イスラエル、GoogleとAmazonに法的命令を回避するための秘密の「ウィンク」を使用するよう要求

193日前原文(theguardian.com)

概要

2021年、GoogleとAmazonは イスラエル政府 と12億ドル規模のクラウド契約「Project Nimbus」を締結。
契約には 秘密の「ウィンク機構」 が盛り込まれ、国外当局へのデータ提供時に暗号で通知する仕組み。
イスラエルは データ主権とアクセス制限回避 のため、厳格なコントロール条項を要求。
GoogleとAmazonは 法的義務の回避を否定 しつつも、特別な契約条件を受け入れたとされる。
この契約は 国際法や企業倫理 との摩擦やリスクも指摘されている。

イスラエル政府とGoogle・Amazonの「Project Nimbus」契約の全貌

2021年、 GoogleとAmazon はイスラエル政府と12億ドル規模のクラウドサービス契約「 Project Nimbus」を締結。
イスラエル政府が要求したのは、 国外当局へのデータ提供 が発生した際に、政府へ 秘密の合図（ウィンク機構） を送ること。
この「ウィンク機構」は、 支払い金額 を用いた暗号形式で通知。例：米国(+1)なら1,000シェケル、イタリア(+39)なら3,900シェケルを24時間以内に支払う。
もしどの国かさえ通知できない場合は、 10万シェケル （約3万ドル）を支払う「バックストップ」も設定。
イスラエル政府は、 国外法執行機関によるデータ取得 や、企業による契約停止リスクを警戒。
Nimbus契約には、 GoogleやAmazonがイスラエル政府のクラウド利用を一方的に制限・停止できない 条項も盛り込まれた。
これにより、 人権侵害疑惑や国際的な批判 が高まっても、契約解除やサービス制限が困難となる仕組み。
Microsoftは 同様の要求を拒否 し、Nimbus契約の入札で敗退。
Google・Amazonは「 法的義務の回避はしていない」と否定しつつも、イスラエル政府の要求に沿う形で 内部プロセスや契約条件の調整 を実施。
契約文書には「 企業はイスラエル政府の要望を理解し、要求を受け入れる意向を示した」と記載。

ウィンク機構と法的・倫理的リスク

ウィンク機構は、 合法的な範囲内で機密保持命令（gag order）を回避 する「巧妙だがリスキー」な手法と専門家が指摘。
米国などの法制度下では、 サブポエナ（召喚状）秘密保持義務 の違反リスクも存在。
イスラエル政府も「 米国法と契約義務が衝突する可能性」を認識し、企業側に「 法的義務か契約義務かの選択」を迫る状況。
GoogleとAmazonは「 違法行為や秘密保持義務の回避はしていない」とコメント。
イスラエル財務省も「 企業に違法行為を強制していない」と主張。

クラウドサービス利用の制限回避条項

イスラエル政府は、 人権団体やアクティビストによる圧力 や、 欧州等での法的措置 によるクラウド利用制限リスクを憂慮。
Nimbus契約は「 企業のポリシー変更や利用規約違反を理由に、イスラエルのクラウド利用を制限・停止できない」と明記。
ただし、「 著作権侵害や技術の再販」など明確な違反がない限り、 政府はイスラエル法に基づく全てのサービス利用が可能。
これにより、 軍や治安当局による監視・情報分析 なども契約上制限されない設計。

Project Nimbusを巡る国際的な波紋

イスラエル軍は パレスチナ自治区での大規模監視や軍事作戦 でクラウドサービスを活用。
Microsoftは 2024年に軍の監視システムへのアクセスを停止 したが、Google・Amazonは契約上これができない状況。
契約内容や運用が 国際人権法や企業倫理 の観点から激しい批判を浴びている。
元Google社員や各種メディアも、 Project Nimbusの透明性や倫理的問題 を提起。

まとめ

Project Nimbus は、 イスラエル政府のデータ主権・安全保障 を最優先し、 Google・Amazonに前例なき特権と制約 を与える契約。
秘密のウィンク機構 や 制限回避条項 は、 法的・倫理的な摩擦 やリスクを内包。
今後も 国際社会や企業コンプライアンス の観点から、議論と監視が続く見通し。

Hackerたちの意見

もし政府機関や裁判所（たぶんアメリカ政府）が非開示命令（FBIのNSL、FISA、SCA）を伴うデータリクエストを出したら、GoogleやAmazonはその非開示命令を破ってイスラエルに伝えることになるよね。関係者は数年の懲役に問われるんじゃないの？

└

どの国がそのリクエストを出すか、法的根拠、そしてその非開示命令がどう書かれているかによると思う。アメリカの連邦命令がこの「ウィンク」支払いを禁止しないとは考えにくいな。（でも、誰が知ってる？州や地方が自分たちで大きな農場を襲撃することになったら、地元の裁判所が国際的な支払いを拘束できるのか、それとも連邦の管轄になるのか？）でも、構造的に見て、リクエスト国の国コードに対応した特定の金額の通貨に基づいているから、もっと広い視点で考えているように感じる。近隣の小さな州からの命令で、地元の契約者が国際ケーブルを引き込むように強制されることを想像しやすいな。そういう「ウィンク」開示を受け入れるために、契約が非常に緩く書かれているか、親会社の管轄からかなり離れているから、数十億ドルの契約をこういう形で維持する価値があるってこと。

└

自国の法律を厳格に守る国なら、確かにそうだね。

└

そして君の仮定は、もしGoogleがアメリカとイスラエルに矛盾する法的義務を持っていたら、イスラエルを選ぶってことだよね…私の意見では、それは非常にあり得ないと思う。これは他の国のために設計されたんじゃないかな。

方法は記事の60%あたりに埋もれてるけど、面白いね。クラウド企業がこれをやるのはすごくリスキーだと思う。法務や経営陣の知らないところで営業が合意したのかな？イスラエルの財務省から流出した文書には、Nimbus契約の最終版が含まれていて、秘密のコードは企業がイスラエル政府に支払う「特別補償」という形になるみたい。文書によると、支払いは「情報が転送されてから24時間以内」に行われなければならず、外国の電話番号の国コードに対応して、1,000から9,999シェケルの金額になるんだって。もしGoogleかAmazonがアメリカの当局に情報を提供したら、国コードが+1だから、イスラエル政府に1,000シェケルを送らなきゃいけない。たとえば、イタリアの当局からイスラエルのデータリクエストが来たら、国コードが+39だから3,900シェケルを送る必要がある。もし企業が非開示命令の条件でどの国がデータを受け取ったかすら示せない場合、バックストップがあって、企業はイスラエル政府に100,000シェケル（約30,000ドル）を支払わなきゃならない。

└

法務や経営陣の知らないところで営業が合意したのかな？どちらの会社でも働いたことはないけど、ゼロパーセントの可能性だよ。法務は契約の特別な条件に同意するか（交渉する）から、契約のドル価値によって、エキゾチックな条件に同意する柔軟性はあるけど、これらの条件が（a）契約に明記されていないことはあり得ないし、（b）法務によって厳しく精査されていないこともあり得ないよ（そんな風に支払いをするには、オペレーションやファイナンスチームのために作業回避が必要になるだろうし）。

└

もし企業が非開示命令の条件でどの国がデータを受け取ったかすら示せない場合、バックストップがあって、企業はイスラエル政府に100,000シェケル（約30,000ドル）を支払わなきゃならない。うーん、これってGoogleとAmazonがこの合意にもかかわらずアメリカの法律に簡単に従えるってことじゃない？でも、もっと深い理由があるはずだよね。そうじゃなきゃ、なんでこんな怪しいシグナル方法を使うの？

└

これがよくわからないな。イスラエルはこれからどれくらいお金を引き出せるの？そんなに多くはないでしょ？

└

確かにちょっと混乱するね。この方法は、詐欺的な支払いという形で二つ目の潜在的な犯罪を追加するだけだ。

└

こんな重要なことが外国政府との契約で、適当な営業マンがサインするとは思えないな。

└

「もしGoogleかAmazonがアメリカの当局に情報を提供して、協力を開示できない場合、イスラエル政府に1,000シェケルを送らなきゃいけない。」カナダも+1を使ってるし、見た目は+1を使ってるけど実際はそうじゃない国もたくさんあるから、ちょっとバグのある方法だよね。

└

もしGoogleかAmazonが、ダイヤルコードが+1のアメリカの当局に情報を提供して、協力を開示できない場合、イスラエル政府に1,000シェケルを送らなきゃいけないこれは犯罪の共謀だよ。こんなことをやった上に、犯罪を文書に残すなんてマジで頭おかしい。

契約の条件によれば、メカニズムはこう機能する：>もしGoogleかAmazonがアメリカの当局に情報を提供し、協力を開示することを禁じられたら、イスラエル政府に1,000シェケルを送らなきゃいけない。これはワラントカナリーみたいだけど、もっと悪い感じ。ワラントカナリーなら、発言を強制できないって主張できるけど、これはどの裁判官にも明らかに支払いが開示や非開示命令の違反を構成するってわかるよね。特定の行動を取ることで、リクエストがあったことをターゲットが知ることになるから。

└

これって、悪い探偵映画を見すぎた非弁護士が考えそうなことだね。法律的に通るわけがないよ——ワラントカナリーですらほとんど試されてないのに、これは明らかに5倍「悪い」理由があるよね。

└

そうだね。お金を払う理由って何？支払いをスキップして「1,000」って連絡先にメール送るだけでいいんじゃない？それとも「アメリカについての面白い記事、ウィンク」みたいな？この方法は、（私の推測だけど）禁止されている情報を意図的に伝えているよね。裁判官がその gag order がコミュニケーションを禁止しているって結論に至るのに、そんなに時間はかからないと思う。秘密のコードを作ることもコミュニケーションの一部だし、A=1、B=2に変換したり、手話で伝える動画を送ったり、国の絵を描いたり、イーサリアムの契約を書いたり、毎日世界中の国のリストをAからZまでボイスメールで送ることも含まれるけど、gag orderや令状がある国だけは省くっていうのもね…。

└

カナリアのキーは、信号を送ろうとしているものが、ポジティブまたはネガティブな信号自体を保証することだよ。「すべてが良ければ24時間ごとにチェックインするけど、調子が悪ければチェックインできないからね。」これはすごく薄い、シンプルなコードの翻訳みたいなもんだ。「もし私たちの情報のリクエストが来たら、3回まばたきして！」って言ってるようなもんだ。

それはすごいね。大手テック企業のための怪しい法の抜け道みたいだ。

サーバー管理って、そんなに失われた技術なの？敏感なデータを持つ政府までAWSやAzure、GCPに頼らなきゃいけないなんて。

└

サーバーを管理できる人たちが、クラウドサービスを買ったり売ったりする人たちの前では全然立場がないって感じだね。

└

「敏感なデータを持つ政府ですらAWS/Azure/GCPに譲らなきゃいけない失われた技術？」アメリカの援助は通常アメリカの企業に使われることが多いけど、イスラエルも例外じゃないよね。

Googleの考えは、もしギャグオーダーが適用されるなら「特別な支払い」を実際にはしないつもりなのかな。契約がその支払いを必要としないって思ってるのかも（ほとんどの契約には法律に反しない条項があるし）、ギャグオーダーが来たら契約の条項を無視するつもりかもね（イスラエルはどうやって知るんだろう、そもそもどうするつもりなんだろう）。

イスラエルとアメリカはすでに連携してるから、この話は疑わしいね。他の国は自国民のデータをこの二国に売るのをやめるべきだよ。

└

まあ、基本的にすべての政府はそんな感じで動いてるよね。もし国家の暴力の独占にアクセスできる人の手にデータを渡したくないなら、ネットアクセスを完全に断つのが一番だよ。

誰かがマネーロンダリングの調査のためにデータを要求したらどうなるんだろう。クラウドプロバイダーは「情報漏洩」で起訴される可能性があるよね。

最初は、クラウド契約が一般的な政府の運営のためのもので、地域的な災害（自然災害や人為的なもの）に備えて地理的に分散したバックアップや継続性を持つためだと思ってた。でも、国際的なスパイ活動、例えば監視やプロパガンダ、サイバー攻撃のためでもあるのかな？大手クラウドプロバイダーは、複数の地域でスケールのある迅速なアクセスができるし、特定の国よりもブロックされる可能性が低いし、どの顧客のトラフィックかを隠すこともできる。もし国際的な活動のためなら、二つの質問がある：1. クラウドプロバイダーはどれくらい共謀してるのか？2. アメリカのプロバイダーの場合、契約にサインする前にアメリカのスパイ機関が相談されて、意識的に進めることを許可する可能性はどれくらいあるのか？（つまり、アメリカのクラウドプロバイダーが外国のスパイ活動を助けることを許可することで、アメリカがその活動を監視できるようにする）

└

参考までに君の理論に対して、アメリカ政府は実際にクラウドプロバイダーを特定のサービスを通じて「二重用途」のシステムとして考えてると思う。例えば、AWSのドキュメントには産業安全局の決定に関する言及があるよ。 https://en.wikipedia.org/wiki/Dual-use_technology https://www.bis.gov/ https://aws.amazon.com/compliance/global-export-compliance/

アメリカ政府がGoogleとAmazonに特定の法的権限を使ってデータを要求して、企業がイスラエル政府に情報を漏らしたら、法律を破ってる可能性があるよね…。

└

法律を破った可能性があるもう確実に法律を破ってるよ。連邦法でも、ほとんどの州でもそうだろうね。

ハクソク