2016年調査権限法
2016年調査権限法は、イギリスの情報機関に監視とデータ収集を行うためのさまざまなツールを提供する包括的な法的枠組みです。この法律は「スヌーパーズ・チャーター」とも呼ばれ、情報機関がデジタル通信やオンライン活動を合法的に監視することを許可しています。この法律は非常に物議を醸しており、批判者はプライバシーと人権に関する重大な懸念を指摘しています。一方、支持者はデジタル時代における国家安全保障のために必要であると主張しています。
この記事では、イギリスの2016年調査権限法の発展、主要な規定、重要な特徴、調査権限コミッショナーの役割について詳しく検討します。また、この法律が通信およびインターネットサービスプロバイダーに与える影響、サイバーセキュリティ業界の反応、直面するさまざまな法的課題と批判を分析します。最後に、この法律を国際的な類似法と比較し、一般データ保護規則(GDPR)との関係を検討し、国家安全保障と個人のプライバシーに対する影響を探ります。
イギリスの2016年調査権限法とは?
2016年11月29日に正式に施行された2016年調査権限法は、イギリスにおける監視法の基盤を形成しています。この法律は、国家安全保障の利益のために情報機関が監視とデータ収集活動を行うための法的枠組みを提供します。
この法律は、さまざまな以前の法律の権限を統合し拡張し、インターネットサービスプロバイダー(ISP)にユーザーのインターネット接続記録を保持することを要求するなどの新しい措置を導入しています。それにもかかわらず、プライバシーの観点から広範な批判と法的挑戦を受けています。
調査権限法の起源
2016年調査権限法は、イギリスにおける重要な政治的変化の中で生まれました。2013年のスノーデンリークにより、米国とイギリス政府による大規模な監視プログラムが明らかになり、そのような慣行の範囲と合法性についての議論が促されました。
透明性を求める声が高まる中、イギリス政府は調査権限を統合し明確にする新しい法律を提案しました。この提案は抵抗に直面しましたが、最終的には2016年調査権限法となりました。
イギリス議会は、調査権限法の作成において重要な役割を果たしました。草案は、両院の合同委員会による事前立法審査を受け、専門家の証言と公的な提出に基づいて法案を洗練するための勧告が行われました。
法律の成立に対する公衆の反応は賛否両論でした。多くの人々が個人のプライバシーへの影響と国家の過剰な介入の可能性を懸念して反対しました。法案に対する公的なキャンペーンは大きな支持を得ましたが、最終的にはその施行を防ぐことはできませんでした。
一方で、プライバシーよりも安全を重視する社会の一部は、この法律が現代の脅威に対抗するために必要なツールを提供すると考え、歓迎しました。これらの対立する意見の強さは、監視法の複雑さと課題を浮き彫りにしています。
調査権限法がデータプライバシーに与える影響
調査権限法は、イギリスにおけるデータプライバシーに大きな影響を与えています。この法律は、さまざまな政府機関に大規模な監視権限を与え、個人データやインターネット記録を大規模に収集しアクセスする能力を持たせています。これにより、データプライバシーに以下のような影響を与えています:
- インターネット接続記録(ICR): この法律は、通信サービスプロバイダーにICRを最大1年間保持することを要求しています。これらの記録は、イギリスのすべてのユーザーが訪問したすべてのウェブサイトの詳細なログを提供します。
- 大規模データ収集: 情報機関は、犯罪が疑われる者だけでなく、多数の情報源から大量のデータを合法的に収集することが許可されています。この大規模データには、財務、通信、旅行、健康データなどの個人情報が含まれます。
- ハッキング権限: この法律は、政府機関がデバイス、ネットワーク、サービスにハッキングする権限を合法化しています。これには、個別のターゲットやより大きなグループの監視が含まれることがあります。
- 令状なしでの個人データへのアクセス: 一部の当局は、令状を取得せずに個人データにアクセスする権限を持っており、これにより重要な法的保護を回避しています。
- データ共有: この法律は、さまざまな公的機関間でのデータ共有も許可しており、個人データにアクセスできる人々の数を増やす可能性があります。
- 暗号化回避: この法律は、政府が企業に電子的保護を解除するよう法的に強制することを許可しており、暗号化を実質的に回避し、データセキュリティを損なう可能性があります。
調査権限法の主な規定
この法律は、通信の傍受、電子デバイスのハッキング、大規模データ収集、個人データセットの使用に関する法的枠組みを提供します。また、令状の取得手続き、ジャーナリストや法的特権のある通信の保護、国家安全保障の取り組みにおける通信事業者の関与についても規定しています。以下の表は、この法律の主要な規定をまとめたものです。
| 通信の傍受 | 2016年調査権限法は、電話、メール、オンライン活動などの通信の傍受を許可しています。通信会社は、ユーザーの「通信データ」を1年間保持し、セキュリティ機関がアクセスできるようにする必要があります。 |
| ターゲット機器の干渉 | この法律は、国家安全保障、重大犯罪の防止、またはイギリスの経済的利益の保護が必要とされる場合に、情報機関による電子デバイスのターゲットおよび大規模なハッキングを許可しています。 |
| 大規模データ収集 | この法律には、情報機関による通信データおよびその他の「関連データ」の大規模収集の規定が含まれています。個人の詳細、通信記録、オンライン活動に関する情報を含む大量のデータを収集することができます。 |
| 監視と説明責任 | この法律は、法執行機関がこの法律の下で権限を使用する方法を監視および監督するための調査権限コミッショナー(IPC)を設置しています。IPCは、行動を精査し、これらの権限の使用について公衆に情報を提供し、変更を推奨する権限を持っています。 |
| 監視からの保護 | この法律には、国家の監視からジャーナリストや法的特権のある通信を保護するための保護措置が含まれています。これらの通信にアクセスする前に特別な手続きが必要です。 |
| 令状と認可 | この法律は、ターゲットの傍受と大規模収集のための令状がどのように発行されるかを概説しています。令状は、国務大臣と司法コミッショナーの両方によって承認されなければなりません。 |
| ジャーナリストの情報源を特定するための通信データの使用 | 法執行官は、国家安全保障の保護または犯罪の防止の目的で必要とされる場合、ジャーナリストの情報源を特定するために通信データを使用することが許可されています。 |
| インターネット接続記録 | この法律は、インターネットサービスプロバイダーにインターネット接続記録(ICR)を最大1年間保存し、法執行機関および情報機関がアクセスできるようにすることを要求しています。 |
| 大規模個人データセットの使用 | この法律は、セキュリティ機関による大規模個人データセットの処理を許可しており、多くの個人に関するさまざまな種類のデータを含むことができますが、その大多数はセキュリティサービスにとって関心のないものです。 |
| 国家安全保障通知 | この法律は、国務大臣が通信事業者に対して、技術的支援や情報の提供など、国家安全保障に関連する義務を課すことを許可しています。 |
法律の調査権限コミッショナーの役割
調査権限コミッショナーは、イギリスの首相によって任命されます。コミッショナーの任務は、傍受および機器干渉のための令状の検査と承認、通信データおよび大規模個人データセットの使用の監督、セキュリティおよび情報機関の運用活動のレビューを含む広範な権限をカバーしています。コミッショナーはまた、調査権限の使用に関する推奨事項を作成し、ガイダンスを提供する権限を持ち、それらが合法的、必要かつ比例的に利用されることを保証します。
調査権限法は類似の法律とどのように比較されるか?
イギリスの調査権限法は、データ保持とアクセスの点で、米国、オーストラリア、ドイツなどの民主主義国家の類似法よりも広範です。調査権限法2016と国際的な類似法の主な類似点と相違点を詳しく見てみましょう。
調査権限法2016と米国愛国者法の比較
比較すると、米国愛国者法には、調査権限法と同様に、監視と通信データの収集に関する規定があります。しかし、イギリスの法律は、特に大規模データ収集と保持の要件において、より侵襲的であるように見えます。調査権限法とは異なり、米国の法律は、暗号化通信にバックドアを作成することを企業に強制しません。
調査権限法2016とオーストラリアの支援およびアクセス法の比較
オーストラリアの支援およびアクセス法は、調査権限法に似ており、両方の法律が暗号化通信へのアクセスの提供を義務付けています。しかし、イギリスの法律が傍受のための「恒久的な能力」の確立を要求する一方で、オーストラリアの法律は、業界からの支援を強制するための技術支援要求、通知、または強制指令の発行を提供しています。
調査権限法2016とドイツのG10法の比較
ドイツのG10法は、調査権限法と同様に、外国の安全保障目的で非国民の監視を許可しています。しかし、大規模データ収集のための広範な権限は提供していません。G10法は、より焦点を絞った監視許可を提供し、コミッショナーの代わりに議会の管理パネルを持つ異なる監督メカニズムを持っています。
調査権限法とGDPR
調査権限法は、一般データ保護規則(GDPR)のデータ最小化、目的制限、セキュリティの原則に準拠するよう努めています。具体的には、収集されたデータの使用に厳しい制限を課し、特定の調査に限定して使用し、データが安全に保存されることを保証しています。さらに、保持されたデータへのアクセスは、GDPRの原則に沿っていることを確認するために、コミッショナーの承認を受ける必要があります。
調査権限法とGDPRの間の対立領域
コンプライアンスを達成するための努力にもかかわらず、調査権限法とGDPRの間には顕著な対立があります。大規模データ収集と保持の要件は、GDPRのデータ最小化の原則と矛盾しているように見えます。同様に、情報機関による大規模データアクセスの規定は、個人のプライバシーとデータ保護に関するGDPRの立場を潜在的に侵害する可能性があります。
法律を巡る世論と論争
調査権限法2016は、その成立以来、論争と議論を巻き起こしています。支持者は、この法律がテロや重大犯罪と戦うために必要なツールを提供し、法執行機関が技術の進歩に対応できるようにすると主張しています。逆に、批判者は、この法律が個人の自由を侵害し、その広範な権限と十分な監視がないと見なされることを主張しています。法律に対する世論は分かれており、プライバシー、個人の自由、国家安全保障の名の下にそのような広範な権限が必要かどうかについての懸念によって色づけられています。
Kiteworksは組織が顧客の機密データを保護するのを支援します
コンプライアンスは現代のビジネス運営において重要な側面です。コンプライアンスには、州、国家、地域、業界など多くの側面があります。これらのソースは異なるかもしれませんが、基礎となる要件は同じです:顧客のプライバシーを保護し、それを規制当局に証明できるようにすることです。企業はコンプライアンスを遵守しなければ、厳しい罰則や罰金に直面します。特に金融サービスや医療などの厳しく規制された業界では、コンプライアンスをビジネスのコストとして受け入れるだけでなく、顧客の忠誠心を築き維持する方法としても受け入れています。
法執行機関の問い合わせや召喚状に応じることは、企業が顧客に対して記録を要求されたことを通知することが通常禁止されているため、より論争の的となります。通信、ソーシャルメディア、クラウドストレージプロバイダーは、法執行機関の頻繁なターゲットであり、召喚状に従うことが求められています。マルチテナントクラウドストレージプロバイダーは、顧客の暗号化キーを管理しているため、顧客データへのアクセスを提供することができます。法執行機関が顧客データを召喚状で要求した場合、クラウドストレージプロバイダーはそれを引き渡す必要があります。
Kiteworksのプライベートコンテンツネットワークは、メール、ファイル共有、マネージドファイル転送(MFT)、SFTPなどのサードパーティの通信チャネルを統合し、これらの脆弱なアプリケーションの攻撃面を効果的に縮小する強化された仮想アプライアンスで保護します。Kiteworksを使用して共有される機密コンテンツは、細かいアクセス制御、自動エンドツーエンド暗号化、すべてのファイル活動の可視性—誰が何を誰に、いつ、どのように送ったか—ATP、DLP、CDR、その他のソリューションとのセキュリティ統合、多要素認証、包括的な監査ログなど、数多くのセキュリティ機能によって保護されています。
Kiteworksは、オンプレミス、プライベート、ハイブリッド、FedRAMP仮想プライベートクラウドなど、さまざまなセキュアな展開オプションも提供しています。顧客は自分の暗号化キーを完全に管理しているため、法執行機関もKiteworksもそのコンテンツにアクセスすることはできません。
Kiteworksプライベートコンテンツネットワークとその包括的なデータ保護機能について詳しく知りたい方は、カスタムデモをスケジュールしてください。
記事:
ブログ投稿:
