カタパルトスープレックス

興味がない人は無理して読まなくていいんだぜ。

書評|データとプライバシーにまつわる企業と政府の関係|"Tools and Weapons" by Brad Smith

f:id:kazuya_nakamura:20190927234250p:plain

楽しみにしていたエドワード・スノーデンの自伝"Permanent Record"があまりにそのまま「自伝」で肩透かしにあってしまいました。核心部分だけ知りたい人は映画『スノーデン』を観れば十分でしょう。"Permanent Record"はスノーデン個人にとても興味ある人向け。まあ、印税が入ることで少しでも彼の生活の助けになればとは思います。

“Permanent Record“がハックした側(政府)の告白だとすれば、ハックされた側(テック企業)が何を考えて、どのような行動をしたのかがわかるのがマイクロソフトの法務担当のプレジデントであるブラッド・スミスの著書“Tools and Weapons”です。

Tools and Weapons: The Promise and The Peril of the Digital Age (English Edition)

Tools and Weapons: The Promise and The Peril of the Digital Age (English Edition)

Permanent Record

Permanent Record

ボク自身、司法省との裁判の頃、マイクロソフトに所属していました。ブラッド・スミスは前面に立って様々なメッセージを社内外に向けて発信していました。企業に所属する法律家で世界的に最も有名な一人ですし、大企業を代表して企業と政府の関係性を作ってきた人です。

「データは新しい石油」だと言われます。世の中にはスタートアップに適したビジネスとそうでないビジネスがあります。石油業なんて代表的なスタートアップに適さないビジネスですね。莫大な資本が必要となります。AWS、AzureやGCPのようなクラウド業も同様にスタートアップに向きません(DigitalOceanという例外はありますが)。データセンターの構築には多額の投資が必要となるからです。どれだけベンチャーキャピタルがお金を集めても足りません。

スノーデンの衝撃

データセンターの運用にお金がかかるのは単にサーバーの調達費用や運用コストだけではなく、セキュリティーにも細心の注意を払わなければいけないからです。“Tools and Weapons”の序盤ではマイクロソフトがどれだけセキュリティーに注意を払っているのか解説されています。

アメリカ政府がグーグル、フェイスブック、マイクロソフトなどのテック企業のデータを使って監視しているというスノーデンの告発は世界に衝撃を与えました。そして、その告発はデータセンターを運用している企業にとっても衝撃でした。少なくともマイクロソフトは政府にそのようなデータを提供していない。なぜそんなことが起きるのか?マイクロソフトの見解としてはデータセンターの外にある通信ケーブルをタッピングされていた可能性が高いそうです。データセンターのセキュリティーは守っていたが、データセンターの外の通信までは考慮が足りていなかった。多くのテック企業はスノーデン後に全ての通信を暗号化することに決めました。

ブラッド・スミスは言います。

「スノーデンがヒーローなのか裏切り者なのか、人によって見方は違う。ただ一つ言えることは、スノーデンは世界を変えた。そして、スノーデンは自分たち(テクノロジー会社)も変えた」

データとプライバシーをめぐる政府との駆け引き

"Tools and Weapons"では利用者データをめぐる政府との関係を詳しく解説しています。データは企業にとって確かに新しい石油であり、利益の源泉です。しかし、データはユーザーの持ち物であり、データセンター運営者はその管理者でしかない。少なくともマイクロソフトはそう考えています。ちなみに、マイクロソフトのAzureでAI関連のサービスを使ったとします。AIにとって学習データはとても重要です。Azureでは学習データは開発者が所有します。グーグルのGCPの場合、グーグルが所有します。データの所有に関する考え方はテック企業共通のコンセンサスってないので注意が必要です。

基本的人権はアメリカ合衆国憲法を補完する権利章典(Bill of Rights)の中でを規定されています。マイクロソフトは個人データを守るのは基本的人権だと考えています。権利章典の修正第4条(Fourth Amendment)で基本的人権である個人の所有物に関する政府の捜査・押収について規定されています。

アメリカ政府はデータセンター運用会社にデータを請求することができます。無条件にできるわけではなく、特定の用途のために特定の手続きが必要となります。それを定めている法律の一つが外国情報監視法です。外国情報活動監視裁判所(FISC:United States Foreign Intelligence Surveillance Court)の令状が必要になります。

では、データ公開を誰に請求するのか?マイクロソフトの立場はデータはユーザーのモノです。政府はデータセンター運用会社であるマイクロソフトではなく、まずユーザーに許可を得る必要があるというのがマイクロソフトの考え方です。しかし、政府はそれをユーザーに知られたくない。そこで口外禁止令(Gag Order)を発行します。ユーザーの権利を守るためにマイクロソフトは司法省を提訴します。個人情報を守るのは基本的人権の一つで、政府は口外禁止令を乱用しすぎですよと。

もちろん、企業の社会的責任として国家安全のために協力をしなければいけません。ウォールストリート・ジャーナル記者のダニエル・パール誘拐殺人事件では犯人がマイクロソフトのメールサービスを利用していたことからFBIの捜査に協力しました。しかし、同時に時代にあったルールも必要だとブラッド・スミスは考えています。電子データのプライバシーに関する法律の一つが電子通信プライバシー法(ECPA)ですが、ブラッド・スミスはこれも時代にあった改善が必要だと訴えています。

国をまたがるデータ

マイクロソフトのような巨大サービスを運営している企業にとって、ユーザーはアメリカだけでなく世界中に広がっています。データセンターもアメリカだけではなく、世界中にあります。データはアメリカの政府だけでなく、各国の政府から提供を要請されます。そのため、マイクロソフトはデータセンターをどこに置くかも慎重に検討しなければいけません。単に安いとか、運用しやすいだけが判断基準ではなく、基本的人権を守れるかどうかも重要な判断基準となります。アイルランドはデータセンター拠点として人気があります。税制のメリットが受けられますし、気候もデータセンターに適しています。それだけでなく、データの扱いに関する法律がマイクロソフトの考え方に合致していることが大きかったとブラッド・スミスは振り返ります。

国をまたがったデータの取引協定に刑事共助条約があります。しかし、強制力があるものでもないし、完璧でもありません。シャルリー・エブド襲撃事件など迅速に政府と企業が協力体制(マイクロソフトは45分で情報提供要請に応える)を組めることもありますし、個人データの提供をめぐりブラジルでマイクロソフトの役員が逮捕されることもあります。

この本はどのような人にオススメか

監視資本主義の時代だと言われています。個人データは誰のものなのか?フェイスブックやグーグルなどデータを独占する企業が独禁法違反の疑いで捜査を受けています。データに関してはテック企業と政府だけでなく、ユーザーの権利も関わってくるのでなかなか複雑です。それを知る上でも"Tools and Weapons"は適切なテキストと言えます。

いまは私たちのプライバシーを守る法律は整備されている状態ではありません。企業と政府が試行錯誤をしている状態です。当然ながら企業の間でもコンセンサスがないため、それぞれの企業の理念に基づいてバラバラに行動しています。そんな中でもアップルやマイクロソフトはプライバシーに関してはユーザー寄りに立っていると言われています。ユーザーが自衛できるのは使うテック企業を選ぶだけです。メディアリテラシーも必要ですが、いまはプライバシーリテラシーも必要な時代なんだと思います。そういう上でも、本書はとてもオススメです。