プライバシーに目覚めるアメリカ
土屋大洋(GLOCOM主任研究員/メリーランド大学国際開発・紛争管理センター訪問研究員)
噴出するプライバシー問題
アメリカのインターネット政策の中で、ホット・トピックの一つとなっているのがプライバシーである。マイクロソフトが発売する予定の次期OSに組み込まれた「パスポート」と呼ばれる機能や、フロリダ州のタンパという街で街頭に設置された人相認識装置フェイスイット、裁判所職員のネット利用監視をめぐる論争など、次から次へと話題が出てくる。
以前から引き続き話題となっているものとしては、存在が噂されるアメリカ政府の巨大傍聴システム「エシュロン」、FBI(連邦捜査局)がISP(インターネット・サービス・プロバイダ)に設置を求めた「カーニボー」と呼ばれる通信解析システム、これもFBIが操作に用いたといわれるキー・ロガー(キーボード操作を記憶させ、パスワードなどを探るソフトウェアあるいはハードウェア)などがある。
アメリカでプライバシーが問題となってきた背景には、ヨーロッパの規制がある。欧州連合が策定したプライバシー保護規制がアメリカのものよりもはるかに厳しく、これを守らないとアメリカ企業はヨーロッパでビジネスができなくなる可能性があるのだ*1。
ヨーロッパの政策は日本にも影響を与え、ヨーロッパ基準に準じた個人情報保護法が国会で審議されている。日本もアメリカも、政府の保有する個人情報については以前から法規制があったのだが、民間の保有する個人情報については業界の自主規制に委ねるという姿勢をとってきた。しかし、アメリカもさすがにヨーロッパでビジネスができなくなるのはまずいということで、議論を始めた。
ただ、ヨーロッパからの圧力だけが、プライバシー論議の原因というわけではない。情報技術を応用すれば、ジョージ・オーウェルの『1984年』の世界が現実のものとなる可能性に、多くの人がいらだち始めたということもあるようだ*2。知らない間に監視されている恐怖は、もはや日常的である。コードレス電話の盗聴はいとも簡単になったし、企業が従業員の電子メールやウェブ閲覧状況を監視しているという話はよくある。
しかし、インターネット・コミュニティのプライバシーに対する態度はばらばらだ。もともとのインターネットは、現在のような大規模なものになることを想定されていなかった。利用者も、あくまで善意の研究者に限られていた。アカデミック・テッキーたちは戸惑いを見せ、コマーシャル・テッキー(企業に所属し、企業利益を考えるコンピュータ・エンジニア)たちはプライバシー情報をいかにうまく利用するかを考え、ネティズン弁護士たちはワシントン政治の中でどう対処するか戸惑っている。
プライバシーを売買する国
民間のプライバシー保護を目的とする規制がないアメリカでは、プライバシー情報は野放しに近い。最近では、インターネットのホームページに、各社の「プライバシー方針(Privacy Policy)」がよく載せられている。しかし、それもあくまで自主的なものであり、いつ変更になるかわからない。「第三者に譲り渡すことは決してありません」と書いてあっても、その会社が倒産するとあっという間にオークションの目玉になるそうだ。
オンライン・ビジネスの購買履歴は、顧客のプライバシーに関する情報が満載である。ポルノ・ビデオをひそかにオンラインで購入したつもりでいても、その情報がどこかに漏れれば、あっという間にそうしたダイレクト・メールが届くようになるだろう。
そうしたプライバシー情報を集める専門の業者がたくさんある。それも非合法的な手段で集めるのではなく、あくまでも合法的な手段で集めるのだ。
例えば、ある日、ワシントンでアダム・ピーク(Adam Peake)という人に会ったとする(GLOCOMのアダム・ピーク主任研究員ではない)。彼の名前をYahoo! の人物検索<http://people.yahoo.com/>で検索してみる。このデータベースに入っている情報では、全米に2人しかいなく、2人の住所と電話番号が出てくる。2人はそれぞれメリーランド州とノースカロライナ州に住んでいる。ワシントンで会ったとすれば、おそらくワシントンに隣接するメリーランド州の住人である可能性が高い。メリーランド州のアダム・ピーク氏の郵便番号は「13489」である。
次に、<http://www.ClaritasExpress.com>というサイト(自動で別のURLに転送される)の「Free Lifestyle Information: You Are Where You Live」というサービスを使う。ここで郵便番号を打ち込むと、その地域に住んでいる人たちの属性がわかる。「13489」だと、「農業、穀物地帯、田舎の年長者」という三つのキーワードが出てきた。
「農業」のキーワードをさらに詳しく見ると、「田舎の農業の町、農場一家。年齢層は18歳以下あるいは45歳から64歳。ブルー・カラー/農業経営。家庭の年収は36,500ドル。この調査では全米の家庭の1.45%がここに所属」という情報が出てくる。
もちろん、この情報が実際のアダム・ピーク氏に合致するとは限らない。しかし、ダイレクト・メールや電話勧誘をするには十分かもしれない。農業に便利な道具や田舎では買いにくいもののカタログを送れば、購入率が上がるかもしれない。
ここまでのデータは無料で手に入るが、さらにお金を出して調査会社に依頼すれば(多くがインターネット経由で可能である)、実際の年収や勤務先、家族構成、社会保険番号といったことまでわかる。オンライン・ショッピングの購買履歴を買ったりして、各種のデータベースの情報を付き合わせ、その人のプロファイル(人物像)を作り上げてしまう。
そもそも、なぜ簡単に住所と電話番号がわかってしまうかというと、電話帳に名前を「載せない」ためにお金がかかるからである。逆に「載せる」のは無料である。電話会社に余計なお金を払いたくなければ、電話帳に名前を載せることになる。電話会社は、顧客情報をデータベース会社に売る。これが原因で、さまざまな広告が来るようになる。
アメリカはプライバシーを売買する国なのだ。そして、それは正当なビジネスであると認識されている。逆にいうと、プライバシーを守ろうという気構えが案外薄い国なのだ。アメリカ人はプライバシーにうるさいというのは一面では正しい。初対面の人に、結婚しているかどうかを聞くことはできない。しかし、ビジネス上のやり取りの中で、プライバシー情報は簡単に取引されている。
プライバシーを探る人々
プライバシーにはいろいろな定義があるが、だいたいのところ「自分が他人に知られたくないと感じる情報」という意味合いが含まれている。したがって、名前や職業などはプライバシーに含まれない場合がほとんどだ。しかし、名前や職業といった公的な情報でも、ときには伏せておきたいと思うことがある。オンラインの掲示板などで発言するときは、余計な中傷や邪推を避けるためにも伏せておいたほうがいい。
そうすると、プライバシーとはあくまでも状況に応じて定義されるべきもので、むしろ、どの情報を公にするか、自己選択できることが重要である。ダイレクト・メールの類は、自分が望んだ結果送られてくるものではないから不快ということになる。
マイケル・S・ハイアットによれば、プライバシー情報を集める人たちは三種類に分けられるという。業者、政府、犯罪者である*3。
業者は、すでに述べたように、より効率的な利益獲得のためにプライバシー情報を集める。
政府は犯罪者に関する情報をはじめ、所得と納税に関する情報、居住地、職業、家族構成などに関する情報を入手する。日本では出生とともに戸籍が作られるが、アメリカでは社会保険番号の取得が奨励されている。アメリカ政府の活動にはプライバシー法が適用され、プライバシー情報の取り扱いに規制があるが、インテリジェンス(諜報)コミュニティに属する機関、つまりFBI(連邦捜査局)、CIA(中央情報局)、NSA(国家安全保障局)などは、捜査対象の人物のプロファイルを独自の方法で収集している。
そして、犯罪者たちも負けず劣らずの方法で、ターゲットとなる人物の情報を集めている。ストーカーと呼ばれる人々はその典型であろう。実際の犯罪に結びつくか否かは結果論でしかなく、他人の情報に興味を持つ人は、潜在的な犯罪者といえるかもしれない。
社会保険番号
アメリカ政府の扱う情報の中でも鍵となるのが、社会保険番号(ソーシャル・セキュリティ・ナンバー)である。これはアメリカ国民全員の経済的な保護を目的としているものだが、かなり複雑なシステムである。
しかし、社会保険番号はその本来の目的から離れたところでも使われている。アメリカではいろいろなところで社会保険番号を聞かれるのだ。マンションの入居申し込み、銀行口座の開設、公共サービスの申し込みはもちろんのこと、大学のIDが社会保険番号と連動していることもある。
アメリカ人にとってはすでに日常的なことであり、自分の社会保険番号は暗記していても、社会保険庁が発行するカードはどこかにいってしまったという人もいる。アメリカは、とっくに国民総背番号制の国だ。
社会保険番号の発行は、生涯一度きりしか行われない。最近は、出生と同時に取得するようキャンペーンが行われているが、移民や私のような一時就労者(訪問研究員)は申請に行かなくてはいけない。
社会保険番号を聞かれたり、記入させられるときには、「参照のためだけ」と言われるが、そんなことはない。どれだけの情報が蓄積されているのか、懐疑的にならざるを得ない。特にクレジット・カードの申し込みをすると、それを感じるだろう。社会保険番号を持っていないと、アメリカではクレジット・カードを得るのは難しくなる。社会保険番号を元に税金を納めた記録があるかどうかを確認して、記録がない場合には収入がないと思われるのだ。同じように、携帯電話の申し込みを断られることもある。
社会保険番号は、アメリカで個人を特定する際に重要なIDとされている。社会保険番号と氏名、住所、電話番号、生年月日、母親の旧姓の六つが揃っていれば、ほぼ間違いなく他人になりすますことができる。
例えば、他人名義のクレジット・カードを作る。日本だと銀行口座と連動させるため、銀行届け出印がないとクレジット・カードは作れない。しかし、アメリカの場合は、クレジット・カード会社から本人に請求が来て、本人が確認後、小切手をクレジット・カード会社に送って決済する。
したがって、先に入手した情報を元に、即日クレジット・カードを発行してくれるところへ行って、カードを発行してもらい、数日のうちに限度額まで使い切るのだ。請求は後日被害者のところへ送られ、犯人は品物を持って逃げおおせることができる。
この手口の唯一の難関は、写真付きIDの提示である。カード発行の際に免許書などの提示を求められ、これが最終的な身分確認になっている。写真付きIDの偽造までコストをかけるのは割に合わないから、こうした犯罪が頻発することはない。
しかし、やる人がいないわけではない。ある人になりすまして、車を購入し、借金をし、あげくには麻薬所持でつかまったときにまで他人で通した例もあるという。
アイデンティティ泥棒
他人へのなりすましは「アイデンティティ泥棒(identity theft)」と呼ばれる。これはインターネットで日常茶飯事になりつつある。他人の名前や電子メール・アドレスを使ってオンライン掲示板に書き込みをしたり、他人を中傷する電子メールを送ったりする。
インターネットの性格上、自分が自分であることを証明したり、他人が他人であることを証明することが難しくなる。たいていは電子メール・アドレスについているドメイン・ネーム(@glocom.ac.jpなど)で判断されるが、これを偽ることはそう難しくない。
逆に、Yahoo! やHotmailのような、誰でも取得できる電子メール・アドレスの場合、本人かどうか確認するのが難しい。
こうしたアイデンティティ泥棒を防止する手段として暗号化がある。本来の暗号化の目的は、通信内容を秘密にすることであったが、公開鍵暗号という新しい暗号システムが考案されたことによって、発信者や受信者を限定する認証システムにも暗号技術が使われるようになってきた。
しかし、電子メールを暗号化するソフトウェアを使っている人はいまだに少ない。ジョージ・ワシントン大学サイバースペース政策研究所(CPI)のランス・ホフマン教授は、「便利さと安全性を比べたら、常に便利さが勝つものだ」と指摘する。いちいちメッセージを暗号化し、復号化するのは確かに面倒なのである。
現在のようなドメイン・ネームに依存した個人確認は、きわめて脆弱である。しかし、完璧な個人確認を可能にする技術は面倒であるために、普及していない。この隙間にアイデンティティ泥棒の介在する余地がある。
ワシントンのプライバシー論議
ヨーロッパからの圧力と、国内のプライバシーに対する懸念の高まりを受けて、アメリカ議会は法案を検討中である。しかし、決定打となる法案がまだ出ていないため、具体的な議論には至っていない。
議会上院で担当しているのは商業・科学・運輸委員会の中の科学・技術・宇宙小委員会である。委員会は7月、プライバシーとセキュリティに関する二つの公聴会を開いた。委員会のプレス・リリースではプライバシーをめぐる状況変化を「気候変動(climate change)」と表現している。
7月11日に開かれた公聴会では、二つのパネルが設けられ、朝9時半から約3時間半にわたって8人の参考人の意見を聞いた。この公聴会は人々の関心を呼んだようで、マスコミも含めて100人ほどの人が傍聴に集まった。関心を呼んだ一つの理由は、この日、マイクロソフト社が新しいOSに関する発表を行うことになっており、マイクロソフトからも参考人が呼ばれていたからだろう。
公聴会が開かれた上院ラッセル・オフィス・ビル(ROB)の253号室はそれほど大きな部屋ではない。入り口を入ると、右側には委員会のメンバーの上院議員たちが座る席がU字形に配置され、一段高くなっている(なんとも権威的だ)。U字の開いた部分をふさぐ形で、参考人の席が一列に配置されている。その後ろ、入り口から見て左半分がマスコミと傍聴人の席である。約80席の傍聴人席にはぎっしりと人が座り、立ち見の人もいる。それでも部屋の中に入りきれない人々は部屋の外に列を作り、誰かが退室するのを待っている。
私自身も開始時間にやや遅れたため、室内に入れたのは公聴会開始から2時間後になってしまった。すでに公聴会は後半に入り、オンライン書店で有名なアマゾン・ドット・コムのポール・マイスナー副社長がプレゼンテーションをしているところであった。
アマゾン・ドット・コムとプライバシーといえば、顧客情報の売買の問題が思い起こされる。少し前になるが、アマゾン・ドット・コムは同社の顧客情報を第三者に売り渡す可能性があると発表した。
同社の顧客情報は、マーケティング情報としてはきわめて魅力的だ。どんな本を買ったかという情報は、顧客の好みをそのまま表している。子ども向けの本をたくさん買っていれば、おもちゃのダイレクト・メールを送ると効果的であると推測できる。
しかし、アマゾン・ドット・コムの発表に対して顧客側は猛反発した。自分に関する情報を勝手に売買するとはけしからんということで、不買運動にまで発展してしまった。
マイスナー副社長は、公聴会で同社のプライバシーに関する方針を説明しながら、同社はこれまで第三者に顧客情報を売ったことはないし、今後もするつもりはないと主張した。顧客からの圧力がこたえたのだろうか。
7月16日、同委員会は、「ネットの落とし穴:セキュリティ・リスクとEコンシューマー」と題する公聴会を開いた。この公聴会はインターネット上の取引におけるセキュリティの問題を扱っているが、それは結局のところ消費者の行動、特にプライバシーの保護というところが焦点となる。
この公聴会は、前回ほどマスコミの注目を集めなかったが、目玉はワールドコム社の上級副社長ビント・サーフであった。サーフは、ロバート・カーンとともにインターネットの中核技術であるTCP/IPを開発した「インターネットの父」であり、現在はICANN(Internet Corporation for Assigned Names and Numbers)の2代目理事長も務めている。彼は現在の所属からすればコマーシャル・テッキーだが、UCLA(カリフォルニア大学ロサンゼルス校)で博士号を取り、インターネットを開発した当時は国防総省のDARPA(Defense Advanced Research Projects Agency)に所属していたことからすると、むしろアカデミック・テッキーに近い立場にいたといえるだろう。
サーフは、インターネットは現在のような商業利用を前提としていなかったことを指摘したうえで、さまざまなセキュリティ上の問題があることを示した。特に、アイデンティティ泥棒は消費者が直面する最も重大なリスクのひとつであるという。
しかし、政府による規制という点ではサーフの言葉はにごってしまう。立法者は、オンライン・システムの犯罪利用に対処する道具を提供することで法執行機関を支援することができるかもしれない。しかし、そうした法執行の過程において、プライバシーの侵害が起きる可能性があるというのだ。「われわれは、濫用行為から社会を守ることと、州政府や地方政府、連邦政府の機関による濫用から個人を守ることとの間でバランスを見つけるという挑戦に直面している」とサーフは結論づけている。つまり、安易な法規制には賛成できないということのようだ。
ネティズン弁護士たちの仲たがい
インターネット・コミュニティは、ことプライバシー問題になると一致団結を見せるということになっていない。ワシントンには、オンライン・プライバシーに関して熱心な活動をしている団体がいくつかある。なかでもCDT(Center for Democracy and Technology)とEPIC(Electronic Privacy Information Center)は有名であろう。
しかし、『ナショナル・ジャーナル』誌のドゥリュー・クラーク記者によれば、二つの組織のトップは仲たがいをしてしまっているらしい*4。CDTのトップであるジェリー・バーマンと、EPICのトップであるマーク・ローテンバーグは、かつてACLU(American Civil Liberties Union)という人権団体において同僚であった。しかし、今では口も聞かない仲であるという。
原因は、マイクロソフトの新しいOSに付けられる機能「パスポート」に対する態度だ。今年61歳になったCDTのバーマンは、伝統的なワシントン政治のスタイルにのっとってロビー活動を行う。パスポートに関しても、マイクロソフトとの話し合いを行い、問題点を指摘するなどソフトな路線である。それに対し、若いローテンバーグは、マイクロソフトとの話し合いを拒否し、直接FTC(連邦取引委員会)に訴えるという強硬路線をとった。CDTがさまざまなハイテク企業から活動資金を得ていることも仲たがいの原因だとクラークは書いているが、スタイルの違いは大きい。
デジタル・プライバシーという問題に対しては、インターネット・コミュニティの足並みはどうも揃わない。この乱れは、プライバシーという問題が、案外アメリカ人にとっては新しい問題だからではないだろうか。ヨーロッパの圧力は、ルーズだったアメリカのプライバシー規制に見直しを迫った。すると、新しい技術による問題がどんどん出てきた。これにどう対処するかという点でも意見がまとまらない。それが今のワシントンの状況であるように見える。
プライバシーはアメリカ人にとって新しい問題として認識されはじめた。議論の行く末はいまだはっきりとしていない。しかし、アメリカでの議論の結果は、諸外国にも大きな影響を与える。特に、インターネット利用を規制している国に対しては、再びアメリカ的な思考を突きつけることになるかもしれない。今後も注目する必要があるだろう。
*1 木村忠正、土屋大洋『ネットワーク時代の合意形成』(NTT出版、1998年)第4章「エレクトロニック・プライバシーの危機」。
*2 George Owell, 1984 (New York: Plume, 1983, originally published in 1949).
*3 Michael S. Hyatt, Invasion of Privacy: How to Protect Yourself in the Digital Age (Washington, D.C.: Regnery Publishing, 2001).
*4 Drew Clark, "A Public Feud by Privacy Advocates," National Journal, Vol. 33, No. 35, September 1, 2001, pp. 2684-2685.