ワイデン上院議員の書簡、NSAがデータブローカーから米国人のデータを購入していることを確認
(techdirt.com)- Ron Wyden上院議員が公開した文書により、NSAによるインターネット記録の購入が明らかになり、この記録はユーザーが訪問したWebサイトや利用したアプリを露出させうる
- Wydenは、情報機関がデータブローカーから米国人の個人データを購入する慣行をやめ、FTC基準を満たした合法的なデータ販売のみを許可するよう求めた
- NSAは、米国内の携帯電話から収集された位置データの購入・利用は否定した一方、国内インターネット通信および米国IPを含む海外通信の商用netflow非コンテンツデータの購入・利用は認めた
- この情報が公開されるまでにほぼ3年を要し、WydenがNSA長官候補の指名に保留をかけて初めて公開が承認された
- データブローカーを通じた政府による個人データ購入は、裁判所や令状要件を迂回できるため、米国人のプライバシーと国内監視への統制を弱める
NSAのインターネット記録購入を確認
- Ron Wyden上院議員が公開した文書で、NSAが米国人のインターネット記録を購入している事実が確認された
- このインターネット記録は、ユーザーがどのWebサイトを訪れ、どのアプリを使っているかを明らかにしうる
- WydenはAvril Haines国家情報長官に送った書簡で、情報機関がデータブローカーから違法に取得された米国人の個人データを買えないようにする政策を採用するよう求めた
- Wydenは「米国政府は、米国人のプライバシーを露骨に侵害するいかがわしい産業に資金を供給し、正当性を与えるべきではない」と述べた
データブローカーが作る令状回避ルート
- 政府がデータブローカーから国内データを購入することは、すでに繰り返し起きてきた
- 連邦機関と地域の法執行機関は民間企業が提供する国内データを買ってきており、これは最高裁が設けた制約を回避する手段として機能しうる
- 政府は第三者原則(Third Party Doctrine)を適用できるとみているが、多くのアプリやサービスは、ユーザーが十分に認識しないままデータを収集している
- 一見単純なモバイルゲームでさえ携帯電話の位置情報を照会し、それを特定のデバイスIDと結び付けることができる
- こうした収集は利用規約の深いところに隠れていることがある
Wydenの公開プロセスと要求事項
- Wydenは、NSAによる国内インターネットメタデータ購入の情報公開承認を得るまでにほぼ3年かかったと明らかにした
- 国防総省は2021年3月、米国人の個人データを購入している国防総省の構成機関を確認してほしいというWyden側の要請に対し情報を提供した
- その後、2021年5月にWydenが非機密情報の公開承認を求めたが、国防総省はこれを拒否した
- WydenがNSA長官候補の指名に保留をかけて初めて、その情報の公開が承認された
- Wydenの書簡は、各情報コミュニティ(IC)構成機関に次のことを求めている
- データブローカーからのデータ購入に関する調査開始
- データブローカーの事業慣行に対するFTC調査
- データブローカーから購入した個人データ一覧の提供
NSAが否定したことと認めたこと
- NSAは2023年にWydenへ送った書簡で、米国内で使用されていることが知られている携帯電話から収集された位置データを、裁判所命令の有無にかかわらず購入も利用もしないと述べた
- この否定は位置データに限られており、Wydenが懸念したインターネット記録購入全体を否定したものではない
- 同じ書簡でNSAは、商業的に利用可能なnetflow非コンテンツデータを購入・利用していると認めた
- 完全に国内のインターネット通信に関するデータ
- 一方が米国のインターネットプロトコルアドレスで、もう一方が海外にあるインターネット通信に関するデータ
- この認定は、NSAの国内監視の範囲がデータブローカー市場を通じて広がりうることを示している
Section 702と国内監視への懸念
- NSAはSection 702の収集を通じて、米国人のデータや通信を「不注意に」かき集めうる機関としてすでに知られている
- FBIがSection 702を国内監視に繰り返し乱用してきたという文脈もあわせて言及されている
- このような状況では、NSAがデータブローカーから別途データを購入する必要があるのかという疑問が残る
- 批判の焦点は、NSAが立証された国家安全保障上の必要性のためではなく、収集できる経路ができたためにより多く集めているように見える点にある
- データブローカーを通じた米国人データの購入が政府の日常業務として固定化すれば、監視権限に対する実質的な統制はさらに難しくなる
1件のコメント
Hacker News のコメント
政府が相当な理由なく市民の情報にアクセスするのは、たとえ購入を通じてであっても、合衆国憲法修正第4条の文言そのものではないにせよ、その精神には反しているように見える 現代では「捜索と押収」なしでも個人に関する膨大な情報を集められるので、修正第4条を現代に合わせて更新する憲法改正が必要に思える。データ収集は今の時代で最も大きな争点の一つだが、少なくとも政府が私たちの税金や負債を使って、権利を合法的に迂回すべきではないという点には大半の人が同意しそうだ
機関が商業的に入手可能なデータを買うことが、なぜそこまで大きな論争になるのかよく分からない そもそもそのデータが収集され、お金さえ払えば誰にでも提供される現実のほうが、より大きな問題ではないかと思う
記事では NSA について「国内監視を行う能力が十分にあり、実際にも頻繁に行っているなら、なぜ自前の大量収集網からより正当に得られるものを、あえて購入して収集手法の一部が露出するリスクを負うのか」と述べていたが、金銭と情報の交換という手法を敵が学ぶのではないかと NSA が心配する必要はないと思う データブローカーをハッキングするほうが、独自手法が露出する可能性は高い
米国にも EU のような形のプライバシー保護があればよいのにと思う EU の制度は完璧ではないが、それでもあってほしい。私の理解では、Chuck Schumer 上院議員一人が委員会で意味のあるプライバシー保護法案を阻んでいる。まるで一人プライバシー破壊ボールのようだ。どこかで、彼の2人の娘が Meta と Microsoft だったような会社で高給の職に就いていると読んだ。要点は、プライバシー保護が強くなれば企業が売れる情報も減るということだ
市民権を損なう面があるとしても、機関が商業データブローカーをまったく監視しないままにすることはできない 少なくとも国内での犯罪活動のリスクを推定し、予防できなければならないからだ
問題は、これがNSAだという点 NSAは米国市民を捜査する機関ではなく、国外の信号情報を担当すべき機関。FBIやCIAがこういうことをするなら十分予想できるし、それが間違っているのかも確信できない。少なくとも、広告目的でデータを買う他の主体よりも悪質だとは見なしにくい
そもそもデータブローカーがこれらすべての情報を売れるという事実ではなく、この件だけに怒るというのは想像しにくい
データがどうやって現実世界の特定の人間と結び付くのか、よく理解できない 自分の車を例にすると、車は自分の所有物だが、あなたが運転してスピード違反をしたら反則切符を切られるのはあなた。データも同じで、この投稿が自分の名前で登録された現実世界のデバイスから上がったのは確かかもしれないが、それを現実世界の自分が実際に使ったという意味ではない
Facebookもこういうことをしていた 買えるWebサイトのデータは全部買い、広告配信に使えることを知っていたので、データ購入を収益性のある事業にした。米国政府や情報機関が同じことをするなら、これを「違法」や間違いと呼べるのか疑問。政府権限を大きく動員して行ったなら法違反だろうが、すでに入手できるものを買っているだけ
皮肉なのは、これをやったのが中国やロシアではないという点 なぜ自国の機関がやったときには怒りがはるかに小さい、あるいはほとんどないように見えるのか分からない