米国ボストン・マラソン・テロ爆弾事故の余波がなお世界中のメディアを騒がせる一方で、米国ACLU等の人権擁護団体やロースクール等法律アカデミック関係者は米国の監視社会(Surveillance Society)化への強い抵抗感を持って論戦を張っている。この問題は改めて論じたい。
一方、米国連邦議会下院は4月15日に一部修正のうえ、4月18日、賛成288(うち民主党員は92名で下院全党員の約半数)、反対127、棄権17) (筆者1)で「サイバー脅威情報の共有保護法案(Cyber Intelligence Sharing and Protection Act Bill:H.R.624)」を可決した。本法案の真の狙いは、グーグルやヤフー、マイクロソフト、アップルと言った大手ネット企業の利用情報を連邦政府が共有することで、サイバー・テロやサイバー攻撃を発見し、具体的に防止しようというものである。
実は、この同じ法案(H.R. 3523)は2012年4月26日に下院を通過(賛成248、反対168、棄権15)したが、上院で「議事進行妨害(filibuster)」(筆者注2)により破棄されたものである。
一方、オバマ政権は2012年4月25日、H.R.3523につき政府見解(Statement of Administration Policy:SAP)を発布した。この政府見解は次のような点がポイントと考えられる。
「①政府は、わが国の極めて重要な情報システムと重要インフラを保護するために包括法の不可欠な部分として、サイバーセキュリティの脅威に関して増加する公共に個人的な情報の共有の強化法案問題につき取り組んだ。 米国民のプライバシー、データの機密性および市民的自由を保持して、サイバースペースの民間的側面を認識する方法で情報の共有を行わなければならない。 サイバーセキュリティとプライバシーは互いに排他的ではない。さらに、包括法の本質的部分である情報の共有は、サイバーの脅威から国家の基幹・重要インフラを保護する上で十分とはいえない。政府は現在の法案H.R.3523” Cyber Intelligence Sharing and Protection Act”に反対する。(筆者注3)
②政府の提案は、連邦政府にわが国の重要インフラ・オペレータがアメリカ国民を保護するのに必要な手段を講じることを保証する権限を提供するという点である。また、議会はわが国の最も重大な重要インフラ資産が最小のサイバーセキュリティの実施基準を満たすことによって適切に保護されるのを保証するためには連邦機関を関係機関に含めなければならないといえる。産業界は、国土安全保障省(DHS)とともにこれらの基準を協力して開発するであろう。民間による自発的な情報収集手段のみでは、サイバーの脅威という増大する危険への対処としては不十分である。
③立法は、特にわが国が経済的福祉と国家安全への難局に直面する時代にある中で、われわれ市民のためにプライバシーと市民的自由の基本的な価値を犠牲にすることなく、コアとなる重要インフラの脆弱性対策に向けたものとすべきである。政府は、これらの重要な問題を論じるためにサーバーセキュリティ法を制定すべく両党連立かつ二院制による議会運営への真摯な取組みが続けられることを期待する。
しかしながら、仮にH.R.3523が通過し、大統領に提示されるなら、ここで述べた理由により主席法律顧問(senior advisors)は同法案に対する拒否権行使を大統領に推奨するであろう。」
他方、このサイバーセキュリティ強化問題は連邦議会上院で別法案「S.21 :Cybersecurity and American Cyber Competitiveness Act of 2013」が、本年1月22日に上程されている。提案議員の代表ジョン・D・ロックフェラー(John D.Rockfeller)は「商務・科学および運輸委員会(Committee on Commerce, Science, and Transportation)」委員長である。この法案の意図することはCSIPAと共通性がある。しかしながら、この法案は立法理念のみ定める法律である(必要に応じ「S.21」の内容にも言及する)。
そもそも、これらの法案(H.R.3523、H.R.624)に関するわが国の法律専門家による解析は極めて少ない。ましてや逐条解釈は皆無であろう。政府、議会や人権擁護団体、シンクタンク等を巻き込んだその思惑の違いもあり、法案成立の行方はなお混沌としている。
その中で2012年12月に公表されている「米国におけるサイバーセキュリティ法制の示唆」(筆者注4)は学会大会発表用の短いレポートではあるが、法案の内容の基本となるポイントはほぼ述べられている。
また、米国と同様なサイバー戦略に取り組んでいる英国の最新の動向は無視し得ない。すなわち、英国内閣は2013年3月27日にリリース“Government launches information sharing partnership on cyber security:New cyber partnership launched to help government and industry share information and intelligence on cyber security threats”を打ち上げたのである。
このリリースの内容は、米国連邦議会や関係機関に対する大きな影響を与えることは間違いない。また、同日に内閣府担当国務相・出納担当相であるフランシス・モード(Francis Maude)の政府声明「英国のサイバーセキュリティ情報の共有協力( Cyber Security Information Sharing Partnership)」を動画および公式文書記録で発表した。これらの背景にある2011年11月27日に政府が発表した「英国のサイバーセキュリティ戦略:デジタル世界における英国の保護及び推進(The UK Cyber Security Strategy:Protecting and promoting the UK in a digital world」やその後の内閣のフォロー内容を正確に把握する必要がある。
本ブログの狙いは、さらに同法案(H.R.624)内容をめぐる政府、連邦議会、関係団体やアカデミー等の議論・論点を条文案に即して整理し、紹介することである(一部メディアは、上院の有力議員(関係委員会の委員長)が法案の「不完全性」を指摘して、上院通過は困難との予想記事も載せている)。
併せて、英国の内閣を中心としたサイバーセキュリティ戦略とその具体的取組み、民間との情報共有の進展等に関する最新情報を提供や英連邦オーストラリアの取組みを概観することにある。(英連邦全体が動き始めている)
筆者は、サイバーセキュリティ問題は単に米国やEUに限られる問題ではなく、インターネットやソーシャルネットワークが急速に展開する世界的な動きの中で、各国共通の立法課題と考え、取り組んだ次第である。
なお、米国やドイツ等ではボストンマラソン爆弾テロ事件をきっかけとし、メディア、アカデミックやコラムニスト等では容疑者等の監視強化や“Electronic Communications Privacy Act of 1986 :ECPA”の改正議論が起きている。緊密に関係する問題ではあるが、この問題自体が大きなかつまとまった内容なので別途まとめたい。
今回は,3回に分けて掲載する。
1.「CISPA法案(H.R.624)」の要旨
前述した、「情報ネットワーク学会研究会」発表予稿から一部抜粋する。
「その制定目的は、「インテリジェンスコミュニティと民間部門との脅威情報の共有」である。そこでは、(1)機密とされた情報が、認可された組織、適切なセキュリティクリアランスを有している人物においてのみ共有されること、認可された組織の従業員等にセキュリティクリアランスが与えられること、などが議論されている。また、(2)サイバーセキュリティ提供業者が、保護された組織のサイバー脅威情報を取得するため、サイバーセキュリティシステムを利用することができ、連邦政府などの保護された組織と情報共有することができること、(2)共有された情報について、場合によっては、適切な匿名化や情報の最小化がなされなければならないこと、(3)提供した主体に対して損害を与えるような使用がされてはならないこと、(4)政府と共有される場合には、政府機関の情報開示から排除されること、(5)プロプライエタリな情報だと認識され政府機関外には、開示されないこと、(6)政府機関が規制目的では利用し得ないこと、が必要になることなどが議論されている。その内容からして、攻撃情報(およびそれに付随する民間の種々の情報)などが、政府機関との間で共有されることに批判が集まったものである。プライバシー及び自由を標榜する団体からは、国家安全保障局(NSA)による関与、及び、「サイバー脅威(cyber threat)」の定義の漠然性に対し、強い懸念が表明された。」(読みやすさを出すため、筆者の責任で項番を付した)
2.法案(H.R.624)の具体的な問題点の整理・解析
まず、連邦議会調査局(Congressional Research Service :CRS)が議会に法案とともに提出した法案要旨(summary)を見ておく。
次に米国の人権擁護団体である“ACLU(American Civil Liberties Union)”および“EFF(Electronic Frontier Foundation)”が指摘する問題点の整理、内容等を概観する。なお、CISPAに関するロビー活動につき多くの米国人権擁護団体が激しい活動を続けている。例えば、American Library Association(ALA)、Access Now 、ACLU 、Avaaz.org (世界に働きかける活動:世界14ヶ国語で展開:日本語版 4月27日 13時20分現在で世界の参加者は21,298,271人である)、The Cato Institute 等である。
同時に、ACLUやEFFのサイトではより時宜を見ながらCISPAの問題指摘や連邦議員に対する選挙民を介した反対投票への働きかけ等を行っている。特に後者の活動は、民主主義国家を唱える米国の原点と考える。
さらに同法案への批判は、アカデミックや大手シンクタンクや英国メディア等にも広がっている。(筆者注5) 時間の関係でこれらの議論の展開や主たる論点の解説は略すが、筆者があらためて各団体の論調を読むにつけ、それぞれが専門性を持ち、かつ個性豊かな団体であると感じた。わが国の同様の展開を意図する団体も参考とすべきと思う。
(1) 連邦議会事務局・法案管理専門サイト“Thomas”で見る法案要旨
連邦議会事務局・法案管理専門サイト“Thomas”で見る法案要旨を仮訳のうえ、筆者が法案原文に即して内容を補足、注記した。なお、同法案は上院での2回の法案読会を経て現在「諜報問題特別委員会(Select Committee on Intelligence)」に付議されている(どういうわけか同委員会サイトおよび委員長、副委員長サイトはCISPAに関する情報は一切発していない)。
第2条〔サーバーセキュリティに関する連邦政府の共同した行動責務〕
・連邦政府に対し、サイバー事故(cyber incidents)からの保護、阻止、緩和、対処およびその回復につき、統合した運用行動を可能とする共有すべき状況認識を提供するため、サイバーセキュリティ行動を実施することを命じる。
・「共有する状況認識(shared situational awareness)」とは、サイバー脅威情報(cyber threat information)につき指定するすべての連邦サイバー運用センター(federal cyber operations centers)(注6)間でリアルタイムで知りうるすべてのサイバー脅威に関する実用的な情報が提供できる環境をいう。
・大統領に対し、サイバーセキュリティ・プロバイダー(サイバーセキュリティ目的での使用を意図して物品やサービスを提供する非連邦の事業体)または自己防御事業体(self-protected entity)(サイバーセキュリティ自身を目的として物品やサービスを提供する事業体)との情報共有に関し、次の2機関の指定を命じる。①国土安全保障省内に予め記載した起訴手続また特定の例外規定に従うサイバー脅威を受理する連邦業務民間受託機関(筆者注7)、②連邦司法省内にサイバー犯罪に関する情報を受理する連邦業務民間受託機関。
・連邦機関にサイバー脅威情報の共有につき、次の手続きを定めることを命じる。①特定の情報につき、国家に対する安全保障の任務をもって適格な連邦機関がリアルタイムで情報を共有できることを保証すること、②リアルタイムで他の連邦機関とともに脅威情報を配布(distribution)すること、③他の連邦機関、州、地方、部族、準州、サーバーセキュリティ・プロバイダーおよび「自己防御機能をもつ事業体(self-protected entity)」(筆者注8)間の脅威情報の共有の促進、相互の意思疎通、作用・・・(中略)
「サイバー脅威にかかるインテリジェンス機関保有情報(cyber threat intelligence)」とは、次の(1)、(2)または(3)に関する国家または公的なインテリジェンス機関(筆者注9)(筆者注10)や関係する企業や個人等が直接関わる要素として所持・占有する情報をいう。
(中略)
(C)
(2)ACLUの指摘する法案の問題点
2013年4月15日、 ACLUの下院議員宛法案H.R.624の反対投票を求める意見書「 Vote NO on H.R. 624, the Cyber Intelligence Sharing and Protection Act (CISPA)」の要旨を引用する。
・・・・
(中略)
(3)EFFの指摘する法案の問題点
EFFのウェブサイトでは、この問題をFAQ の形でまとめている。以下でその内容を仮訳しておく。なお、一部の法律等は筆者の責任でリンクを張った。
なお、EFFやその他の人権擁護団体は今後の上院での可決に反対すべく、まさに国民の声を直接議会・議員に働きかける具体的な戦略を進めている。ここまで来ると、わが国で最近、法案が可決(衆議院4月12日、参議院4月19日)した「公職選挙法の一部を改正する法律案 (インターネット選挙運動解禁)」(筆者注11)の国会での議論の展開を見るにつけ、憲法第15条が定める本質的な国民の権利問題である「参政権」をどのように透明性をもちかつ公平な形で実現することの難しさを感じる。
○CISPAはいかなる法案か?
CISPAは、マイク・ロジャース下院議員(Mike Rogers:ミシガン州選出;共和党)とダッチ・ルッパースバーガー下院議員(Dutch Ruppersberger:メッリーランド州選出:民主党) によりインターネットとサイバーセキュリティ監視強化を目的として上程された法案(H.R.624:筆者注:以下「法案」という)である。法案は、民間会社と連邦政府がネットワークや他のインターネット攻撃を阻止または防御に関し情報を共有するのを許容することを目的とする。 しかしながら、法案は民間会社があなたの個人情報を見ることによって「サイバー脅威となる情報(threat information )」を特定して、取得することを許容するなど会社に幅広いかつ新たな権限を付与する。 実際、すべての米国の既存の個別プライバシー法について"cyber security"の抜け穴を作成して、司法機関による監視なしで民間会社に個人情報の大きい草刈場を政府に引き渡すのを許容するという内容で幅広く記述されている。
○CISPAの下では、民間企業はどのようなことが可能となるか?
いかなる会社も、CISPAの下では、会社の権利と資産を保護するためにサイバーセキュリティ・システムを使用し、またサイバー脅威となる情報を特定することが可能となる。さらに、それが「サイバーセキュリティ目的」である限り、その情報を政府を含む第三者と共有できる。 これらの前提条件が満たされるときは、いつでもCISPAはあなたのコミュニケーション・サービスプロバイダーがあなたのメールやテキスト・メッセージを政府と共有することを許容できるくらい広く記述されている。また、あなたのクラウド・コンピューティング・ストレージ会社は、あなたのために保存するファイルを第三者と共有できることになる。
現時点では、 “Cable Communications Policy Act of 1984” 、“1968年Wiretap Act” 、 “1988年Video Privacy Protection Act” 、および“Electronic Communications Privacy Act” (筆者注12)のような安定運用している法律は、会社が不必要にあなたのメールの中身を含む個人情報を共有するのを防ぐため司法による監視および他のプライバシー保護手段を提供する。
そして、これら法律は明白にあなたの個人情報を明かす際に度が過ぎる会社に対する民事訴訟(civil action)を起こすことを許す(筆者注13)。CISPAの主要な条項は、CISPAが他のすべての法による関連条項に優越することを本質的に「いかなる他の法律の規定にもかかわらず(notwithstanding any other law)」有効であると宣言することによって、CISPAはプライバシー法を含むこれらの法的保護を脅かすものとなる。
また、CISPAは民事と同様に刑事上の責任に対しても会社のための広い免疫を引き起こす。 会社が潜在的に個人的で個人情報の大きい帯状の領域を政府と共有するというCISPA規定はより法的な保護を民間会社に提供する。
○CISPAは著作権保護にかかる法執行のための法の濫用を防ぐ上で十分といえるか?
いいえ。 CISPAの初期の法案のバージョンでは、SOPA(Stop Online Piracy Act)法案 (筆者注14)と同様、著作権保護のための法案としての文言が使用されていたが、インターネット関係者から著作権保護に関する良くできたSOPA法案の規定がすでに明確に著作権保護について言及しているとの指摘により、削除された。
CISPAの「サイバー脅威となる情報(cyber threat information)」の定義は、直接「秘密性(confidentiality)」への脅威に関係する情報を含んでいる。しかし、その「秘密性」は何を意味するか? 法案の定義は「知的財産情報」を保護するための手段を含む「アクセスが認可された制限(authorized restrictions on access)」を保持するように設計された手段を取り囲む。 「知的財産情報」を定義されていないが、著作権を含むように読むことができる。 例えば、知的財産情報を保護するように設計されているアクセス制限の1つのタイプは、「デジタル著作権管理(Digital Rights Management:DRM)」(筆者注15)である。
正規のセキュリティー研究者は、脆弱性に関する情報を研究や発表するにあたり、知的財産にかかる情報で制限をきまりきって迂回させてきた。 脆弱性研究をサイバーの脅威であると考えるべきではない。そして、この脅威となる情報の判断は、誠実・善意(good faith)であるか否かに関係なく「法律に基づく(decisions based on)」という名目をもってとする映画業界や音楽産業に免疫性を与えるべきでない。
○何がこれらの新しい法人の権限強化の引き金となるか?
CISPAは、民間会社間で「サイバー脅威となる情報」を入手し、「サーバーセキュリティ目的」が双方にあるなら共有させることで、その権利と財産を保護することを認める。
この「サイバーセキュリティ目的」とは、会社がユーザにおいてネットワークに危害を及ぼそうとしていると主観的に思ったということを意味するだけである。 それはまさに何を意味するであろうか? この定義は、広くかつ曖昧である。すなわち、この定義は「不適当な」情報変更をガードする「タイムリーな情報アクセスを確実にする」、または「知的財産情報の保護に対する承認されたアクセス制限の留保(すなわち、デジタル著作権管理等の目的でアクセス制限)を許容するのである。
○CISPAの下では、会社が不適切に個人情報を政府に引き渡すとしたら、私は何が出来るか?
ほとんど何もできない。会社がCISPAが可能にする範囲を超えてあなたのプライバシー保護に違反しても、政府は情報が不適切に引き渡された旨ユーザに通知する必要はない。政府は会社に通知するだけである。
CISPAは、会社が「誠実・善意」で行動した限り、個人情報かあなたの個人情報に対し行われた多くの活動につき法的な免疫性を会社に供給する。 これは、非常に強力な免疫力である。会社が誠実・善意をもって行動しなかったことの証明はかなり困難である。 これらの責任制限規定により、会社が政府を含む他のものとのその情報の脅威情報とその後の共有を特定したり、取得するのに使用する行動をカバーできる。 また、この免疫性は「サイバー脅威情報に基づいてされた決定(decisions made based on cyber threat information)」という過去に一度も定義されたことがない危険かつあいまいな規定でカバーしている。
○会社は、情報セキュリティを高めるために個人ユーザーの識別情報(PII)を共有する必要があるか?
いいえ。 CISPAの最近の議会公聴会(筆者注4-4)でジョン・エングラー(John Engler)Business Roundtable :BRT)会長、ポール・N・スモカー(Paul N. Smocer)BITS会長 (筆者注16)および民間金融業界経営者向け団体である“Financial Services Roundtable”(筆者注17)の技術対策課は、法案を支持する証言を行った。スモカーは、共有する前に個人情報を取り除くために「今日、脅威情報の世界で交換される非常に小さい個人的データ(PII)があり、それが「問題でないこと」を認めた。しかし、 CISPAは官民でPIIを共有することを認め、民間会社のものへの改訂する裁量を任せると定める。
共有されるべきである中で最も役に立つ脅威情報は、攻撃およびかその方法論(PIIなしでそれのすべてを共有できる)を特定する以前に未知のソフトウェア、ネットワークの脆弱性、マルウェア署名、および他の技術的な特性を含む。 民間会社がフィッシング詐欺メールメッセージなどのメールを共有する必要がある場合、既存法の例外規定により受取人は情報を開示することができる。したがって、 CISPAに基づく包括的な権限はまったく必要ない。中国のハッキングに関する米国サイバー調査会社のMandiantの最近のレポートは、ただ会社が無権限で現行法によってそれらに与えられるもので多くの役に立つ脅威情報を共有した多くの例を取り上げている。
(4)英国のIT法専門メディアの批判
筆者が最近読み始めた英国IT法専門ブログ“TecnoLlama”(筆者注18)がCISPAにつき法案の条文につき、逐条的に問題点を指摘している。
同グループはCISPAにつき、2012年4月28日に問題となる条文案に即し法的な解釈論評を行っている。その主たる問題点のみ以下にまとめておく。
①サイバー脅威の認知機能を高めるため連邦諜報機関は民間部門に対し情報を与えるための手続きを定めるよう命じる(3条)。しかし、そこでいう“Cyber threat”とは厳密にいうと何を指すのか。法案2(d)(2)において本法にいう“Cyber threat information”、“Cyber threat Intelligence”、“Cyber security crimes”、“Cyber security provider”等の定義は「1947年国家安全保障法」1104条に定める意味であるとするが、CISPA3(a)条は「1947年国家安全保障法」1104条につき、以下のとおり、その改正する形をとっている。
1104条(1)は総則として「国家情報局長官 (筆者注19)は、情報コミュニティの各構成部門が民間事業体、公益事業体との脅威情報の共有およびそれら情報の振興に必要な手続きを定める( IN GENERAL- The Director of National Intelligence shall establish procedures to allow elements of the intelligence community to share cyber threat intelligence with private-sector entities and utilities and to encourage the sharing of such intelligence. Cyber security crimes)」
3条(g)(4)は、“Cyber threat information”、“Cyber threat Intelligence”、“Cyber security crimes”等につき新たな具体的な規定内容を持ち込んでいる。
重要な部分であり仮訳する。なお、ここで注意すべきは各論調が結構、法案の正確な用語の意味にこだわっていない点である。例えば、3条(g)(4)“Cyber threat information”、3条(g)(4) “Cyber threat Intelligence”の相違点を説明できるものがいるであろうか。(条文を読むと、前者は広く官民のシステムやネットワーク等サイバー空間に対する直接的な脅威であり、後者は機密性の高い官民の諜報情報(筆者注20))
・・・・
(中略)
3.大統領令や連邦議会調査局等におけるサイバー脅威問題の明確化要請
(1)「大統領令13636」(筆者注21) (筆者注22)
本年2月13日、オバマ大統領は「重要インフラにかかるサーバーセキュリティの改善(Improving Critical Infrastructure Cybersecurity)」に関する大統領令(13636)をもって、連邦商務省・国立標準技術研究所(NIST)に対し、サイバーセキュリティ・リスクを扱うための標準規格、方法論および手順ににつき「サイバーセキュリティの基本的枠組み(Cybersecurity Framework)」を開発するよう指示した。
また同令は、国土安全保障省(DHS)に対し、国内の重要インフラ事業体に対する前記基本的枠組みの採用を促進するための「重要インフラにかかるサイバーセキュリティ・プログラム」の開発責務を課した。
さらに、これらの戦略(initiatives)の取組みを容易にするため、同令は同プログラムへの参加を促進する誘因を推奨するよう国土安全保障省、連邦財務省および商務省の各長官に命じた。
3月28日、連邦商務省は事務総局を通じ、またNISTおよび電気通信情報局(NTIA)は「改善すべきサーバーセキュリティの採用に向けた戦略(Incentives To Adopt Improved Cybersecurity Practices)」案に関するコメント募集(Inquiry of Notice)を行った。
(2) 連邦議会調査局 の問題指摘(中略)
(3)法案S.21の要旨(議会調査局)
S.21「Cybersecurity and American Cyber Competitiveness Act of 2013」は、サイバー攻撃に対する合衆国の安全確保のため両党連立の法律制定により、民間部門と連邦政府の共同作業やコミュニケーションの改良を求めるもので、またその共同作業は合衆国の競争力を機能アップし、かつ情報技術産業における雇用を創り出すとともに米国市民やビジネスに関するアイデンティティおよび機微情報を保護するものである。
具体的な立法目的は、以下の事項である。
① サイバー攻撃に対して公的および私的なコミュニケーションと情報ネットワークのセキュリティを強化し、弾性を高める。
② 連邦政府と民間部門の間のサイバーにかかる脅威を共有すること、および脆弱性に関する情報の共有メカニズムを確立する。
③合衆国がサイバー面のリスクを評価し、阻止、防ぐ能力を改良するために公共に個人的なシステムを開発する。送電網、金融部門やテレコミュニケーション・ネットワーク等重要インフラに対するに対するサイバー攻撃のリスクを検出、阻止、調査および対処能力を改良するために合衆国における官民共同のシステムを開発する。
④研究開発、投資および専門的教育を促進する。
⑤サイバー脅威の防止となりすましを削減する。
⑥サイバーの脅威の出現に対処すべく米国の外交能力と公的や個人的な国際協力機能をアップする。
⑦方法でサイバー犯罪を調査して遂行するための方法や資源を広げ、それによりプライバシー権利と市民的自由を尊重して、米国の革新を促進する。
⑧米国のプライバシーにつき体力を要する保護により市民のオンライン活動とコミュニケーション自体を支援する。
******************************************************************************
(筆者注1)下院での党別、全議員の最終投票(賛成(YEAS)、反対(NYAS)、棄権(NV))結果が“Thomas”で確認できる(FINAL VOTE RESULTS FOR ROLL CALL 117(Republicans in roman; Democrats in italic; Independents underlined)。このようなシステムは選挙民にとっての必要欠くべからざるものと考える。(民間の法案追跡専門サイト“Govtrack”の画面は色分けされており、より見やすい) わが国では、インターネット選挙解禁法が成立しても、このような基本的な情報データベースがないと主権者の権利は依然として保護されないと考える(参議院事務局の議案情報サイト「議案審議情報」を見てほしい。本会議の採決の最後に「裁決方法」のところで全議員の法案の賛否が色分けされている。しかし、米国の連邦議会Watchdogサイト“Govtrack”はさらに、各議員別の全法案に対する賛否の結果(sponsorship)や政党への寄与度等を独自に解析、公開している。
わが国の憲法第43条第1項は「両議院は、全国民を代表する選挙された議員でこれを組織する」と定める。(「全国民の代表」の意味の通説は、国会は、それを構成する議員が特に選挙によって選ばれるということによって、民意を忠実に反映するべき機関であり、議会を構成する議員は、選挙区などの選挙母体の代表ではなく、全国民の代表であり、議員は議会において自己の信念のみに基づいて発言・評決し、選挙母体の訓令には拘束されないこと(自由委任の原則)を意味するとされる(政治的代表))。
国民から付託された議員が立法の専門家としていかなる姿勢をとっているかを知りうる制度的保証が第一であり、わが国の国会や地方議会の情報公開のあり方に関係する重要な課題といえる。
(筆者注2) 議会上院における“filibuster”とは、長演説やゆっくりした行動等による法案反対少数派の議事進行妨害である(米下院では1時間以上の長演説はふつう制限されているが、米上院では討論の終了には全議員の3分の2の賛成が必要( Rules of the Senate 22条(PRECEDENCE OF MOTIONS))なので長演説はいまも反対派にとっては有効な方策となっている法案審議の時間切れをねらった引きのばし戦術である。一般には合法的な戦術である。上院では、討論終結動議(cloture)を持ち出すことによって、この議事進行妨害を終わらせることが出来るが、討論終結は上院の3/5の支持が必要となるため、討議終結は難しい。なお、2012年11月の連邦議会調査局(CRS)レポート「上院における議事進行妨害と討論終結(Filibusters and Cloture in the Senate)」(全25頁)は興味深いレポートである。
また、この上院の特別な制度に関し、米国のアカデミック等は厳しい批判を展開する。例えばニューヨーク大学ロースクール「ブレナン司法センター(Brennan Center for Justice)」のサイトは4月17日「米国国民の86%が支持する銃等の販売にかかる素性調査改正法案が議会上院で議事進行妨害に遭い通過せず:上院の改革を強く求める」、4月23日「連邦議会上院に議事進行妨害に‘誤った等価性'持たせるときはすでに過ぎた」、など多くの論評がなされている。さらに、わが国のメディアもこの問題を指摘している。
(筆者注3)法案H.R.3523の提案者であるマイク・ロジャース下院議員とダッチ・ルッパースバーガー下院議員の両者はホワイトハウスの意見書(SAP)に対し、2012年4月24日に次のような反論を共同で行っている。
「政府の意見書の基礎はわが国の重要インフラ保護規制の欠如にほとんど基づいていているが、その問題は我々の法案の管轄外の問題である。 また、我々は討議中である法案に追加される、昨日発表されたプライバシーと市民的自由改良のかなりの法案パッケージにホワイトハウスの注意を引きつけるであろう。政府のSAPは法案の「現在のフォーム」に制限されている。しかしながら、法案の両党連立の管理議員が昨日発表したように、彼らはアメリカ国民の政府、特に米国民のプライバシーおよび市民的自由擁護グループから突きつけられた批評のほとんどあらゆる1つを追加記述する修正パッケージに同意した。 議会はこの批判的な問題を導かなければならないし、かつホワイトハウスが我々の議論に加わることを願う」
(筆者注4) 2012年12月1日に開催された「情報ネットワーク法学会」(第12回研究大会)での発表(セッションD-3) 予稿レポートである。なお、同学会サイトでは発表予稿を読んだり、動画でセッション内容を体験できる。
(筆者注5) アカデミック分野では1つの例としてあげておくべきは、ハーバード大学ロースクールの国家安全保障問題専門サイト“LAWFARE”である。4月25日のブログはポール・ローゼンツヴァイク(Paul Rosenzweig) :米国土安全保障省の元政策担当副次官補で国家安全保障やサイバー犯罪の専門家でもある、キャリアは十分言ったところか?)が書いた「オバマ政権が出したCISPA法案上程者たるロジャーとルッパースバーガーの両下院議員への政府意見書(SAP)」を載せている。
なお、ローゼンツヴァイクのブログはややはしょった説明が気になる(例示:4月22日Lawfareのブログを読んだ。初めは何を問題視しているか分からなかった。4月24日付けのNetwork Worldの記事で調べたら詳しく背景や問題点が解説されていた)が、とにかく熱心?ではある。
同ブログで紹介されている“Einstein 3”について、わが国での補足解説を引用する。
「オバマ政権によるサイバーセキュリティ政策の方向性について、この3 つの観点から概説する。
① 攻撃未然防止
米国のサイバーセキュリティ政策においては、特に政府機関のIT インフラに対する攻
撃を未然に防ぐことに重点を置いたイニシアティブが存在する。これは、国土安全保障省(Department of Homeland Security、DHS)の傘下組織National Cyber Security Division(NCSD)の一部門であるUnited States Computer Emergency Readiness Team(US-CERT)によって統括されるもので、Einstein プログラムと呼ばれている。同プログラムは、Homeland Security Act およびFederal Information Security Management Act(いずれもブッシュ政権時代の2002 年に発効)、そして大統領令 Homeland Security Presidential Directive(HSPD)(2003 年に発令)に基づくもので、その内容は「各連邦政府機関におけるIT ネットワーク上の活動に関する情報を収集、類型化、分析」することで、「サイバー攻撃の事前探知、ネットワークセキュリティの向上、オンライン公共サービスの稼働率上昇」を実現するためのIT システムである、とされている。
なお、EINSTEIN プログラムは、2009 年から2010 年頃に「EINSTEIN 2」という名のもとで機能の補強が施されている。EINSTEIN 2 では、各省庁および重要インフラを保有する企業のネットワークにおけるインターネット・アクセスポイントに、データトラフィックを監視するセンサ類を設置し、以前のEINSTEIN プログラムに比べ、より能動的に悪意のあるサイバー活動を探知することができるようになっているとのことである。
EINSTEIN 2 は、2011 年度中に全省庁によって導入される予定である他、米ISP(イ
ンターネット・サービス・プロバイダ)大手のAT&T 社、Qwest 社およびSprint 社は既
に導入済みであるという。また、現在、後継となる「EINSTEIN 3」の開発も進められているとされ、EINSTEIN 3では、ネットワークへの不正アクセスを未然に防ぐことに重点が置かれているというが、その詳細については不明な部分が多い。(ジェトロ・ニューヨークだより 2011 年 3 月号から一部抜粋)
一方、サイバーセキュリティ専門ブログの品位という点から見ると、筆者は(1)スタンフォード大学ロースクールのオーリン・カー(Orin Kerr)教授グループのブログ“The Volokh Conspiracy ”の愛読者である。中立性を維持しつつ常に法学者としての解析能力とりわけ判決内容の解析は優れていると思う。かつ、必要に応じ関係サイトにリンクがはられており読みやすい。直近のブログを紹介すると「容疑者の現在位置が未確認のリモート・コンピュータを捜し出すための法的基準に関する興味深い新判決(Fascinating New Case on Legal Standards for Searching a Remote Computer With Unknown Location)」である。詳しい内容は省略するが、改めてじっくり読んでほしい。
「問題点の要旨: 政府がハッカーのアイデンティティと位置を決定するためにハッカーのリモート・コンピュータを捜すための法的基準は何かという問題。この事件では、誰かがテキサスで犠牲者のメール・アカウントをハックして、犠牲者の銀行口座にアクセスするのにメール・アカウントを使用した。アカウントへの不正アクセスが妨げられた後に、ハッカーがもう少しでEメールアドレスをセットアップするところであり、本当のメール・アカウントを用いて外国銀行への資金送金を試みた。容疑者が海外にいるというサインがあるが、ハッカーの正確な現在位置は未確認である。確認された最新のIPアドレス所在地は東南アジアの国である。
この裁判事案では、政府は誰が侵入者であり、どこにいるかにつき、侵入者がリモートで遠隔アクセスした証拠を捜し出すため家宅捜索令状の交付を求めた。この請求に対し治安判事は拒否した。その理由は3つあり・・・・このブログの後半にカー教授の批判的判例評釈(My Analysis)が記されている」
もう1つ紹介しておきたい研究機関は、(2)ハーバード大学ロースクールの“Berkman Center for Internet & Society”である。同センターは、1996年、将来のサイバースペースの未来を探るために設立し、その研究、およびパイオニア支援や開発を共有するものである。教授陣、学生、仲間、企業家、弁護士やサイバー空間のアーキテクチャー等の情報ネットワーク、挑戦内容を特定し、そのチャレンジを代表する。規範、商業、ガバナンス、教育、および法律等にかかるオープンやクローズドシステムの間のサイバースペースにおける真のかつ可能な境界を調査・研究する。教授、研究員、学生、関係機関は、統治、プライバシー、知的財産、独占禁止、内容管理および電子商取引等を含むネット問題の広いスペクトルに取り組んでいる。プロジェクト数は全部で40ある。筆者の同センターとの付き合いは10年以上になる)
(筆者注6) “federal cyber operations centers”とは、具体的には・・・(中略)
(筆者注7) “civilian federal entity”の的確な訳語はわが国ではない。あえて言えば公的行政機関の機能を委譲された「外郭公益法人」であろうか。
(筆者注8) CISPAの最大の問題は、どの論評を読んでも共通して指摘されるとおり、用語の曖昧さ(vague language)である。定義規定(3条(b)(1)(B))で書かれてはいるが、定義のための定義という不明確な内容である。既存法で使用され判例や学説において概念がある程度明確化されているものをあえて避けている背景は何か。EFF は"cybersecurity providers" や "self-protected entities” という曖昧な定義を持って特定の団体・機関に新たな権限を与えている点を問題指摘する。
(筆者注9)「 インテリジェンス・コミュニティー(Intelligence Community))とは各国の政府が設置している情報機関によって組織されている機関。現在の米国のインテリジェンス・コミュニティーにつき、政府専門サイト“intelligence .GOV”の解説を引用する。
「米国のインテリジェンス・コミュニティは、外交関係および国家安全保障活動に必要な情報を収集・蓄積する目的で独立および共同で任務を行う行政機関内の次の17の連邦機関(agencies)および団体の連合体である。
①空軍情報機関(Air Force Intelligence)
②陸軍情報機関(Army Intelligence)
③中央情報局(CIA)
④沿岸警備隊情報機関(Coast Guard Intelligence)
⑤国防総省・国防情報局(Defense Intelligence Agency)
⑥エネルギー省(Department Energy)
⑦国土安全保障省(DHS)
⑧国務省(DOS)
⑨財務省(DOT)
⑩司法省・麻薬取締局(Drug Enforcement Administration)
⑪連邦捜査局(FBI)
⑫海兵隊情報機関(Marine Corps Intelligence)
⑬国家地理空間情報局(National Geospatial-Intelligence Agency) なお、詳細は内閣府委員会資料「米国の宇宙政策体制について」参照。
⑭国防総省・国家偵察局(National Reconnaisance Office)
⑮国家安全保障局(National Security Agency)
⑯海軍情報局(Navy Intelligence)
⑰国家情報長官局(Office of the Director of National Intelligence)
このICメンバーは、国際的なテロリストや麻薬活動に関する情報(外国政府、団体や個人その他機関による敵対的活動および合衆国に向けられた外国からの情報活動の情報)の収集や捜査を行う。また、必要に応じ、大統領は外国からの脅威に対し合衆国の安全を保護するため特別な活動をICメンバーに命じうる。
現IC体制は、「2004年情報活動改革テロリズム予防法(Intelligence Reform and Terrorism Prevention Act of 2004, Pub. L. No. 108-458)」に基づく国家情報長官を頂点とする外交政策の遂行および国土の安全確保にとって必要な情報活動を行う行政機関の連合体で、中央集権型の情報コミュニテイ体制である。
また、英国のインテリジェンス・コミュニティーの体系的解説は、以下引用するWikipedia(英語、日本語) でも説明されているが、必ずしも正確とは思えない。
そこで、筆者なりに内閣府(Cabinet Office)の説明“Intelligence”や“National Intelligence Machinery”を中心に、SIS、MI5、GCHQ等関係機関や下院「情報および国家安全保障委員会(ISC)」との関係ならびに正確なリンクを張るとともに全体像を理解すべく参考情報を付け加えた。いつも英国の公的プレスリリース・サイトを読むたびに参考になる点がある。「編集者注(Notes to editors)」の丁寧さである。わが国でも参考にすべき点であろう。
(筆者注10)
(参考)
「インテリジェンス・コミュニティーは内閣に直属する統合情報委員会(Joint Intelligence Committee:JIC)を頂点とした議合制の体制である。(筆者追加注)現委員長は2012年? 月に任命されたJonathan Day である。
JICは内閣府や各情報機関、また関連省庁の幹部で構成される委員会であるが、イギリスの「国家情報機関」(National Intelligence Machinery)と位置づけられている。JICは各省庁からインテリジェンスを集めて分析し、政府としての短期、長期の情報評価報告書を提供することで政治家を補佐する。またJICはイギリスの各情報機関を指示、監督する機関としての役割を担っている。
JICは、情報機関の活動(情報収集、分析、評価)を指示、監督するほか、情報活動の計画を立案し、優先順位を決定して情報要求を行う。活動計画は、形式的にはJICで検討されたのちに関連省庁の長からなる「情報機関に関する事務次官委員会」のチェックを経て首相が議長を務める「情報機関に関する内閣委員会」で最終的に承認されるしくみとなっている。また、JICは情報機関の運営計画や予算の検討も行っている。」
(筆者注11) 同法に関しては、今回はあえて論じない。自由民主党や民主党が専門サイトで解説している。その論調は衆議院や参議院事務局サイトの説明よりはわかりやすい?と思うが、読者は試しに読んでほしい。
****************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます