アメリカ国家安全保障局(NSA)がアメリカ人のインターネット閲覧履歴データを令状なしで購入していると明かす
アメリカ国防総省の情報機関であるアメリカ国家安全保障局(NSA)のポール・ナカソネ長官が、同機関では商業的に入手可能な膨大な量の「アメリカ人のインターネット閲覧履歴データ」を令状なしで購入していることを明かしました。
Wyden Releases Documents Confirming the NSA Buys Americans’ Internet Browsing Records; Calls on Intelligence Community to Stop Buying U.S. Data Obtained Unlawfully From Data Brokers, Violating Recent FTC Order | U.S. Senator Ron Wyden of Oregon
https://www.wyden.senate.gov/news/press-releases/wyden-releases-documents-confirming-the-nsa-buys-americans-internet-browsing-records-calls-on-intelligence-community-to-stop-buying-us-data-obtained-unlawfully-from-data-brokers-violating-recent-ftc-order
NSA is buying Americans’ internet browsing records without a warrant | TechCrunch
https://techcrunch.com/2024/01/26/national-security-agency-americans-internet-browsing-records-warrantless/
ナカソネ長官は上院の情報委員会メンバーであり、民主党上院議員でもあるロン・ワイデン氏に宛てた書簡の中で、NSAでは商業的に入手可能なアメリカ人のインターネット閲覧履歴データを令状なしで購入していることを明かしています。
ナカソネ長官によると、NSAは外国での諜報活動、サイバーセキュリティ、認可された任務などに利用するべくデータブローカーから様々な種類の情報を購入しているとのこと。購入しているデータの一部はアメリカ国外で使用されているデバイスから収集されているものですが、アメリカ国内で使用されているデバイスから収集されたデータも含まれている模様。
ナカソネ長官は書簡の中で、「NSAは完全に国内のインターネット通信と、通信の一方がアメリカのインターネットプロトコルアドレスでもう一方が海外にあるインターネット通信に関連する市販のNetflowデータを購入して使用しています」と語っています。
Netflowにはネットワーク上のインターネットトラフィックの流れと量に関する非コンテンツ情報(メタデータ)が含まれており、ここからインターネット接続がどこから来たのかや、サーバーがデータをどのサーバーに渡したかなどが明らかになります。NetflowはVPNを介したネットワークアクティビティトラフィックの追跡にも使用できるため、悪意のあるハッカーが使用するサーバーとネットワークを特定することにも役立つそうです。
アメリカの諜報機関を監督する国家情報長官室(ODNI)への返信書簡の中で、ワイデン氏は「インターネット上のメタデータはアメリカ人の身元を特定することができる可能性があるため、位置情報と同様に機密性が高い可能性がある」と指摘しました。さらに、「インターネットの閲覧履歴データは、メンタルヘルス関連のウェブサイト、性的暴行や家庭内暴力の被害者向けのウェブサイト、出産を専門とする遠隔医療提供者もに関するウェブサイトなど、インターネット上のどこにアクセスしたかに基づき、個人に関する機密情報を明らかにする可能性があります」と述べ、NSAの慣行を非難しました。
ワイデン氏はNSAがインターネット閲覧履歴データを収集していることを2021年3月に知ったそうですが、この情報の機密指定が解除されるまで情報を公にすることはできなかったと語っています。上院情報委員会のメンバーとして、ワイデン氏は機密情報を受け取って読むことを許可されているものの、それを公に共有することはできません。ワイデン氏によると、同氏が次期NSA長官の指名を保留したことを受け、NSAは情報の機密指定を解除したそうです。
アメリカの諜報機関が民間のデータブローカーから大量の市販データを購入しているという事実は、2023年6月にODNIにより初めて公表されました。しかし、この時点では「どのアメリカの諜報機関がデータを購入していたのか?」などの詳細は明かされていませんでした。また、事実を公表した際、ODNIは民間のデータブローカーから購入する市販データについて「明らかにインテリジェンス上の価値を提供するもの」であり、「プライバシーと市民の自由に関する重大な問題を引き起こす」と指摘していました。
なお、海外メディアのTechCrunchは「情報収集や調査のために市販のデータを利用しているのはNSAだけではありません。これまでの報道では、国防情報局が2021年にアメリカ人の位置情報を含む商用データベースへのアクセスを令状なしで行っていたことが示されています。他にも、内国歳入庁も容疑者を特定するためにデータブローカーから購入した位置情報を使用しており、国土安全保障省も不法移民を追跡するのデータを令状なしで使用しています」と指摘しています。
アメリカの諜報機関が市販のデータを使用していることは、その行為の合法性について疑問を引き起こしています。ワイデン氏はODNIへの書簡の中で、データブローカーに対する連邦取引委員会(FTC)の最新の強制措置を引き合いに出し、政府機関がアメリカ人のデータへのアクセス権を購入することの「合法性について深刻な疑問」を提起しています。
2024年1月、FTCはイスラム教徒の礼拝アプリユーザーの位置情報を軍事請負業者と共有していたとして、データブローカーのX-Modeに対して位置情報の販売を禁止し、同社が収集したデータの削除を命じました。その1週間後、FTCは別のデータブローカーであるInMarketに対しても同様の訴訟を提起し、消費者の正確な位置情報を販売することを禁じています。
これらの事例が存在するため、NSAが市販されているデータを購入して使用することは、「法的にグレーである」とTechCrunchは指摘。
政府機関は通常、携帯電話やハイテク企業からアメリカの個人情報を入手する場合、裁判所の承認を受けた令状を確保する必要があります。しかし、アメリカの政府機関は正確な位置情報やNetflowデータなどが市販されているため、これらを入手するのに令状は必要ないと主張しています。ただし、この理論は記事作成時点ではまだアメリカの裁判所で審理されていません。
ワイデン氏は書簡の中で、ODNIに対してFTCの合法的データ販売基準を満たすデータのみを諜報機関が購入できるようにする政策を導入するよう求めており、これが実現できない場合、政府機関はデータを削除する必要があると主張。また、ワイデン氏はアメリカの諜報機関がこれらのデータを必要とする場合には、国民に対して広範に通知する必要性はないものの、少なくとも議会には通知すべきだと主張しています。
なお、NSAは市販のインターネットデータをどのプロバイダーから購入しているのかについては明らかにしておらず、同機関の広報担当者も市販のNetflowを購入していることを認めたものの、ナカソネ長官の発言についてコメントすることは拒否しています。
・関連記事
「中国のスパイがAIを使ってアメリカのデータを収集している」とアメリカ側が主張、アメリカと中国間の対立構造が浮き彫りに - GIGAZINE
iPhoneやAndroidのプッシュ通知を使って政府機関がスマホユーザーをスパイしている - GIGAZINE
「約30億台のデバイスをリアルタイムで追跡できる」と主張する政府の請負企業が諜報機関のCIAとNSAをスパイするデモを披露 - GIGAZINE
プライバシー重視のメールサービス「ProtonMail」が政府の要求に応じてデータを開示する場合について解説 - GIGAZINE
「ファイブ・アイズ」によって国民のプライバシーが侵害される危険性はあるのか? - GIGAZINE
・関連コンテンツ