「米政府が企業に命じて個人情報を収集していた」とする米中央情報局(CIA)元職員エドワード・スノーデン氏の告発が、世界中のITベンダー/ユーザー企業を不安の渦に巻き込んだ。「ITベンダーに預けたデータの秘密が完全に守られるわけではない」ことが、白日の下にさらされたからだ。
問題視されたのは、「PRISM」と呼ばれる米政府の情報収集プログラムだ。スノーデン氏の告発によれば、PRISMを使って米国家安全保障局(NSA)や米連邦捜査局(FBI)が、米グーグルや米マイクロソフト、米フェイスブックなどのサーバーに直接アクセスし、電子メールの送受信先などを収集していたとする(表)。
米政府はPRISMに関連する一連の報道に誤解があると説明する一方で、外国諜報監視法(FISA)に基づいて非米国人を主な対象とした情報収集が可能であることを改めて示した。
実際、米ベライゾンに対しては、2013年4月~7月の3カ月間、数百万人分の顧客の通話履歴を提出するよう求めていたという。6月14日(米国時間)には、米マイクロソフト(MS)や米フェイスブックも、米政府から何らかの形でデータ提供要請を受けていたことを明らかにした。2012年末までの半年間に、MSは3万1000~3万2000件のアカウント、フェイスブックは1万8000~1万9000件のアカウントに関する個人情報の提供を求められていた。
「米国では以前から、政府による個人情報の収集に歯止めが利きにくい状況にある」と、情報通信総合研究所 法制度研究グループの小向太郎主席研究員は指摘する。例えばFISAでは、犯罪容疑の事実がなくても裁判所が令状を発行できる。2001年に成立した愛国者法では、政府は裁判所の令状によらず、米国内に存在する企業にデータの提出を求めることを認めている。5月31日に米国大使館が開催したセミナーでは、「クラウド事業者が日本に設置したサーバーに対して、米政府が一方的にデータを差し押さえることはない」という趣旨の説明があったものの、企業の不安が一掃されたわけではない。
政府によるデータ管理のリスクは、EU(欧州連合)にもある。EUの場合は、政府からデータの提出を求められるリスクよりも、個人情報のデータの取り扱いが不適切と判断されて巨額の課徴金を迫られるリスクが大きい。法制化の検討が進むデータ保護規則案では、最大で年間売上高の2%の課徴金を認めている。
今回のPRISM問題に対し、日本のユーザー企業が直ちに対策を採る必要はない。だが、中長期的には、国や地域が抱える「地政学的リスク」を踏まえ、アウトソーシング先やデータセンターの設置場所などを見直す必要に迫られそうだ。
