欧州人の健康データ、元イスラエル情報要員が運営する米企業に売却

 (ftm.eu)
2 ポイント 投稿者 GN⁺ 2025-12-15 | 1件のコメント | WhatsAppで共有
  • オランダのデータセキュリティ企業 Zivver が米国の Kiteworks に買収され、欧州市民の機微な健康・行政データが米企業の管理下に置かれることになった
  • Kiteworksの 経営陣の多くがイスラエル軍情報部隊の出身 で、CEOのジョナサン・ヤロンもイスラエル軍のサイバー専門部隊で勤務した経歴を持つ
  • Zivverは EUと英国の病院、裁判所、移民当局など が機密文書を送信する際に使うサービスで、暗号化機能を提供するが、社内で文書内容を閲覧できる ことが調査で確認された
  • サイバーセキュリティおよび情報機関の専門家たち は、今回の買収は事前に阻止されるか、厳格に審査されるべきだったと警告
  • 欧州人の 機微データが米国法とイスラエル情報ネットワークの影響圏 に入った点から、データ主権とセキュリティの面で深刻な懸念が提起されている

Zivver買収とデータ移転

  • Kiteworksが2025年6月にZivverを買収、CEOのヤロンはこれを「すべての人にとって誇らしい瞬間」と表現
    • 彼は買収により「すべてのコミュニケーションチャネルの機微データを保護するという使命において重要なマイルストーンを打ち立てた」と述べた
  • しかしこの取引により、欧州および英国市民の個人情報が米企業の手に渡った
    • Zivverはオランダ、ドイツ、ベルギー、英国などで 病院、保険会社、政府機関、移民当局 が利用する主要なセキュアメッセージングサービス
  • 記事によれば、Zivverの暗号化文書も企業側が閲覧可能 な構造になっている

Kiteworks経営陣の経歴

  • Kiteworksの 最高経営陣の多くがイスラエル国防軍(軍情報部隊)出身
    • CEOのジョナサン・ヤロンを含む複数の幹部が、暗号通信の解読および盗聴を専門とする部隊 で勤務した経歴を持つ
  • こうした人的構成により、イスラエル情報機関とのつながり が明確に示されている

専門家たちの懸念

  • サイバーセキュリティおよび情報機関の専門家たち は、今回の買収は 事前に阻止されるか、徹底的に検討されるべきだった と指摘
  • Zivverが処理するデータは、犯罪組織や外国情報機関にとって非常に価値の高い情報 と評価される
  • 買収後、当該データは 米国の監視法の適用対象 となり、イスラエル情報機関とつながる企業の管理下 に置かれた

調査手法

  • Follow the Money はZivver買収の過程とKiteworks経営陣の経歴を調査
    • 情報機関およびサイバーセキュリティの専門家へのインタビューを通じて事実関係を確認
  • 今回の報道は、EU域内のデータ主権問題を扱う「The EU Files」シリーズ の一部として掲載された

欧州内での波及的意味

  • 欧州の公共機関が使用する セキュアコミュニケーション基盤が外国の情報ネットワークと結び付くリスク が明らかになった
  • データ保護規制と国家安全保障の衝突 が現実化した事例として、EU内の デジタル主権をめぐる議論の核心的な争点 に浮上する可能性がある

関連記事

1件のコメント

 
GN⁺ 2025-12-15
Hacker Newsの意見

  • 米国テック企業のCEOがイスラエル軍の精鋭サイバー部隊出身だとして、記事ではUnit 8200に言及しているようだ
    この部隊が、単に銃の代わりにコンピューターを持つ選択肢のように描かれているのは、やや奇妙なフレーミングに思える。記事にはもっと多くの文脈が必要だと思う

    • Unit 8200は単なるサイバーセキュリティ部隊ではなく、信号情報の収集と分析を担当している
      もしJack Ryanがイスラエル人だったなら、CIAではなくこの部隊にいたはずだ
      標的選定などの分析業務も行っており、関連内容は972magの記事によくまとまっている
    • 実際には「免除」という概念ではない。すべての国民が徴兵され、能力に応じて部隊が割り当てられる
      才能があるなら、ガザ地区の巡回よりこうした部隊に入りたいと思うだろう
    • 8200での勤務も結局は兵役義務の一環だ

  • 以前、Zivverの初期エンジニア(Scala開発者)と付き合いがあったので、少し知っていることがある
    中核のアイデアはエンドツーエンド暗号化であり、したがって新たに買収した組織が顧客データを直接見られることはないはずだ
    コロナ禍の時期、オランダでデジタル報告書の送信が必須化され、大きな成功を収めた
    ただ、今回の買収はオランダのデジタル主権をめぐる議論に悪影響を与える可能性がある

    • 暗号化がメタデータまで含むのか気になる。たとえば誰が誰に送ったのかといった情報まで保護されるのか知りたい

  • EUベースのサービスであっても、外国企業に買収されれば機微なデータが別の法域にさらされるリスクがある。かなり懸念される

  • これを**拒否(opt-out)**する方法があるのか気になる。欧州委員会が市民の意見なしに一括で契約を締結したのではないかと疑問だ

  • 米国ビッグテックはGoogle以降、プライバシーの基準線を下げ続けてきた
    結局のところ「プライバシーは存在しない」という認識を資本利益のために常態化させてきた
    欧州にも代替サービスはあるが、市民が意識的に選ばなければ副作用が生じるだろう

    • HNのデータもY Combinatorのスタートアップと共有およびライセンスされる点を思い出すべきだ
      アカウントを削除してもデータは完全には消えない。こうした事実は登録時に明確に告知されていない
    • ほとんどの人はGoogleのサービスを何十年も無料で使ってきたのに、有料モデルが出ると怒る
      「無料インターネット」への執着が、結局はプライバシー悪夢を生み出したわけだ
      欧州が税金で運営されるEuroTubeやEuroGramのような公共サービスを作らない限り、現実的に代替は難しい
    • Appleはプライバシー擁護者としてかなり健闘しているのに、しばしばケーブル規格やUIの問題で非難される
      どの企業を嫌うかが「流行」になっているような二重基準は興味深い
    • EU各国政府はGDPRの不備を超えて、市民に米国企業へ個人情報を強制的に提供させている
      Protonのような有料の代替手段はあるが、ほとんどの人は無料サービスを好む
      政府が直接「主権チャネル」を構築しない限り、結局はFANG依存が深まるだろう
      今は少し安く感じるかもしれないが、結局は破局に終わる構造
    • とりわけアイルランドの緩いGDPR執行は、欧州企業ばかりが損をして、実際のプライバシー改善はほとんどなかった
      それでも情報アクセス請求権(subject access request)を使ってみるのは興味深い経験だった

  • この記事ページはアカウント作成を強要してくる
    HTMLから"quickSubscribe"クラスを削除すれば無料でスクロール可能になる

    • あるいはコメント欄でアーカイブリンクを探した方が簡単だ

  • 要するに、EUのあるヘルスデータ企業が、元軍の暗号専門家たちが運営するWebポータルを通じて文書を暗号化している
    だが、この構造は結局米国法の適用を受けうるし、アップロード時には技術的にアクセス可能性がある
    イスラエル出身という理由で信頼性を疑うのは、過剰なフレーミングに思える

    • 根本的にこうしたモデルは、ブラウザコードの改変だけでも安全性が崩れうる
      私も医療従事者が私の同意なしにこのサービス経由で書簡を送ってきたことがあり、不快だった
    • 記事タイトルで「イスラエル」を強調したのは意図的な煽りに見える。筆者はクリックを狙ったのだろう

  • 以前は医療機関からZivverのメッセージをよく受け取っていたが、買収発表以降は一通も来ていない

  • ドイツの医療システムではZivverを見たことがない
    ドイツではすでにMatrixベースのメッセンジャーとS/MIMEメールが医療用途として導入されつつある
    むしろ前保健相がOpenAIなどに医療データを提供しようとしたことの方が問題だった
    関連内容はHeiseの記事を参照

    • 長期的には電子健康記録で完全なオプトアウトは不可能になりそうだ
      だからこそ、デジタル時代の「Neuland」を理解し、技術感覚のある政治家を選ぶことが重要だ
    • 表向きにはZivverを使っていないように見えても、保険会社の内部ではOffice 365やSAPのようにバックエンドで使われている可能性がある
      利用者はすべての内部ソフトウェアを把握できるわけではないからだ