英国でも「デジタル監視論」が再熱（前編） 「IPB草案」は対テロ政策か、プライバシーの侵害か？

January 13, 2016 11:00

by 江添 佳代子

THE ZERO/ONEでは過去2回に渡り、「フランス版：愛国者法」や、その後のフランスに関連したニュースをお届けした。しかし2015年1月のシャルリー・エブド襲撃テロ事件以降、デジタル通信の監視・盗聴を強化する法律を検討した国はフランスだけではない。11月に再び起きたパリ同時多発テロの恐怖が冷めやらぬ現在、それらの国々は新たな法案を推し進めようとしている。その一つとして、英国の「Investigatory Powers Bill（IPB）」草案の背景と、その誕生にまつわる話をお伝えしたい。

2012年の英国政府が求めた「スパイの憲章」

英国といえば、シギント機関の「GCHQ」が米国の「NSA」と密接に協働していることで知られており、またユーロポール（欧州刑事警察機構）でも最も強い統率力を持っている。その英国では、2012年に内務大臣のTheresa Mayが「Draft Communications Data Bill（以下CDB）」という名の草案を発表していた。2014年に法律として制定するべく提起されたCDBは、ユーザーのインターネット閲覧履歴（SNSを含む）、メール、音声通話、オンラインゲーム、携帯電話から送受信されるメッセージなどの記録を1年間保管することを、インターネットサービスプロバイダーや携帯電話の企業に対して要請する権限を、法執行機関に与えるものだった。

これだけでも反感を買いそうな内容だが、この草案にはさらに一つの疑惑があった。2012年当時、TwitterやFacebookなどのサービスは、すでにデフォルトでSSL通信を行っていたため、そのデータの多くは第三者が盗聴しても読むことができなくなっていた。つまり、主要なSNSの閲覧履歴を半年保管しようと1年保管しようと意味はないはずなのだが、その点に関する明確な説明は行われなかった。そのため、同プロジェクトの膨大な予算18億ポンド（約3300億円）の多くは、GCHQがSSLを破るための、あるいは迂回するための費用になるのではないかという指摘があった。

当時の報道例

・Top spook: ISP black boxes NOT key to UK’s web-snoop plan（The Register）

・Five Major Tech Issues Facing Snooper’s Charter（TechWeekeurope）

そのような権限は警察機関ではなく諜報機関が求めるものだ、という皮肉からか、このCDBは「Snooper’s Charter（スパイの憲章）」というニックネームで呼ばれ、市民や企業から強い反発を受けた。2012年当時、この草案について行われたYouGovのリサーチでは、英国市民の71％が「データが安全に扱われるとは思わない」との不信感を示している。

またインターネットの創始者の一人とも呼べるティム・バーナーズ・リー（Tim Berners-Lee）卿も、CDBが「インターネットの利用を侵害するものになる可能性がある」との危機感を表明した。プライバシー擁護派の団体だけではなく、企業や市民からも非難の声が絶えない様子を見て、同草案を支持していたはずの元副首相Nick Cleggも反対派に転向。彼の所属する自由民主党が同草案に反対したことなども影響して、最終的にTheresaの計画は失敗に終わった。

このDraft Communications Data Billは、2015年12月17日現在でも全文をダウンロードできる。かなり荒削りな内容のまま制定されたフランスのProjet de Loi Relatif au Renseignementとは対照的に、こちらの草案は123ページとボリュームたっぷりで、内容も詳細である。さらにTheresaの笑顔の写真やサインまで入った、当時の推進派の意気込みが感じられるような丁寧な仕上がりだ。

英政府が敵視し続けてきた「通信事業者の暗号通信」

英国の当局者の一部は、このCDBが廃案となった後も監視体制の強化の必要性を訴えつづけ、とりわけIT企業がユーザーに対して通常的に提供している暗号化のサービスを敵視してきた。その筆頭ともいえるのがDavid Cameron首相だ。同首相は2015年1月12日、つまりパリのシャルリー・エブド襲撃事件の発生から数日後に「このような攻撃を防ぐためにも、英国の諜報機関はテロの容疑者の『暗号化された通信』に侵入する法的な権限を持つべきだ」と提案していた。

また、英国のRob Wainwright（ユーロポール長官）は過去にも「暗号化された通信こそ、欧州大陸全域の警察を最も悩ませているものだ」と発言している。そして今年3月にはBBCに対し、先の首相の発言を支持する形で「暗号化がテロとの戦いを妨げている」と語り、さらに「テクノロジー企業の態度に、我々は失望させられている」とも述べた。

とはいえ、同長官の考えが欧州全域で広く受け入れられていたわけでもない。たとえばオランダの欧州議会議員Sophie In’t Veldは、彼の発言に抗議し「次は何を言うつもりだ？ 自宅のドアに鍵をかけるのは犯罪だとでも言うのか？ 個人的な通信の保護を市民に禁じるのは民主主義の社会で受け入れられないことだ」と語っている。

英国の姿勢に対する反発が国外から起こる理由の一つとして、それが英国内だけの話で終わらないという点が挙げられる。先述のとおり、Wainwrightはユーロポールの長を務めている。さらにユーロポールの「EC3」（European Cybercrime Centre：欧州サイバー犯罪センター）に拠点を置く国際的サイバー犯罪タスクフォース「J-CAT」の責任者も、英国国家犯罪対策庁の国家サイバー犯罪部隊副長官Andy Archibaldだ。このJ-CATは、マルウェアやサイバー犯罪への「国際的な」捜査の調整を行うもので、欧州だけではなく米国やカナダなども加盟国として名を連ねている。英国機関によるシギントの動きに、世界が注目するのは当然と言えるだろう。

帰ってきたTheresaと「Investigatory Powers Bill」

そしてCDBの産みの母である英国内務大臣Theresa Mayも、CDB の廃案によって希望を捨てたわけではなかった。彼女が2015年11月4日、つまり先日のパリ同時多発テロの2週間前に、下院に提出しなおしていた新たな草案こそが、本稿の主題「Draft Investigatory Powers Bill（以下IPB）」だ。

このIPBからは、彼女の熱意が3年間で少しも衰えていなかったことが窺える。その草案は299ページに及ぶ長さで（CDBの2倍以上）、前回には見られなかったチャートや表も入り、また内務省による2つのファクトシートが添えられている。序文のページには、前回と同様にTheresaの写真が掲載された。ただし今回の序文では「テロリスト」という語句が冒頭の一文から登場している。

前回の草案が英国市民からどれほど嫌われたかは、Theresa自身がよく理解しているだろう。彼女は、このIPBが「CDBとは全く異なるもの」であり、「暗号化を禁止することも、市民のデータのセキュリティを弱めることもない」と記した。IPBの意義については「サイバースペースの全域で治安を維持できるようにするため」「インターネットに法執行機関が立ち入れないエリアは存在しないということを明確にするため」、そして「諜報機関に実働の許可を与えるため」と説明している。

新たに提出されたIPBは、全体的に「新たな権限」あるいは「権限の拡大」を感じさせるような表現を避けている。具体的には「既存のRIPA、DRIPA、CTSA、およびTelecommunications Act 1984が、すでに通信事業者に課してきた責務を一つにまとめるものだ（32ページ68項）」と説明している。この4つの法について細かく解説をするとキリがないので、ここでは代表的なRIPA（Regulation of Investigatory Powers Act 2000）とDRIPA（Data Retention and Investigatory Powers Act 2014）のみを、非常に大まかに説明しよう。

RIPAは2000年に施行された法で、通信業者に対し「必要に応じた通信データの提供」と、「令状を発行した相手（つまり容疑者など）のデータに暗号化が適用されていた場合、それを『取り除く能力』を通信業者が維持すること」を要求する事項がある。

DRIPAは2014年7月にスピード可決された新しい法で、「諜報機関が必要とする通信データを通信業者が1年間保管すること」を要求する事項がある。ちなみに、このDRIPAを提案したのもTheresaだった。つまり彼女はCDBの廃案後も意欲的に活動し、その一部を通していたということになる。このDRIPAは2015年7月、英国の高等裁判所から「合法的ではない」との判決をくだされた（判決文のPDFファイル）。議会が可決した法律を裁判所が覆すケースは英国の歴史上でも稀だったのだが、それでもDRIPAは2016 年 3 月の終わりまで効力を持つことになっている。

これらをまとめた結果として、IPBは「通信業者に対し、ユーザーのICR（※）を1年間保管し、また必要に応じて法執行機関に手渡すこと」を要求している。結局はCDBと同様の草案であるように思われるのだが、それぞれは既存の法がすでに要求している項目であるため、「新たな権限ではない」「市民のデータのセキュリティを弱めるものではない」と言うこともできるだろう。

※ICR…Internet Connection Record／直訳すると「インターネット通信記録」。IPBの中では、「特定のデバイスが接続するインターネットサービス（ウェブサイトやインスタントメッセージ）の記録」と定義しているが、筆者が読む限り、それが具体的に何を示しているのか、たとえばウェブ履歴や送信履歴なのか、あるいはメールの内容やSNSへの書き込みまで含まれるのかは分からなかった。実際、この定義が曖昧であるという点も論点の一つとなっている。

非現実的な要請？

Theresaは、この草案が「通信業者による通信の暗号化を禁止するものではない」と説明し、暗号化に関しては「RIPAで定められている既存の義務を越えた必要条件は追加しない（29ページ63項）」と明言している。これはCDBと大きく異なるようにも見えるが、この点について英国メディア『The Register』は「2000年のRIPAに存在していた規定が、すでにエンドツーエンドの暗号化を阻むものであり、それは現実的ではない。あるいは英国政府が『暗号』というものを根本的に理解していない」と真っ向から反論した。

この2ページに渡る長い記事は、「『警察機関のためには復号できるが、他の盗聴者には復号できない暗号システムの構築』などというものは数学的に不可能である。つまり最初から通信業者にエンドツーエンドの暗号を禁じている（あるいはバックドアの設置を強いている）ことに他ならない」と主張している。

たしかに、通信業者がユーザーに対して約束している「安全な通信」を適切に実装していれば、「警察機関や諜報機関の要請に応じて、後から復号すること」は不可能だろう。通信業者がRIPAに従うには、何らかの回避を行うか、あるいは裏口を設ける以外に方法はないように思える。

このIPBに対する反応、そしてパリの同時多発テロ以降の同法案を巡る英国の様子、また同法案の予算に関する疑問点については、後半でお伝えしたい。