英国の2016年調査権限法(IPA)には、将来の法改正で塞がなければならない規制上の隙間がいくつもある――調査権限コミッショナー(IPC)のブライアン・レヴェソン卿はそう述べた。
今週公表された同氏の年次報告書で、監視機関は、2024年調査権限(改正)法(IPAA)が、元の法律に残された穴を塞げなかったと指摘し、今後の改革は内務省が制定すべきだと付け加えた。
例えば、外国のパートナーから共有される秘匿特権情報は、現在IPCの監督対象になっていない。GCHQのような国家情報機関が、ファイブ・アイズ同盟の国々を含む海外の同盟国から報告を受け取るのは一般的な慣行だ。
これらの報告には、英国ではIPAの下で取得に司法コミッショナーの許可が必要となる種類の秘匿特権情報が含まれていることが多い。こうした情報がそのような承認なしに情報機関へ渡され、後日の利用のために保管されることを踏まえると、機微な情報が規制監督をすり抜け得る抜け穴となっている。
IPCは例としてGCHQを名指しし、GCHQが、法的義務はないにもかかわらず、自らの令状で取得したデータの場合と同様に、この情報の受領と保持を司法コミッショナーに自主的に開示していると指摘した。
もう一つの潜在的な規制上の隙間として挙げられたのは、IPAで定める「関連エラー」の基準を満たす限り、英国情報コミュニティ(UKIC)が重大なデータ侵害を開示しなくてよい点だ。
関連エラーとは、IPAの要件を満たす過程で公的機関が犯した誤りであり、かつ司法コミッショナーによる審査の対象でもあるものを指す。つまりUKICの構成員であるMI5、MI6、GCHQは、IPAに関連する活動を行っている最中に重大な侵害が発生しても、情報コミッショナー事務局(ICO)へ報告する必要がない。
レヴェソン卿は、UKICにこの免除が与えられている理由は不明であり、公益通報に関する問題を招き得ると述べた。
「現状では、UKICが重大な個人データ侵害を起こしても、私たちがその件を付託しない限り、データ保護の所管監督当局の目に触れない可能性がある」と同氏は報告した。
「関係する機微性を考えると、私たちはそれを行うのに最適な立場ではない。これは公益に反する可能性のある隙間を残しかねない。」
IPCはまた、IPAは技術の進展に耐えられるよう改革が必要だと述べ、「実運用のシナリオに適用するのが難しく、監督も難しい、複雑な寄せ集めの立法」だとした。
さらにレヴェソン卿は、IPAAが通信データ(CD)の曖昧な定義を明確化するために「控えめな変更」を導入したとしつつも、公的機関と規制当局が直面する問題を完全には解決していないと指摘した。
電子的な金融取引データは引き続き難題をもたらしている。内務省は、金融取引データに関して何がCDに該当し、何が該当しないのかを明確化しようと試みてきたが、IPCは、これらの取り組みでは法的な複雑さが十分に解消されていないと主張している。
この曖昧さは、例えば法執行機関(LEA)にとって苛立ちの原因となっており、捜査のために特定の種類のデータを取得する際の正しい法的ルートが分からないままにされている。
くすぶり続けるITへの不満
IPCは、IPAの下で傍受したデータを管理・配布するためにLEAが使用している老朽化したITシステムを置き換える計画が存在しないことを改めて指摘し、これは「容認できない」と述べた。
IPCは、2020年以降これらのシステムを管理してきた内務省に対し、繰り返し働きかけてきた。中央の代替システムの当初目標は2020年だったが、その後2025/26年に延期され、さらに2024年に撤回された。
内務省はIPCに対し、各LEAが法で定められたコンプライアンス要件を満たす独自のシステムを開発する責任を負い、それまでは既存システムを使用しなければならないと伝えた。
IPCは次のように述べた。「既存システムは現在安定しており、内務省の支援も受けているが、新しいシステムが提供されないままこのシステムに依存し続けることは、依然として重大な懸念である。」
レヴェソン卿は「現行の運用継続性を維持しながら新システムを開発する複雑さは認識している」と付け加えた。「しかし、現行システムが廃止される前に、すべてのLEAが持続可能でIPA準拠のシステムを整備できるようにする、一貫性があり包括的な計画が欠けているのは容認できない。私たちは引き続き、内務省にこの問題を優先事項として扱うよう強く求める。」
テクニカル・ケイパビリティ・ノーティスをめぐる議論の整理
現在IPAに関する報道で特に注目されるのは、テクニカル・ケイパビリティ・ノーティス(TCN)をめぐる動きだ。これは、IPAの下でデータを引き渡すようAppleのような企業に出される法的要件である。
IPCは、TCNについて、すでに述べられている以上のことをあまり語ることを控えた。TCNは、Appleが1月にそれを受けた後、今年ホットな議論の的となった。
整理すると、内務省はAppleにTCN――IPAの下でデータを引き渡すよう命じる法的命令――を出した。法律は、TCNの受領者がそのTCNの詳細を開示すること、さらには受領した事実を明かすことさえ禁じている。
そのため、内務省がAppleに何を要求したのかは依然として謎のままだが、暗号化されたiCloudデータへのアクセスに関するものだと広く推測されている。Appleは命令を受けて、英国でAdvanced Data Protectionを撤回した。
レヴェソン卿は、国家安全保障上の理由からTCNの詳細が公になるのを防ごうとした内務省に反対する判断を示した、調査権限審判所の4月の裁定を歓迎した。
「私たちは、事件の最低限の事実が公衆に開示されるよう命じた審判所の決定を歓迎する。適法なアクセス能力について成熟した、十分な情報に基づく公的議論が行われることは極めて重要だと考えるからだ」と同氏は書いた。
IPCがこれを有益だと考える主な理由は、不正確な報道があるためだ。同氏は、TCNが本質的に政府による盗み見のためのバックドアとして言及されたことに異議を唱え、その呼称は粗雑で誤りだと述べた。
「公的議論が、片方にプライバシー、もう片方に政府のやりたい放題、という単純な構図として提示されないことが重要だ」とIPCは書いた。「それは真実から最も遠い。適法なアクセスは、強力な暗号化を維持しつつ、法執行機関と政府がテロ、重大犯罪、敵対的国家活動から公衆を守れるようにするというバランスを取った形で実現できる。」
プライバシー擁護団体とセキュリティ専門家は異議を唱えている。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/18/snoopers_charter_loopholes/
