ハクソク

世界を動かす技術を、日本語で。

GoogleがICEに学生ジャーナリストの銀行口座およびクレジットカード番号を渡した

104日前原文(theintercept.com)

概要

  • GoogleICE に学生活動家の個人情報を幅広く提供した事例
  • 提供された情報には クレジットカード番号や銀行口座情報 も含まれる
  • 当事者は事前通知なしで情報を共有されたことに懸念を表明
  • 電子フロンティア財団ACLU が企業に対し通知と抵抗を要請
  • 専門家は データプライバシー法の改革 と企業の透明性向上を訴え

Googleによる個人情報の提供とその経緯

  • GoogleImmigration and Customs Enforcement(ICE) に対し、学生活動家Amandla Thomas-Johnsonの幅広い個人情報を提供
  • 提供内容: ユーザー名、住所、利用サービス一覧、IPマスキングサービス、電話番号、加入者番号、クレジットカード番号、銀行口座番号 など
  • きっかけ: Cornell University の就職フェアでの抗議活動への参加
  • 抗議活動後、 キャンパス立入禁止処分 を受ける
  • Donald Trump政権 によるパレスチナ支持学生への規制強化
  • Thomas-Johnsonと友人Momodou Taalは 身を隠す行動 を取る
  • Google は事後に簡単なメールで情報提供済みと通知
  • 友人Taalは弁護士を通じて情報開示に異議を申し立て成功

法的背景と問題点

  • サブポエナ(召喚状)には 情報提供理由の詳細記載なし
  • ICEは 「米国移民法執行に関連する調査」 を理由に情報要求
  • Google には召喚状の存在を 無期限に開示しないよう要求
  • Thomas-Johnsonは事前通知がなかったことで 自己防衛の機会を奪われた
  • Electronic Frontier Foundation(EFF)ACLU は他の大手IT企業にも 通知と抵抗 を求める書簡を送付
    • Amazon, Apple, Discord, Meta, Microsoft, Reddit などが対象
    • サブポエナ対応前に 利用者への通知 を最大限行うよう要請
    • Gag order(口止め命令) への抵抗も求める

専門家・法律家の見解

  • Cardozo LawのLindsay Nash教授 :事前通知がないと個人の権利保護が困難
  • Washington University St. LouisのNeil Richards教授 :企業のデータ取扱い説明が不十分だと 不公正取引 に該当する可能性
    • Stored Communications ActFTC法第5条 が根拠法
    • Cambridge Analytica訴訟 の例を挙げ、透明性の重要性を指摘
  • Googleのプライバシーポリシー :政府からの要請に応じる場合があると明記
    • 法務チームが不当な要請には抵抗することも記載
    • 過去10年で数百万件の政府要請に 大半応じている
    • 事前通知の有無は不明

データプライバシー改革の必要性

  • Richards教授 :政府のデータアクセスには より高い基準 が必要
    • Stored Communications Act の改正を提案
    • Big Tech による政府への情報共有に 実質的な制限 を求める
  • 近年、 Big Techと政府の協調姿勢 が強まっているとの指摘

ジャーナリストの視点と今後の課題

  • Thomas-Johnsonは現在 スイス・ジュネーブ から セネガル・ダカール に移動
  • サブポエナの内容を知り 恐怖を感じつつも活動継続
  • ジャーナリストとして 政府とBig Techによる監視・追跡の危険性 を強調
  • 「抵抗とは何かを考え直す必要性」を訴える

Hackerたちの意見

法的に義務付けられてたの?

そうだね。でも、独裁に向かってる国で「法的に義務付けられてる」って、どれだけ意味があるの?

「政府が人民の権利を侵害する時、反乱は人民のために、そして人民の各部分にとって最も神聖な権利であり、最も不可欠な義務である。」フランス人権宣言、1793年

ACLUによると、彼らはそうではないらしい。[1] だからGoogleは自発的にユーザー情報を渡したんだ。これを強制するには裁判所の命令が必要で、それには裁判官のサインが必要なんだ。これはICEの行政令状の使い方に似ていて、実際には法的な効力がないんだよね。ICEが私宅に入ることは許可されてない。そうするには司法令状が必要で、それも裁判官のサインが必要なんだ。[1]: https://www.aclu.org/documents/know-your-rights-ice-administ...

通常の裁判所からの召喚状については、そうだね。行政機関からの「行政的」召喚状については、裁判でリスクを取ることになる。司法審査は後回しにされる。もしGoogleがその召喚状がひどいと思ったら、裁判所に行って争うことができる。でもその間に、彼らはそれを実行するか、実行しなければ contempt(侮辱罪)で裁判に負けるリスクを背負うことになる。

家や車を合法的に捜索したり、企業に何かを渡させるには、裁判官のサインが必要なんだ。この記事はその点が明確じゃないけど、これは裁判官の承認なしにDHSだけで進められたことを示唆してる。召喚状にギャグオーダーが含まれてたのに、Googleが影響を受けた人に「いくつかの情報が渡された」って知らせたのもそうだよね。裁判官なしでも法執行機関との協力があるのは普通だし、法治国家に住んでるなら問題ないはず。企業もある程度は協力が求められるし。このケースが問題なのは、裁判官の命令なしに共有された情報の量、ICEがGoogleに対してギャグオーダーを試みたこと、Googleが影響を受けた人に法的手段を取るチャンスを与えるために compliance を遅らせたこと、そしてこの情報が抗議者に対する報復のために要求されたように見えること。これは法治国家としては大きな問題だよ。

西側諸国がファーウェイを怖がってた時のこと、覚えてる人いる?中国がハードウェアを使ってスパイするって。まあ、アメリカにも自分たちのファーウェイがいるんだけどね。でも、少なくとも彼らは「民主的」だし、「法の支配」に従ってるって言ってるよ(今の時代、これらの言葉が何を意味するかは別として)。

スノーデンのファイルでみんな学ばなかったっけ?残念ながら新しいことじゃないよね。

前にも言ったけど[0]、GoogleやMicrosoft、Amazonみたいなビッグテック企業は、パランティアと同じようにICEと協力してるんだ。じゃあ、いつGoogleの利用をやめるの?(やめないよね?)[0] https://news.ycombinator.com/item?id=46407683

じゃあ、いつGoogleの使用をやめるつもりなの?(絶対にやめない)なんでそんなメタなコメントを?明らかに、私たちの中には生活からFANGを排除した人もいるからね。

こういう見下したようなコメントはちょっと多すぎるよ。特に、誰もが生活からFANGを排除する余裕やノウハウがあるわけじゃないからね。例えば、私がそれを避けたいかどうかに関わらず、実際の仕事でいくつか使ってるし、代替手段がないんだ。こういうコメントは、私が文句を言う権利がないみたいに聞こえるけど、正直言ってそれは馬鹿げてる。FAANGが権威主義的な体制の広範な道具にならずに存在できる世界もあるはずだよ。便利だからそうなってるし、既存の権力構造がそれを促進してるんだ。面接で「お、君たちgsuite使ってるの?ごめん、私はFANGを排除したから。」なんて言うわけないじゃん。ほんとにさ。

俺は少なくとも10年前にGoogleの使用をやめたよ。やった、捕まえた!

ユーザーがこういうことから自分を守る方法って何かある?

大手アメリカのテック企業の製品は使わない?AppleはGoogleよりもこの問題に対して少しマシな実績があるけど、結局アメリカのテック企業の製品を使ってるなら、ICEがその会社が知ってるあなたの情報を手に入れるのはほぼ確実だよね。

なんでGoogleが彼の銀行口座番号を持ってたんだろう?どのGoogleサービスからこのデータが引き出されたのか、もっと情報があればいいのに。

Googleのいくつかのサービスに対してACHを設定できるよ;クラウド、ワークスペース、プレイストアとかね。

だから、正当な令状や召喚状があれば、企業が顧客データを渡すことに問題はないと思う。これはシステムが意図通りに機能してるってことだよね。ここでの問題の核心は、DHSが議会から広範な権限を与えられて、実際の裁判官による審査なしで行政的な召喚状を発行できることなんだ。つまり、犯罪者に向けられたものではないんだよね。「良い」時代には、これが調査をスムーズに進める助けになったけど、今の現実はICEが司法の監視なしで広範な捜索を行って逮捕してるし、しばしば人身保護請求に敵対的なんだ。(それに、銀行が関与している場合、銀行秘密法や顧客確認ルールにも関わるかもしれないから、また別のプライバシーの悪夢が待ってる。)私たちは本能的にこれをプライバシーの問題として捉えたくなるけど、実際に議会に行動を求めるべきは、こうした「影の」司法システムを廃止することなんだ。

「行政召喚状」なんて、基本的にバッジを持ってる誰かにユーザー情報を渡しても罰則がないことに依存してるクソみたいなもんだよ。それを500ページの利用規約で正当化してるし。

人間の不手際が法律の手続きに影響を与える機会は常にある。影の政府機関が今週正しいことをやっているかを「推測する」なんて、負け戦だよ。彼らは常に比喩的にマイルを取っていくし、1インチでは決して満足しないんだから。

「良い」時代には、調査がスムーズに進んだ。そんな時代は存在しなかったけど。

大企業にはプライバシーがないって誰かが言ってたのを思い出す。ユーザーの個人データを売ったり共有したりしてお金を稼いでるからね :/

Googleは、政府の召喚状をユーザーに開示する方針を見直すべきだと思う。これが起こるたびに、メディアがGoogleを攻撃する材料にしてるし。ユーザーをこの法的に必要なデータ開示について知らないままにしておいた方がいいと思う。ほとんどのユーザーがメディアに泣きつくわけじゃないけど、それでもやる価値はないよね。

一番大事なのは、これはいわゆる「行政」令状であって、実際の司法令状じゃないってこと。Googleはこれを自発的にやったんだよね。

学生の頃、政府の監視を避けるためにそこまでのことは絶対にできなかったな。彼は相当なお金を持ってるに違いない。