米国政府による顧客データの要請に関する透明性の向上
(この記事は 2014 年 2 月 3 日に Microsoft on the Issues に投稿された記事 Providing additional transparency on US government requests for customer data の翻訳です)
投稿者: Brad Smith
マイクロソフト法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデント
先日、マイクロソフトは透明性に関する報告を更新し、政府による顧客データの要請に関連する新しい情報を公開しました。昨年の夏より、マイクロソフト、Google、その他複数の企業は米国政府を相手取って訴訟 ( 英語 ) を起こし、政府からの要請について、より詳細な情報を開示する法律および憲法上の権利を有することを主張してきました。これまで、外国情報監視法 (FISA) などの米国国家安全保障法に従って行われた法的命令に関しては、情報の開示が禁止されてきましたが、今回の訴訟では開示を許可するよう要求を行いました。
この訴訟と長い議論を経て、先日政府は初めて IT 企業に対し、FISA の命令に関するデータの公表を許可することに合意しました。公表できる内容については現在でも一部の制限が設けられていますが (以下で詳述)、国家安全保障局から米国政府を通じて受けた各種要請について、全体像を公開できるようになりました。
政府は、これらの要請に関するデータを、1,000 件単位 (1,000 未満は「0 ~ 999」とする) で公表することに合意しました。FISA のデータは 6 か月単位で収集されていますが、公表が可能になるのはレポート対象期間の最終日から 6 か月後です。
マイクロソフトの最新レポートでは、2013 年 1 ~ 6 月のマイクロソフトのすべてのサービスに関する情報を公開しています。具体的には、この期間に以下の要請を受けています。
- お客様のコンテンツの開示を求める FISA の命令は 1,000 件未満でした。この命令には、15,000 ~ 15,999 件のアカウントまたは個別の ID が関連しています。ただし、1 人のユーザーが複数のアカウントを持っている可能性があるため、これらのデータ要請の対象者が必ずしも 15,000 人以上存在するわけではありません。このデータのレポートでは、それぞれのアカウントを個別にカウントしています。
- お客様のコンテンツ以外のデータを求める FISA の命令は 1,000 件未満でした。この情報の要請には、1,000 件未満のアカウントまたは ID が関連しています。
- マイクロソフトに送付された国家安全保障書簡の件数は 1,000 件未満でした。この書簡は 1,000 件未満のアカウントまたは ID を対象としています。
以下の表に、同じ内容について、2011 年 7 月までさかのぼって過去 4 期分の情報を公開します (国家安全保障書簡では、当然のことながらお客様のコンテンツの開示を求めてはいません。そのため、以下の表では、これらの書簡について、コンテンツの要請により影響を受けるアカウントの数を「該当なし」としています)。
|
対象期間 |
コンテンツの開示を求める命令 |
コンテンツを求める命令により影響を受けるアカウント |
コンテンツ以外の開示のみを求める命令 |
コンテンツ以外の命令により影響を受けるアカウント |
|
| 外国情報監視法 (FISA) の命令 |
2011 年 7 ~ 12 月 |
0 ~ 999 |
11,000 ~ 11,999 |
0 ~ 999 |
0 ~ 999 |
|
2012 年 1 ~ 6 月 |
0 ~ 999 |
11,000 ~ 11,999 |
0 ~ 999 |
0 ~ 999 |
|
|
2012 年 7 ~ 12 月 |
0 ~ 999 |
16,000 ~ 16,999 |
0 ~ 999 |
0 ~ 999 |
|
|
2013 年 1 ~ 6 月 |
0 ~ 999 |
15,000 ~ 15,999 |
0 ~ 999 |
0 ~ 999 |
|
| 国家安全保障書簡 (NSL) |
2011 年 7 ~ 12 月 |
該当なし |
該当なし |
0 ~ 999 |
1,000 ~ 1,999 |
|
2012 年 1 ~ 6 月 |
該当なし |
該当なし |
0 ~ 999 |
1,000 ~ 1,999 |
|
|
2012 年 7 ~ 12 月 |
該当なし |
該当なし |
0 ~ 999 |
0 ~ 999 |
|
|
2013 年 1 ~ 6 月 |
該当なし |
該当なし |
0 ~ 999 |
0 ~ 999 |
|
|
2013 年 7 ~ 12 月 |
該当なし |
該当なし |
0 ~ 999 |
0 ~ 999 |
上記の件数だけではなく、これらの数が意味することにも関心が向けられているのではないかと思います。ここでは、2 つの見解をご紹介します。1 つは、マイクロソフトのお客様の数は数億にも上るのに対して、これらの命令によって影響を受けるアカウントはせいぜい 1、2 万件であるという点です。このことから明らかなように、政府からの命令によって影響を受けるユーザーは全体から見てほんのわずかにすぎません。つまり、通話記録に関して世間で議論されるような大量データの要請を受けたことはありません。このことについては、昨年の夏から概論として公開してきましたが、ようやく具体的な数値をお伝えできるようになりました。
もう 1 つは、今回の報告件数が少なかったからといって、政府が非合法な手段によって顧客情報を取得しているという事実が深刻なことに変わりはないという点です。昨年 10 月、マイクロソフトの競合企業の一部で、データ センター間に設置されたケーブルがハッキングされた疑いがあると『ワシントン ポスト』で報道されました。以来、この一件は IT 業界全体の大きな懸念であり、現在もこの懸念は解消されていません。12 月には、マイクロソフトはサービス全体への暗号化の大幅な拡張など、顧客データを保護する多数の対策を発表しました。しかし、大統領の改革努力に加え、マイクロソフトでもより多くの情報を公表可能になったにもかかわらず、米国またはその他の国の政府から、インターネット企業へのハッキングを否定する公約はいまだに発表されていません。米国憲法の定めるところでは、政府が企業から情報を求める場合に法の範囲内で行う必要があると、マイクロソフトは考えます。そのため、今後も業界内の他の企業と協力し (英語) 、この点についてさらに主張を推し進める予定です。
データへの補注
マイクロソフトは、マイクロソフトが受けた FISA の命令の件数、政府が情報を求めたアカウントまたはその他の ID の数、それらの命令の求める内容がお客様のコンテンツであるか、お客様のコンテンツ以外の情報のみであるかについて、データを公表することを許可されています ( 英語 ) 。
データの報告には、以下の定義を使用しています。
- コンテンツの開示を求める FISA の命令: このカテゴリには、レポートの対象期間中に受けた、または有効であったすべての FISA の電子監視に関する指令 (合衆国法典第 50 編第 1805 条)、FISA の捜索令状 (合衆国法典第 50 編第 1824 条)、および FISA 改正法命令 (合衆国法典第 50 編第 1881 条) が含まれます。
- コンテンツ以外のデータの開示を求める FISA の命令: このカテゴリには、レポートの対象期間中に受けた、または有効であったすべての FISA の業務記録に関する指令 (合衆国法典第 50 編第 1861 条、通称第 215 条指令)、および FISA のペン レジスタおよびトラップ アンド トレース装置に関する指令 (合衆国法典第 50 編第 1842 条) が含まれます。
- 影響を受けるアカウント: 期間中に受けた、または有効であった FISA の命令によって影響を受けるユーザー アカウントの数を表します。異なる Microsoft サービス間で 1 ユーザーが複数のアカウントを持っている可能性があり、影響を受けるアカウント数を集計するにあたってはこれらのアカウントがすべて個別にカウントされるため、この数値は政府命令の影響を受けるユーザーの数より多いものと考えられます。
命令を受けた場合にも、求められた情報が必ずしも最終的に開示されたわけではない点に注目する必要があります。 今回、マイクロソフトは法廷での要請に対する異議申し立てに成功しました。今後も、法律上正当性に欠けると判断した命令に対しては異議を唱える所存です。
今回公表したデータは、次回の「Law Enforcement Requests Report ( 英語 ) 」に含められ、米国政府から受けたすべての法的要請の全体像が提供される予定です。これらのレポートは 6 か月ごとに発行されます。