出典: SOPA Images Limited via Alamy Stock Photo
インド政府は、すべてのスマートフォンメーカーに対し、政府が提供する削除不可のサイバーセキュリティアプリをインストールするよう義務付けた命令を撤回した。
2年半前、インドの電気通信省(DoT)は、携帯電話の盗難、スパム、詐欺と戦うためのWebプラットフォームを立ち上げた。名称はSanchar Saathi(英語で「Communication Companion(通信の相棒)」)とされた。モバイルアプリ版は1月に公開され、政府によれば、すでにその目的において大きな効果を上げているという。
全国的な普及を加速させるため、DoTは11月28日、すべてのスマートフォンメーカーに対し、今後90日以内に以下を実施するよう命じた。
-
インドに流入するすべての新しいモバイル端末にSanchar Saathiをプリインストールすること
-
インド国内に既に存在するすべてのモバイル端末に対して、遡及的にアプリをインストールすること
-
アプリが明確に見える位置にありアクセスしやすいこと、またユーザーがそれを制限したり無効化したりできないようにすること
言うまでもなく、この命令は世論に歓迎されなかった。政府内やソーシャルメディア、さらにはメーカー側からも激しい反発が起きたと報じられる中、12月3日、DoTは撤回を発表した。方針転換をあたかも自らのアイデアであるかのように装いながら、同省は「Sanchar Saathiの受容が高まっていることを踏まえ」、最終的にプリインストールを義務化しないことにしたと述べた。
Sanchar Saathiとは何か?
インドは人口規模で世界最大の国であり、国内の登録電話番号の数は人口を上回っている。携帯電話の利用率はほぼ100%に迫る一方で、コンピューターの所有率は約10%にとどまる。そのため、インド国家犯罪記録局(NCRB)が2023年のサイバー犯罪が前年比30%以上増加したと報告したり、インドサイバー犯罪調整センター(ICCCC)がインド国民はサイバー犯罪によって平均して1日あたり6億ルピー(約670万ドル)を失っていると報告したりする場合、これらの数字が実際に示しているのは、圧倒的な量の電話を介した犯罪である。そして、スパムや単純な盗難など、他のカテゴリーの電話犯罪は言うまでもない。
もしあなたが、これほどまでにモバイル端末に依存し、かつ犯罪が蔓延する国を運営しているとしたら、これらの犯罪にどう対処するだろうか。おそらく、国内のモバイル端末を国際移動体装置識別番号(IMEI)で登録した巨大なデータベースを作り、市民に自分の端末を自ら管理できるようにするだろう。使いやすいモバイルアプリを通じて、市民は自分の携帯電話が紛失または盗難に遭った場合、新しく購入した携帯が偽物だった場合、自分の名義で見覚えのないSIMが登録されている場合、スパム電話やSMSを受け取っている場合、あるいは詐欺やサイバー犯罪の標的になった場合に報告できるようになる。
これが本質的にSanchar Saathiであり、インド政府はすでにモバイル犯罪に大きな打撃を与えたと主張している。12月2日のプレスリリースで政府は、1月17日の公開以来、1,400万人以上の市民がアプリ版をダウンロードしたとし、これらのユーザーが以下を達成したと述べた。
-
4,200万台以上の紛失・盗難モバイル端末を無効化し、犯罪者の手に渡るのを防いだ
-
そのうち260万台以上の所在を追跡した
-
70万台以上を実際に回収することに成功した
-
「Not My Number(自分の番号ではない)」とマークすることで、1,400万件以上のモバイル回線を解約した
-
詐欺に関連する60万件以上のIMEIをブロックした
-
推定47億5,000万ルピー(約5,300万ドル)相当の金銭的損失を防いだ
出典: PIB Delhi
これらの数字が独立検証されていないとしても、「セキュリティの観点から言えば、このアプリが対処している問題は非常に現実的だ」と、Zimperiumのプロダクト戦略担当バイスプレジデントであるKrishna Vishnubhotla氏は語る。「モバイル端末は私たちの私生活と仕事の中心にあり、今や詐欺やスキャム、企業侵害の最も一般的な侵入口の1つになっています。SIM詐欺や端末盗難が蔓延する国において、市民に盗難に遭った携帯電話をブロックしたり、不正な回線を報告したりする簡単な手段を与えることは、確かに価値があります。アプリのその部分は理にかなっており、実際のニーズを満たしています。」
国家による監視と、市民を十分に守らない法的枠組み
Sanchar Saathiの問題は、メッセージそのものというより、メッセンジャーにあるのかもしれない。Vishnubhotla氏は、「インドではこれまでにも、注目を集めた調査が行われており、独立したフォレンジック報告も含め、Pegasusのような高度なスパイウェアが一部のジャーナリストや活動家の端末から発見されたことが示されました。これらは国内のデジタル監視に関する長期的な疑問を投げかけています」と指摘する。全国規模の携帯電話データバンクは、政府の意向次第で、セキュリティと同じくらい監視にも有用になり得る。
理論上、インド市民はプライバシー侵害の脅威から守られているはずだ。というのも、2017年の画期的な最高裁判決により、「プライバシーの権利は、憲法第21条に基づく生命および個人の自由の権利の不可欠な一部であり、憲法第3部で保障される自由の一部として保護される」と認定されたからだ。しかし、政府は繰り返し、自らを例外扱いし、企業や個人に適用しているのと同じプライバシー規則に従わなくてもよいようにしてきた。
Sanchar Saathiが市民にもたらす実際のメリットと、多くの人が抱く監視への正当な懸念を踏まえると、Vishnubhotla氏は、いかなる形の義務化よりも、政府は透明性の確保に注力すべきだと考えている。
「人々は、アプリが提供する価値、それが何をし何をしないのか、そして求められる権限がセキュリティのためになぜ必要なのかを理解する必要があります」と同氏は言う。「市民が明確なメリットと明確な境界線を認識できれば、強制しなくても利用は拡大します。強力なコミュニケーション、独立した監査、そしてアプリ内での分かりやすい説明は、義務化よりもはるかに大きな効果をもたらすでしょう。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/india-app-mandate-surveillance-concerns
