分析サイバーセキュリティベンダーは、企業環境における内部者の脅威について長らく警告してきましたが、より身近な内部者の脅威、つまり虐待的なパートナーや家族についてはあまり注目されていません。
コーネル大学のカレン・レヴィ助教授とセキュリティ業界のベテランであるブルース・シュナイアー氏は、最近『Journal of Cybersecurity』誌に掲載された論文の中で、親密な関係は、一般の人々、技術コミュニティ、政策立案者によって予期されておらず、適切に対処されていない一連のプライバシーとセキュリティのリスクをもたらすと主張している。
「私たちは、家族、恋愛、友情といった親密な関係において生じるプライバシーの脅威について説明しています」とレヴィ氏は述べた。「こうした脅威はプライバシー/セキュリティ関係者の間で十分に理解されていませんが、極めて一般的であり、権力の弱い人々に不釣り合いなほど大きな害を及ぼすため、真剣に受け止めるべきです。」
レヴィ氏は、プライバシーとセキュリティに関する私たちの多くの前提が、対人関係においては崩れてしまうと指摘しています。例えば、「攻撃者」は標的のデバイスに物理的に容易にアクセスできないと一般的に考えられていますが、攻撃者が子供、パートナー、親、または知人である場合は、必ずしもそうとは限りません。
「個人的なプライバシーの脅威は虐待的な状況で生じますが、それほど悪質ではない状況や、真の思いやりの一環として生じることもあります」と彼女は述べた。「社会的に容認される場合もあります。そのため、倫理的に複雑で、技術的に軽減するのが難しいのです。」
珍しい問題ではない
この報告書は、女性の約3人に1人、男性の約6人に1人が、ある時点で虐待を受けると推定しており、位置情報の追跡、通信の監視、その他あらゆる嫌がらせ行為を可能にするデジタルツールが、虐待を助長するためにますます利用されていると指摘しています。これには、被害者のあらゆる動きを監視するためにデバイスに秘密裏にスパイウェアをインストールすることも含まれます。
セキュリティ大手各社、スマートフォンでのストーカーウェアの使用阻止に協力
続きを読む
親密な関係におけるプライバシーの力学を扱う難しさは、状況の曖昧さと、潜在的に相反する動機から生じます。元パートナーがストーカー行為や追跡行為を行うべきではないという点には多くの人が同意するでしょうが、高齢の親に関する正当な医学的懸念と、介護者による監視への親の抵抗との間でバランスを取るのは、より困難かもしれません。
「見守ることと見張ることの境界線は曖昧だ」と論文は述べている。「親密な関係において、注意義務と保護義務がプライバシーの利益に優先するかどうか、また親密な監視が適切かどうかを決定する明確なルールはない。」
同紙によると、プライバシー侵害はひどくない場合は法律でカバーされないことが多く、むしろ許される場合もあるという。サウジアラビアでは、夫には妻の行動を管理する権利がある。
この論文では、デバイスメーカーや立法者が考慮すべき様々な関係性のカテゴリーを概説しています。これには、恋人、親子、高齢者と介護者、友人やルームメイトなどが含まれます。
さらに、デバイスメーカーは製品の設計に人間関係のダイナミクスを取り入れる必要があると主張し、あるオーストラリア人女性の元恋人が彼女の車に搭載されたアプリを通じてストーカー行為を行った事件を例に挙げている。彼がストーカー行為を実行できたのは、彼女の車の購入を手伝い、車の登録番号とアプリにアクセスできたからである。
息を止めないで
レヴィ氏はザ・レジスター紙へのメールで、法的な解決策は期待していないと述べた。「国のプライバシー法制化については期待していません」と彼女は述べた。
これは様々な方法で対処しなければならない問題です。技術設計、法律、社会規範や期待も、ある程度は貢献できるでしょう。しかし、この問題を真に解決するには、おそらくこれら3つすべてが必要になるでしょう。
電子フロンティア財団のサイバーセキュリティ担当ディレクター、エヴァ・ガルペリン氏は、 The Registerとの電話インタビューで、この論文を称賛し、ハードウェアメーカーとソフトウェアメーカーの双方が自社製品を使った親密なパートナーによる暴力の影響を軽減するためにできることはたくさんあると語った。
「今、大きな問題の一つは、こうした製品を作る人たちが、親密なパートナー間の暴力を自社の用途として考えていないことです」と彼女は述べた。「彼らは、信頼する相手はずっと同じ人だと思い込んで家庭用品を作っています。そして、その家に住む人たちは、これからもずっとそこに住むのですから」
ガルペリン氏は、デバイスメーカーは、カップルが別れた場合、争いのある離婚の場合、あるいはストーカーがいる場合に何が起こるかを考えるべきだと述べた。
「製品を作る場合、自分のアカウントに誰がアクセスできるか、どこからログインしているかを一目で確認できる場所が1つあるべきだ」と彼女は語った。
彼女によると、製品デザイナーはプライバシーは自分の問題ではなく、ユーザーの問題だと考えることが多いという。「プライバシーはデフォルトで優先されるべきです」と彼女は述べた。
レヴィ氏も同意見だ。「デバイスメーカーは、他の種類のプライバシーやセキュリティの脅威をモデル化するのと同じように、個人的なプライバシーの脅威についても当然ながら考えるべきだ」と彼女は述べた。
重要なのは、ユーザーがどのデータに誰がアクセスできるのかを知り、その情報を提供できるように技術を設計することです。多くの場合、デバイスは、誰かが意図的に盗み見ることなく、私たちの生活の中で他の人に情報を漏らしてしまいます。私たちは、こうした脅威を真剣に受け止めずに技術を設計してきました。®
