○CISPAの下では、民間企業はどのようなことが可能となるか?
いかなる会社も、CISPAの下では、会社の権利と資産を保護するためにサイバーセキュリティ・システムを使用し、またサイバー脅威となる情報を特定することが可能となる。さらに、それが「サイバーセキュリティ目的」である限り、その情報を政府を含む第三者と共有できる。 これらの前提条件が満たされるときは、いつでもCISPAはあなたのコミュニケーション・サービスプロバイダーがあなたのメールやテキスト・メッセージを政府と共有することを許容できるくらい広く記述されている。また、あなたのクラウド・コンピューティング・ストレージ会社は、あなたのために保存するファイルを第三者と共有できることになる。
現時点では、 “Cable Communications Policy Act of 1984” 、“1968年Wiretap Act” 、 “1988年Video Privacy Protection Act” 、および“Electronic Communications Privacy Act” (筆者注12)のような安定運用している法律は、会社が不必要にあなたのメールの中身を含む個人情報を共有するのを防ぐため司法による監視および他のプライバシー保護手段を提供する。
そして、これら法律は明白にあなたの個人情報を明かす際に度が過ぎる会社に対する民事訴訟(civil action)を起こすことを許す(筆者注13)。CISPAの主要な条項は、CISPAが他のすべての法による関連条項に優越することを本質的に「いかなる他の法律の規定にもかかわらず(notwithstanding any other law)」有効であると宣言することによって、CISPAはプライバシー法を含むこれらの法的保護を脅かすものとなる。
また、CISPAは民事と同様に刑事上の責任に対しても会社のための広い免疫を引き起こす。 会社が潜在的に個人的で個人情報の大きい帯状の領域を政府と共有するというCISPA規定はより法的な保護を民間会社に提供する。
○CISPAは著作権保護にかかる法執行のための法の濫用を防ぐ上で十分といえるか?
いいえ。 CISPAの初期の法案のバージョンでは、SOPA(Stop Online Piracy Act)法案 (筆者注14)と同様、著作権保護のための法案としての文言が使用されていたが、インターネット関係者から著作権保護に関する良くできたSOPA法案の規定がすでに明確に著作権保護について言及しているとの指摘により、削除された。
CISPAの「サイバー脅威となる情報(cyber threat information)」の定義は、直接「秘密性(confidentiality)」への脅威に関係する情報を含んでいる。しかし、その「秘密性」は何を意味するか? 法案の定義は「知的財産情報」を保護するための手段を含む「アクセスが認可された制限(authorized restrictions on access)」を保持するように設計された手段を取り囲む。 「知的財産情報」を定義されていないが、著作権を含むように読むことができる。 例えば、知的財産情報を保護するように設計されているアクセス制限の1つのタイプは、「デジタル著作権管理(Digital Rights Management:DRM)」(筆者注15)である。
正規のセキュリティー研究者は、脆弱性に関する情報を研究や発表するにあたり、知的財産にかかる情報で制限をきまりきって迂回させてきた。 脆弱性研究をサイバーの脅威であると考えるべきではない。そして、この脅威となる情報の判断は、誠実・善意(good faith)であるか否かに関係なく「法律に基づく(decisions based on)」という名目をもってとする映画業界や音楽産業に免疫性を与えるべきでない。
○何がこれらの新しい法人の権限強化の引き金となるか?
CISPAは、民間会社間で「サイバー脅威となる情報」を入手し、「サーバーセキュリティ目的」が双方にあるなら共有させることで、その権利と財産を保護することを認める。
この「サイバーセキュリティ目的」とは、会社がユーザにおいてネットワークに危害を及ぼそうとしていると主観的に思ったということを意味するだけである。 それはまさに何を意味するであろうか? この定義は、広くかつ曖昧である。すなわち、この定義は「不適当な」情報変更をガードする「タイムリーな情報アクセスを確実にする」、または「知的財産情報の保護に対する承認されたアクセス制限の留保(すなわち、デジタル著作権管理等の目的でアクセス制限)を許容するのである。
○CISPAの下では、会社が不適切に個人情報を政府に引き渡すとしたら、私は何が出来るか?
ほとんど何もできない。会社がCISPAが可能にする範囲を超えてあなたのプライバシー保護に違反しても、政府は情報が不適切に引き渡された旨ユーザに通知する必要はない。政府は会社に通知するだけである。
CISPAは、会社が「誠実・善意」で行動した限り、個人情報かあなたの個人情報に対し行われた多くの活動につき法的な免疫性を会社に供給する。 これは、非常に強力な免疫力である。会社が誠実・善意をもって行動しなかったことの証明はかなり困難である。 これらの責任制限規定により、会社が政府を含む他のものとのその情報の脅威情報とその後の共有を特定したり、取得するのに使用する行動をカバーできる。 また、この免疫性は「サイバー脅威情報に基づいてされた決定(decisions made based on cyber threat information)」という過去に一度も定義されたことがない危険かつあいまいな規定でカバーしている。
○会社は、情報セキュリティを高めるために個人ユーザーの識別情報(PII)を共有する必要があるか?
いいえ。 CISPAの最近の議会公聴会(筆者注4-4)でジョン・エングラー(John Engler)Business Roundtable :BRT)会長、ポール・N・スモカー(Paul N. Smocer)BITS会長 (筆者注16)および民間金融業界経営者向け団体である“Financial Services Roundtable”(筆者注17)の技術対策課は、法案を支持する証言を行った。スモカーは、共有する前に個人情報を取り除くために「今日、脅威情報の世界で交換される非常に小さい個人的データ(PII)があり、それが「問題でないこと」を認めた。しかし、 CISPAは官民でPIIを共有することを認め、民間会社のものへの改訂する裁量を任せると定める。
共有されるべきである中で最も役に立つ脅威情報は、攻撃およびかその方法論(PIIなしでそれのすべてを共有できる)を特定する以前に未知のソフトウェア、ネットワークの脆弱性、マルウェア署名、および他の技術的な特性を含む。 民間会社がフィッシング詐欺メールメッセージなどのメールを共有する必要がある場合、既存法の例外規定により受取人は情報を開示することができる。したがって、 CISPAに基づく包括的な権限はまったく必要ない。中国のハッキングに関する米国サイバー調査会社のMandiantの最近のレポートは、ただ会社が無権限で現行法によってそれらに与えられるもので多くの役に立つ脅威情報を共有した多くの例を取り上げている。
(4)英国のIT法専門メディアの批判
筆者が最近読み始めた英国IT法専門ブログ“TecnoLlama”(筆者注18)がCISPAにつき法案の条文につき、逐条的に問題点を指摘している。
同グループはCISPAにつき、2012年4月28日に問題となる条文案に即し法的な解釈論評を行っている。その主たる問題点のみ以下にまとめておく。
①サイバー脅威の認知機能を高めるため連邦諜報機関は民間部門に対し情報を与えるための手続きを定めるよう命じる(3条)。しかし、そこでいう“Cyber threat”とは厳密にいうと何を指すのか。法案2(d)(2)において本法にいう“Cyber threat information”、“Cyber threat Intelligence”、“Cyber security crimes”、“Cyber security provider”等の定義は「1947年国家安全保障法」1104条に定める意味であるとするが、CISPA3(a)条は「1947年国家安全保障法」1104条につき、以下のとおり、その改正する形をとっている。
1104条(1)は総則として「国家情報局長官 (筆者注19)は、情報コミュニティの各構成部門が民間事業体、公益事業体との脅威情報の共有およびそれら情報の振興に必要な手続きを定める( IN GENERAL- The Director of National Intelligence shall establish procedures to allow elements of the intelligence community to share cyber threat intelligence with private-sector entities and utilities and to encourage the sharing of such intelligence. Cyber security crimes)」
3条(g)(4)は、“Cyber threat information”、“Cyber threat Intelligence”、“Cyber security crimes”等につき新たな具体的な規定内容を持ち込んでいる。
重要な部分であり仮訳する。なお、ここで注意すべきは各論調が結構、法案の正確な用語の意味にこだわっていない点である。例えば、3条(g)(4)“Cyber threat information”、3条(g)(4) “Cyber threat Intelligence”の相違点を説明できるものがいるであろうか。(条文を読むと、前者は広く官民のシステムやネットワーク等サイバー空間に対する直接的な脅威であり、後者は機密性の高い官民の諜報情報(筆者注20))
・・・・
(中略)
3.大統領令や連邦議会調査局等におけるサイバー脅威問題の明確化要請
(1)「大統領令13636」(筆者注21) (筆者注22)
本年2月13日、オバマ大統領は「重要インフラにかかるサーバーセキュリティの改善(Improving Critical Infrastructure Cybersecurity)」に関する大統領令(13636)をもって、連邦商務省・国立標準技術研究所(NIST)に対し、サイバーセキュリティ・リスクを扱うための標準規格、方法論および手順ににつき「サイバーセキュリティの基本的枠組み(Cybersecurity Framework)」を開発するよう指示した。
また同令は、国土安全保障省(DHS)に対し、国内の重要インフラ事業体に対する前記基本的枠組みの採用を促進するための「重要インフラにかかるサイバーセキュリティ・プログラム」の開発責務を課した。
さらに、これらの戦略(initiatives)の取組みを容易にするため、同令は同プログラムへの参加を促進する誘因を推奨するよう国土安全保障省、連邦財務省および商務省の各長官に命じた。
3月28日、連邦商務省は事務総局を通じ、またNISTおよび電気通信情報局(NTIA)は「改善すべきサーバーセキュリティの採用に向けた戦略(Incentives To Adopt Improved Cybersecurity Practices)」案に関するコメント募集(Inquiry of Notice)を行った。
(2) 連邦議会調査局 の問題指摘(中略)
(3)法案S.21の要旨(議会調査局)
S.21「Cybersecurity and American Cyber Competitiveness Act of 2013」は、サイバー攻撃に対する合衆国の安全確保のため両党連立の法律制定により、民間部門と連邦政府の共同作業やコミュニケーションの改良を求めるもので、またその共同作業は合衆国の競争力を機能アップし、かつ情報技術産業における雇用を創り出すとともに米国市民やビジネスに関するアイデンティティおよび機微情報を保護するものである。
具体的な立法目的は、以下の事項である。
① サイバー攻撃に対して公的および私的なコミュニケーションと情報ネットワークのセキュリティを強化し、弾性を高める。
② 連邦政府と民間部門の間のサイバーにかかる脅威を共有すること、および脆弱性に関する情報の共有メカニズムを確立する。
③合衆国がサイバー面のリスクを評価し、阻止、防ぐ能力を改良するために公共に個人的なシステムを開発する。送電網、金融部門やテレコミュニケーション・ネットワーク等重要インフラに対するに対するサイバー攻撃のリスクを検出、阻止、調査および対処能力を改良するために合衆国における官民共同のシステムを開発する。
④研究開発、投資および専門的教育を促進する。
⑤サイバー脅威の防止となりすましを削減する。
⑥サイバーの脅威の出現に対処すべく米国の外交能力と公的や個人的な国際協力機能をアップする。
⑦方法でサイバー犯罪を調査して遂行するための方法や資源を広げ、それによりプライバシー権利と市民的自由を尊重して、米国の革新を促進する。
⑧米国のプライバシーにつき体力を要する保護により市民のオンライン活動とコミュニケーション自体を支援する。
***********************************************************
(筆者注12) ECPA(Electronic Communications Privacy Act)は大きく分けて3編から成る。第1編は人のコミュニケーション(電線経由、口頭、電子的手段による)の傍受の規制(通称"Wiretap Act")、第2編は蓄積されたコミュニケーションおよびインターネットサービスプロバイダーのようなコミュニケーションサービス提供者の保有する記録へのアクセス規制(通称"Stored Communication Act":SCA)、第3編は通話番号記録器(Pen Register)等の通話者を特定する機器の規制(通称"Pen Register and Trap and Trace Statute")である。これら3編の法律はいずれも、同法が禁止する行為により損害が発生した場合に、被害者に私訴の権利を付与している。またECPAは、刑事犯罪の捜査にかかるプライバシーと市民権の保護目的で、情報の傍受行為やプロバイダーが保管する通信データの内容の入手の禁止規定を定めている。(International Business Times 記事から抜粋)。なお、このような説明はさらに連邦議会調査局レポート「Privacy: An Overview of the Electronic Communications Privacy Act」、コーネル大学ロースクールのPen registerの法的定義等を読めばさらに正確に理解できる。
(筆者注13) ここでいう民事訴訟(civil action) の根拠規定とは、18 USC § 2520 - Recovery of civil damages authorized-である。
(筆者注14) H.R.3261 -- Stop Online Piracy Act
(筆者注15)「デジタル著作権管理」とは、デジタルデータとして表現されたコンテンツの著作権を保護し、その利用や複製を制御・制限する技術の総称。デジタル著作権管理。音声・映像ファイルにかけられる複製の制限技術などが有名だが、広義には画像ファイルの電子透かしなどもDRMに含まれる。(IT用語辞典e-Wordsより一部抜粋)
(筆者注16) ポール・N・スモカー等の証言に関し、2013年2月13日の“ComputerWorld”は、議会公聴会の模様を詳しく報じている「米国連邦議会議員、ビジネス界の幹部はCISPAでプライバシー問題を防御する。評論者は、情報を政府と民間会社で共有を認める「cyber threat」法案にはプライバシー問題がまだあると指摘(Lawmakers, business execs defend privacy in CISPA―Critics say the cyber threat information-sharing bill still has privacy problems―」
(筆者注17) “Financial Services Roundtable”とは、米国民間金融機関のトップのための経営情報団体である。筆者も情報会員である。
(筆者注18) “TechnoLlama”のHPのタイトルの冒頭で「本ブログは単に法律ブログなんてもんじゃない(Not Just Technology Law Blog)」と謳っている。その意味するところは読者自身が確認してほしいが、筆者が本ブログで行った作業を同じく行っている。そこでの指摘されている問題も筆者が考えたことと重なる。
(筆者注19) 国家情報長官(Director of National Intelligence)は、2004年12月に成立した「情報活動改革テロリズム予防法(Intelligence Reform and Terrorism
Prevention Act of 2004, Pub. L. No. 108-458)にもとづき設置されたものである。中央情報長官(Director of Central Intelligence)に代わって、アメリカの情報活動コミュニティを統括すべく権限が強化された。詳しくは、国会図書館・外国の立法 228(2006年5月)宮田智之「米国におけるテロリズム対策―情報活動改革を中心に―」を参照されたい。
(筆者注20) “Intelligence Commuity”の意義とは何か。意外とあいまいな用語である。たとえば、Department of State Rewards Program Update and Technical Corrections Act of 2012'' の定義部分を引用する。
4) The term “intelligence community” includes the following:
(A) The Office of the Director of National Intelligence.
(B) The Central Intelligence Agency.
(C) The National Security Agency.
(D) The Defense Intelligence Agency.
(E) The National Geospatial-Intelligence Agency.
(F) The National Reconnaissance Office.
(G) Other offices within the Department of Defense for the collection of specialized national intelligence through reconnaissance programs.
(H) The intelligence elements of the Army, the Navy, the Air Force, the Marine Corps, the Coast Guard, the Federal Bureau of Investigation, the Drug Enforcement Administration, and the Department of Energy.
(I) The Bureau of Intelligence and Research of the Department of State.
(J) The Office of Intelligence and Analysis of the Department of the Treasury.
(K) The Office of Intelligence and Analysis of the Department of Homeland Security.
(L) Such other elements of any department or agency as may be designated by the President, or designated jointly by the Director of National Intelligence and the head of the department or agency concerned, as an element of the intelligence community.
公的機関については、このような具体的な説明で理解できよう。しかし、問題はここからである。次のような法律用語解説がある。
The intelligence community includes individuals and companies that contract to provide intelligence gathering or analysis services for the government, for corporations, or for private individuals, or who publish intelligence news to the general public. An example of a company that provides a range of services is Jane's, originally a publisher of information about shipping and aviation, which now offers information about worldwide military capabilities.
この部分は、法律の定義の曖昧さが残る重要な問題といえる。
(筆者注21)オバマ大統領の大統領令を用いた具体的な政策実施の基本にかかる考えを理解するには、国立国会図書館調査及び立法考査局:外国の立法240(2009年6月)廣瀬淳子「大統領記録の公開―大統領記録法とオバマ政権の大統領記録に関する大統領令―」が参考になる。
(筆者注22) 例えば、4月29日、Covington & Burling LLPおよびビジネスコンサルテイング会社Chertoff Group はNTIAのコメント募集に対し、中立の立場から意見(4月30日のCovington & Burling LLPブログからリンク可)を提出した。コメント内容は商務省がプログラムへの参加の誘引を構造化する際に考えるべきいくつかの点を述べている。
なお、今回提出されたコメントのすべてがNTIAウェブサイトで閲覧可能である。
********************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます