「このゲームに参加している他の議員は皆、よりターゲットを絞った、戦略的でプライバシーが保護された何かを求めています。」不完全な答えはどこかにあるはずだ。願わくば、ビッグデータに対する保護と同じくらい、一般の人々にまで十分な保護が行き渡ることを期待したい。
