EFF、連邦政府・米国市民のデータ漏洩を阻止するためDOGEと人事管理局を提訴

Electronic Frontier Foundation

EFFとプライバシー擁護団体の連合は、本日訴訟を提起し、イーロン・マスクの政府効率化局（DOGE）が人事管理局（OPM）保管の数百万人の米国市民のプライベート情報にアクセスすることを阻止し、これまでに収集または除去されたデータの消去を求めている。また、この訴訟ではOPMも被告とされており、OPMがDOGEとさらなるデータ共有を行うことを差し止めるよう求めた。

提訴に踏み切った原告には、連邦職員個人のほか、米国政府職員連盟（AFGE）や行政法審判官協会を含む複数の職員組合が名を連ねている。

この米国市民のセンシティブなデータに対する恥知らずな略奪行為は、その規模において前例のないものである。我々は、Lex Lumina、State Democracy Defenders Fund、Chandra Law Firmを共同代理人として、プライバシーを侵害された現職および元連邦職員を代表している。この危険で違法な侵入を直ちに中止させるため、裁判所に仮差止命令を求めている。この膨大なデータには、事実上すべての現職および元連邦職員、請負業者、さらには連邦職の応募者の個人的な人口統計データや職歴が含まれている。これらの情報へのアクセスは1974年プライバシー法によって制限されている。先週、連邦裁判所の判事は類似の訴訟に基づき、DOGEが重要な財務省支払いシステムにアクセスすることを一時的に差し止めた。

OPMのデータベースには何が含まれているのか？

OPMが保有するデータが非常にセンシティブである理由はいくつかある。連邦政府は米国最大の雇用主であり、OPMの記録は国内最大とは言わないまでも、最大の従業員データコレクションとしては最大級である。氏名、社会保障番号、人口統計などの個人を特定しうる情報に加え、職歴、組合活動、給与、業績、降格などの情報、生命保険や健康保険などの健康情報、死亡給付金の受取人指定や貯蓄プログラムなどの財務情報、機密情報の非開示契約なども含まれている。何百万人もの連邦職員と、さらに多くの連邦職応募者の記録を保持している。

この情報の取り扱いを誤れば、あまりに深刻で多岐にわたる被害が生じる可能性があり、その詳細を説明することは不可能である。DOGEの無制限のアクセスだけでも、すべての連邦職員がプライバシー侵害から政治的圧力、恐喝、標的型攻撃に至るまで、あらゆる危険にさらされる。昨年、イーロン・マスクは、システムへのアクセス権を得る前に、人員削減の対象とする特定の政府職員の名前を公表した。また、Twitterの元従業員を標的にしたこともある。OPMデータへの無制限のアクセス権と、ソーシャルメディアプラットフォームXの所有権を持つことで、連邦職員は深刻な危険にさらされている。

これは個人データの開示による危険性の一面に過ぎない。OPMの記録から、政府機関や部門全体の様々な機能の概要が把握できるおそれがある。意図の如何にかかわらず、法律では、このデータは慎重に保護され、無差別に共有できないことが明確に定められている。

報道によると、OPMは1月下旬、約200万人の連邦職員に「分かれ道［Fork in the Road］」と題した定型メールを送信し、「退職延期」プログラムを紹介した。これはデータの使用方法の一例として目に見える形で表れたものだ。OPMのデータベースには、全連邦職員のメールアドレスが含まれている。

プライバシー法はいかにして米国市民のデータを保護しているか

1974年プライバシー法の下では、個人に関する政府記録の開示には、わずかな例外を除き、一般的にその個人の書面による同意が必要とされる。

議会がプライバシー法を制定したのは、ウォーターゲート事件やFBIの防諜プログラム（COINTELPRO）などのスキャンダルによって政府への信頼が揺らいでいたことへの対応だった。1978年の対外諜報活動監視法と同様に、プライバシー法は、政府が一般市民に関する膨大な記録をデータベース化し、共有制限がほとんどない状態で、時には誤った情報を含み、場合によっては報復目的で使用していた時期に制定された。

議会はまた、電子記録の使用増加と社会保障番号などの識別子の使用が、様々な機関が保有する個人記録の結合とその情報の共有を容易にする可能性があることも懸念していた。プライバシー法は、我々の個人データを他者への開示から保護するだけでなく、情報公開法とともに、政府が我々に関してどのような情報を保管しているかを知る権利も与えている。プライバシー法には私訴権が含まれており、一般市民が政府機関や職員に頼ることなく、自ら法定のプライバシー権を執行するための訴訟を提起するかどうかを決定する権利を持っている。

これらの保護規定が、議会が暴走する大統領の監視権限を制限した最後の機会に制定されたのは偶然ではない。それから50年が経過し、数百万人の私的な生活を暴きかねない政府情報の漏洩が及ぼす潜在的な影響は、今や一層深刻なものとなっている。DOGEとOPMは、前例のない規模で米国市民の最も基本的なプライバシー権を侵害しているのだ。

OPMのデータは以前にも攻撃を受けている

10年前、OPMは2件のデータ漏洩の標的となったことを発表した。2000万件以上の機密取扱許可記録――連邦職員の身元調査を受けた人物（その親族や身元保証人を含む）に関する情報――が中国政府のために働く国家支援型攻撃者によって盗まれたと報じられている。当時、米国政府史上最も深刻な被害をもたらす可能性のある侵害の一つとみなされた。

DOGEの職員はこれよりもはるかに多くのデータにアクセスできる可能性が高い。一例を挙げると、OPMのデータベースには、USAJobs.govを通じて連邦職に応募した人々の個人情報も含まれており、昨年は2450万人に上る。間違いなく、これは多くの点で、2014年の漏洩よりも深刻である。DOGEは10年分の追加データにアクセスできる。以前に侵害されたデータに加え、さらにセンシティブなデータも含まれている可能性が高い（DOGEがこれらのデータベースにアクセスできる間、記録のエクスポートだけでなく、追加、修正、削除する権限を有しているとされていることは言うまでもない）。DOGEが現在のアクセスレベルを維持し続ける期間にわたって、さらなるリスクが積み重なっていく。

EFFのプライバシー保護への闘い

EFFは30年以上にわたり、地方、州、連邦レベル、そして世界中でプライバシーの保護に取り組んできた。

我々は政府の監視とプライバシー侵害を暴露する最前線に立ってきた。2006年、NSAとの共謀により米国市民の通信を大規模かつ違法に盗聴し、データマイニングを行ったとして、AT&Tの顧客に代わってAT&Tを提訴した。また、2008年にはNSAを提訴した。両訴訟は、米国政府が9.11後に開始した監視に端を発している。訴訟の主任代理人または共同代理人として、顧客データを警察と共有したとしてサクラメントの公共事業会社を相手取った係争中の訴訟のほか、プライバシー、言論の自由、創造性を保護するため数百件の訴訟でアミカス・ブリーフ（法廷助言書）を提出してきた。

EFFのプライバシー保護活動は、政策提言とテクノロジーの両面に及んでいる。無料のブラウザ拡張機能 Privacy Badgerは、サードパーティ広告主による侵襲的なスパイ行為から数百万人の個人を保護している。もう一つのブラウザ拡張機能 HTTPS Everywhereと、ウェブサイトに無料のHTTPS証明書を簡単にインストールできるツール Certbotは、ウェブのセキュリティ強化に貢献し、現在ではウェブの大部分がセキュアでないHTTPからよりセキュアなHTTPSプロトコルに移行している。

また、EFFは2015年のカリフォルニア州電子通信プライバシー法（CalECPA）のような強力な法律を推進することで、プライバシー保護の改善にも取り組んできた。この法律により、州法執行機関が我々の身元、行動、知人関係、行動に関する電子情報にアクセスする際には令状が必要となった。さらに、AppleからAmazonまで、企業にユーザのプライバシーを保護するよう強く働きかけてきた。

今後の展開

問題は「このデータが悪人の手に渡ったらどうなるか」ではない。法律上は、データはすでに悪人の手に渡っており、直ちにセーフガードを講じなければならない。米国市民のプライバシーの侵害は、監視や保護措置もないまま、複数の機関にまたがって進行している。EFFはこの重要な情報を保護するための訴訟の一翼を担えることを喜ばしく思う。我々の主張は極めて単純だ。OPMのデータは非常にセンシティブであり、OPMはそれをDOGEに提供し、これはプライバシー法に違反する。我々は裁判所に対し、これ以上のデータ共有を差し止め、DOGEがダウンロードした資料のすべてのコピーを直ちに破棄するよう求めている。

この事件に関するプレスリリースはこちら。

EFF Sues DOGE and the Office of Personnel Management to Halt Ransacking of Federal Data | Electronic Frontier Foundation