FISA 702をめぐる6月12日の上院採決はVPNユーザーを監視リスクにさらす

FISA 702をめぐる6月12日の上院採決はVPNユーザーを監視リスクにさらす

6月12日に予定されているFISA第702条の更新に関する上院の採決は、プライバシー擁護派から再び厳しい目を向けられている。その理由は、通常の市民的自由をめぐる議論をはるかに超えたところにある。焦点となっているのは、あまり報じられていない特定のリスクだ。インターネットトラフィックを保護するためにVPNを使っているアメリカ人が、意図せずして、むしろ令状に基づかない政府の監視の目に晒されやすくなっている可能性があるのだ。その理由を理解するには、法律が「外国」の通信をどのように定義しているかを詳しく見る必要がある。

FISA第702条が外国サーバートラフィックを標的にする仕組みと、VPNが標的になる理由

FISA第702条は、米国の情報機関に対し、通信が米国外に所在する外国の標的に関わる場合に、令状なしで通信を収集する権限を与えている。この法律は、アメリカ市民や居住者を標的とすることは明確に認めていない。しかし、トラフィックを「外国」のものと分類する仕組みが、重大な抜け穴を生み出している。

VPNに接続すると、インターネットトラフィックは目的地に到達する前にVPNサーバーを経由する。そのサーバーが米国外に所在する場合、あるいは国外に本社を置く企業によって運営されている場合、情報機関はそこを通過するトラフィックを「外国発」と分類する可能性がある。第702条の現在の枠組みの下では、その分類だけで、トラフィックを発生させている人物が米国内にいるアメリカ市民であるかどうかに関係なく、通信が収集の対象範囲に含まれうる。

これは仮定の極端な事例ではない。VPNサーバーは、その設計上、世界中に分散している。多くのプロバイダーは、ユーザーにより良い速度とアクセスオプションを提供するため、数十カ国にインフラを構築している。それら外国に拠点を置くサーバーはすべて、第702条の現在の文言の下では、管轄上の再分類が行われる潜在的なポイントとなる。

現行法の下で最もリスクが高いVPNユーザー

すべてのVPNユーザーのリスクが同じというわけではない。リスクが最も高いのは、定期的に米国外のサーバーに接続する人々、特に敵対的と見なされる国や情報機関の関心が高い国に接続する人々だ。外国の情報源と通信するジャーナリスト、活動家、ビジネス旅行者は、頻繁に欧州やアジアなどのサーバーを利用しており、その結果、彼らのトラフィックが収集対象としてフラグ付けされる可能性がある。

しかし、リスクは注目度の高いケースに限らない。コンテンツのストリーミング、遅延の低減、地域制限のあるサービスへのアクセスを目的に外国のサーバーを選択する一般ユーザーの通信も、情報機関のデータベースに取り込まれる可能性がある。いったん収集されると、そのデータは、批評家たちが「バックドア検索」メカニズムと呼ぶ方法で国内法執行機関によって照会される可能性があり、令状を一切取得することなくアメリカ市民の通信を検索することを許してしまう。

より広範な立法の文脈もここでは重要だ。米国内のVPNユーザーは、すでに複雑な規制環境を乗り越えている。最近の州レベルの動きがそれを示している。 ウィスコンシン州の議員は、世論の反発を受けて、法案からVPN禁止条項を削除した が、これは米国におけるVPN利用の法的地位が、同時に複数の面で試されていることを思い起こさせる。

VPNプロバイダーを選ぶ際に管轄上の位置づけが意味するもの

FISA第702条によるVPN監視リスクは、ほとんどの比較ガイドが完全に見落としている次元をプロバイダー選びにもたらす。暗号化の強度やノーログポリシーも重要だが、同様に重要なのは、プロバイダーのサーバーが物理的にどこにあり、どの法域がその企業自体を統治するのかだ。

米国内で設立され、米国内のみでサーバーを運用しているVPNプロバイダーは、依然として国内監視法の対象となるが、そのトラフィックが第702条の「外国標的」枠組みの下でフラグ付けされる可能性は低い。逆に、米国の管轄外の国に本社を置きながら米国内にサーバーを持つプロバイダーは、異なるプロファイルを示す。また、ファイブ・アイズのような情報共有協定に参加している国にサーバーを持つプロバイダーは、そのマーケティングが示唆するよりも低い保護しか提供しない可能性がある。

真剣にプライバシー保護をVPNに頼るユーザー、特にFISA第702条によるVPN監視リスクを懸念するユーザーにとって、サーバー選択画面はもはや速度のためだけのものではない。それは、現実の法的影響を伴う管轄上の決定なのだ。

プライバシー擁護派が6月12日の上院採決前に求めていること

市民的自由を擁護する団体は、第702条を更新する前に、上院議員に対していくつかの具体的な問題に対処するよう圧力をかけている。最も主要な要求は、バックドア検索の抜け穴の閉鎖だ。現在、これによって国内法執行機関は令状なしに第702条のデータベースでアメリカ市民の通信を照会できる。この修正がなければ、更新は修正第4条の保護を事実上回避するメカニズムを温存することになる。

擁護派はまた、VPNインフラを含む仲介サーバーを通信が通過する場合のトラフィック分類の仕組みを明確にする明示的な文言も求めている。この明確さの欠如こそが、VPNの暴露問題を生み出しているのだ。外国の標的と外国経由のトラフィックを区別する明確な法的定義がなければ、情報機関はアメリカ人ユーザーの通信を収集する広範な裁量権を保持し続ける。

6月12日の採決は、第702条を存続させるかどうかだけでなく、議会がこの曖昧さを容認できるものと見なすかどうかを決定する。州レベルでのVPNの合法性と規制圧力をめぐる争い は、安全保障上の利益と個人のプライバシー権との間の、米国の政策におけるより広範な緊張を反映しており、上院の採決はそれを解決するか、先送りにするかのいずれかとなる。

これがあなたにとって意味すること

定期的にVPNを使用しているなら、第702条の更新論争はあなたのプライバシーに直接関係する。6月12日の採決の前後に取るべき具体的なステップは以下の通りだ。

• VPNサーバーの場所を確認する。 最も頻繁に接続するサーバーと、それらが物理的にどこにあるかを理解する。米国外のサーバーは、第702条の現行枠組みの下ではより高いリスクに晒される。
• プロバイダーの管轄を確認する。 VPNプロバイダーがどこで設立され、米国の法的手続きの対象となるかどうかを調べる。これは、企業からどのようなデータを強制的に取得できるかに影響する。
• 上院の採決結果を注視する。 バックドア検索の修正なしに第702条が更新された場合、外国のVPNサーバーを利用するアメリカ人へのリスクは変わらないか、悪化する可能性がある。
• 自分の選出議員に連絡する。 プライバシー擁護団体は、更新可決前に令状要件の追加を議員に促すためのテンプレートや連絡ツールを公開している。

6月12日の上院採決は、何百万人ものVPNユーザーに直接影響する米国監視法の構造的欠陥に対処するための、わずかな機会である。FISA第702条によるVPN監視リスクを理解することは、自身のデジタルプライバシーについて情報に基づいた選択をするための第一歩だ。