連邦議会が外国情報監視法(FISA)の第702条の更新に向かうなか、その議論は、人々がオンラインで自らを守るために使う、はるかに身近なツールにまで及び始めています。

インターネット上のアクティビティを非公開に保つために何百万人もの人が利用しているVPN(新しいウィンドウ)は、世界中のサーバーを経由してトラフィックをルーティングします。しかし、この基本機能は、立法府がようやく向き合い始めた疑問を投げかけます。プライバシーを守ることで、アクティビティが外国由来に見えてしまう場合、何が起きるのでしょうか。

本来は一般市民を対象としていなかった監視法

第702条は、米国の情報機関が海外にいる外国人の通信を令状なしで収集することを認めています。実際には、その境界が保たれたことは一度もありません。

この仕組みでは、米国人が外国の対象者とやり取りしたり、グローバルなインフラを経由したりすると、メール、メッセージ、通話が日常的に取り込まれます。

市民的自由を擁護するグループ、議員、さらには裁判所までもが、そうしたデータがどれほど頻繁に令状なしで検索されているのかについて、長年にわたり懸念を示してきました。現在、この法律は再び更新の時期を迎えており、4月の期限が急速に迫っています。そして、権限の逸脱を示す証拠が繰り返し示されているにもかかわらず、ワシントンではこれらの権限をほとんど変更せずに延長しようとする動きがあります。

監視への支持は超党派ですが、反発も同様に超党派です。下院情報特別委員会の民主党筆頭委員であるジム・ハイムズ氏は最近、タウンホール集会で、第702条への懸念を訴える抗議者たちに直面しました(新しいウィンドウ)

誰も想定していなかったVPNの問題

ロン・ワイデン氏を含む上院議員らによる新たな書簡(新しいウィンドウ)は、別のリスクを提起しています――それは、第702条が制定された当時には存在しなかったリスクです。

VPNはユーザーの位置を分かりにくくします(新しいウィンドウ)。これはトラフィックを世界中のサーバー(新しいウィンドウ)経由でルーティングするためです。しかし、現在の監視ルールの下では、その同じ挙動によって米国人が外国人に見なされる可能性があります。

議員らは、情報機関がVPNトラフィックをデフォルトで「外国」として扱っているのかを問いただしています。この分類により、ユーザーは憲法上の保護を失い、第702条の監視パイプラインに組み込まれる可能性があります。

改革なき延長はリスクを拡大する

これを是正するための提案はすでに出されています。上院情報委員会の委員長を務めるマーク・ワーナー氏は、立法府が「electronic communication service providers(電子通信サービスプロバイダー、ECSP)」の定義拡大をめぐる懸念に対処すると述べています。

その拡大により、監視への協力を強制され得る対象が広がりました。もはや通信事業者やメールプロバイダーに限られません。クラウドサービスから公衆Wi-Fiネットワークまで、データが通過するシステムにアクセスできる者であれば誰でも含まれる可能性があります。監視はインターネットのインフラにより近づき、Section 702の下でデータを収集できる場所の数を増やしています。

超党派の政府監視改革法(新しいウィンドウ)は、さらに踏み込んだ内容となっています。ロン・ワイデン氏やマイク・リー氏を含む議員らが支持するこの法案は、政府機関がSection 702の下で収集した米国人のデータを検索する前に令状を義務づけるとともに、政府が裁判所に行かずにブローカーから個人データを購入することを可能にしている抜け穴を塞ぐものです。

その抜け穴が重要なのは、通常であれば位置データや閲覧履歴のように令状が必要となる情報が、司法の監督なしに公開市場で購入できてしまうからです。

この法案はまた、政府が企業やインフラ事業者にどこまで広く監視への協力を強制できるかを含む、最近の最も物議を醸している変更の一部を撤回するものです。

これらの変更は、既知の問題を対象としています。すなわち、外国情報収集のために構築された監視システムが、技術的な抜け穴や広範な解釈によって国内向けに転用されてきたという問題です。ロン・ワイデン氏が警告しているように、米国人は、これらの権限が実際にどのように使われているかを知れば「衝撃を受ける(新しいウィンドウ)」でしょう。

改革がなければ、その抜け穴は開いたままです。そしてVPNの利用が一般化するにつれ、より日常的な行動までもが外国情報収集の対象に取り込まれるリスクが高まります。

Protonの立場

Protonは、人々が見えないトレードオフにさらされることなく自らのデータを管理できるツールを構築しています。プライバシーは、トラフィックが監視システムでどのように分類されるかに左右されるべきではありません。デフォルトで守られるべきです。

VPNの利用は今でも有効な保護手段です。インターネットトラフィックを暗号化し、プロバイダーやネットワーク事業者、または同じ接続上の第三者がオンラインで何をしているかを見るのを防ぎます。その保護は重要であり、実際に機能します。しかし、暗号化だけでは監視法の書かれ方そのものは変えられません。そうした保護の対象外になった活動や、別の場所で収集された活動は、Section 702のような仕組みに取り込まれる可能性があります。

これは、より広い問題も提起します。プライバシーは国境で区切られるべきではありません。米国人ではないというだけで監視の対象にされるべきではありません。法的保護に違いはあり得ます。しかし、その原則は変わりません。

議員たちがSection 702の将来を議論する中で、その影響は情報政策の枠を超えます。何が実際の保護を意味するのか、そして誰がその保護を受けるのかを左右するからです。