2013年12月6日金曜日

難しいSNS時代の秘密保全

特定秘密保護法が成立秒読み段階に入っていますね。秘密保護法が成立・施行された場合、行政の長が特定秘密に指定した情報は部外者には秘密にされ、その情報を外部に漏洩させた者は罪に問われる事になります。そういう点で秘密保護法は、情報へのアクセスを制限することで、秘密を守るというアプローチと言えます。

ところが、指定された秘密自体が漏れてなくても、秘密でない一般情報から、秘密をかなりの精度で推測する事は可能です。近年はその為の技術も発展し、各国情報機関ではその活用が行われています。秘密保護法の成立の前に、秘密でない情報から秘密を明らかにする方法と、その手法から秘密を守る方法を考えてみましょう。



情報機関も活用するSNS

最近は「ビッグデータ」と呼ばれる巨大なデータの集合を強力なコンピュータで解析し、消費者動向等を掴もうとする試みがビジネスの世界で盛んですが、諜報の世界でもビッグデータの活用が行われています。米国家安全保障局(NSA)では、フェイスブックやツイッターなどのソーシャル・ネットワーキング・サービス(SNS)で流れている情報を解析し、対テロ情報の収集に役立てていると言われています。例えば、SNSに要注意人物がアカウントを持っていた場合、その人物がどこでどんな行動をしているのかを把握することが可能ですし、SNSの全情報から怪しい行動をしている人間を抽出して、犯罪を防止することも可能です。人がどういうネットワークを持っていて、そのネットワークはどういう集団なのかも判明し、犯罪・テロネットワークの把握にも繋がります。このようなSNSのビッグデータ解析による情報収集のミソは、SNSで発信される情報はWeb上で公開されているものなので、これを情報機関が収集・解析するのは全くの合法だという点にあり、NSA等の情報機関では大規模コンピュータによる解析を進めています。

中二を刺激するNSAのオペレーションセンター

しかし、個人がSNSで情報発信していたとしても、秘密に指定された情報さえ書かなければ、秘密は守られるからいいのでは、と思われるかもしれません。実際、秘密保護法案は秘密そのものを保護対象としているので、秘密を漏らさなければ問題無いのです。法的には。



秘密でない情報から秘密を探る

ところが、秘密情報そのものは守られていても、周囲の情報から秘密を推測する事は可能です。実際に、私の身近で最近あった例を挙げましょう。ある作家の方があるゲームにハマり、ツイッターでゲームの事を頻繁に呟いていましたが、ある日を境にゲームに言及することが無くなりました。この変化を見て取った一部のフォロワーは、作家がそのゲーム関連のノベライズ担当に決まったからゲームへの言及を控えているのではないかと推測しましたが、後日行われた公式発表により、予測の正しさが裏付けられた事がありました。ここでは身近な例を挙げましたが、このように秘密を一切明らかにせずとも、普段からの観察と分析で秘密を明らかにする事は、ほとんどの分野でも可能なのです。

諜報の世界では、普段との行動パターンの違いから異変を察知する事は昔から行われてきました。しかし、個人の普段からの行動を監視するには多くのリソースが必要で、まして集団の構成員全員を対象とする事は不可能でした。ところが、SNSの普及によって、リアルタイムの個人情報が容易にかつ大量に把握可能となった今、その難易度は下がったと言えます。個人が秘密を一切書いてなくても、艦艇勤務の海上自衛官が長時間呟いていないから航海任務に出たなとか、日本時間は夜なのに昼の写真ばかりアップロードしたら海外にいるなとか、いくらでも秘密の推測は可能です。大規模コンピューターを用い、さらに大きなレベルから複数人の情報の紐付けを行った場合、特定の集団(自衛隊部隊や、警察etc...)になにが起きているかも推測可能になるでしょう。秘密を知る鍵は、そこら辺に転がっているのです。



知る必要のある情報か? を考える

このように、秘密を守ろうとしても、秘密以外のところから明らかになってしまっては、秘密保護法も意味を持ちません。これを防ぐにはどのようにすればよいでしょうか。この対策についてのヒントが、インド海軍の艦艇内に貼られていた、情報保全を啓発するポスターにありました。

インド海軍の情報保護啓発ポスター

海軍艦艇乗員の娘が「パパは長期航海に出てて、6月27日に帰ってくるの!」と電話で話している微笑ましい様子を描いたポスターですが、子供の下には「機微情報を知る必要のない人間と共有しない。それは不用意な開示かもしれない」と注意を促す文章があり、このポスターは乗員が子供に帰宅する日を教えてしまったため、艦艇がいつ作戦から戻るのかといった情報が、他人にも伝わっていく事への注意喚起だと分かります。このポスターにある「知る必要のない人間と情報を共有しない」は重要な事で、普段から周囲に伝える情報が、その人が本当に知る必要のあるものかを考えてから伝える事が秘密保全には重要です。これは、'''流れる情報量を減らす'''事で、秘密保護を行うアプローチと言えます。


制限による漏洩防止が難しいSNS時代

ところが、普段の自分の様子を伝えるSNSでは、情報量を減らすアプローチによる秘密保護は難しいものです。前述したように、ビッグデータによる解析が行われるようになった今、些細な情報でも他の情報と容易に紐付けが可能となり、そこから何らかの秘密に繋がるかもしれません。そして、自分の「つぶやき」に、それがどういう意味を持っていて、そこから推測できる秘密は何か? なんて考える人はほとんどいません。こうなると、SNS経由で秘密を推測されないようにするには、秘密取扱者のSNS利用を制限するか、匿名SNSのみにする必要もあるかもしれません。しかし、個人の活動でしかないSNS利用を制限するのは難しいですし、なにより「秘密」でもなんでもない情報を発信する事を止めさせるのは無理でしょう。

一般情報からの秘密の推測を防ぐには、流す情報の中に欺瞞情報を混ぜるアプローチが、古くから行われている手法であります。そして、公文書に虚偽情報を載せると問題になりますが、個人利用のSNSで自分の行動について嘘を載せても罪には問われません。秘密取扱者が個人SNSを利用する場合は、発信する情報に適度に嘘を混ぜておくことで、推測の精度を落とす事が出来ます。秘密取扱者に欺瞞情報の発信についての教育訓練を行う事で、秘密保護に役立てるしれません。もちろん、不自然な情報を検出するフィルタリング技術も存在するでしょうから、欺瞞情報を自然に見せるための手法の研究も必要になってくるでしょう。もしかしたら、この方法は既に行われているのかもしれませんが、自衛官と思しきSNSアカウントを複数観察していると、情報に「ムラ」が感じられる事があるので、現状は個人の情報意識による所が大きいのではないかと思います。組織としてSNS時代に則した欺瞞手法の研究と、秘密取扱者に対する教育を行う必要があると思われます。

もちろん、前述した情報アクセス制限情報流量制限による秘密保護アプローチも重要です。一つの手段で万全なものはあり得ませんから、重層的な対策によって、秘密保護を行うことが重要となります。秘密保護法は秘密へのアクセスを制限して、秘密自体が漏れる可能性を減少させるには有効なのですが、一般情報からの秘密の推測には効果がありませんので、その他の手段も用いて秘密を守る他ありません。秘密保護は法案が出来たから解決する問題ではなく、ここから始まる問題だと考えるべきでしょう。


【関連書籍】