2001年9月11日朝。米国の成人のほとんどは、自分がその時どこにいたかを鮮明に覚えているだろう。筆者はホワイトハウスのウェストウィング2階で、米国国家経済会議のスタッフ会議に出席していた。シークレットサービスが突然部屋に入ってきて「すぐに部屋を出てください。ご婦人方はハイヒールを脱いで!」と叫んだことは忘れられない。
そのちょうど1時間前、私は全米経済会議のホワイトハウス技術顧問として、9月13日にオーバルオフィスで予定されている大統領との会談に向けて最終的な詳細を副参謀長に説明していた。そして、米国政府のプライバシー保護法案を議会に提出するために、大統領のサインを得る準備が整った。カリフォルニア州のプライバシー保護法の国家版ともいえるこの法案は、それよりも強力で、情報を共有する際には対象となる市民の選択による同意を得て市民のデータを保護するなど、データの収集方法や使用方法を規定するものだった。
しかし、その日の朝、世界は一変した。私たちはホワイトハウスから避難し、その日は悲劇に次ぐ悲劇が発生した。米国、そして世界中に衝撃が走った。あの日、ワシントンD.C.にいた私たちは、悲しみ、連帯感、不信感、力強さ、決意、緊迫、そして希望など、人間の感情のすべてを目の当たりにし、自ら体験することとなった。
当日については多くのことが語られているが、筆者はその翌日のことを少し振り返ってみようと思う。
9月12日、オフィスに国家経済会議のスタッフが集まったとき、当時の上司であるLarry Lindsey(ラリー・リンゼイ、Lawrence Lindsey)が私たちに言った言葉を今でも覚えている。「今ここにいることを不安に思う人がいるかもしれません。私たちは全員が標的なのだから。愛国心や信仰心をアピールするつもりはありません。しかし、この部屋にいる皆が経済学者である以上、私はみなさんの合理的な自己利益に訴えます。今、私たちが逃げ出してしまえば、他の人たちも同じように逃げ出すでしょう。誰が私たちの社会の要を守ることができるでしょうか?私たちは国を守ります。この国の誇りとなるように行動してください。そして、安全と安心という自由への献身を放棄しないでください」。
9.11の悲劇に対して、国が一丸となったこと、そして米国政府の対応については多くのことを誇りに思っている。しかし、私はサイバーセキュリティとデータプライバシーの専門家として、まず、ラリーが言ったこと、その後の数年間で学んだ多くの重要な教訓、特に社会の要を守るということについて振り返りたい。
あの日の記憶は未だに鮮明だが、20年が経過し、9.11同時多発テロに至るまでの数カ月間にデータが果たした(果たさなかった)致命的ともいえる役割が解明されている。不幸なことに、すぐそばにあったはずの情報データはバラバラに保管されており、何千人もの命を救うことができたかもしれない点と点をつなぐことはできなかった。データのサイロ化によって、情報を安全に共有する仕組みがあれば見つけられたはずのパターンが見えなくなっていたのだ。
その後、私たちは「こんなことは二度とごめんだ」と自らに言い聞かせ、当局は、市民の自由だけでなくデータのセキュリティにも重大な影響を与えることを考慮せずに、収集できる情報の量を増やすことに邁進した。そして、CIAや法執行機関による20年間の監視要請が詰め込まれた愛国者法が施行された。司法省とともに愛国者法を交渉する場にいた私がはっきりと言えるのは、次のテロ攻撃を防ぎ、私たちの人々を保護するという意図は理解できるものの、その結果として広範囲に及んだ悪影響は明白であった、ということだ。
国内での盗聴や大規模な監視が当たり前になり、個人のプライバシーやデータの安全性、国民の信頼が少しずつ損なわれていった。これはデータプライバシーに対する危険な前例となったが、その一方で、このレベルの監視ではテロとの戦いにおいてわずかな成果しか得られなかった。
残念なことに、個人のプライバシー保護を強固にするはずであった、まさに9月11日の週に議会に提出する予定だった米国政府のプライバシー法案は、頓挫してしまった。
その後数年が経ち、大量の監視データを安価かつ簡単に収集・保管できるようになり、テクノロジー関連やクラウド関連の大手企業が急速に規模を拡大し、インターネットを支配するようになった。官民を問わずより多くのデータが収集されるようになり、個人の機密データが公に晒されるようになったが、このようなアクセスの拡大に対処できる、有効性のあるプライバシー保護措置は講じられなかった。
巨大なテクノロジー企業やIoTデバイスが、私たちの行動、会話、友人、家族、身体に関するデータポイントを集める20年後の現在、私たちは過剰なまでに野放図なデータ収集とアクセスに翻弄されている。原因がランサムウェアであろうとクラウドバケットの設定ミスであろうと、大規模で代償が大きいデータ漏えいでさえも新聞の一面で取り上げられないほど頻繁に発生している。この結果は社会の信頼の喪失だ。人権であるはずのプライバシーだが、それが守られていないことは誰もが知っている。
このことは、アフガニスタンでの人道的危機を見れば明らかだ。一例を挙げてみよう。連合軍を支援したアフガニスタン市民の生体情報データが入った米軍のデバイスがタリバンに奪われてしまった。このデータがあれば、タリバンは対象となる個人や家族を容易に特定し、追跡できる。機密性の高い個人情報が悪人の手に渡るという最悪のシナリオであり、私たちはそれを防ぐための十分な努力をしてこなかった。
決して許されることではない。20年経った今、私たちは再び「こんなことは二度とごめんだ」とつぶやいている。私たちは9.11の経験を、情報データをどのように管理、共有、保護したらいいかを再認識する機会とするべきだったが、未だにそれを正しく理解していない。20年前も現在も、データの管理方法は生死を決する。
進歩がないわけではない。2021年、ホワイトハウスと米国国防総省は、サイバーセキュリティとゼロトラスト(すべてが完全には信頼できないことを前提とする考え方)のデータ保護にスポットライトを当て、米国政府のデータシステムを強化する行動を促す大統領令を出した。私たちには、このような機密データを保護しながら共有もできるようにするために必要な技術がある、というのは良いニュースだろう。データが本来データを持つべきではない人の手に渡ることを防ぐ緊急時対応策も用意されている。しかし、残念なことに、私たちのアクションはまだ十分ではない。データの安全な管理という問題の解決が遅れれば遅れるほど、罪のない人々の命が失われていく。
私たちには、次の20年を見据えて信頼を回復し、データプライバシーの管理方法を変革する機会がある。何よりもまず、私たちは何らかのガードを設置することが必要だ。そのためには、個人に自分自身のデータ管理の自律性をデフォルトで持たせることのできるプライバシー保護の枠組みを構築しなければならない。
つまり、各個人による自らのデータの所有と管理を可能にするためには、公的機関や民間企業がIDとデータを結びつけ、データの所有権を各個人に戻すという技術的な裏方の作業を行う必要がある。簡単にできることではない……しかし、不可能なことではなく、米国市民、米国居住者、世界中の同盟国の人々を守るために必要なことだ。
このようなデータ保護の導入を促進するためには、相互運用性と柔軟性を備えた、無料でアクセスできるオープンソースソリューションのエコシステムが必要である。既存のプロセスやソリューションにデータ保護とプライバシーを重ね合わせることで、政府機関は、個人のプライバシーを損なうことなく、データを安全に収集・集計して全体像を明らかにすることができる。今の私たちはこのような技術がある。今こそそれを活用するときだ。
大量のデータが収集・保管されている現在、米国のデータが悪用される機会は格段に増えている。タリバンに奪われたデバイスは、現在危険に直面しているデータのごく一部に過ぎない。2021年に入ってからも、国家レベルのサイバー攻撃は増加の一途をたどっている。人命を脅かすこのサイバー攻撃は、決してなくなることはない。
2001年9月12日のラリーの言葉は、今でも心に残っている。今、私たちが手を引いたら、誰が社会の要を守れるだろうか。人々の自由を損なうことなく、プライバシーを守り抜くことができるかどうかは、官民のテクノロジーリーダーである私たちにかかっている。
まずはデータに対する国民の信頼を回復しよう。今からでも遅くはない。20年後、私たちはこの10年間を、個人のプライバシー権を保護・支持する上でのターニングポイントとして振り返ることになるだろうか。それとも、またしても「こんなことは二度とごめんだ」と思っているのだろうか。
編集部注:本稿の執筆者John Ackerly(ジョン・アッカーリー)氏はVirtru Corporationの共同創立者兼CEO。以前は、Lindsay Goldberg LLCの投資家、ホワイトハウスの技術政策アドバイザー、米国商務省の政策・戦略計画ディレクターを務めていた。
画像クレジット:Mark Rainwater/Eye Em / Getty Images
[原文へ]
(文:John Ackerly、翻訳:Dragonfly)
