オランダの情報・セキュリティサービスに関する検討委員会は、CTIVD Automated OSINT(自動化されたOSINT)を発表しました。報告書の英文要約はこちらからご覧いただけます。
The Dutch Review Committee on Intelligence and Security Services published the report ‘Automated OSINT’. An English summary of the report is available here: https://t.co/uewDPzfMuj 🧵 1/4 cc @aboutintel @twetzling
— Jan-Jaap Oerlemans (@jjoerlemans) February 9, 2022
Summary of Report
Review Committee on the Intelligence and Security Services
Automated OSINT:
tools and sources for open source investigation
CTIVD No. 74
https://english.ctivd.nl/latest/news/2022/02/08/index
概要
Intelligence and Security Services Act 2017(ISS Act 2017)では、General Intelligence and Security Service(AIVD)とMilitary Intelligence and Security Service(MIVD)が個人データを含む一般にアクセス可能なデータを収集し、処理することを認めています。これらの活動は、「オープンソース・インテリジェンス」の略であるオープンソース調査またはOSINTとも呼ばれる。オランダの立法府は、OSINTを侵入的な諜報手段とは考えていない。
オープンソース調査が専用のソフトウェアを使用して自動化されている場合、それはAutomated OSINT(自動化されたOSINT)と呼ばれる。本報告書では、使用されるツールと、そのツールを使ってアクセスできるソース(データセット)を区別している。ツールには、多種多様なソースに問い合わせることができる検索やネットワーク分析の機能を備えたソフトウェアが含まれる。これらのツールは、商業プロバイダーから提供されることもあれば、サービス自体が開発することもある。
自動化されたOSINTのためのツールは、通常のウェブブラウザを使った従来のオープンソース調査と比較して、2つの点で優れています。第一に、使いやすさである。OSINTツールを使った 1 回の検索で、数百のソースを同時に照会することができる。このツールは、分析結果をビジュアルに表現できます。このようなツールを使用する2つ目の大きな利点は、ツールのベンダーが商業ベースで提供する専用のソースにアクセスできることである。その一例が、ソーシャルメディアサービスのユーザーからのリークデータである。ベンダーは、これらのデータセットを検索可能な単一のソースとして集約することができ、その中には何十億ものレコードが含まれていることがあります。
これらのツールを通じてアクセスできる商用データのもう一つの例は、アプリケーション・ユーザー(携帯電話など)に表示される広告によって生成される位置データで構成されています。OSINTのための商用ツールのプロバイダーは、データブローカーから位置情報を含む広告データを購入し、そのツールを使用して、情報機関やセキュリティサービスなどのクライアントに提供することができます。
これらの自動化されたOSINTツールに含まれる個人データの量、性質、範囲は、一般にアクセス可能なソーシャルメディアデータや一般的な検索エンジンを使って検索したデータといった一般にアクセス可能なオンラインソースからのデータを参照するよりも、基本権、特にプライバシー権に対する深刻な侵害につながるかもしれません。
ISS Act 2017の説明文から、自動化されたOSINTによって助長される行為は、当時の立法者によって考慮されなかったと結論づけることができます。自動化されたOSINTは、電話帳を調べたり、検索エンジンを使ってオンラインデータにアクセスしたりといった古典的な捜査手法をはるかに超えていることは否定できず、近い将来、さらに発展していくでしょう。自動化されたOSINTは、位置情報や流出したデータセットからのデータなど、様々な出所の数百ものソースに同時にアクセスすることが可能です。
自動化されたOSINTの現状は、ISS Act 2017が起草されたときに予想されたよりも深刻なプライバシーの侵害を含んでいます。
勧告1:
この問題におけるデータの性質、多様性、量を考慮し、インテリジェンスとセキュリティサービスに関する検討委員会(CTIVD)は、立法者が、ツールそのものとこれらのツールを使用してアクセスできるソースの両方について、自動化されたOSINTの使用を管理する十分なセーフガードを備えたより予見可能な法的根拠を作成することを推奨する。
自動化されたOSINTの利用を規制する十分な安全策を備えた、より予見性の高い法的根拠を設けることを提言します。
本報告書では、CTIVDの合法性評価は、主にOSINTツールと、これらのツールを使用してアクセスできるソースに焦点を当てています。これらのツールやソースが実際のケースでどのように使用されるかは、本レポートの範囲には含まれません。CTIVDは、実際の配備に先立ち、サービスがツールの操作方法とどの情報源を参照できるかを知ることが不可欠であると考えられる。この知識があればこそ、これらのツールによるこのデータの処理がISS Act 2017の一般的なデータ処理規定とどのように関連するかを判断するための徹底した評価を行うことができます。とりわけ、これらの規定は、サービスにおけるデータ処理が適切であることを求めています。
つまり、関連する情報調査のためにデータを処理する際の問題と利益、データ主体の基本的権利の侵害の重大性との間に適切なバランスがなければならないのです。
このレビューを実施することにより、CTIVDは以下の問題に答えることを目的としています:
AIVDおよびMIVDは、データ処理規定を遵守する観点から、自動化されたOSINTツールの操作、および基礎となるソースの出所と性質について十分な理解をしているか?
この問題に対する答えは、AIVDとMIVDのautomated OSINTツールの動作(機能性)、およびこれらのツールを使用して参照できるソースの出所と性質に関する理解は、ISS Act 2017のデータ処理規定の遵守を保証するには不十分であるということです。CTIVDは、自動化されたOSINTを法律に準拠させるまでには、いくつかの改善が必要であると指摘しています。サービスは、ツールの仕組み(すなわち機能)と基礎となるソースを(可能な限り徹底的に)特定し、将来的に違法行為を防ぐためにこの点で緩和策を講じるべきである。
この指摘は、勧告2に繋がります:
AIVDとMIVDは、自動化されたOSINTのためのツールを選択・調達する際に(そしてそれによって基礎となるソースを選択する際に)、合法的なデータ処理を確保することも目指すべきである。できれば、両機関は協力して、運用上の指示を伴う共同の政策枠組みを策定すべきである。
法的確実性、合法性、およびサービス側の運用の有効性の観点から、実行可能な一時的評価の枠組みに落とし込み、サービス側がそれを政策、手順、運用指示に反映させる。この暫定的な評価枠組みは、特に、データ処理規定に照らした事前評価の確立、オープンソース調査への体系的アプローチの基準、データの出所と正確性が明示できないソースの取り扱いに対処する必要があります。
OSINTの利用は、情報機関やセキュリティ・サービスの領域だけにとどまらず、国家安全保障の領域(例えば、国家安全保障・テロ対策調整機構:NCTV)およびそれ以外(他の政府機関を含む)でも検証する必要があります。したがって、CTIVDは、内務・王国関係大臣および国防大臣に対し、本報告書を他の政府機関に周知すること、および、本報告書を転送する際には、国会に対し、衆議院のデジタル問題常任委員会に周知するよう要請することを求める。
