個人のプライバシーは
消滅しても良いのか
今後、IoTが家庭内にも普及してくるとサイバーセキュリティをめぐる課題は一層複雑化するが、とりわけ深刻なのは、個人利用者が知らぬまま加害者の片棒を担ぐ可能性である。マルウェアに感染した大量のIoT端末がある日突然、攻撃者のサーバからの指令とともに大量のパケットを送信するDDoS(Distributed Denial of Service)攻撃を仕掛けて、重要インフラの機能を停止させる─。こうした例は既に世界にあり、2020年オリンピック・パラリンピックで憂慮されているシナリオでもある。
それでは、電気通信事業者に契約者のホームネットワークを常時監視する義務を負わせればよいのだろうか。それが利用者の同意なく実施されるならば、家庭内のプライバシーはもはや消滅したに等しい。
そう考えるならば、IoTを設置する個人利用者は自分の財産やプライバシーを守るためだけでなく、サイバー空間とフィジカル空間が融合する社会の構成員として、強いパスワードを設定する、端末のソフトウェアを定期的にアップデートする等、相当な範囲での責任を引き受けるべきではないか。それは自動車の保有者が定期的に車検を受ける、歩行者が信号標識を守るのと、同種の責務に高まりつつある。
情報通信ネットワークの安全な利用のためには、当然ながら電気通信事業者の果たすべき役割は大きい。ISP等は自己のネットワークを管理運用し、攻撃に対処する権限と責任を有している。しかし大規模なサイバー攻撃が多数のネットワークを同時に介して行われることを踏まえれば、十分な能力と規模を有する電気通信事業者に、サイバー空間全体の安全を守るために協力する責務を法律により課すことも、考えられる。
2018年の通常国会で成立した改正電気通信事業法によって、サイバー攻撃に関する詳細な情報を集約した第三者機関が、マルウェアに指令を出している疑いのあるサーバを分析し、それに基づき電気通信事業者が対策を講じることが可能になった。そのためには電気通信事業者は利用者の「通信の秘密」に関わる情報を提供する必要があるが、それを適法化することと合わせて、第三者機関の側に秘密遵守を義務づけたものである。
このようにサイバー空間の秩序を維持するために情報の共有・分析等が不可避なのであれば、その濫用を防ぎ自由やプライバシーを確保するための組織的・手続きの保障もまた不可欠である。その先例は裁判所の令状による通信傍受にあるが、サイバー空間の拡大とフィジカル空間との融合が進む中で、世界的にこうした仕組みの発展が見られている。
例えば従来米国では、捜査機関が携帯電話の基地局位置情報を取得・利用するためには、簡易な裁判所命令(court order)によれば足りるとされてきた。しかし18年6月、米国最高裁は現代の技術の発展を踏まえて、より厳格な令状(warrant)を求める判断を示すに至っている。