大規模監視への道を突き進むインド：インターネットサービスにユーザデータの収集・保存を義務づけ

Electronic Frontier Foundation

インドのコンピュータ緊急対応チーム（CERT-In）が今年初めに発表した曖昧なサイバーセキュリティ通達によって、オンラインのプライバシーと表現の自由が再び脅かされている。この通達は、インターネットサービスに大規模監視義務を課し、プライバシーと匿名性を脅かし、オンラインセキュリティを弱体化させるものである。

通達20(3)/2022 – CERT-Inは、ステークホルダーからの意見聴取が行われることもなく公表され、その60日後の6月28日に発効した。驚くべきことに、インド電子情報技術省（MeitY）のラジーブ・チャンドラセカール大臣は、この通達が「市民に影響を与えるものではない」ため、政府は市民の声を聞く必要はないと言う。さらに、この通達では、インドがサイバー攻撃の防衛、国家の安全・公序良俗、コンピュータ犯罪の防止にこのような措置が必要とされていると述べられている。チャンドラセカールは、MeitYが「関連インフラを運営する」団体と協議したと述べているが、その団体の名前を明かすことはなかった。

サイバーセキュリティの法律・政策は、人権、とりわけプライバシー、表現の自由、結社の自由に直接的に影響をおよぼす。世界中で、インターネットや重要インフラ、その他のテクノロジーを悪意あるアクターから保護するための国家的なサイバーセキュリティ政策が次々に提案されている。だが、過度に広く、定義が曖昧な提案は意図せぬ結果を招き、人権侵害を引き起こし、イノベーションを阻害する。インドでは、この「通達」が監視を可能にし、プライバシーの権利を脅かすとして、人権／デジタルライツの擁護者たちが警鐘を鳴らしている。国際的なNGO連合は、CERT-inに通達の撤回を要請し、人権／セキュリティの専門家との継続的なマルチステークホルダー協議を開始し、人権の保護を保証した上でサイバーセキュリティを強化するよう求めている。

人権の観点からのCERT-inサイバーセキュリティ通達の問題点

データローカライズの強制とログ保存要件

通達4号は、広範囲に及ぶサービスプロバイダ（通信事業者、ネットワークプロバイダ、ISP、ウェブホスティング、クラウドサービスプロバイダ、暗号通貨取引所、ウォレット）、インターネット仲介事業者（ソーシャルメディアプラットフォーム、検索エンジン、電子商取引プラットフォーム）、データセンター（企業と政府の双方）に対し、インターネット通信技術（ICT）システム全体のログ取得を義務づけ、そのデータを180日間インド国内でセキュアに保存するよう強制する。同通達では、どのようなシステムに適用されるのかが明確化されていないため、政府が必要以上にユーザデータにアクセスするおそれがあり、目的の限定やデータ最小化を求める国際的な個人情報保護原則からの逸脱が懸念されている。

プロバイダに国内でのデータ保存を義務づければ、政府によるユーザデータへのアクセスが容易になり、監視が強化されるおそれがある。強力な法的セーフガードとデータ保護法のないインドにおいては、この傾向はとりわけ顕著になる。またデータローカライゼーションの義務化により、プロバイダが恣意的なデータアクセス要請を拒否した場合、強制執行や罰則の対象になりやすくなる。

一般／無差別データ保持の義務化

通達5号は、無差別なデータ保持義務を定めており、プライバシー権と無罪推定を不当に侵害する。通達では、データセンター、仮想専用サーバー（VPS）プロバイダー、クラウドサービスプロバイダー、仮想専用ネットワークサービス（VPN）プロバイダーに、氏名、サービス開始日、メールアドレス、IPアドレス、物理アドレス、連絡先などの顧客データを、サービスを解約・退会しても少なくとも5年以上保持するよう義務づけている。

将来のある時点で国家が関心を持つかもしれないという程度の理由で、個人情報の大量保管を義務づけることは人権基準に違反する。国連人権高等弁務官事務所（OHCHR）が述べているように、「無差別にデータを保持させる義務は、必要かつ適切とみなされる限度を越えている」のである。政治家、法律家、医療従事者、宗教活動家、人権擁護者、ジャーナリスト、そして一般インターネットユーザの個人情報を保持続けることは、データ泥棒のハニーポットを作り、ソフトウェアの脆弱性があった場合にデータを危険にさらし、セキュリティよりもインセキュリティに傾斜させる。VPNプロバイダは、この通達を遵守するためだけに、個人データやサービスに無関係なデータの収集を強制されるべきではない。個人情報は常に処理される目的に照らして適切かつ必要最低限なものでなければならない。

過剰な負担を強いるサイバーセキュリティ報告要件

通達2では、幅広いサービスプロバイダ、オンラインゲーム企業を含むインターネット仲介事業者、データセンター（企業および政府機関）に、サイバーセキュリティインシデントを発見から6時間以内（EUのGDPRではデータ侵害の通知を72時間以内としている）という短すぎるタイムスパンで政府に報告することを求めているが、中小企業がこの短時間で対応するにはスタッフを24時間体制で配置しなければならず、過剰な負担となる。さらに、こうした厳しい期限はヒューマンエラーを悪化させる恐れすらある。対照的に、従来の規則では、企業はサイバーセキュリティインシデントを「対応の余地を残すためにできるだけ早期に報告する」ことを求めていた。新たな通達では、サイバーセキュリティインシデントをユーザに通知することを義務づけていはいない。

報告要件は、データ漏洩・流出、ICTシステム・リソースへの不正アクセス、なりすまし、フィッシング攻撃、ランサムウェアなどの悪質な攻撃、命にかかわるサイバーインシデントなど、幅位広いサイバーセキュリティインシデントに適用される。また、ICTシステムの「標的型」スキャン（コンピュータ上で実行されるサービスの自動探索）にも適用される。だが、この「標的型」の定義が曖昧で、システムのあらゆるスキャンを意味すると解釈されれば、システム管理者の誰もがインターネットバックグラウンドノイズとみなすものでさえ報告しなければならなくなる。すでに当局複数のサイバーセキュリティプロジェクトがインターネットの大規模なスキャンに取り組んでいるのである。

こうしたスキャンはインターネット上に広く張り巡らされているため、一部の中小企業はポリシー違反のリスクを冒すよりも、全ログを自動的にCERT-Inに送信するようになるかもしれない。現時点でも劣悪なインドのユーザのプライバシー状況がさらに悪化しかねない。

プロバイダに情報開示を命じる権限をCERT-Inに付与する通達

通達3号は、CERT-Inがサイバーセキュリティインシデントへの対応として、保護・予防措置を講じている際に、サービスプロバイダ、仲介事業者、データセンター（企業および成否）にほぼリアルタイムの情報や支援を提供する用命じる権限を付与している。この通達には、この種の命令が誤用・悪用されないようにする監視メカニズムやデータ保護規定が設けられていない。また、同通達はCERT-Inの情報要請とその指示に応じるための窓口を指定するよう義務づけてもいる。

VPNが無差別データ保持命令を受け入れがたい理由

コンシュマー向けVPNは、ユーザの機密情報や通信の保護に重要な役割を担っている。VPNはユーザのデバイスとインターネットの間にセキュアなトンネルを作り、ISPから通信先のサーバを隠したり、転送中のデータを暗号化したりして、送受信するデータの機密性を保持することができる。これにより、ユーザはその地域で展開される検閲を回避し、監視を打ち破ることができる。

VPNはさまざまな人々に利用されている。活動家、ジャーナリスト、一般ユーザは、詮索好きな政府から自分たちの通信を保護しようとしている。調査によると、インドのVPNサービスは世界最高レベルの成長率を記録しているという。2021年上半期のVPNインストール数は3億4870万件に達し、2020年の同時期を比較して671％の伸びを記録した。一方、企業はVPNを使用して（ファイルサーバやプリンタなどの）内部リソースへの安全なアクセスを提供したり、インターネット上でセキュアにナビゲートできるようにしている。

ユーザデータを保持・収集せず、ユーザの匿名性とプライバシーを保護する暗号化の提供を主要な目的とするVPNにとって、通達5号に基づく膨大なデータ保持義務はVPNには受け入れがたいものなのである。政府がアクセスしたくなるかもしれない顧客データの保持をVPNに強制すれば、匿名インターネット通信を提供する能力が失われ、VPNユーザは国家監視の標的になりやすくなる。

とりわけインドのような国では、オンラインプラットフォームに課された反テロリズムやわいせつ物に対する規制が、ソーシャルメディアに政治的メッセージを投稿したり、集会を開いた学者、宗教家、作家、詩人の逮捕に利用されていることを考えれば大いに懸念される。

VPNがCERT-Inのサイバーセキュリティ通達を遵守することになれば、VPNはユーザの表現の自由、プライバシー、結社の自由を守る有効な匿名性ツールとしても、セキュリティツールとしても機能しなくなってしまう。チャンドラセカールは、VPNが通達に従わないのであれば、インドでの事業は認められないと言う。今年はじめ、彼は記者団に「『ログを保持しないことが当社のルールです』などとは言わせない」と語った。「ログを保存しないなら、ここでビジネスはできないということだ」。

IFFポリシーディレクターのプラティーク・ワーグレは、Internet Societyとの共同書簡で、VPNは「通達を遵守するためだけに業務と無関係なデータの収集をすべきではない。法執行のための私的空間の監視を義務づけられないのと同じことだ」と述べている。「データプライバシー法やデータ保護法のないインドでは、CERT-Inのデータ収集通達はより一層危険なものとなる。つまり、インド市民は自分のデータが濫用、悪用、プロファイリング、監視から保護されるという確証がないのである」。

インドのInternet Freedom Foundation（IFF）は、データ保持要件が過剰であるとして、CERT-INに通達の撤回を要請している。また同団体は、テクノロジーやサイバーセキュリティの専門家、市民社会組織の声に耳を傾け、軌道修正するよう求めてもいる。

VPN事業者の反撃

VPN事業者は、この規則が本質的にVPNサービスの意義を損ねるとして、猛反発している。多くの事業者が、ユーザデータの収集と保持が強制されるなら、インド市場から撤退せざるをえないと述べている。だが、シンガポール、ロンドン、オランダの仮想サーバを経由してトラフィックを転送することで、ほとんどの事業者がサービス提供を継続していることは朗報といえるだろう。一方、わずか1万5000人ほどのユーザを抱えているに過ぎないVPNサービスのSnTHostingsは、この規則がプライバシーの権利を侵害し、インドの電子商取引およびサイバー犯罪法である2000年情報技術法が付与する権限を逸脱しているとして、規則への異議申し立て訴訟を起こしている。この訴訟では、IFFはSnTHostingsの代理人を務めている。

CERT-Inの通達は、政府がプライバシーを弱め、表現の自由を制限するためにさらに踏み込んできたことを意味している。それについては、こちらやこちら、こちら、こちら、こちら、そしてこちらをご覧いただきたい。インドにおけるデジタルライツは後退を続けており、市民社会組織やVPNプロバイダはそれに警鐘を鳴らしているのである。

Apple、Amazon、Facebook、Googleなどのビッグテック企業を代表する国際業界団体の情報技術産業協会（ITI）は、この規則がインドや世界の企業に悪影響を及ぼし、インドのサイバーセキュリティを弱めることになるとして、CERT-Inに修正を求めている。ITIは5月5日付のCERT-Inへの書簡で、「こうした規定は、真のセキュリティ懸念を解消するものではなく、企業やそのグローバルな顧客に深刻な結果をもたらすおそれがある」と述べている。数週間後、CERT-Inは新たな通達が企業やエンタープライズVPNには適用されないことを発表した。

アジア、EU、米国のビッグテック企業を代表する11の業界団体も、この規則に異を唱え修正を求めている。彼らは、インターネットサービスプロバイダがすでに規則が要求する顧客情報を収集していることを指摘し、VPNやクラウドサービスプロバイダ、仮想サービスプロバイダに同様の要求をすれば、企業の顧客やデータセンタープロバイダに「過剰な負担を強いる」ことになると主張している。その一方で、ユーザのプライバシーにもたらされる脅威については触れられておらず、この点は不満に感じている。テック業界団体、そして企業は、インドのユーザの側に立ち、CERT-Inに過剰な負担を強いるデータ収集要件を撤回するよう要求すべきだろう。

詳細は、Internet Freedom Foundationの「CERT-In Directions on Cybersecurity: An Explainer」をご覧いただきたい。

India Requires Internet Services to Collect and Store Vast Amount of Customer Data, Building a Path to Mass Surveillance | Electronic Frontier Foundation