今週正式に署名され法律として施行された捜査権限法には多くの不快な点が含まれているが、英国政府が暗号化を弱め、監視用のバックドアを要求する権限を有しているように見えることは、それほど注目されていない。
この法案が議会を通過する際、複数の団体が、ISP、電話会社、その他の通信プロバイダーに対し、新製品や新サービスの導入前に政府に通知することを義務付け、政府がソフトウェアやシステムへの「技術的な」変更を要求することを認める第217条に懸念を表明した。
これは、この法律に付随する実務規範に提案された文言です。
技術的能力通知の対象となる CSP は、新しいサービスに関する技術的能力の提供を CSP に要求することが必要かつ適切であるかどうかを検討できるように、新しい製品およびサービスを開始する前に政府に通知する必要があります。
法律の最終的な文言によれば、「技術能力通知」を受け取った通信事業者は、政府の監視の要求に応じて、システムアップグレードの詳細を開示したり、暗号化された通信の「電子保護」を解除するなど、さまざまなことを行う義務を負うことになる。
さようなら、暗号化…最新版の法律の文言
したがって、政府が「技術的能力」と言うとき、実際には、国民の暗号化されたオンライン活動を傍受、解読、監視できるようにするためのバックドアや意図的なセキュリティ上の弱点を意味している。
英国政府は事実上、米国で提案され、多くの批判を浴びたバー・ファインスタイン法案を法律化した。この法案は米国の暗号化技術を弱体化させるものだった。しかし、反発によりこの法案は頓挫した。
しかし、英国では捜査権限法案をめぐってそのような反発は起こらず、今の状況はこうなっています。ISPはウェブブラウザの履歴を24時間365日記録し、暗号技術が破られる可能性も高まっています。技術的能力通知によってVPNが破られる可能性があるのであれば、ウェブ活動を隠蔽するためにVPNを使用する意味はあまりないかもしれません。
公平を期すために言えば、ブリタニーの法律は英国のソフトウェア産業を事実上壊滅させるだけでなく、英国人のプライバシーを侵害し、これらの義務的なバックドアを悪用する犯罪者による監視やハッキングの危険にさらすのではないかと懸念する声もありました。この軽微なパニックは、英国の捜査権限法案が可決される前にいくつかの変更をもたらしました。
問題は、変更は十分であったかどうかです。
現在の英国法における「暗号化防止」の部分は、第217条から第254条~第256条[PDF]に移され、いくつかの追加的な安全策が盛り込まれています。しかし、これらの安全策は、よくあるように、主に国務長官の判断に委ねられています。
文言は若干改善されており、あらゆる「技術能力通知」に国務長官のいずれかを署名者として義務付けることで、軽微なボトルネックと一定の説明責任が確保される。治安機関や警察が通信事業者に対し、新製品計画の開示や技術変更の義務付けを強制できる状況ではなく、この問題は閣僚、おそらく内務大臣の机に上がらざるを得なくなるだろう。
相談
国務長官の一人は、通知書が自分の机に届いたら、「通知書で要求される行為がその行為によって達成しようとしていることに比例しているかどうか」を検討する必要がある。
また、別の不人気な技術関連法であるRIPAに対応して設置された「技術諮問委員会」や、「規制で規定された義務の対象となる可能性が高い」人々とも協議する必要がある。
その後、長官が進めると決定した通知はすべて、「司法委員」(首相がその役割に任命した裁判官)の承認を得る必要がある。司法委員は長官と同じ要素を考慮するが、重要な点として、「裁判所が司法審査の申請に適用するのと同じ原則」も考慮する必要がある。
コミッショナーが決定を承認しない場合は、その理由を文書で示さなければなりません。ただし、その決定は、新たに任命された調査権限コミッショナーによって覆される可能性があります。
捜査権限委員は、この法律制定のために特別に設置され、首相によって任命されます。これはそれ自体が議論の対象となっており、議員特別委員会は、委員は首相ではなく最高裁判所長官によって任命されるべきであると主張しました。最終的には、政府が勝利しました。
さらなる改善としては、より正確な文言の形で実施されます。通知においては、通信事業者にどのような義務が適用されるかを明記する必要があります。この点で最も注目すべきは、第254条(5)(c)です。
この条項に基づく規則で規定される義務には、とりわけ、関係事業者またはその代理によって通信またはデータに適用された電子保護を関係事業者が削除することに関する義務が含まれます。
その他の義務は、政府によるインターネット通信の盗聴や、ISP から保存されたデータの事後提供を可能にすることを明確に意図しています。
考慮
また、国務長官が関連通知を掲載する前に考慮しなければならない事項のリストもあります。これには以下が含まれます。
- 通知の可能性のある利点
- ユーザー数
- 遵守の技術的実現可能性
- 遵守コスト、および
- 「当該通知が当該人物に及ぼすその他の影響」
つまり、この法律が議会を通過したことで、英国政府がハイテク企業や通信会社に技術へのバックドア導入を強制する能力が弱まり、その取り組みが少し厳しくなったということだ。
英国政府による暗号解読を阻止できるでしょうか?絶対に阻止できません。むしろ、それを予見しています。
顧客は、バックドアによって通信やトラフィックが侵害されていることを認識できるのでしょうか?いいえ、そうではありません。すべての抑制と均衡は、政府の上層部と司法機関の中に安全に封じ込められています。
英国政府と米国政府が過去に製品ベースではなく時間ベースの包括的な命令を出した実績を踏まえ、また、ケースバイケースで行わなければならないという規定がないという事実を考慮すると、政府が特定の企業に対して画一的な「技術的能力」通知を承認することは間違いないだろう。
消費者の保護と法執行機関およびセキュリティサービスへのアクセスの提供のバランスはどこにあるのでしょうか? 決定を下す少数のグループ以外には、その理由や論拠を公開する義務がないため、有用な詳細を知ることはおそらく不可能でしょう。
ナッツの
最も重要なのは、閣僚が何らかのソフトウェアにバックドアを導入したいと決断した場合、それを阻止できるものはあるのだろうか?答えはほぼ間違いなくノーだ。ただし、閣僚の行動は遅くなる可能性があり、前進するために何らかの譲歩をする可能性は高い。
もし内務大臣と首相が共に何らかのサービスへの裏口を望んだとしたら、それを阻止できるものはあるだろうか? 繰り返しになるが、答えはノーだ。しかし、勇気ある捜査権限委員がいれば、それを数年遅らせることはできるだろう。
そして、より広い視点で見れば、英国政府はTwitter、Facebook、Google、Appleといった企業にバックドアの導入やユーザーデータの引き渡しを強制できるのだろうか?その答えは「様子を見よう」だ。
英国政府は、英国に拠点を置いていない企業にその注文を遂行するよう要求することは確かに可能であり、その状況は新法に明記されている。しかし、現実的にそのような要求を課すことができるかどうかについては、それらの企業がどの程度抵抗する意思があり、英国市場からどの程度撤退する意思があるかにかかっている。
結局のところ、英国の治安当局は、あなたが国家安全保障上の脅威となると判断した場合、あなたのメール、メッセージ、投稿、プライベートツイート、そして通信内容を読むことができるのでしょうか?はい、できます。
それより安くしてくれるでしょうか?おそらく内務大臣に聞いてみるしかないでしょう。®
