[qz-japan-author usernames=”mkapur1″]
Asia Explosion
爆発するアジア
Quartz読者のみなさん、こんにちは。世界でも接触追跡アプリのプライバシーを巡る議論が注目されています。日本よりも一足早く追跡アプリがリリースされたインドでは早速、セキュリティー上の欠陥が報告されました。英語版(参考)はこちら。
新型コロナウイルスの接触追跡アプリの脆弱性に対する指摘は、インド政府に苦い思い出を呼び起こしました。
インドにおいて、コロナ対策の一環として開発されたアプリ「Aarogya Setu」(ヒンディー語で「健康への架け橋」の意)に関して、個人情報の漏洩や政府による国民の人権侵害を懸念する声が世界の識者から寄せられています。
接触追跡アプリの開発にあたって参考にされたのは、シンガポール政府から3月20日にリリースされた「TraceTogether」。インドのAarogya SetuはTraceTogetherと異なり、GPS位置情報も取得します。
Twitterでは“Elliot Alderson”の名で知られるフランスのIT専門家であるRobert Batisteは5月6日、同アプリにはセキュリティー上の欠陥があると投稿しました。それによると、この脆弱性はユーザーの健康状態を暴露したり、位置をピンポイントで特定したりする可能性があるというのです。
インド政府はこれを「アマチュア的なハッキング」と一蹴しましたが、システムやアプリの安全性には疑問が残ります。
このアプリには適用期間を限定する「サンセット条項」がないことから、専門家は、隠蔽されているであろう政府による監視の動機に疑いの目を向けています。
「Aarogya Setuでは、位置情報にもとづいた連絡先追跡の方法をとっていることから、データの一元化とアプリの機能の操作に懸念が残る」と、米シンクタンクAtlantic Councilのアナリスト、Kanishk Karan(カニシカ・カーラン)はQuartzに説明します。
この事実に加え、ソフトウェアコードが独立したセキュリティ監査のために開かれていないという危険も潜んでいます。ムンバイを拠点とするコンルタント企業Cyber Law Consultingで社長を務めるPrashant Mali(プラシャント・マリ)は、政府はソースコードをオープンソース化し、現地語での大衆認識を促し、プライバシーへの警戒感を取り除くべきだと指摘します。
A CHEQUERED HISTORY
いつみても波瀾万丈
インド固有識別番号庁(UIDAI)によって登録が進められた、生体認証付き個人識別番号制度(アーダール:Aadhaar)や南部タミル・ナードゥ州の原子力発電所のサイバー攻撃など、インド政府が使用するテクノロジーの重大な脆弱性はサイバーセキュリティの専門家により、たびたび暴露されてきました。
- 2018年 アーダール:ハッカーは、アーダール(顔写真、10指の指紋、目の虹彩も登録される)を介して国民の住所や銀行口座番号などの個人情報を入手するのは簡単だと主張していました。2018年7月、インド通信規制当局の局長R.S.Sharmaが、セキュリティ上の欠陥があることを証明するためにハッカーにあえて自分のアーダール番号を公開したことでこの論争はピークに達しました。ハッカーは速やかにこの情報を使って彼の銀行口座に1ルピーを入金し、自分たちの主張が正しいことを証明しました。
- 2019年 インドステイト銀行:2019年2月、ムンバイに拠点を置くインド最大の市中銀行であるインドステイト銀行は、顧客データを保存していたムンバイのサーバーで、パスワードでのセキュリティ確保に失敗したとTechCrunchが報じました。セキュリティ研究者によって発見されたこの記録は、銀行のSMSサービスで送信された取引詳細が、コーディングスキルをもつ人なら誰もがアクセスできるオープンな状態でした。
- 2019年 クダンクラム原子力発電所:南部タミル・ナードゥ州にあるこの原子力発電所のITサーバーは、同年11月にマルウェア攻撃の標的になりました(北朝鮮のハッカー集団「ラザルス」が関与していたとみられています)。ハッカーはサーバーに接続されたパソコンの閲覧履歴などのデータを取得しようとしました。原発を運用する中央システムは難を逃れましたが、インドの核技術の本丸がギリギリのところまで危険に晒されたのは明らかです。
THE PRIVACY FRAMEWORK
プライバシーの枠組み
脅威を悪化させている背景にあるのは、政府がプライバシーに関する明確な法律をもたず、データ保護を監視する機関を設ける計画もないという事実です。
これは、2017年8月にインド最高裁判所がプライバシーの権利を基本的なものとして支持したにもかかわらず、です。
この2017年の画期的な判決を受け、プライバシーに関する法律を起草するためにBNスリクリシュナ判事委員会が結成され、データ保護法案草案が提案されましたが、いまだ施行には至っていません。
前出のCyber Law ConsultingのMaliは、このような法律があればほとんどの問題は解決すると考えています。
「最良のアクションは、個人データ保護法案を速やかに法案化することであり、それによってベンダーが遵守するプライバシーの法的枠組みが規定され、市民に救済措置を取られること」。
彼は、「(独立から)72年経っても、政府も国民もプライバシーの権利について無知だ。明確なガイドラインを示すことなく、最高裁が突然『プライバシーの権利は基本的権利である』と判決を下し、混乱が起きた」と、続けます。
EYES ON YOU
あなたを見ている
個人データ保護についての規制がないことも、政府に監視の権限を与えていることになります。
例えば、電子的記録とデジタル署名に法的効力を与える「2000年情報技術法」は、安全保障や国家への脅威が発生した場合、政府による広範囲の通信傍受を可能にしています。
このような国家の権限を考えると、Aarogya Setuが市民の監視ツールになるのではないかという懸念があります。
専門家の間では、アプリの利用がいくつかの機関で義務化されていることから、状況は悪化するとみられています。例えば、ロックダウン後に仕事を再開する政府職員は、アプリをインストールしておく必要があります。複数の民間企業や住宅でも、スタッフや訪問者に対しアプリのインストールが義務化されます。
政府は当初、ダウンロードは個人の自由としてきましたが、同国NGOのInternet Freedom Foundationは、政府がここにきて公務員や企業の従業員に対してアプリの使用を強制する方向に転換したことに言及。「不使用には刑罰を科すというアプリの強制は個人の自由を侵害するものだ。企業に対しては、アプリの使用に関して再考を促したい」と、アプリが市民の自由を脅かすものだと強調しています。
This week’s top stories
今週の注目ニュース4選
- 韓国で貧富の差が拡大。韓国統計庁が22日に発表した家計動向調査によると、平均所得の下位・中位層世帯で1〜3月期の収入が減少した一方、上位層の世帯は前年より6.3%増加しました。所得配分の不平等を示す、可処分所得に対する国の分配比率は、第1四半期に5.41に達し、前年同期比0.23ポイント増加。貧富の差が拡大していることが分かります。
- コロナで新たな「ロスジェネ」が誕生する。インドネシア280万人、マレーシア240万人、タイは最大1,000万人が職を失うと予測されています。アジア各国はアジア金融危機以来のGDP成長率の落ち込みに直面し、景気後退に伴い求人が減るのは必須。シンガポールの中小企業は、既存の従業員の雇用を守るのが最優先で新規の採用を控える動き。アジア中でコロナによる不運な「ロスジェネ」が生まれそうです。
- アリババの1~3月期、売上高22%増。巣篭もり需要の増加で伸びを牽引したのは、ネット通販部門の19%増。一方、営業利益は19%減の71億3,100万元、純利益は88%減の31億6,200万元に落ち込みました。傘下の通販サイト「淘宝」(タオバオ)のライヴコマース参入企業はこの3カ月で88%増えています。
- コロナ期間、児童の性的搾取が3倍に。フィリピンの被搾取児童センター(NCMEC)のデータによると、3月1日〜5月24日までで、オンライン上での児童の性的搾取に関して27万9,166件の通報がありました。前年に比べ、264.6%増えています。
(翻訳・編集:鳥山愛恵)
このニュースレターはSNS👇でシェアできるほか、転送もしていただけます。現在、期間限定で年割キャンペーンを実施していますので、クーポンコード「Quartz10」とともに、ぜひご共有ください(登録はこちらから)。Quartz JapanのTwitter、Facebookで最新ニュースもどうぞ。