市民社会団体は、人権侵害と結び付けられてきたスパイウェアの製造企業が、自らの評判を洗浄する手段として外交イニシアチブに入り込んでいると警告している。
反発は、スパイウェア製造企業NSOグループが1月7日に公表した「透明性報告書」を受けて起きた。同社はこの報告書で、パル・モール・プロセスへの参加を大々的に宣伝した。パル・モール・プロセスは、犯罪やテロ対策として適切に用いられる場合にはソフトウェアに価値があることを認めつつ、スパイウェア製品の悪用を抑え込むことを目的とする外交的取り組みである。
パル・モールは、フランスと英国の主導の下、2024年2月に開始され、スパイウェアを含む、いわゆる商用サイバー侵入能力(CCIC)に関するガバナンス枠組みの構築を目指している。
フランスおよび英国の当局者はRecorded Future Newsに対し、NSOグループを参加に招待しておらず、提出を行う企業が必ずしも人権を尊重しているわけではないと述べた。
それにもかかわらず、NSOグループはパル・モール・プロセスへの関与を、ゼロクリック型スパイウェア「Pegasus」の責任あるガバナンスに対する同社のコミットメントの例として持ち出した。
報告書によれば、「厳格な輸出許可要件の下で事業を行う規制対象の防衛技術プロバイダーとして、確立された人権コンプライアンス・プログラムと、セーフガード、調査、執行措置を実施してきた実績を有するNSOは、実務的で実装重視の視点を提供する」という。しかし同報告書は、長年にわたる人権侵害の記録を矮小化し、それに対処するためのいかなる改革にもコミットしなかった。
市民社会のリーダーらは同社の主張を一蹴し、セルビアのような抑圧的体制下で市民社会の構成員を標的にするPegasusの近年の多数の悪用事例を挙げた。2025年2月、アムネスティ・インターナショナルは、Pegasusがセルビアのジャーナリスト2人を標的にするために使用されたことを確認した。アムネスティが同地で市民社会の構成員がPegasusで標的にされたことを記録したのは、2年で3度目だった。
NSOグループの技術は、サウジアラビア指導部の強力な批判者だったジャーナリスト、ジャマル・カショギ氏の殺害とも結び付けられた。
「NSOは『確立された人権コンプライアンス・プログラム』があると言っています」と、The Citizen Labのデジタル・フォレンジック研究者ジョン・スコット=レイルトン氏は述べた。「証拠が示しているのは一つだけです。彼らの主張する方針が何であれ、スキャンダルが山のように積み重なった後でさえ、独裁者に売ることをまったく問題にしていないのです。」
NSOが「厳格な輸出許可要件」の対象であるという主張については、Access Nowの上級テック顧問ナタリア・クラピヴァ氏が異議を唱えた。Pegasusをどの国に販売できるかを決めるイスラエルが、サウジアラビア、アラブ首長国連邦、アゼルバイジャン、セルビア、ルワンダといった権威主義体制や独裁国家への販売を承認してきたと指摘した。
またNSOは透明性があるどころか正反対であり、執行活動を裏付ける証拠も、乱用を理由に撤退した国の一覧すら提示していないとクラピヴァ氏は述べた。
さらに、NSOの過去の年次透明性報告書とは異なり、最新版は、同社が製品の乱用を理由に取引を断った、あるいは取引を停止した顧客が何社あったのかについて一切の詳細を示していない。また、顧客数が何社なのかも述べていない。
被害者は、NSOによる妨害のために救済手段を奪われてきたとクラピヴァ氏は述べた。
「NSOは調査を妨害し、被害者や研究者の信用を傷つけ、米国や他国の裁判所で説明責任を回避し被害者に救済を提供しないよう、莫大な資源を投じて積極的に動いてきました」と彼女は述べた。
「責任ある主体」
パル・モール・プロセスに関与する当局者は、提出を行うスパイウェア製造企業が必ずしも「責任ある主体」として行動しているとは限らないと強調した。
例えば、フランスの欧州・外務省の当局者は、Pegasusの乱用に関する継続中のフランスの司法捜査があることを強調した。
「事実は極めて深刻です」と当局者は述べ、機微な問題について率直に語るため匿名を求めた。
フランス当局者は、NSOのような企業は「攻撃的サイバー作戦を実行し得る立場にある国家および非国家主体の裾野を広げる」と述べた。「したがって、その能力は無責任に使用される可能性が高い。私たちは、人権および国家安全保障に対する潜在的リスクについて、引き続き深い懸念を表明している。」
NSOの貢献について問われた英国外務省の当局者は、協議への提出は「パル・モール・プロセスへの正式なコミットメントでも、イニシアチブへの参加でも、いかなる形の遵守でもなく、将来の関与を示すものでもない」と述べた。
「協議への回答は、国家や企業がパル・モール・プロセスによって責任ある主体と見なされることを意味しない」と当局者は述べた。
NSOグループの広報担当者は、複数回のコメント要請に応じなかった。
「プロセスの悪用」
長年にわたりPegasusが多数の市民社会の端末を標的にしてきた実態を調査してきたスコット=レイルトン氏は、NSOが行っているとする「プロセスの悪用」を理由に、パル・モールの主導者に対し、今後の取り組みへのNSOの参加を「失格」にするよう求めた。
「オープンな協議モデルでは誰でも意見を提出でき、悪質な主体がメールを何通か送っただけでガバナンス上の正当化として喧伝するのを防ぐ明確な仕組みがない」と彼は述べた。「問題は、傭兵スパイウェア企業にとって悪意ある行動がデフォルト設定だということです。プロセスが防火壁や結果(ペナルティ)を組み込まない限り、これはまた起こり得ます。」
アムネスティ・インターナショナルのセキュリティ・ラボでアドボカシー/政策アドバイザーを務めるエリナ・カスティージョ・ヒメネス氏は、NSOのような実績を持つ企業は、改革へのコミットメントを示すまで排除されなければならないと述べた。
「人権を守るためにこの業界を規制することに本気の政府であれば、曖昧な声明で評判回復を図りながら、適切な法的監督に身を委ねない企業による便乗的な試みは拒否するでしょう」と彼女は付け加えた。
しかし参加者の多くは、人権侵害の記録を持つCCICがプロセスに参加することを望んでいる。真の改革が起きることを期待しているためだ。
専門家は、パル・モール参加者が設計する参加ガイドラインが、責任ある慣行と無責任な慣行の間に明確な線引きを作ることで、NSOのような最も問題のあるベンダーを地下に追いやる可能性があると懸念している。
また観察者は、これまで最も関与しているベンダーが、製品が広範な人権侵害を引き起こしてきた企業ではないことも懸念している。
製品が越境的抑圧に繰り返し用いられてきたNSOのようなベンダーは、大規模な改革にコミットする用意がある場合にのみ、パル・モールへの参加を認めるべきだと市民社会のリーダーらは述べている。
Access Nowで監視キャンペーンのリードを務めるランド・ハムード氏は、パル・モールの主導部は「業界関与のための明確な基準…善意の参加に依存するイニシアチブの信頼性を守るため」を整備する必要があると述べた。
翻訳元: https://therecord.media/spyware-maker-pall-mall-process-reputation
