商用サイバー侵入産業に対する自主的な標準を策定する国際的な取り組みは、誰を適用対象とするべきか、遵守をどう促しどう測定するか、そして過去に問題のある企業をどう扱うかといった問いに取り組んでいる。
第1ラウンドのパル・モール・プロセスは、政府による商用ハッキングツールの利用に関する行動規範に焦点を当てた。今年は参加者が産業向けガイドラインに注意を向けている。土曜日にワシントンD.C.で開催されたDistrictCon会議では、政府、産業界、市民社会組織の代表者が、そうした自主ルールを決めるうえで考慮される要素の一部を検討した。
参加者の身元の開示を禁じるチャタムハウス・ルールの下で行われたこの議論は、各国がスパイウェアを利用しようとする、あるいは規制しようとする、またはその両方を進める中で、さらにトランプ政権と議会がサイバー攻勢の強化における民間部門のより広範な役割を検討しているさなかに行われた。
会場にいた外国政府の代表者は、パル・モール・プロセスの目的は、法執行などの正当な目的に役立ち得る商用侵入製品を排除することではなく、政府が責任をもってそれらを利用し、責任あるベンダーから購入するための「交通ルール」を確立することだと述べた。
「私たちはその市場を望んでいます」と同代表者は言った。「止めようとしているわけではありません」
産業向けガイドラインの適用範囲は、土曜日の議論における大きな論点だった。偵察ツールのようなものを含めるのか、そして学術研究と不正な目的の境界線をどう引くのかなど、ルールが誰に適用されるのかをめぐる議論や推測が含まれた。
参加者の中には、参加に対するインセンティブとディスインセンティブにより焦点を当てる者もいた。自主ルールが政府への製品販売における厄介な障壁になってしまうなら、一部のベンダーはそれを拒否する可能性がある、と述べる者もいた。
「今のところ、これをやりたいと思わせるような話は何も聞いていません」とある参加者は言った。
別の参加者は、ルールによってベンダーがガイドラインを遵守しない国と取引したほうが利益が出る可能性はある一方で、利点として、自分たちの仕事の領域にとどまり、被害者の迫害、さらには自社技術による被害者の死亡に加担することなく収益を得られる点があると主張した。
別の参加者は、各国政府間で調達プロセスを合理化できれば、複数の国と同時に取引できるようになり、行動規範がより魅力的になる可能性があると述べた。
別の論点は、今後行動規範に参加したいと望む場合、過去に不透明な行為があった企業をどう扱うかだった。外国政府の代表者が指摘したように、問題はルールが「無責任な行動をロンダリングする」ために使われるのをどう防ぐかだ。
ある参加者は、ルールに同意した後にそれを軽視する者に対して明確な処罰を設けるべきだと付け加えた。別の参加者は、ルールの参入障壁は高すぎるべきではなく、「懲罰的であってはならない」と述べ、逸脱した者を再び枠組みに呼び戻してより良い道へ導けるようにすべきだとした。
また、標準は、ベンダーが顧客の状況を継続的に把握し、乱用を助長していないかを知ることに関してどのようなガイドラインに従うべきか、そして外国政府の代表者の言葉を借りれば、企業が「キルスイッチに対する責任」を負うべきかどうかも扱い得る。
外国政府の代表者によれば、ルールは拘束力を持たないものの、政府がそれに同意しない企業を敬遠し、他者がそれらの企業から購入するのを思いとどまらせるためにできる限りのことをする際に用いられ得るという。
