「企業は製品の欠陥に関する真実の情報を開示する者を定めることができる」などという法律を議会が制定することはないだろう。当然、修正第一条がそのような法律を許すはずもない。しかし、だからといって、企業がいつのまにやらそれを生み出し、それがあたかも当たり前に存在する自然権であるかのようにし続けていることが止められたわけではない。
背景:1986年、マシュー・ブロデリックの映画『ウォーゲーム』(実話だよ!)を見て腰を抜かしたロナルド・レーガンは、議会と協力して、コンピュータ詐欺および濫用取締法(CFAA:Computer Fraud and Abuse Act)というずさんなサイバー犯罪対策法案を成立させにかかった。このCFAAにより、他者のコンピュータへの「権限を踰越したアクセス(exceed authorized access)」は重罪になった。
飛んで1998年、ビル・クリントンとその議会は、デジタルミレニアム著作権法(DMCA)を制定した。このとんでもなく厄介なデジタル著作権法のカタマリに含まれる第1201条により、著作物に対する「アクセスを効果的に制御する」「技術的手段」を回避することや、デジタルロックを回避するデバイスやサービスを「売買(trafficking)」することが禁じられた。
いずれの法律も、欠陥の開示を禁止しているわけではない。当然、セキュリティ上の欠陥も含めてだ! しかし、数十年後、企業の弁護士や連邦検事は、これら広すぎる法律を逆手に取り、企業の製品の欠陥やバグに関する真実を明らかにできる者を制限する事実上の決定権を与える判例を勝ち取った。
企業や検事は、研究者や告発者が欠陥を発見する過程で企業の利用規約に違反したとして訴訟を起こしてきた。その理屈はこうだ。「当社の利用規約は、システムのセキュリティ上の欠陥の調査を禁じています。その目的のために当社サーバにログインした場合、あなたは権限を踰越したことになり、コンピュータ詐欺および濫用取締法違反となります」。
同様に、企業や検事は、ソフトウェアやハードウェアの欠陥を公表した研究者をDMCA第1201条を口実に攻撃してきた。その場合の理屈はこうなる。「当社製品には、当社ソフトウェア上の欠陥を発見するにあたり回避しなければならないロックが施されています。私たちのソフトウェアは著作権で保護されているため、そのロックは『著作物のアクセス制御』であり、それはつまり調査が禁止されているということであり、あなたが発見した欠陥の再現方法を公表は当社ロックの回避方法の『提供(trafficking)』となるため、違法言論となります」
憲法修正第一条は確かに、議会に真実に基づく技術的な公表を禁止する法律の制定を許すことはないだろう。公表が、製品やサービスの信頼性を判断する上で、事前に公知されねばならないセキュリティ上の欠陥を明らかにするのだから、なおさらだ。
しかし、こうした法律が存在することで、テクノロジー業界――や「クソ」な製品に「スマート」テクノロジーを施した企業――は、自らに都合の悪い情報を管理できて当然だと思うようになった。CFAAやDMCA第1201条が研究者を黙らせる恫喝として使われれば、最悪の場合、犯罪者や詐欺師が欠陥を悪用して悪事を重ね、その問題がもはや隠しきれなくなってはじめて、自らが利用する製品が信頼できない欠陥品だということを知らされることになってしまう。
本来重い責任を負う大企業でさえ、この過ちを犯しているのだ。しかし、MozillaやDropbox、最近ではTeslaなどのテクノロジー企業は、セキュリティ開示を真摯に受け止め、一定期間内に対策を講じ、ガイドラインに従うセキュリティ研究者にDMCA第1201条のような法律を利用して報復しないという誠実かつ法的拘束力のある約束をする「責任ある開示」ポリシーを定めている。
素晴らしい第一歩である。しかし、問題の大きさに比して、遅く、限られたソリューションでしかない。
いまや、医療用インプラントベンダーから票数計算機メーカーに至るまで、ほとんどすべての企業が「テクノロジー企業」となっている。しかし、そのすべてがMozillaほどの公共心を備えているわけではない。
こうした企業の多くは、セキュリティ研究者が発見した製品やサービスの問題を報告してもらうために「責任ある開示」ポリシーを定めている。しかし、このポリシーの本当の意味はほとんど理解されていない。ただ単に、セキュリティ研究者に煩わされたくないがために、警告なしにバグを公表させないようにするために、そうしたポリシーを定めているに過ぎない。
企業が協力的でない研究者を黙らせることができるのであれば、実際にそれが行われると考えなくてはならない。日頃から批判者を黙らせたいという願望を抱いているCEOは掃いて捨てるほどいるのだ。
現在、EFFは米国政府に対しDMCA第1201条の無効化を求めて訴訟を起こしており、ACLUもCFAAを切り崩そうとしている。(たとえ無礼で乱暴なやり方でなされたとしても)バグ報告を封じるという考えは修正第一条に完全に反するものである。いずれ我々は勝利を収めるだろう。
企業が模範的な存在でありたいと願うのであれば、「私たちは無茶苦茶な法律の不当かつ不合理な解釈を避け、私たちが認める方法でのみ真実を伝えることを許します」などという開示ポリシーを定めるべきではない。以下のような開示ポリシーであるべきだ。
システムの欠陥に関する真実の警告の公表は、いかなる場合においても適法であると考えます。もちろん、報告されたバグを調査し、適時の修正を約束する開示システム(LINK)から報告していただくことを強くおすすめします。しかし、当社はあなたにこのシステムの使用を強制する権利を持っているとは考えておりません。
したがって、当社はその開示方法にかかわらず、当社製品またはサービスの欠陥に関する真実の開示を行った誰に対しても、一切の権利――たとえば営業秘密法や反ハッキング法、反回避法などで付与された権利――を絶対に行使しないことを約束します。
当社は、セキュリティ研究者と協力関係を築くことこそが、消費者の安全を守り、バグのない製品を維持する最良の方法であると考えています。そのために当社は開示システムを設け、それを利用してくれることを心より望んでいます。しかし、当社はあなたにこのシステムの使用を強制する権利を持ってはいないと考えます。
たとえ真実の開示の仕方やタイミングが気に食わなかったとしても、企業は法律に頼ってセキュリティ研究者を黙らせるべきではない。もしその恫喝が本格的な訴訟に発展したとしたら、そうした訴訟を法律そのものを最速で覆すチャンスと捉える公共心にあふれる訴訟当事者(エヘン)が目の前に登場するものと覚悟していただきたい。
しかし、遅々として進まぬ司法手続きを待つ間にも、公共心にあふれるセキュリティ研究者が法律を逆手に取った報復にさらされて続けている(サイバー犯罪に携わる研究者や国家による監視に携わる事業者は自らの発見を公表しないため、こうした法律を心配する必要がない)。それは我々全員にとって不幸なことだ。TeslaやDropbox、Mozillaのような善き市民企業の取り組みが、無数にいるチンケな独裁者たちによって、「開示は企業の承認を得なくてはならない」という、批判者を脅し黙らせるための口実として利用されているのだ。
脅された研究者が何をしたというのか? 彼らは、我々の個人情報や資産情報、私的なコミュニケーション、自宅やビジネスのセキュリティ、さらには我々の生活に密着するシステムを信用すべきでない理由について、事実を明らかにしただけだ。
EFFは米国政府に対し、DMCA第1201条を撤廃するよう訴訟を起こしている。また、著作権局に対しては、DMCA第1201条は真実の公表を妨げるものではないとセキュリティ研究者を安心させるよう求めているところだ。
Publication Date: August 15, 2018
Translation: heatwave_p2p