英国のサイバー犯罪対策機関(NCA)は広告キャンペーンは新たなサイバー犯罪を阻止活動とDDoS攻撃代行広告の規制問題

　筆者がしばしば取り上げてきたKrebsonSecurityサイト(代表はブライアン・クレブス(Brian Krebs)氏)は、最近「英国のサイバー犯罪対策機関である“National Crime Agency:NCA (筆者ブログ(筆者注3-2)参照)が広告キャンペーンで積極的に新たなサイバー請負犯罪阻止に取り組む」をテーマとして取り上げており、久しぶりに同ブログを熟読した。

Brian Krebs氏

　筆者のブログではかなり以前からサイバー犯罪を取り上げており、要約するとサイバー攻撃（DoS攻撃:Denial-of-ServiceAttack:サービス妨害攻撃）→DDoS 攻撃 :DistributedDenial-of-Service:分散型サービス妨害攻撃）→DRDoS 攻撃（DistributedReflectionDenial-of-ServiceAttack:分散反射型サービス妨害攻撃）インターネット上に存在するマシン群に通信を反射させて、大量のパケットを攻撃対象に送信するDDoS攻撃→、Booter やStresser と呼ばれる DDoS 攻撃代行サービスが登場しており、攻撃に関する知識を持たないユーザでも DRDoS 攻撃を容易に実行できる状況になっている(NICT から抜粋)。

　特に筆者が関心を持ったのは、英国などで“Booter” や“Stresser” と呼ばれる DDoS 攻撃代行サービスが安価でかつ専門知識が不要な条件のもとで若者社会で広がっている点である。NCAがこれらの犯罪予備軍に対する警告強化の必要性を資金をかけて行う意義を改めて検証したのは、これらはいずれわが国の重要課題と考えた方である。
　ちなみに、わが国の情報処理推進機構(IPA)サイトで“Booter” や“Stresser”を検索したが結果は「該当なし」であった。

　また同時にクレブス氏は、数週間前、Googleサイトで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。その後の同氏とGoogleのやり取りのついても詳しく解説している。

　そこで、KrebsonSecurity サイトのブログを仮訳するとともに、筆者なりに補足を試みる次第である。なお、筆者の責任で項目立てを行った。(注1)

　なお、言うまでもないが筆者の責任でリンクや注書きを補足、追記した。

１．NCAのオンライン不正行為に関する有料化を前提とした警告キャンペーン
　NCAは、コンピューター犯罪を可能にするサービス、特にトロイの木馬プログラムやDDoS for-hireサービス(筆者注1)(筆者注2)をウェブで検索する若者を対象としたオンライン広告を掲載している。 今回の広告キャンペーンは、2017年後半に開始された同様のイニシアチブに従い、他の人に危害を加えるための使用は違法であり、潜在的な顧客を刑務所に入れる可能性があると説明することにより、そのようなサービスの需要をかなり抑えたと英国の学術研究者は述べている。
　たとえば、Googleで英国のインターネットアドレスから「booter」または「stresser」を検索すると、そのようなサービスを使用して他の人を攻撃していることはオンライン行為は違法であると警告する有料広告が検索結果の最初のページに表示される可能性が高くなる。 このような広告費用は英国の国家犯罪庁(NCA)によって賄われており、2017年12月から6か月間、関連するキャンペーンで成功を収めた。

２．NCAのネット広告に目的と若者がターゲット
　NCAのシニアマネージャーであるデビッド・コックス(David Cox)氏は、サイバー犯罪から若者を遠ざけるための継続的な取り組みの一環として、ブーターサービスやさまざまなタイプのリモートアクセス・トロイの木馬（RAT）(筆者注3)を探し、また好奇心とスキルを十分に生層としている13歳から22歳の英国男性を広告のターゲットとすることを明らかにした。同広告は、広告や英国のサイバーセキュリティ・チャレンジ(注4)にリンクしている。このチャレンジでは、コンピュータセキュリティの概念を巧みに試し、サイバーセキュリティの役割の潜在的なキャリアを強調している。

David Cox :Senior Manager at National Cyber Crime Unit of National Crime Agency (NCA)
Linkedinから引用

　コックス氏は以下のとおり述べた。「実際には、子供たちを教える教室の前に立っている人たちは、彼らが教えようとしている人よりもサイバー犯罪についての情報が少ない。同キャンペーンはいわゆる「ノック・アンド・トーク(Knock and talk)」(注5)をサポートするように設計されていると指摘した。マルウェアをダウンロードしたり、DDoS for-hireサービスを購入した若者の家を調査者が訪問し、そのような活動を警告するものであり、これは、他の方法があることを人々に示すことのすべてといえる。」

　一部のマルウェアをサービスとして展開したり、ブーターを使用して誰かまたは何かをオフラインにしたりすることで法的な厳しい制裁を受ける可能性があることは、カジュアルな読者には明白に思えるかもしれませんが、これらのサービスに頻繁にアクセスする人の典型的なプロファイルは若い男性であり、彼らは影響を受けやすく、他の誰もがすでにそれを行っている志を同じくする人々のオンラインコミュニティに参加している。
2017年1月13日、NCAはレポート「Pathways into Cyber Crime(全18頁)」を公表した。このレポートは、さまざまなサイバー犯罪の調査に関連して、英国の法執行機関が訪れた多くの若者へのインタビューに基づいて作成された。

　NCAが見出したこれらの調査結果は、疑わしい容疑者へのノック・アンドトーク・インタビューを通じてもたらされたもので、これら容疑者の61％が16歳より前にハッキングに従事し始め、容疑者と逮捕者の平均年齢はハッキング事件に関与した人々は17歳であった。

　サイバー犯罪に関与している、またはその周辺で活動している人々の大多数は、コンピューターゲームへの関心を通じて関与したことをNCAに述べた。
これら犯罪者の大部分は、ゲーム感覚で不正、詐欺的に利用するWebサイトや「改ざん」フォーラムに参加し始め、その後、さらに犯罪ハッキングフォーラムに進んでいた。

　NCAは、訪問した容疑者たちが個人が好奇心、挑戦を克服すること、または仲間のより大きなグループに自分を証明することを含む、主要な動機のほんの一部を心に留めていることを学んだ。同報告書によると、典型的な犯罪者は、捕まる危険性が低いと認識されていることや、一般的に犯罪が被害者のない犯罪であったとの認識など、悪条件の完全な嵐に直面していた。

　また、NCAの報告書は「個人はサイバー犯罪をリスクが低いと考えているため、法執行活動は抑止力として機能しないし、さらに報告対象者は、彼らが知っているか聞いたことのある誰かが逮捕されるまで法執行機関を検討しなかったと述べた。これらの犯罪抑止力が機能するためには、犯罪者（または潜在的な犯罪者）と法執行機関がこれらの個人の目に見える存在として機能することの間のギャップがなくなっている必要がある。」と述べている。

　コックス氏は、NCAは今後も無期限にこの種の広告を掲載し、プラットフォームがDDoS for-for-hireサービスのターゲットになる可能性が最も高いオンラインゲーム業界の大手企業など、外部ソースからの資金提供を模索していると語った。また、彼はこのプログラムを「大成功」と呼び、過去30日間（うち13件は資金上の理由で掲載されていなかった）、広告効果は約532万インプレッション(Webサイトの広告の露出回数。1広告が1回表示されることを1インプレッションという)、57,000クリック以上を生成したと指摘した。

曲線の平坦化
　ケンブリッジ大学サイバー犯罪センターの所長であるRichard Clayton氏は、攻撃を開始するために一般的に指揮されたり悪用されたりするタイプのシステムを装ったインターネット上のさまざまなセンサーを使用して、DDoS攻撃を数年間監視してきた。

Richard Clayton氏のHPから

　昨年、クレイトンとケンブリッジの研究者たちは、法執行機関の介入（2017年から2018年にかけてのNCAの反DDoS広告キャンペーンを含む）が、DDoS for for Hireサービスの需要の伸びを明らかに鈍化させたことを示す論文を発表した。

　同氏は、「我々のデータは、その広告キャンペーンを実行することにより、NCAがその期間中のブーターサービスの需要を平準化できたことを示している。言い換えれば、これらのサービスの需要は、通常のように期間にわたって増加することはなく、期間の終わりにそれを行う人が最初よりも多くなることはなかった。私たちがこれらエータをNCAに提示したとき、キャンペーンの費用は1万ポンド未満であり、このタイプのサイバー犯罪が6か月間拡大するのを阻止したので、彼らはこれまでにとても喜んでいた。」

　クレイトン氏は、「問題の一部は、多くのブーター/ストレッサープロバイダーが合法的なサービスを提供していると主張していること、そして彼らの見込み顧客の多くは、これが真実であると信じるのに熱心すぎ、また、価格も手頃であると指摘した。すなわち、一般的なブータ・ーサービスを利用しても、月額数ドルでかなり強力なDDoS攻撃を開始できる点である。」と指摘し、さらにクレイトンは「これらのタイプのサービスを合法的に提供する合法的な会社があるが、これが発生する前に実施しなければならないあらゆるタイプの契約があり、そして、あなたは1ケ月に10ドルではそれを手に入らない」と述べた。

悪魔になるな(DON’T BE EVIL)

　一方、NCAの[booter」または「stresser」阻止広告キャンペーンは、これらのDDoS-for-hireサービスを実行している同じ人々の多くが取り出したGoogle広告と直接競合しています。この一部の読者は、サイバー犯罪サービスが、正当なビジネスと同じように、Googleや他の検索サイトに広告を出すことが多いことを知って驚かれるかもしれない。

　数週間前、KrebsOnSecurityは、Googleで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。しかし、この発見に関するツイートで述べたように、これはほとんど新しい現象ではない。

　ケンブリッジ大学のクレイトン氏は、そのような広告の普及について彼が2018年に書いたブログ投稿をもって私(Krebs)に指摘した。これは、そのプラットフォームを介した許容可能な広告に関するGoogleのポリシーに違反している。 Googleは、「損害、危害、または傷害を引き起こす」サービスの広告は許可されておらず、「不正行為を可能にするように設計されている」サービスの広告は許可していないと述べている。

　クレイトン氏は、Googleは最終的に問題のある広告を削除したと述べた。しかし、グーグルの私の数秒間が明らかにしたように、会社は人々が不満を言うとき、これらの条件で広告の配置（および支払い）を明示的に禁止するのではなく、モグラをすることに決めたようです。
グーグルはKrebsOnSecurityに、それはそのポリシーを実施するためにテクノロジーと人々の組み合わせに依存していると語った。

　Googleからはクレブス氏宛てに書面で以下の通り回答があった。「当社のプラットフォーム上のユーザーを保護するために設計された厳格な広告ポリシーがある。ユーザーを利用したりユーザーに危害を加えたりするように見えるサービスを含め、不正行為を可能にする広告は禁止されている。広告ポリシーに違反する広告を見つけた場合は、削除措置を講じており、この場合、広告はすぐに削除された。」

　Googleは、この点に関する施行の取り組みを詳しく説明している最近のブログ投稿で指摘し、同じ理由で、2019年に同社はポリシーに違反した27億を超える広告（1日あたり1,000万を超える広告）を削除し、100万の広告主アカウントを削除したと述べた。

　上の写真の広告は、私がgoogleに働きかけた直後に表示されなくなり、残念ながら、別のブーターサービス（以下に表示）の広告が、すぐに削除したものに取って代わった。

*********************************************************************************************************************

(筆者注1) DDoS-for-hire（DDoS請負）サービスは、Booter やStresser と呼ばれる DDoS 攻撃代行サービスと同義である。

(筆者注2) サイバーセキュリテイソフトウェア・サービス会社であるImpervaも“Booters, Stressers and DDoSers”と題するレポートで“DDoS for hire service”やさらにはボットネットのレンタル相場についても詳しく論じている。

(筆者注3) リモートアクセスを可能とするトロイの木馬（Trojan horse）、通称 RATについてCISCO JAPAN BLOG　から一部抜粋、引用する。
RAT の詳細
攻撃者にとって RAT は非常に便利です。RAT は、ダウンロードファイルや電子メールの添付ファイルといった一般的な経路で配布されます。多くの RAT は Downloader、Administration Tool、Infostealer などの機能をすべて備えているため、攻撃者は各機能を手軽に利用できます。つまり、RAT は複数のツールを統合したパッケージだと言えます。
RAT にはさまざまなバリエーションがあります。多様な攻撃シナリオで使用できる一般的なものから、特定の標的に合わせて高度にカスタマイズされたものまで、幅広く存在しています。決まったプロキシを使用して攻撃者の所在を隠す RAT や、同じ目的で Command & Control（C2）サーバを使う RAT もあります。(以下、引用は略す)。

(筆者注4) Cyber Security Challenge UKに同社のHPから抜粋、仮訳する。なお、同社の組織概要はEUのENISA2014年報告(全39頁)が分かりやすく解説しているので冒頭で引用、仮訳しておく。なお。このENISA報告は、ENISAサイトからダウンロードされたい。

「Cyber Security Challenge UK Ltdは、英国のサイバーセキュリティスキルのギャップを埋めるために2010年3月に設立された非営利企業である。調査対象の専門家の約90％が、調査対象のサイバーセキュリティジョブの8つのカテゴリすべてにわたって、企業が必要とするサイバーセキュリティ能力を有する人材を採用するのに困難さを抱えており、ほぼ60％がサイバーセキュリティの英国市場内で（正しく）予測されるジョブ数の増加を予測していた。
Cyber Security Challenge UKの使命は、あらゆる年齢のサイバーセキュリティの才能を持つ人々を十分に特定し、刺激を受け、トレーニング方法を見つけ、英国の経済の繁栄、国家安全保障、選ばれた生き方等を効率的に保護するために必要な仕事に就けるようにすることである。

同社は政府、民間部門、学界からの支援を受けて運営されており、国家安全上の理由や市民がデジタル手段を使用して安全に行動することを選択できるだけでなく、経済を支えるためにも、サイバーセキュリティの国家的重要性を認識している。そして、そのことが英国の将来の繁栄と成功に必要な市場の成長を可能にする。

Cyber Security Challenge UKは、十分な数の有能な人々をサイバーセキュリティの専門職で学び、キャリアの機会に紹介するように設計されたユニークな活動プログラムである。」(以下、略す)

【Cyber Security Challenge UK】サイトから抜粋、仮訳
(1)当社の任務
サイバーセキュリティ業界への人材の繁栄と包括的パイプラインを確保することであり、2010年3月に設立された当社は、さまざまなバックグラウンドを持つより多くの人々がサイバーセキュリティの専門家になるための刺激となるように設計された一連の全国大会、学習プログラム、ネットワーキングイニシアチブを開発した。
我々は、サイバーへのキャリアパスを考慮していなかったかもしれない人々の参加を促すために、次の未開拓の才能のプールを特定する。
そのために、性別の多様性と神経多様性のイベントをサポートして、サイバーセキュリティ業界に適したスキルと多様な考え方を持つ人々の間で機会を促進するために、女の子専用のサイバーキャンプを開発した。私たちの「イマーシブスクールプログラム」、「オンラインゲーム」、「キャリアフェア」は、サイバーファースト、サイバーディスカバリー、サイバーセンチュリオンコンペティションなど、英国の他の教育プログラムへのエントリーポイントを提供する。我々は、特に社会経済的貧困の分野で、教育の早い段階で学生を対象としている。ただし、エントリーレベルの仕事、見習い、さらなる教育の機会にも焦点を当て、大学レベルまでネットワーキングとサイバー・トレーニングを奨励している。

(2)ENISAとの関連、協働活動
欧州サイバーセキュリティコンペティション2020（ECSC）は、英国の新興サイバースペシャリスト（16歳から25歳）から最高のものを引き出し、ヨーロッパの同時代の人々と対戦する。 私たちは英国のチームを選択、育成、管理し、技術トレーニングを提供する業界のリーダーと協力して、チームが競争で最高のチャンスを得られるようにする。
EUのサイバーセキュリティを担当するEUの代表機関であるENISAが運営するこのコンテストは、サイバーセキュリティで成功するために必要なスキルの探求である。ECSCは、業界のリーダーとつながり、欧州大陸全体の仲間とネットワークを築き、サイバーセキュリティ業界の詳細を発見するユニークな機会でもある。

(筆者注5)　法執行機関で使う場合は、ノック・アンド・トークとは、1人または複数の警察官が個人の住居に近づき、ドアをノックし、所有者に住居を検索するための同意を求める調査手法をいう。この手法は、犯罪行為が疑われる場合によく利用されますが、捜査令状を取得する十分な証拠がない場合の利用される。Wikipedia から筆者が仮訳。

*******************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

 

 

米国ワシントン州の先行的立法といえる顔認証規制法案の成立と法案の概要

ワシントン州上院議会　Seattle Times記事から引用

　5月13日に筆者の手元に大手ローファームであるFox Rothchild LLPやSeattleTimes等からのレポートが届いた。すなわち、ワシントン州議会上院はCOVID-19の流行の真っ只中でほとんど宣伝されなかったが、2020年3月、州および地方政府機関による顔認識ソフトウェアの導入を規制する画期的な顔認識規制法案(SB 6280 - 2019-20 Concerning the use of facial recognition services)を可決した。 この法律は2021年7月1日から施行され、最終的には将来の民間部門の規制をも予測することができるという内容である。

　その法案の主要点は本文で述べるが、ローファームのレポートは別としてSeattle Timesの記事(記者はstuff reporter :Joseph O’Sullivan氏 )については、オンライン記事とはいえ議会の法案に関する立法解析内容へのリンクや民間企業活動などへの影響などにも言及している点である。わが国の最近の主要メディアの記事自体が現象面や政治家のスキャンダラスな点のみに注目している点が気になるだけに、米国等におけるメデイアの在り方論を別途研究してみたい。

１．Fox Rothchild LLP「Washington State Passes a Landmark Facial Recognition Law」レポートの概要の仮訳

　この法律は、「個人の識別、検証、または永続的な追跡」のために顔の特徴を分析する技術として定義される「顔認識サービス」を規制するものである。同法律は、顔認識技術の運用および独立したテストを実施することを政府機関に要求し、従業員のトレーニングと限定された人間による検証・レヴューを要求している。

　顔認識技術を使用する政府機関は、関連する立法当局に意思通知を提出することを含め、複数の要件に準拠する必要がある。また政府機関は、以下の詳細を説明する説明責任レポートも提出する必要がある。
① 顔認識技術の名称、その提案される使用法およびその機能と制限に関する説明
② データ入力のタイプとデータの収集および処理方法に関する説明
③ 顔認識技術が最終的に生成するデータのタイプ
④ 政府機関がテクノロジーをどのように展開するか、および政府機関の代理として別の機関団体等によって使用されるかどうかの説明を部分的に要求する使用およびデータ管理ポリシー
⑤ データの最小化、データの整合性およびデータの保持の原則
⑥ 同技術の運用、またはテクノロジーの使用から得られた個人データの処理を行う担当者向けの政府機関のトレーニング手順
⑦ エラー率と不正使用に対処するための計画
⑧ プライバシーと疎外されたコミュニティへの潜在的な影響とそれらの懸念を軽減するための計画
⑨ 説明責任レポートを完成させる前に、政府機関は、パブリックレビュー、コメント、およびコミュニティ・ミーティングを許可する必要がある。同レポートは2年に1回更新する必要がある。さらに、政府機関はベンダーにテクノロジーにある偏見の苦情を開示するよう要求する必要がある。

　重要なのは、政府機関が顔認識技術を使用して、「金融および融資サービス、住宅、保険、教育登録、刑事司法、雇用機会の提供または拒否」に関する法的または「同様に重要な影響」をもたらす決定を行う場合、限定された人間による審査が必要である。医療サービス、または食料や水などの基本的な必需品へのアクセス、または個人の公民権に影響を与えるもの。」これらの決定を行う前に、政府機関は最初に運用条件の関するテクノロジーをテストし、ツールを独立したテストに利用できるようにする必要がある。

　顔認識ツールの展開に関する他の州および地方の禁止とは対照的に、ワシントン州は、顔認識技術の規制におけるリーダーであることを示している。しかし、決定が残されているのは、民間部門におけるこの技術の使用と規制への影響である。

２．米国メデイアGeek wire記事「ワシントン州、政府によるAIの使用を制限する画期的な顔認識法案を可決」の概要
　市民記者(civic editor)(筆者注1)であるモニカ・ニッケルスバーグ氏(Monica Nickelsburg)の記事が有用であり、以下で仮訳する。なお、筆者が改めて法案内容等を議会サイトで調べたが、なお説明不足の感があり、リンクを含め筆者の責任で補足した。

　ワシントン州議会は、政府機関による顔認識ソフトウェアの使用に関する新しいガードレールを確立する法案を可決した。この法案は、会期が終了する数時間前の3月12日に州議会の両院を通過させ、人工知能をめぐるより大きな法的議論の主要な要素である顔認識を規制する州の最初の州の1つとしてワシントンを位置づけた。
　最終同法案は現在ジェイ・インスリー(Jay Inslee)知事の署名を待っている。
この法律は、公共機関が顔認識技術の使用について定期的に報告し、ソフトウェアの公正さと正確さをテストすることを義務付けている。すなわち同法案により法執行機関は、緊急事態がない限り、捜査で顔認識技術を使用する前に令状を取得する必要がる。また、この法案は政府機関による顔認識技術の使用を研究するための専門部門(task force)の設置を義務付ける。(筆者注2)

　この法案では、顔認識ソフトウェアを使用して「法的効果」を生み出す決定を下す公共団体は、人間が結果を確認することを保証する必要があることになる。そのカテゴリーには、個人の仕事、金融サービス、住宅、保険、教育に影響を与える可能性のある決定が含まれる。

　「これは歴史的なことだ」と、マイクロソフト社でも働いている法案の共同提案者であるジョー・グエン(Joe Nguyen)民主党上院議員は述べた。 「私は他の司法管轄区については知りえない。確かに米国では、おそらく世界中で、企業が基礎となるデータを公開することを…正確さをテストできる方法で開示する必要がある。」
　ワシントン州には、顔認識ソフトウェアを開発している米国最大の2つの企業、AmazonとMicrosoftがある。両社の指導者たちは、ほとんど規制されていない顔認識技術の新しいルールを作成するよう州議会議員に要求した。
　2019年9月、AmazonのCEOであるJeff Bezos氏は、顔認証を「規制が必要な場所の完璧な例」と呼んだ。マイクロソフトのプレジデントであるブラッド・スミス(Brad Smith)氏は、この技術をガードレールなしで引き続き展開できるようにすることの結果について繰り返し警告している。しかし、スミス氏は1月に、一部の政府が検討している技術の一時的な一時停止は、メスの代わりに肉切り包丁を使用するようなものになると述べた。

　顔認識は避雷針になり、公民権団体や研究者は人間の偏見を増幅する可能性があると主張している。米国の人権擁護団体であるアメリカ人権協会( ACLU)とMITが実施したAmazonのRekognition softwareに対する調査によると、このテクノロジーにより、白人男性よりも女性と色の人を誤認することが多くなっている。 Amazonは、これらの調査の方法論には欠陥があると述べており、このソフトウェアを使用するすべての法執行機関に高い信頼しきい値を推奨している。
　また、ACLUは、地方および連邦政府機関による顔認識の導入を後押ししている。3月12日、米国の公民権組織は移民当局が顔認識技術をどのように使用するかについての情報を要求して、連邦政府を訴えた。

　ワシントン州で3月12日に可決された法案は、顔の認識を抑制するための議員によるいくつかの試みの1つである。データ・プライバシー規制に焦点を当てた別の法案には、顔認識技術の商用アプリケーションに関する新しい規則案が含まれていたが、その法律は期限までに議会で通過しなかった。

３．シアトル・タイムズ記事「Washington Senate passes bill to regulate governments’ use of facial-recognition technology」概要

　2月19日Seattle Timesの記事(記者はstuff reporter :Joseph O’Sullivan氏 )」を補足も含め仮訳する。

Joseph O’Sullivan氏

　ワシントン州議会上院は5月11日、州政府機関による顔認識プログラムの使用を規制し始める法案を承認した。
上院法案 SB 6280は、ジョー・グエン(Joe Nguyen)民主党上院議員が中心となり、急速に発展し、ほとんど規制されておらず、ほとんどの住民にとって不透明なテクノロジーに対抗するための今年の一連の立法案の1つである。

　顔の認識は特に懸念されており、法執行機関によるその使用は、プログラムが人々を正確に特定することさえできない前に行われることが懸念されている。2019年12月に発表された画期的な連邦政府の調査によると、顔認識プログラムは白人よりも色の人を誤認することが多かった。男性よりも女性が多い。そして子供や高齢者は他の年齢層の人々よりも頻繁に誤認が見られた。
　法案は現在、審議のため下院に提出される。
　特に、法案SB 6280は、ほとんどの場合、進行中の監視のために州および地方政府機関が顔認識を使用することを禁止している。そのよう顔認証技術による監視は、捜査令状を伴う法執行機関または死亡のリスクを伴う緊急事態などの特定の状況下でのみ局長の決定を支持して許可されるとある。

　議会の同法案に関する立法分析(legislative  analysis)によると、法律では、法的影響を与える顔認識プログラムに基づいて下された決定は、決定を変更する権限を持つ顔認識のトレーニングを受けた政府機関の労働者によって見直される必要がある。そのような決定の例には、金融ローン、住宅、ヘルスケア、または雇用機会の付与または拒否が含まれる。

　SB 6280では、法的影響を与えるプログラムを展開する前に政府がテストする必要を明記する。また顔認識から収集された個人データを扱う公務員向けのトレーニング基準を設定する。
　さらに、法案は州政府が顔認識をどのように使用するかを開示する年次報告書を発行し、その報告書についてコミュニティー・ミーティングを開催することを要求している。

　なお、グエン議員の提案は、企業が個人データと顔認識をどのように使用するかを規制する上院議員によって支持された別の法案のように、下院で抵抗を受ける可能性があリ、代わりに政府が一時的に顔認識を使用するのを中止させたいと考える議員もいる。すなわち、デブラ・エンテンマン(Debra Entenman)下院議員(民主党)は、そのような提案の1つを後援した。すなわち下院法案2856は、2023年7月1日まで、民主党地方政府と州政府による顔認識プログラムを禁止するというものである。

******************************************************************
(筆者注1) “civic editor”につき、筆者なりに補足する。Wikipedia を一部引用する。
「市民ジャーナリズム（しみんジャーナリズム）とは記事を広く一般から集う形態のジャーナリズムである。日本での代表的な例としては、PJニュース、JANJANなどがある。市民ジャーナリズムで取材活動を行う人は市民記者と呼ばれることが多い。
対義語は既存メディアである商業ジャーナリズム。・・・・
【既存メディアとの関係】
ボルチモア・サン紙の元記者、デイビッド・サイモンは、所詮、インターネットに出ている情報は、既存メディアが流している情報をコピー&ペーストして、それに対し独自の意見を付け加えたものでしかなく、ネットのブロガーや市民記者は寄生虫のようなものだと指摘している。宿主となる既存メディアは、その寄生虫のため、自らの経営を蝕まれ、次第に、一次的な情報を提供する既存メディアが弱体化し、社会に正確な情報が行き渡らなくなるという。サイモンは、そのためにも、既存メディアはネットでの情報発信を有料化するか、NPO化して市民の寄付などで経営を健全化していくべきだと主張している」
　このWikipedia原稿は大変偏った内容であることは言うまでもない。すなわち、わが国や海外のブロガーは単に既存メデイア情報をコピー＆ペーストしているのは大多数かもしれないが、筆者が見る限り市民ジャーナリズム先進国である米国でもメデイアやローファーム記事でもこの種のウェブ記事が多いことも事実である。
他方で、極めて選択するテーマが専門的でロースクールの専門サイトやThink Tankのレベルに近いブログも多いことも事実である。
　翻ると、わが国では筆者が知っている範囲で見ても総研やjetro等の中央省庁専門レポートからの受託研究論文に匹敵するブログがあることが事実であり、筆者が目標とする点すなわち原典主義(新法解説であれば、その国の法案や議会の法案解説にあたる、すなわち大学院演習講義に近いもので法律自体の調べ方から始まるもの)もこの点にある。
この点は筆者ブログ(URLは、https://blog.goo.ne.jp/fukuhei_2006)  においてこれまで約14年間実践してきた取組みテーマである。なお、一般読者は気が付かれているとおり、筆者としてこのほかに取り上げるテーマがあまりにも広いので、このほかにも
URL: https://blog.goo.ne.jp/hosiei やURL: https://blog.goo.ne.jp/hiraryu_2009  も併読されたい。

(筆者注2)ワシントン州のJay Inslee知事は法案署名にあたり以下の通り、一部拒否権行使した。以下で仮訳する。一部筆者が補足した。
「2020年3月31日、ワシントン州議会上院議員および上院議員各位へ
私は、法案第10条についての承認に関し留保する。第10条は、以下の目的で、顔認識サービスに関する法に基づく専門部会(task force)を設置する。①顔認識サービスの使用によってもたらされる潜在的な虐待や脅威に対処する推奨事項を提供するとともに、これらのサービスの継続的な開発を促進および奨励する方法にも対処する。②該当するワシントン州法の妥当性と有効性に関する推奨事項を提供する。③サービスの品質、正確性、有効性に関する調査を実施する。
　このタスクフォースの目的は非常に重要であるが、州予算では賄われていない。州議会は、顔認識技術に関するポリシーの推奨事項を通知する状況評価の準備にワシントン州立大学のラッケルスハウス・センター(William D. Ruckelshaus Center)を関与させることを推奨する。そのような評価は、どのように進めるのが最善であるかについて多くの質問に答え、その後の議会でのタスクフォースの作成をよりよく知らせることにつながる。これらの理由により、私は第10条につき拒否権を行使し、同条を除いて、法案 Bill No. 6280は承認されるべきと思う。

**************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

「マイナンバー制度構築の最大の目的はどこに行ったのか」

　

　筆者は去る5月1日付け朝日新聞「経済気象台：たそがれマイナンバー」記事等を読んで、改めて新型コロナウイルス感染症対策「特別定額給付金」手続きに関するオンライン申請制度の不備や、そもそもナイナンバー制度の目的や特別定額給付の在り方等に関し、その具体的問題点を改めて検証してみた。
　なお、今回の執筆に関する時間が限られたため、後日、本格的に論じたい。

　第一に、気象台の記事にあるとおり2011年にその導入が決まったマイナンバーの主要目的の1つとして国家から税務署を通じて生活が苦しい一定の低所得者に消費所得税の税額から消費者負担分を控除し、その差がマイナスならその分を給付し、国民の実質的な負担軽減を行うと説明されてきていた点が現時点で全く公の場で論議されていないことである。

　第二にいわゆるマイナンバー法(番号法:正しくは「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号)の利用目的は、(1)年金、雇用保険など労働分野、福祉・医療等の社会保障分野、(2)確定申告書や各種届出という税分野、(3)被災者生活再建支援金の支給事務等災害対策分野であることが重要であり(筆者注1)、まさに迅速な国民の生活資金の支給にマイナンバーを活用すべき点である。この特別定額給付金のオンライン申請をマイポータルサイトで行うという迅速な手段が用意されていると政府から説明されたため、多くの国民があわててスマホを買い替えたりしたのであろうが、そこにも落とし穴すなわち今回は、 世帯ごとに給付することにしたので、カードで申請しても、市町村役所で 職員が台帳と確認するというアナログなやり方になり、時間がかかるので、役所から送られてくる書類を郵送する方法と速さは 変わらないとされている点である。それなのに、総務省がカード申請を優先でというのは、これを機に、マイナンバーカードの普及を図りたいという魂胆で、国民にとっては、あまりメリットはない、ということになりそうな点である(小宮山洋子元厚生労働大臣のブログから引用)。(筆者注2)
　さらにマイポータルサイトで使用されている専門用語が理解できないと先には進めないし、また『マイナポータルAP』ダウンロード、マイナンバーカードのパスワード『署名用電子証明書の暗証番号（英大文字数字6～16桁）を忘れたため改めて固有の設定手続を行うなど、多くの国民は混乱のさなかにある。(筆者注3)

　第三に、マイナンバーを活用した税還付の仕組みの効率化、迅速性が必要な点である。すなわち、申請書では世帯単位の手続きを採用しているが、そのもととなる市町村の世帯別名寄せシステムはすでにあるはずであり、また受取口座については、①市町村の水道料、②住民税等の引き落とし口座、③児童手当などの受給用口座に限るとすれば当該口座に世帯名寄せの合計金額を振り込めば、少なくとも数週間か1か月以内に入金できるはずである。つまり、上記①から③以外の一部の世帯主のみが申請手続きが必要であるが、それ以外の大多数の国民は受領権放棄をしない限り一定期間後の該当口座に振り込まれるのを待てばよいはずである。これが可及的速やかな給付である。

　第四番目の問題として所得税や消費税の減税措置である。当初わが国でも多くの論者やメデイアが無責任にこれらを論じていたが、特別定額給付金の手続が始まった途端にそれらの声は全くと言ってよいほど聞こえなくなった。
　筆者が言いたいのは、所得税減税については今回のような仕事を前提にした所得が未確定の期間続く場合は、一定の条件の下で米国の税法上の居住者に税額控除としての「クレジット(credit)」のわが国での積極的導入である。詳しくは筆者のブログ「米国のファミリー・ファースト・コロナウイルス対応法に基づく財 務省、内国歳入庁(IRS)等の新型コロナウイルス関連の従業員や家族 等の休暇を提供等に関する具体的措置内容(新型コロナウイルス対 応：その6)」の(筆者注2)等を読まれたいが、消費税の減税措置と異なりパンデミック期間に限った福祉政策としてきわめて有効であると考えるが、わが国ではほとんど解説を読んだことがない。

*****************************************************:
(筆者注1)これらの内容については、資料2 「社会保障・税に関わる番号制度 について」、
H29.3.14 講演資料 内閣官房 番号制度推進室 内閣参事官 三橋 一彦「マイナンバー制度の現状と将来について」によった。

(筆者注2)マイナンバーカードの給付付き税額控除の国民単位の実施に活用すべきと論じているのは梅屋真一郎「マイナンバーカードを経済対策インフラに」(野村総研金融イノベーション研究部2020年4月号)である。

(筆者注3) オンライン申請の問題点に関しては、2020.5.14 神田敏唱「10万円給付金、オンライン申請の意外な落とし穴『パスワード英大文字』『姓名の空白』に注意！」や2016.4.22同氏「2016.4.22 神田敏唱「なぜ？震災交付金支給にマイナンバーを使わないの？」等を参照されたい。
**********************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.