非伝統的安全保障としてのサイバーセキュリティの課題

土屋大洋「非伝統的安全保障としてのサイバーセキュリティの課題―サイバースペースにおける領域侵犯の検討―」渡邉昭夫編『防衛戦略研究会議論文集 2010年代の国際政治環境と日本の安全保障―パワー・シフト下における日本』防衛研究所、2013年。

 防衛省防衛研究所の研究会で11月に報告したものを、1月末に原稿に書き直したもので、半年以上経ち、古くなってしまった感がある。その間に、マンディアント報告書、韓国への攻撃、米中首脳会談、プリズム問題などがあった。ただ、これを書いていたときも、忙しくなり始めのときで、けっこうつらかった。

 ここで書いて領域侵犯の問題は、一昨日(6月28日)、ソウルで行われた会議でも報告した。ところが、やや過激な意見だったらしく、中国からの参加者には受けが良かったが、他の国の人たちは困惑し、司会のハンガリー人は完全に誤解してしまった。「自由なインターネットを守ろう」という意見とは必ずしもそぐわないのだが、防衛省や自衛隊のサイバーセキュリティを考えるときには、どこまでが日本の主権が及ぶ範囲なのかを考えないとどうにもならない。データやトラフィックに基づく境界設定を考えるとぐちゃぐちゃになるが、設備ベースの境界を設定すれば簡単なはずだ。しかし、それはサイバースペースの分断化にもつながりかねない。この最後の点は、必ずしも外交的な方針とはそぐわない。

 一つの問題提起としての原稿である。

プリズム問題で露呈した、オバマ政権下で拡大する通信傍受とクラウドサービスの危うさ

土屋大洋「プリズム問題で露呈した、オバマ政権下で拡大する通信傍受とクラウドサービスの危うさ」DIAMOND ONLINE(2013年6月17日)。

 プリズム問題について歴史的な経緯を書かせていただきました。(いろいろ追われていた時にすぐ書けとのお話だったので、タイトルも小見出しも付けない原稿を出したのですが、うまくまとめてくださいました。)

米国におけるサイバーサイバーセキュリティ政策

土屋大洋「米国におけるサイバーサイバーセキュリティ政策」日本国際問題研究所編『米国内政と外交における新展開』(2013年3月)

 昨年度の研究会の報告書が公開されています。前半は新しいことは書いていませんが(その点は大変申し訳なく思っています)、後半で議会の対応について書いたのはここが初出です(この原稿にはそこしか見るべきところがありません)。その後、いろいろなところでネタにしています。(これを書いている頃は苦しかった。その後、もっと苦しくなった。とにかく、編集担当の方にご迷惑をおかけしました。すみませんでした。)

「メール解析、憲法に反さない」の記事について

 2013年6月3日付けの日本経済新聞に「メール解析、憲法に反さない 慶応義塾大学大学院教授 土屋大洋氏」という記事が掲載されました。

 この記事は対面での取材と複数回の電話取材、および電子メールでのやりとりに基づいて書かれた記事です。

 私自身は文章を書いていません。また、事前にこの記事の文面も確認していません。担当記者さんから、こういう論点について書きますというメールが5月31日の16時過ぎにあり、私からは6月1日の昼の12時過ぎに「少しだけ修正・補足させてください」という返信を差し上げています。その返信の中では、私の主張をまとめて書いています。しかし、この私の返信メールは紙面に反映されなかったと、記事が出た後、6月3日の昼の12時過ぎにメールをもらっています。

 私が主張したかったのは、現在の通信の秘密に関する法制がインターネット時代に対応したものではなく、電信・電話の時代に作られたものであり、インターネットにおいては形骸化していること、また、サイバー攻撃に対処するには通信の解析は有効であり、それを可能にする措置が必要ということです。究極的には憲法の改正が必要かもしれませんが、電気通信事業法の改正で済むなら、それで対応すべきだと考えています。現在の憲法の条項が通信の解析をそのまま認めているとは考えていませんし、記事の冒頭で括弧でくくられている発言をそのまましたつもりはありません。

 記事中「メールに付随したデータ」とはヘッダー情報のことで、メールの本文(ペイロード)までは見る必要がない場合がほとんどだということです。どこからどこへ通信が行われているかを調べるだけで有益な場合があり、プライバシーの侵害の要素が大きくなるペイロードをいきなり見る必要はなく、ヘッダーの解析の結果、必要があれば、手続きをとってペイロードの解析も行うことができるようにもすべきでしょう。

 もちろん、通信の解析をしなくて済めばそれに越したことはありません。しかし、日本でサイバー攻撃が起きた場合にどうすれば良いのかと聞かれれば、通信の解析に踏み込んでいかなくてはならないと思います。そうでなければ、やられるがままを受け入れるしかないでしょう。それで良いのかという問題提起をしているわけです。皆さん、日本は大丈夫なのかとおっしゃいますが、具体論になると腰砕けになる方が多いのです。他に良策があるなら、是非それを検討すべきでしょう。それを是非パブリック・コメントとして寄せてください。

 こうした措置を可能にするために、それに従事する政府職員や通信事業者職員にセキュリティ・クリアランスの制度を適用することが必要です。それが記事中で「身元確認」と書かれていることです。解析の結果が外部に漏れるようであれば、それは違法行為に他なりません。

 さらには、行政の行き過ぎを監視する制度として、国会の中に情報委員会を設置すべきでしょう。この点については記事中で触れてもらえませんでした。

 憲法と電気通信事業法をそのままにして、なし崩し的に通信解析や通信傍受をできるようにすべきとはさらさら考えていません。