2013年7月13日土曜日

NSA問題:Third Party Screeningの重要性

ロシア・モスクワの空港に足止めされたまま、事態の進展を見ないNSAとスノーデン問題ですが、今回は元CIA職員のスノーデンがCIAを退職後、NSAと業務委託契約関係にあるブーズ・アレン・ハミルトン"Booz Allent Hamilton"に転職し、NSAの機密情報を入手、今回の“問題提起”に至った点に注目したいと思います。

今回、NSAとスノーデンの問題から得られるレッスンとして強調したいのは、サード・パーティー・スクリーニング"Third Party Screening"の重要性です。サード・パーティーとはこの場合、業務委託先ということなります。日本のIT業界などで「パートナー企業」と呼ばれる契約先だったり、一般化して「協力会社」と言ったりしても差し支えないかと思います。

そして、「スクリーニング」ですから、この言葉の意味するところは、業務委託契約先を契約前に徹底的に調べよ、ということになります。サード・パーティー・スクリーニングを行わなかったり、ないがしろにすると、情報漏洩、技術流出のリスクは高まると考えられます。

米国の全情報機関の中でも、最も分厚いベールに包まれているとされるNSAですから、スノーデンが所属していたブーズ・アレン・ハミルトンへのスクリーニングは行っていたでしょうし、情報機関という性格上、長年の信頼関係も確立されていたのかもしれません(この点は、英、米での一連の報道を網羅、精査していませんので、確かなことは書けません)。

それでも、今回のような重大な情報漏洩が起きました。ガーディアンは、ワシントン・ポストの特集記事を参照する形で、「アメリカにおける国土安全保障とテロ対策には、全米10000カ所で、1931社がインテリジェンスに関わる業務に従事している」と記しています。

http://www.guardian.co.uk/world/2013/jun/10/edward-snowden-booz-allen-hamilton-contractors?INTCMP=SRCH

9/11テロ後のアメリカの国土安全保障政策と、それに関わる業界・企業について丹念に描いたロバート・オハロー・ジュニアの「プロファイリング・ビジネス」については、前々回のエントリでも触れました。

実際にこれら1931企業に対し、サード・パーティー・スクリーニングは適正に行われているのでしょうか?米国のことながら、行われていると信じたい一方、同じ心配は日本の政府、役所、自衛隊、警察、企業にも当てはまります。


国家機密に限らず、企業秘密、技術・特許情報、時には国・民間を問わず人事情報も漏洩対象となるでしょう。また、秘密情報の漏洩は、汚職や企業内不正・腐敗につながる可能性もはらんでいます。そういったコンフィデンシャルが、外部業者を通じて漏洩し、結果的に自分たちが多大な不利益を被ることがないように、サード・パーティー・スクリーニングの必要性があると言えます。

また、サード・パーティー・スクリーニングの考え方を、ミクロな視点から捉えれば、契約先を含む従業員に対する「バックグラウンド・スクリーニング」"Background Screening"も重要となります。日本の役所や企業は、どれほど徹底的にサード・パーティー・スクリーニングやバックグラウンド・スクリーニングを実行しているのでしょうか。

スマホ、デジカメ、USB、最近では写真を撮ってネットにアップできるメガネまで世に出てきました。それらが持つ性能はIT機器ならぬ、IT"危機"と言えてしまうほどでしょう。ITの利便性を否定するつもりは毛頭ありませんが(今、こうしてその恩恵に預かっていますし)、ただ使い方・使われ方を間違えると非常にリスキーです。

機密、重要情報を得よう、洩らそうという意図はないか―昔では嫌がられ、煙たがられたであろう企業や人物に対する背後関係の調査ですが、情報が簡単に氾濫してしまう現代では、見えないリスクを顕在化させ、リスクが発生した時に大事に至らないようコントロールする上で、必要不可欠な業務プロセスなのです。

2013年7月8日月曜日

NSA, FISA, USA PATRIOT Actの補足

前のエントリで、愛国者法により米国の捜査・情報当局の権限が強化された結果、今回明るみになったNSAによる盗聴プログラムが発覚したことに少し触れました。今回は、メディア記事等を引用しつつ、もう少し細かく説明してみようと思います。

そもそも、9/11テロ後すぐに愛国者法が成立するまで、米国では国民に対する情報機関による情報収集、インテリジェンス活動は禁じられていました。1970年代のインテリジェンス政策の失敗が明らかになった後に設けられるチャーチ委員会"Church Committee"等での議論もあってのことですが、チャーチ委員会については割愛します。

9/11テロが起きて成立した愛国者法では、米国民対する情報収集活動は"事実上"可能としました。ここで、"事実上"と強調したのは理由があります。FISAも愛国者法も米国民に対するインテリジェンス活動は禁じています。米国憲法修正四条では米国民に対し、「不合理な捜索、逮捕、押収の禁止」しているからです。しかし、愛国者法は、テロに関するやりとりを外国から米国内で受けた場合、その受け手をについて秘密裏に調べ、情報収集することを可能としたのです。

仮に、米国内のある米国民が外国からの"テロとの関わり"があると見なされると、その米国民は情報収集対象になる訳で、その故、米国民に対する情報収集活動は"事実上"可能と記したのです。そして、その情報収集の対象は、"any tangible things"とされました。例えば、思想的なバックグラウンドを調査するという意味で、調査対象が図書館でどんな本を借りたかまでを秘密裏に調べることも合法としています。愛国者法成立後、数年後にはすぐ米国内で問題視されました。

(愛国者法について日本語で開設したサイトに、国会図書館のページが参考になります)
http://www.ndl.go.jp/jp/data/publication/legis/214/21401.pdf
(情報収集の対象を"any tangible things"とした愛国者法215条との関連については、AFPの記事がでも触れています)
http://www.afpbb.com/article/politics/2949778/10888112
(ACLU, Americal Civil Liverty Unionは愛国者法に関する問題を粘り強く取り上げ、訴訟も提起しています。留学中に取材し、資料も頂きました)
http://www.aclu.org/

ここで、湧いてくるのが「テロとの関係性が疑われたら、米国民も密かに調べられているのか」という疑問です。スノーデン氏による暴露はこの文脈上にあります。対テロを金科玉条に、IT企業へ情報照会をし、"米国民"にも関する情報収集しているという批判です。暴露が報道されてすぐ、オバマ大統領もそうした不安を打ち消すべく、コメントを出しました。槍玉に挙げられたNSAも弁明に追われ、FISAと愛国者法によって認められた情報収集でテロを防いだ"実績"を明らかにしています。

http://www.cnn.co.jp/usa/35033585.html
http://www.cnn.co.jp/tech/35033388.html

スノーデン問題の発覚後、周囲の捜査・情報関係者では、「今更何を騒いでるんだ」という反応がほとんどでした。また、「分かりきったことを、今更公にしたのはなぜだ?」という声も聞かれました。当のアメリカ国民も半分以上が、情報機関は当然、そういった情報収集をしていると思っているとの反応だったというニュースをどこかで見たと記憶しています。

FISAが成立した時代とアメリカ本土が初めて攻撃された9/11以降の時代では当然、情報収集の方法も技術も、ひいては国のあり方も違っているはずです。9/11から10年以上が経ち、世界のテロ情勢も変わっているでしょう(少なくとも、Bin Ladenはもうこの世にいません)。法律はその時代と時代の要請に合わせて修正していく、場合によって廃止することは、法治国家ならば当然なのではないでしょうか。国民、ひいては国会議員が当然議論すべき課題だと考えます。(下記リンク、ワシントンポストの論説でも愛国者法の見直しについて言及しています。"愛国者法をいかに、国のための[Patriot]ものとするか"という見出しが秀逸です)

http://www.washingtonpost.com/opinions/how-to-make-the-patriot-act-more-patriotic/2013/07/04/064ddfa0-de6e-11e2-b197-f248b21f94c4_story.html

最後に、スノーデンとNSA問題を特ダネで報じたガーディアンの第一報のリンクを張っておきます。ネット社会におけるインテリジェンス政策とプライバシーを考える上で、一定の意義はあったのではないでしょうか。
http://www.guardian.co.uk/world/2013/jun/06/nsa-phone-records-verizon-court-order