プライバシー重視のメールサービス「ProtonMail」が政府の要求に応じてデータを開示する場合について解説
メールを暗号化して送受信することを売りとするユーザープライバシーを重視のメールサービス「ProtonMail」が、当局からのデータ開示要求に応じ、特定ユーザーのIPアドレスを提供したとして非難されています。これについてProtonMailのCEOであるAndy Yen氏が、ProtonMailがどのようにデータを守り、どのような時にデータを開示するのかという「8つのポイント」を明かすとともに、現行の問題点を指摘しています。
Important clarifications regarding arrest of climate activist
https://protonmail.com/blog/climate-activist-arrest/
メールの送受信に関してProtonMailは「ユーザーのIPアドレスを保存しない」とウェブサイト上で説明していましたが、2021年5月9日に「スイス警察がProtonMailを用いて情報交換を行っていた被疑者のIPアドレスの開示をProtonMailに求め、ProtonMailがそれを受け入れた」ことが明らかになりました。
プライバシー重視メールサービス「ProtonMail」がユーザーのIPアドレスを当局に開示していたことが話題に、誇大広告との非難も - GIGAZINE
IPアドレスの開示は、フランスの気候変動に関する活動家グループの調査の一環として、スイス当局からProtonMailに要求されたとのこと。この活動家グループのメンバーは匿名でしたが、オンラインの投稿で「[email protected]」というメールアドレスを使用していたことから、フランスの警察からProtonMailに情報開示請求が行われました。
ProtonMailはスイスに本社があるため、原則的にスイスの法律に準拠し、フランスやEUの当局からの要求の対象とはなりません。しかし、今回はフランス警察がユーロポールの助けを借りて、スイス警察に要請を提出。スイスの裁判所がこの要請を認め、ProtonMailに対してIPアドレスの開示を要求しました。この結果、情報がフランス警察に引き渡され、活動家の身元が判明し、逮捕につながりましたが、ProtonMailはプライバシーの高さを求める活動家が利用することも多いため、このニュースは多くのユーザーの懸念を引き起こしました。
Yen氏は「Important clarifications regarding arrest of climate activist(気候活動家の逮捕に関する重要な説明)」というブログ記事の中で、同社がスイス当局から法的拘束力のある命令を受け取っており、命令に遵守することは義務づけられていたと説明。ProtonMailでは基本的にIPアドレスが記録されませんが、「特定アカウントについての法的命令を受けた場合にのみ」IPアドレスが記録されると述べました。
ProtonMailが当局からの要求に対してどのような影響を受けるのか、Yen氏は以下8点で説明しています。
1.いかなる状況下においても、ProtonMailの暗号化はバイパスされません。つまり、メール・添付素材・カレンダー・ファイルなどは、法的命令によって明かされることはありません。
2.ProtonMailは外国政府に対してデータを提供しません。スイス刑法第271条により、これは違法です。ProtonMailはスイス当局からの法的拘束力がある命令にのみ従います。
3.スイス当局は、スイスの法的基準を満たす要求のみ承認します。(問題となるのはスイスの法律のみです)
4.ProtonMailにとって、ユーザーコミュニティーの透明性は非常に重要です。2015年から、ProtonMailは「スイス当局の要求をProtonMailがどのように扱ってきたか」というレポートを公開しています。
5.スイスの法律では、サードパーティーがユーザーのプライバシーデータを刑事手続きなどで使う場合、それをユーザーに通知することが義務づけられています。詳しくはここから確認できます。
6.現行のスイスの法律では、メールとVPNは別個のものとして扱われます。このためProtonVPNにユーザーデータの記録を強制することはできません。
7.ProtonMailの厳格なプライバシーにより、ProtonMailはユーザーのアイデンティティを特定できません。今回のケースでは、ProtonMailはターゲットが気候変動活動家だと認識していませんでした。ProtonMailが知っていたのは、スイス政府が要求するデータ開示の命令が、通常は重罪を扱うルートでやってきたということのみです。
8.今回の命令に対して、抵抗したり戦ったりする法的可能性はありませんでした。
Yen氏は、ProtonMailは若い活動家を支援する必要があると考えていると述べつつも、「法律を破ったり、裁判所命令を無視することはできない」と説明。ProtonMailは可能な限りデータの開示要求に抵抗しており、データ開示と戦ったケースは2020年で700件以上あったとのこと。しかし、例えばフランスでは反テロの法律が不適切に使用されており、今回のようなパターンが世界的にも増加傾向にあるとYen氏は述べています。
刑事追訴が行われる場合のProtonMailの義務をより明確にするために、Yen氏はProtonMailのウェブサイトを更新することを約束。そして、より強いプライバシーを求めるユーザーに対しては匿名アクセスを可能にするTorの使用を推奨しました。
ProtonMail - Tor Encrypted Email
https://protonmail.com/tor
また、いかなるサービスを提供していても、企業はその国の法律に従う必要がありますが、スイスでは企業へのデータ開示の要求が比較的乱用されにくい仕組みになっているともYen氏は述べました。今回の要求について言えば、要求が行われるまでに2カ国において3つの当局の承認を経ており、スイスの法律では、データ開示が求められていることを容疑者に通知することが義務づけられていますが、そのような仕組みが存在しない国もあります。加えて、スイスは公正な司法制度のない国の起訴を支援しないとも、Yen氏はつづっています。
・関連記事
Gmailとは比べられないほどプライバシー保護を徹底した「ProtonMail」を使ってみた - GIGAZINE
暗号化メールサービスの「Tutanota」が当局によりメール監視機能の導入を強制されている - GIGAZINE
無防備すぎる日本のメールサービスでも暗号化したメールの送受信が可能になるセキュアなGoogle公式拡張機能「End-To-End」 - GIGAZINE
携帯電話の通話・メール・位置情報を無断で盗み取るスパイツールを国家に売りつける「Circles」とは? - GIGAZINE
・関連コンテンツ
in ネットサービス, セキュリティ, Posted by darkhorse_log
You can read the machine translated English article Explains the case where privacy-oriented….