日本がセキュリティを、地政学的見地からもっと議論すべき理由:サイバー空間は戦場になっている
2016年9月23日、東京でセキュリティカンファレンス「SGR 2016」が開催された。これは2016年5月に死去した奈良先端科学技術大学院大学教授、山口英氏を記念したイベント。本記事では、国際弁護士の橋本壕氏による講演の内容をお届けする。同氏は、政治、経済、文化が与える影響の観点から、各国のサイバー法、プライバシー法について語った。
2016年9月23日、東京でセキュリティカンファレンス「SGR 2016」が開催された。これは2016年5月に死去した奈良先端科学技術大学院大学教授、山口英氏を記念したイベント。JPCERT/CC 設立の中心人物であり、初代内閣官房情報セキュリティ補佐官も務めた同氏は、「国際的な視野でセキュリティを考えるべき」と語り、これを自ら実行していたが、その遺志を継ぐことを目的としている。
冒頭の挨拶で、実行委員長である奈良先端科学技術大学院大学情報科学研究科准教授の門林雄基氏は、「山口先生は生前、奈良先端大の創設に携わり、大学人として研究開発と学生指導に携わるだけでなく、アジア各国の大学を結ぶ衛星通信ネットワークを立ち上げ、日本のセキュリティ緊急対応の司令塔であるJPCERTを立ち上げ、アジアやアフリカにもセキュリティ緊急対応の司令塔を発足させるため尽力されました。また各省庁の政府委員会も歴任され、最終的には内閣官房情報セキュリティセンターの初代情報セキュリティ補佐官まで務められて、大局観をもって日本のセキュリティ向上と国際協力に尽力されました」と語っている。
本記事では、国際弁護士(ニューヨーク州弁護士)の橋本壕氏(西村あさひ法律事務所)による講演の内容をお届けする。同氏は、政治、経済、文化が与える影響の観点から、各国のサイバー法、プライバシー法について語った。
中国には、個人情報保護に関する包括的な法律がない
日本はセキュリティに関する政策的な議論が足りないと、欧米の弁護士などから示唆を受けることがある。そこで、各国のセキュリティ関連の法規制を考えてみたい。
まず、中国は、生産基地から大規模な消費市場へと、日本企業にとっての位置付けが変わりつつある。これに伴い、B to Cのビジネスでは特に、個人情報保護の法的側面を考える必要が出てくる。
中国ではもともと、独占禁止法が国際企業の活動を制御している。政府の方針に則って国外企業の活動に制約をかけていくために使われている。
中国のプライバシー法の特徴は、個人情報保護の包括的な法律がないということだ。個人情報保護に関する法律面での動きは2012年くらいから出てきた。関連する法律は、企業、特に海外企業の行動を政府が制御するのに都合がいい法律の体制になっている。政府の個人情報への関わりへの制約については、あまり決まっていない。
EUの個人情報保護は先進的
欧州連合(EU)では1995年に、個人情報保護に関する最初の指令(directive:構成国に統一的な法規制整備を要求する法令)として「データ保護指令」を出した。問題意識は、「コンピュータのネットワーク化が進むにつれ、収集される個人の情報が増える。その時にどういう形でこれを守っていくのか」というものだった。Eコマースが本格的に始まっていない時代で、先進的な立法と考えていい。作業部会が、構成国の個人情報保護法令の立法および執行を監視することになっている。
また、第3国でどのような個人情報保護がなされているかを評価し、十分な保護がなされていなければ、域外にデータを移転できないことを定めている。ただし、認定に関しては国際公約で例外を作れることになっていた。
(EUと米国の間の)セーフハーバー協定では、(米国企業が)いくつかの要件を満たしていれば「EUの個人情報保護レベルを満足している」とみなすことができた。ただし、2015年秋にこれがいったん反故になり、その後「Privacy Shield」に変わった。EU内での個人情報保護要件を満たしているのかを認定する精緻な手続きを決めたもので、制限が厳しくなったともいえる。とはいえ、運用が変わっているかどうかは結論が出ていない。
他の法整備としては、NIL指令がある。これは、「情報セキュリティに対する脅威があった時に加盟国が一貫した対応ができるように立法をしなさい」という内容。また、「ワッセナー・アレンジメント」は、以前の対共産圏輸出規制(「ココム」)に代わったもので、非国家組織だが組織的なテロリズムを行っている者を対象としている。近年は、インターネットの監視技術を輸出規制に含めるという話が出てきた。今後難しい問題が出る可能性がある。
米国の個人情報保護に関する法律は統一性がない
米国では、個人情報に関して統一的な法的保護が存在しない。
例えばHIPAAは、健康保険に関連した、医療情報についての保護を定めている。また、FTC Actは日本でいえば不正競争防止法であり、消費者保護のために、企業が個人情報を適切に管理すべきことを定めている。また、金融近代化法などもある。
米国において法律に統一性が欠けている事情は次の通り。
まず、連邦と51州がそれぞれ法令を作る。これらが重層的に適用される。また、米国はコモン・ローの国で、連邦レベルでは判例を積み上げて規制している。
すなわち、米国は中国と違い、個人情報保護関連でさまざまな法律があるものの、産業セクターや地域ごとに行われている。このため、米国の方が法律に従うビジネスはややこしいともいえる。
日本企業が注意しなければならないのは、州レベルの「Notification Requirement Laws」。個人情報の漏洩が起きたときに州のどの部局に報告し、漏洩された人にどう連絡するかを定めている。企業がここで失敗すると、米国では集団訴訟があるので、コンプライアンス的に大変重要だ。
各国の文化と法律の関係
法律は文化から自由ではない。
中国における一般的な考え方としては、「周りの人から自分がどう思われているか」、すなわちメンツがベースになっているようだ。これに対して欧州は西洋合理主義、「人間の尊厳をどう保つか」という観点で話が進んでいる。
一方、米国はコモンローに基づいており、その物権法では「A man’s house is his castle(人にとって家はその人の城のような存在)」とされ、分からない人がきたら殺していい、すなわち正当防衛の範囲が広い。個人情報保護についても、「right to be left alone(一人にしておいてもらう権利)」から始まっている印象がある。
200年以上前に制定された米国憲法は、政府の仕組みだけを規定しており、プライバシーには触れていない。憲法制定後に個人の権利章典(Bill of Rights)が加わったが、ここにもプライバシーは書いていない。米国においてプライバシーは幸福追求の権利の一部であり、「ねじれた理屈」になっている側面がある。
このように、コモン・ローであり、「一人にしておいてほしい権利」が根底にあり、憲法レベルでのプライバシー関連の規定はあいまい、あるいはない。いきおい、プライバシー関連の法律は揺れることになる。
では、日本はどうか。日本における最近の個人主義は米国より徹底しているところがある。だが、「ここが自分でコントロールできる範囲」という観念についてはあいまいだ。実際に日本の個人情報保護法を読んでも、哲学や概念で整理しきれないところが多く、分かりにくい法律だといえる。
ところで、「サイバー法」「サイバーセキュリティ」「プライバシー」などは全て外来語であり、日本では意味のそしゃくができていない気がする。
「セキュリティ」とは「安全」という意味ではない。
軍事的な言い方だと制空権など、「安心して自分の空間になるところ」を意味している。このため、サイバーセキュリティは「自分のシステムを守る」というだけでなく、使えなければいけない。このことは、OECDによる「Information Security」の定義にも書いてある。
サイバーセキュリティを日本で考える際に、プライバシー法に還元されがちなのではないか。
サイバー空間は戦場になっている
欧米はセキュリティの議論に、産官学だけでなく軍が入ってくる。
今、サイバー空間では戦闘が行われている。サイバーテロは、戦闘行為に当たるようなことを個人あるいは非軍隊がやっていると表現できる。米オバマ政権の大統領談話を見ても、産官学軍が一体となって経済活動および身体・生命・財産を守るという意思がはっきりと示されている。
サイバーセキュリティは国際政治の影響を受けるといえる。つまり地政学的な観点が必要になる。地理や歴史、経済などを考えて国としての戦略を立案していくことが求められる。では、なぜ地理的が関係あるのか。サイバー空間と現実空間が相互に連携して、一緒に攻めてくるからだ。
サイバー空間は、陸・海・空・宇宙に次ぐ、第5の戦場だ。日本はすでにここに放り込まれている。
しかもサイバー空間では、「戦争が起きていても血が流れない」という問題がある。知らないうちに個人も企業も巻き込まれている。企業としてもセキュリティはプライバシーの話だけと考えないでほしい。企業の情報資産をどう守っていくか。これは経営レベルの問題だ。
例えば特許を申請しようとしたら予定日の前日に申請されたとすれば、それは産業スパイであり戦闘行為だ。
先ほどのEUにおけるPrivacy Shieldの話も、経済戦争の側面が考えられる。
そういう戦いの中に日本も入り込んでいる。これは政策で引っ張っていくしかない。
Copyright © ITmedia, Inc. All Rights Reserved.