以下の文章は、Center for Democracy & Technology(民主主義と技術のためのセンター)の「India’s New Cybersecurity Order Drives VPN Providers to Leave, Chilling Speech and Subjecting More Indians to Government Surveillance」という記事を翻訳したものである。
世界中のユーザが、仮想プライベートネットワーク(VPN)を利用してプライバシーを保護し、デジタルデータの足跡を最小限に抑え、安全なエコシステムで情報にアクセスし、共有している。だがインド政府のコンピュータ緊急対応チーム(CERT-In)の新たなサイバーセキュリティ命令は、VPNプロバイダにユーザログを保存するよう命じている。これはまさにVPNサービスそのものを無意味化し、ユーザがまさに回避しようとしている“監視”にさらされることを意味する。
この1ヶ月の間に、多くの仮想プライベートネットワーク・プロバイダがインドから撤退した。ExpressVPN、NordVPN、SurfSharkなどは、インド国内ユーザのプライバシーと表現の自由を保護するためにインド国内での営業を停止すると発表している。ExpressVPNは最近のブログ投稿で、「我々は、ユーザがどこにいようと、プライバシー、セキュリティが守られた、オープンで自由なインターネットに接続できるようにするために戦い続ける」と述べている。
サイバーセキュリティ命令は、VPNプロバイダ、クラウドサービスプロバイダ、通信事業者やインターネットサービスプロバイダなどのオンライン仲介業者、電子商取引大手、検索エンジン、ソーシャルメディアプラットフォーム、その他ほぼすべての企業や政府機関を対象とした新たな規則を定めている。なかでもVPNに関連する義務は、VPNサービスの運用方法やVPNユーザの利用目的に真っ向から対立するものとなっている。
4月下旬に公表され、この6月下旬にも施行される命令は、VPNに対し、全ユーザの氏名、契約時のIPアドレスと電子メールアドレス、VPNサービスを通じて割り当てられた、または使用されたIPアドレス、使用目的、その他の連絡先などに関するログを5年間保存するよう求めている。Internet Freedom Foundationは、この命令の概要を解説している。
VPNに極めてセンシティブな情報を最長5年間も保存させるというアイデアを懸念するのは当然のことだ。とりわけ、安全なコミュニケーションと情報チャネルを必要とする周縁化されたコミュニティ、危険に晒されているコミュニティのユーザは警戒しなくてはならない。
この要件は、VPNサービスを提供する目的――つまり、外部の干渉やアクセスから解放された安全かつプライベートなコミュニケーションチャネルを提供し、理想的にはデータ収集、保存、集約化を最小限に抑える――に反する(2018年にCDTが実施したSignals of Trustworthy VPNsプロジェクトでは、その重要性を明らかにしている)。データ保存の義務化は、VPNがユーザデータを保護・最小化するための手法、そしてユーザがVPNに求める期待にも反している。
データ最小化は、VPNとユーザとの信頼の根幹をなすものである。ユーザはVPNが監視や詮索から自分を守ってくれると信頼し、VPNはユーザの使用やオンライン行動に関するログをほとんど記録しないことによってその信頼に応えている。この命令はVPNの提供者、利用者にかなりの打撃を与えることになるだろう。VPNはユーザの活動を外部から見えにくくする一方で、ユーザのトラフィックの大部分をサービス内でほぼ一元化している。VPNにデータ共有が義務づけられれば、むしろユーザはより脆弱になってしまう。
この命令が特に危険で、インドのユーザの権利を脅かしているのは、VPNが使用される文脈にある。インドの多くのVPNユーザは、政府の監視から逃れて自由に発言したり情報を共有するために、あるいは政府が検閲する情報にアクセスするためにVPNを必要としている。いずれの場合においても、VPNはインターネットにアクセスし、権利を行使するための重要なインフラなのである。
インドではさまざまな組織がVPNを利用している。たとえばインドでは、ジャーナリストが人権侵害や紛争などを報道しようとすると、監視やバックラッシュに晒されかねない状況にある。そのため、ジャーナリストは情報源とのコミュニケーションや自身の安全を確保するためにVPNサービスに頼っている。報道の自由が失われつつあるインドのような国で活動するジャーナリストにとって、VPNは監視や逮捕、ときには殺害から身を守るための極めて重要な盾なのである。
また、政府への批判、自由な表現、情報の共有、デモや集会の組織といった民主的な活動が歓迎されない社会にあっては、活動家たちもVPNサービスに頼らざるをえない。Freedom HouseのFreedom on the Net Indiaレポートによると、この1年の間に、インド政府はソーシャルメディアプラットフォームに圧力をかけ、近年では最大規模の抗議活動である2021年初頭の新農法に反対する農民の抗議活動に関連したコンテンツを削除させた。つい先週も、若いムスリム活動家とその父親の自宅が州政府当局によってブルドーザで破壊されたが、これは彼らが現職政府高官のイスラム嫌悪発言への抗議行動を主導した疑いをかけられたためだった。
最後に、VPNサービスは、安全なスペースや命を守る情報を求める周縁化された人々、危機的状況にある人々をふくめ、幅広い市民に日常的に利用されている。COVID-19パンデミックの最中、VPNの利用は急増した。Mashableによれば、インドではリモートワークの増加や、重要なファイルをセキュアにやり取りする需要が高まったことで、コロナ禍の最初の3ヶ月間でインドでのExpressVPNの利用が15%も増加したという。また、ニューヨーク・タイムズ紙や複数のアドボカシーが、新型コロナウィルスや公衆衛生に関するコンテンツが削除された事例を報告している。さらにインドは、4年連続で最もインターネット遮断を実施した国という不名誉な記録も持っている。その間、VPNはインターネットにアクセスし、政府によってブロックされかねない情報を探すための手段として信頼されるようになったのである。
この命令により、インド政府は事実上、VPNユーザの通信、ひいては彼らの言論を監視できるようになる。プライバシーを基本的権利と宣言した2017年のインド最高裁の画期的な判決を受け、インド政府は2021年個人データ保護法案(PDPB)で、この判決を法律で明文化することになっている。だが、CERT-Inの命令は、PDPBがモデルとするEUの一般データ規則(GDPR)が定めるデータ最小化の基本的原則を支持せず、強力なプライバシー・バイ・デザインの原則に反するものである。
いまや世界各地で、政府によるVPNプロバイダの取り締まりが進行している。インド政府の動きは、その懸念すべきグローバルトレンドに沿ったものと言えるだろう。それによってインドは、中国、ベラルーシ、イラン、北朝鮮など、VPNサービスの利用を事実上禁止する国のリストに加わることになる。最近ではロシアでも、VPNサービスへのアクセスが当局に「妨害されているようだ」という報告が国内のユーザから寄せられている。ロシアのウクライナ侵攻以降、ロシアのユーザたちが、真実の情報にアクセスし、重要な記録を世界と共有し、政府に監視されずに自由にコミュニケーションするためにVPNを必要としている。ある試算によると、VPNプロバイダのロシアのトラフィックボリュームは172倍に跳ね上がったという。まさにそのタイミングで、ロシア当局はVPNへのアクセスを妨害しているのである。
すでにインドでは、市民が言論を監視され、逮捕され、国内の至る場所でインターネットサービスが制限されている。そこへきて、このサイバーセキュリティ命令である。これは、インド政府がデジタル権威主義の初期段階にあることを示唆している。CDTが昨年伝えたように、インドではオンラインの表現の自由への締め付けがますます強まってきている。CERT-Inの命令は、まさにその非民主的アプローチを踏襲したものだ。我々は市民社会や人権団体とともに、インド政府にこの命令を延期し、インドユーザの権利を保護するためにそのアプローチを見直すよう要求する。
アップデート:インド政府は、企業や市民社会組織からの強い反発を受けて、CERT-Inサイバーセキュリティ命令の施行を2022年9月25日まで延期した。現地の市民社会団体は、市民の権利保護を確実にするために、政府に命令を見直し、人権の専門家と協議するよう求めている。
India’s New Cybersecurity Order Drives VPN Providers to Leave, Chilling Speech and Subjecting More Indians to Government Surveillance – Center for Democracy and Technology
Author: Aliya Bhatia / (CC BY 4.0)
Publication Date: June 24, 2022
Translation: heatwave_p2p
Material of Header image: Shubham Dhage
