イギリス政府、アップル利用者が保存する暗号化データにアクセス要求
画像提供, Getty Images
ゾーイー・クラインマン、BBCテクノロジー編集長
イギリス政府は、米アップルのクラウド・サービスを使う世界中の利用者が、クラウドに保管している暗号化データの閲覧を要求した。ユーザーが「高度なデータ保護(ADP)」サービスを利用してクラウドに保存している全データが対象となる。米紙ワシントン・ポストが消息筋の話として7日に伝え、BBCも消息筋に取材した。政府は国家安全保障にリスクがある場合に限り、データへのアクセスを法的手続きに沿って求めるものと考えられている。
イギリス内務省は、「調査権限法(IPA)」に基づいて暗号化データの閲覧をアップルに要求した。IPAは、企業に捜査当局への情報提供を義務付ける法律。
イギリスの法律上、政府のこの要求を開示することは認められない。
現在はアップル・アカウントの利用者のみが、クラウドに暗号化保存されているデータにアクセスすることができ、アップルも閲覧できない。
アップルはコメントを控えているが、同社はプライバシーを「基本的人権」として捉えていると、公式サイト上で表明している。
内務省は「我々は業務内容についてコメントしない。たとえば、そのような要求が存在するかしないかを確認することもしない」と述べている。
プライバシー保護団体「プライバシー・インターナショナル」は、個人のプライベートなデータに対する「前例のない攻撃」だと非難している。同団体の法務ディレクター、キャロライン・ウィルソン・パラウ氏は、「イギリスはこのような戦いに臨むべきではなかった」と指摘。「この過剰な要求は非常に有害な前例を作り、世界中の抑圧的な政権を勇気づけることになる」と警告した。
「裏口」は作らないとアップル
イギリス政府は、アップルユーザーがADPサービスを利用してクラウドに保存している全データへのアクセスを要求している。
ADPサービスはエンドツーエンド暗号化(E2EE)を使用しているため、データはアカウント所有者しかアクセスできず、アップルも閲覧できない。
ADPは利用者の事前同意にもとづくオプトイン・サービスで、ユーザー全員が利用しているわけではない。このサービスはデータのセキュリティーを徹底的に強化するだけに、アカウントにアクセスできなくなった場合にはデータが回復できないという欠点があるためだ。
ADPの利用者数は明らかになっていない。
ただし、イギリス政府がデータへのアクセスを要求したからといって、当局がただちにあらゆる人の全データを事細かに精査し始めるというわけではない。
政府は、国家安全保障にリスクがある場合に限り、データへのアクセスを求めるものと考えられている。つまり広範な監視にではなく、特定の個人を対象にしてデータを閲覧しようとするものと思われる。
当局は依然として、法的手続きに従う必要がある。情報開示を求めるだけの正当な理由を提示し、特定のアカウントのデータにアクセスする許可を求めなくてはならない。これは、イギリス政府がすでに暗号化データについて行っている対応と同じだ。
アップルは以前、イギリス政府のこうした要求に応じるくらいなら、ADPなどの暗号化サービスをイギリス市場から撤退させると述べている。同社は英下院に対して、自社製品に決して「バックドア(裏口)を作ったりしない」と述べている。
サイバーセキュリティーの専門家たちは、一度そのような入口が設置されてしまうと、悪意ある者がそれを発見するのは時間の問題だと指摘している。
さらに、ADPサービスをイギリス市場から撤退させるだけでは十分ではないかもしれない。イギリスのIPAは、イギリスに拠点を置いていなくてもイギリス市場で事業を展開するすべてのテクノロジー企業を対象にしている。
ただし、アップルなどの大手テクノロジー企業に、西側政府がデータの暗号解除を要求して実現に成功した事例はこれまでのところない。アメリカ政府もかつて、同様の要求をしたが、アップルはこれを断固として拒否した。
2016年には、米カリフォルニア州サンバーナディーノで起きた乱射事件について、銃撃犯のiPhoneに保存されていた情報を捜査当局がアクセスできるよう、特別のソフトウェア作成を連邦地裁が命じたものの、アップルはこれに抵抗した。
この問題は結局、連邦捜査当局(FBI)がiPhoneのロック解除に成功した。
同年には別件で同様の紛争が起きたものの、その際も捜査当局がiPhone所有者のパスコードを突き止めたため、司法省はアップルへの提訴を取り下げた。
その後も同様の事案は繰り返され、2020年にはフロリダ州にあるペンサコーラ海軍飛行場で起きた銃撃事件について、司法長官が実行犯のiPhoneのロック解除をアップルに要求したものの、同社はこれに応じなかった。この事件についてもFBIは後に、iPhoneに「アクセスできた」と述べている。
「呆然とした」
アップルはイギリス内務省の要求に対して上訴することができるものの、裁判所がいずれ政府要求を違法と判断したとしても、係争中に要求の執行を遅らせることは、法律上認められない。
イギリス政府は、同社の暗号化サービスが犯罪者にとって隠れみのになっていると主張する。FBIも、ADPツールに対して批判的だ。
英サリー大学のサイバーセキュリティー専門家、アラン・ウッドワード教授はこのニュースに「呆然(ぼうぜん)とした」と話した。プライバシー擁護団体「ビッグ・ブラザー・ウォッチ」は、報道内容を「憂慮」していると述べた。
「犯罪やテロに取り組むためのこの動きは、イギリスの安全を増すことにつながらない。むしろ、全人口の基本的な権利と公民権を侵食する」と同団体は声明で述べている。
イギリスの子供慈善団体NSPCCは以前、児童虐待の最前線にデータ暗号化の問題があると指摘。加害者同氏のコンテンツ共有を結果的に助けるサービスになっていると批判した。
これに対してアップルは、顧客のプライバシーこそ自分たちのすべての製品とサービスの根幹をなすものだと主張する。
同社は2024年、調査権限法の変更に反対し、政府による「前例のない過剰介入」と批判した。
新しいセキュリティー対策の実施に先立ち、政府が拒否権を持つことを織り込む形で、この改正法案は成立した。
英サイバーセキュリティー企業レッド・ゴート・サイバーセキュリティーのリーサ・フォーテ氏は、「こうした権限行使では、期待する結果につながらない可能性が高い。それが主な問題だ」と指摘。
「犯罪者やテロリストは、摘発を逃れるため他のプラットフォームや手法に移行するだけだ。そして、プライバシーを失い不利益をこうむるのは、法を順守する一般市民だ」と、フォーテ氏は批判している。
