米国政府は、2023年3月27日、国家安全保障にリスクを及ぼす商業スパイウェアの政府利用禁止に関する大統領令(Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security)[1]を発表しました。その概要をご紹介します。(この大統領令の概要や、スパイウェア・監視技術の不正使用への米国の昨今の対応については同大統領令のFACTSHEET[2]をご参照ください。)
本大統領の目的は、商業スパイウェアが、連邦政府の情報(職員の情報を含む)の安全及び完全性にリスクをもたらし、又は、外国において、反対派の脅迫、表現の自由の制限、活動家の監視など、人権を抑圧する手段として不正使用されることを防止することにあります(§1)。
「商業スパイウェア(commercial spyware)」とは、①インターネットに接続されコンピュータに保存/送信される情報等のコンテンツにアクセス、収集、悪用、抽出等したり、②コンピュータの音声/ビデオ電話を記録したりコンピュータを使用して音声や動画を記録したり、③コンピュータの位置を追跡したりするために、ユーザーや所有者等の同意なく、そのコンピュータにリモートアクセスできる機能を有するE2Eソフトウェアスイートであって、第三者を通じて商業目的で提供されるもの、と定義されています。「実践使用(operational use)」とは、当該スパイウェアを、①~③の目的で、ユーザーや所有者等の同意なく、そのコンピュータにリモートアクセスするために使用すること、とされています(各定義は一部省略しています)。
そのために、
- <一定の商業スパイウェアの使用禁止>:(a)その使用が、米国政府に国家安全保障上又はカウンターインテリジェンス上のリスクをもたらす場合、又は、(b)当該商業スパイウェアが外国政府(外国人)による不正利用の顕著なリスクをもたらすものである場合、連邦政府において、商業スパイウェアの実践使用を禁ずる(§2)
- <インテリジェンス評価の作成>:(a)(b)のリスクをもたらすかどうかの考慮要素を明記し、それに基づいて政府においてインテリジェンス評価を行い、実践使用を見直す
- <調達の際の考慮事情>:政府機関が商業スパイウェアを調達する際には、上記判断要素やインテリジェンス評価を勘案しなければならない(§3)
- <報告義務>:商業スパイウェアを調達した機関は、実践使用の内容等について国家安全保障担当大統領補佐官(APNSA)に報告しなければならない(§4)
が定められています。
連邦政府における一定の商業スパイウェアの実践使用を禁止するとともに、政府調達を制限することによって、ベンダー側にスパイウェアが不正使用されないように措置をとるよう促しているという内容です。
なお、上の使用禁止は、試験、研究、分析、サイバー請求、カウンターインテリジェンスやセキュリティリスクへの対策の開発、スパイウェアの不正販売・使用に起因する犯罪捜査の目的で商業スパイウェアを使用する場合には、適用されません。
着目すべきは、本大統領令は一定のスパイウェアの一定の実践使用の禁止にすぎず、それ以外の使用は禁止されていない、という点です。逆に言えば、米国政府内において、禁止されていない限り、スパイウェアが使用されている、ということが読み取れるともいえますね。
[1] https://www.whitehouse.gov/briefing-room/presidential-actions/2023/03/27/executive-order-on-prohibition-on-use-by-the-united-states-government-of-commercial-spyware-that-poses-risks-to-national-security/
[2] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/27/fact-sheet-president-biden-signs-executive-order-to-prohibit-u-s-government-use-of-commercial-spyware-that-poses-risks-to-national-security/
