議会で審議中の新たな法案は、テクノロジー企業に対し、法執行機関の要請があればいつでも自社のセキュリティ機能と暗号化を無効化または解除することを義務付けるものです。恐ろしい話に聞こえますか？実際、その通りです。法案の内容と、それに対してできることをご紹介します。

ご存知の方のためにご説明しますと、サンバーナンディーノ銃乱射事件の犯人、サイード・リズワン・ファルークが所有していたiPhoneをめぐって、AppleとFBIが最近、法廷闘争を繰り広げました。FBIはAppleに対し、iPhoneのPINロックを解除するツールの開発を要求しました。Appleは、これは過度の負担であり、すべてのiPhoneのセキュリティを弱めるものだと主張しました。最終的にFBIは要求を撤回し、第三者企業にiPhoneのロック解除を依頼しました。しかし、現在、アメリカ国内で別のiPhoneが盗まれています。

しかし、この事件を受けて、ダイアン・ファインスタイン上院議員（カリフォルニア州、民主党）とリチャード・バー上院議員（ノースカロライナ州、共和党）は現在、法執行機関が頼み込むことなく必要な情報を入手できるようにする法案を策定中です。ファインスタイン・バー法案が可決されれば、テクノロジー企業は、たとえデータが暗号化されていたり、企業が実際にアクセスできない場合であっても、裁判所命令に従ってデータを提出することを義務付けられます。いわゆる「2016年裁判所命令遵守法」の暫定版が先週金曜日に発表されました。この法案は必ずしも最終版ではありませんが、既にかなりひどい内容となっています。大幅な変更が行われない限り、この法案はセキュリティを重視するすべての人にとって危険なものとなるでしょう。

この法案がもたらすもの

金曜日に公開された草案によると、テクノロジー企業が情報開示命令を受けた場合、企業は必ずそれに従う能力を備えていなければならない。データ自体にアクセスするか、政府がデータにアクセスする方法を見つけるのを支援するかのいずれかの方法で対応しなければならない。つまり、企業は「それは不可能だ」と言って諦めることはできない。このような命令に直面したテクノロジー企業には、以下の2つの選択肢がある。

• 情報を直接引き渡す。企業が裁判所命令に関連するデータを自社サーバー上に保有している場合、法執行機関に引き渡す義務が生じる。引き渡すデータは「理解可能な形式」でなければならない。つまり、企業は暗号化されたデータを判読可能な形式に変換する能力を持たなければならない。そうなると、暗号化サービスを提供するテクノロジー企業は、データを復号するための鍵を自ら保有する必要があり、顧客のデータの脆弱性が高まる。あるいは、さらに悪いことに、企業自身が解読できる暗号化のみを使用することになり、暗号化が事実上無価値になってしまう。

• 法執行機関による情報へのアクセスを支援する。企業がデータを保管していない場合、政府がデータにアクセスできるようにするために「必要な技術支援」を提供しなければならない。つまり、テクノロジー企業は、政府が任務完了と判断するまで、フォレンジック調査に全力を尽くさなければならないことになる。注目すべきは、この法案では、政府が企業に要求できる労力に制限を設けていないことだ。ただし、技術支援の提供に伴って発生した費用については「補償」されるという条項がある。

サンバーナーディーノ事件を例に挙げると、この新法の下では、Appleはファルーク氏のiPhoneにアクセスする義務があったはずです。裁判所命令の対象となったため、Appleが自社の事業や顧客のセキュリティにどれほど損害を与えると感じていたとしても、それは変わりません。しかし、やや紛らわしいことに、Appleがどのようにしてこれを実現しなければならないのかは、意図的に明記されていません。法律のある条項には、次のように記されています。

この法律のいかなる規定も、政府職員が対象事業体による特定の設計またはオペレーティング システムの採用を要求または禁止することを認めるものと解釈されることはありません。

つまり、FBIはAppleに対し、携帯電話の暗号化を回避する特定のソフトウェア機能を要求することはできない（サンバーナーディーノ事件ではAppleがそうした）。FBIはAppleに対し、何らかの方法でこれを実行するよう命じるだけだ。また、政府が完了と判断するまでAppleの仕事は終わらないとも述べている。

この法案の適用範囲はアプリストアにも及んでいます。ある条項では、「製品、サービス、アプリケーション、またはソフトウェアのライセンスを配布する」企業は、それらの製品が法律を遵守できる能力を備えていることを保証しなければならないと規定されています。つまり、Appleがアプリ開発者が顧客データを引き渡す能力を保証できない場合、Appleは法的にそのアプリをApp Storeで公開することはできないということです。繰り返しになりますが、この法案は、企業が配布するすべてのアプリが裁判所命令に準拠していることをどのように保証すべきかについては何も規定していません。せいぜい、ストア内のすべての通信アプリに対して、長時間にわたるセキュリティ監査を法的に義務付ける程度です。最悪の場合、アプリストアの所有者が開発者が使用できるセキュリティ機能を指示することを義務付けています。どう解釈しても、これは悪い兆候です。

この法案のその他の問題点

現状のままでは、この法案はテクノロジー企業と消費者にとって壊滅的なものです。最大の問題の一つは、要求されている内容が多くの状況で実際には実現不可能な場合があることです。例えば、WhatsAppは最近、すべてのメッセージにエンドツーエンドの暗号化を導入しました。Googleは長年にわたりGmailで同様の対策を講じてきました。両社とも、エンドポイントデバイスに物理的にアクセスしなければ、サービスを通じて送信されるデータにアクセスすることはできません。また、転送中に取得されるデータは「読み取り可能な形式」ではないことは明らかです。この法案は、企業が法執行機関が読み取り、利用できる方法でデータを引き渡す方法を見つけることを義務付けますが、これは文字通り不可能です。政策アナリストのジュリアン・サンチェス氏が指摘するように、この法案は場合によっては企業に魔法をかけるようなものだというのです。

このツイートは現在利用できません。読み込み中か削除された可能性があります。

WhatsAppには2つの選択肢があります。一つは、エンドツーエンドの暗号化を無効にすることです。これは製品のセキュリティを本質的に低下させ、顧客基盤に不満を抱かせます。もう一つは、バックドアを組み込んだり、顧客の暗号化キーをデータベース化したりすることです。これはプラットフォームのセキュリティを弱体化させます。これは、あなたの家を建てた人に家の鍵一式を所有させ、その人だけが入れる特別なドアを持たせるようなものです。

どちらの選択肢も消費者のセキュリティを弱体化させ、ユーザーデータ、メッセージ、その他アプリを通じて送信されたあらゆる情報を盗もうとする悪意のある人物の侵入口となります。この法律の下では、強力なセキュリティ対策は違法となります。製品やサービスがあまりにも安全で、企業や政府がアクセスしたり解読したりできない場合、企業は法律を遵守するためにセキュリティを弱めざるを得なくなります。

もう一つの大きな問題は、この法案がApple、Google、Microsoftなどの企業に対し、自社のアプリストアで安全なアプリを監視し、削除することを義務付けていることです。これらの企業は自社製品のセキュリティを弱めるだけでなく、自社のアプリストアにあるすべてのアプリのセキュリティも弱くする必要があるでしょう。安全なアプリを禁止するだけでなく、すべてのアプリがこの法律に準拠していることを確認するという過度の負担をアプリ開発者とアプリストアの両方に課すことになるでしょう。

この法案はそもそも必要ではないかもしれない。AppleとFBIの訴訟を取り上げた際に言及した「全令状法」では、裁判所は企業に対し、その遵守が不当な負担にならない限り、必要なあらゆる方法で捜査に協力するよう命じることができる。AppleとFBIの争いでは、AppleはFBIが求めるツールを作成することは不当な負担であり、今回の訴訟の1台だけでなく、より多くのiPhoneのセキュリティを危険にさらすと主張した。しかし、Appleはこれまでにも、異なる状況下で法執行機関が他のiPhoneからデータを抽出するのを何度も支援してきた。この新法案は、政府が既存の法律、あるいはサンバーナーディーノの訴訟でFBIが証明したように、既存のセキュリティ研究者や請負業者を利用して必要な情報を入手できない、ごく少数の例外的なケースに対処するためだけに、世界中のあらゆるデバイスとアプリのセキュリティを危険にさらすことになるだろう。

この法案の支持者たちは、「情報漏洩」問題への対策が必要だと主張しています。セキュリティ技術の向上に伴い、法執行機関の業務はより困難になっています。かつては、高度な暗号化やセキュリティレイヤーは政府機関や高度に組織化された犯罪者だけが利用できるものでした。しかし今や、最新のスマートフォンを持つ人なら誰でも、連邦捜査を阻止できる可能性があります。これは、高度な技術を持つ犯罪者を追跡するという、法執行機関にとって大きな負担となり、その負担はますます増大しています。しかし、私たちの編集長アラン・ヘンリーが説明するように、まさにこれがあるべき姿なのです。

FBIやNSAやCIAがシリコンバレーにやって来て電話や暗号を解読するべきではない。

すでにそうする能力を持っている

そうでないなら、一体彼らは何を待っているのか、過去 20 年間どこにいたのか。

「闇に落ちる」ことは確かに問題ではあるものの、私たちのあらゆるガジェットやアプリを開発しているテクノロジー企業を強制徴用するのは、解決策として不十分です。法執行機関は、何も悪いことをしていないユーザーのセキュリティを損なうことなく捜査を行うために必要なツールを備えるべきです。アメリカ国民全員が、いつか政府に壊されるかもしれないという場合に備えて、玄関のドアに弱い鍵をかけ続ける必要はないはずです。

この問題について声を上げる方法

現在、この法案の最終版はまだ公式に発表されていないため、意見を表明する時間はまだ十分にあります。バー上院議員の事務所への連絡方法については、こちら、ファインスタイン上院議員の事務所への連絡方法については、こちらでご覧いただけます。また、4USXUS を使えば、お住まいの上院議員や下院議員の情報を検索し、連絡先を入手することもできます。Democracy.io を使えば、連絡先を探すことなく簡単に連絡を取ることができます。これらの方法のいずれかを使って、議員にこの法案についての意見や、委員会に送られた場合、あるいは万が一本会議で採決された場合にどのように投票すべきかを伝えてください。また、ホワイトハウスにこちらから連絡して、法案が可決された場合に大統領に拒否権発動を支持する旨を伝えることもできます。Gizmodo では、現在大統領選に出馬している各候補者のコンピュータセキュリティに関する見解をまとめた記事も掲載しています。

4USXUSを使えば、法案が正式に提出されたらすぐに状況を追跡できます（例えば、CISAの概要はこちらです）。それまでの間は、所属する議会議員に連絡を取り、意見を表明する良い機会です。今のところ、この法案が可決される可能性は低いように思えるかもしれません（そして、非常に否定的な注目を集めています）。しかし、誰も注目していない間に、もっとひどい法案が可決された例もあります。ですから、時間を取って、今のうちから意見を表明しましょう。

イラストはサム・ウーリーによるものです。