「プリズム」計画

 NSAのシギントデータの収集でも、NSAの宝冠とも呼ばれる「特別資料源作戦」(民間事業者の協力を得て行うデータ収集)の中でも、最重要の「プリズム」計画について説明します。少ない費用で効果抜群のシステムです。主として2013年のスノーデン漏洩情報を基に説明しますが、現在は更に能力を大幅に向上させていると見られます。

1 「プリズム」の概要

 「プリズム」計画は、電子通信サービス企業の米国内データセンターから必要なデータを広汎に収集するものです。2013年現在では9社が協力していました。

(1)協力企業

 本計画では、対外諜報監視法702条に基づいて、司法長官と国家諜報長官が連名で「電子通信サービス事業者」に対して協力命令を発します。企業はこの協力命令に従う義務があります。2013年のスノーデン漏洩情報によれば、本計画は2007年に始まりましたが、協力企業は、最初に参加したマイクロソフトを筆頭に、2012年末までに、ヤフー、グーグル、フェイスブック、パルトーク、ユーチューブ、スカイプ、AOL(アメリカ・オンライン)、アップルと主要企業が順次参加して合計9社となりました。当時、既に協力企業を増やす準備しており、現在では協力企業はもっと増えています。但し、協力企業名などは秘匿されており、現時点で何社が協力しているのかは分かりません。

 また、2024年4月の法律改正で「電子通信サービス事業者」の定義が拡大されましたが、クラウド・データセンター企業を協力企業に加えるための改正と言われています。現在データセンター機能の貸借が進んでおり、そのような企業も対象に加えたのです。

(2)取得可能データ

 取得できる対象データは、要するに企業のデータセンターに保管されているデータ全てです。Eメール、チャット、ボイスメッセージ、ビデオ会議、送信ファイル、写真、ビデオ、その他保管データのコンテンツ情報、そしてメールアドレス、電話番号、通信時刻、位置等のメタデータです。取得方法は、企業のデータセンターに保管されている過去の通信データを取得する方法と、対象を監視するため通信と同時にリアルタイムでデータを取得する方法と、2種類が区分されています。

 これらのデータの中でも、最も価値の高いのが、Gメール、Outlookメール、ヤフーメールなどのウェブメールです。ウェブメールは無料且つ便利なため、今や多くの人が利用しています。スノーデン漏洩情報によれば、プリズムから得られるNSAの情報成果物の大部分はこれらウェブメール・データの分析によるとされています。また、OneDriveやiCloudなどのクラウド・サービスに保管されたデータも当然にアクセス可能です。

(3)システムの運営方法

 「プリズム」計画に関与している米国インテリジェンス組織は、NSA、CIA、FBIとNCTC(国家テロ対策センター)の4組織です。その中でもNSA、CIA、FBIの三者は「チーム・スポーツ」という位に緊密に協力しており、いわば共同事業とも言えると思われます。 協力企業との窓口は、FBIが担当しています。FBIの「データ傍受技術ユニット」(DITU)が、協力企業のデータセンター内にデータ取得用システムを設置管理していて、関係4組織ともこのユニットを通じて、データを取得しています。 データ要求は対象通信を特定して行うこととされており、例えばEメールアドレス、IPアドレス、電話番号などで対象通信を特定する必要があります。またデータ要求の対象は、米国外にいると合理的に推定できる非米国人でなければなりません。702条による収集では米国人を標的としてはいけないのです。

 具体例としてNSA分析官がデータを要求する場合を例に挙げると、先ず、分析官がデータ要求を出すと、データ要求はNSA内部の標的決定・任務管理部署によってデータ要求の適正性が審査されます。適性と認定されると、データ要求はFBIに回送され、FBIの「データ傍受技術ユニット」(DITU)から各協力企業のデータセンター内傍受用システムに要求が送信されます。企業のデータセンターからデータが取得されれば、取得データは、FBIのDITUを経由して、データ要求官庁の分析官に提供されます。

 データ要求がリアルタイムの監視活動の場合には、標的がインターネットにログインしたり、Eメールを送信したり、会話やチャットをしたり、或いはビデオ会議をしたりするのを検知すれば、FBIのDITUを経由して、分析官に対してリアルタイムで通知が来るシステムとなっています。2010年代前半では、リアルタイム監視対象はテロ容疑者が多かった様で、2013年4月現在、テロ対策で「プリズム」に登録されているリアルタイム監視対象は11万7675件でした。

 FBIのDITUが取得したデータは、データ要求官庁がNSAの場合はNSAだけに提供されますが、CIA、FBI、NCTCがデータ要求官庁の場合は当該要求官庁と同時に、NSAにもデータが提供されます。対外諜報監視裁判所の開示資料を分析すると、「プリズム」による年間のデータ取得件数は、2011年頃で2億5千万件程度であり、現在では更に増大していると考えられます。膨大なデータが、「プリズム」によって収集されているのです。その取得データは、データを要求した担当官が分析するだけではなく、それぞれの組織のデータベースに保管され、当該組織の分析官は、国家安全保障目的、即ち、対外諜報、スパイ対策、国際テロ対策、大量破壊兵器拡散対策、国際薬物対策などの目的であれば、米国人情報を含めて検索し分析できるようになります。なお、702条の情報収集対象は、米国外にいる非米国人ですが、その者と米国人との通信も収集されます。収集データの中には、米国人が当事者となった通信も相当数に上ります。

(4)取得データベースのFBI担当官による捜査利用

 「プリズム」計画でのデータ収集は、国家安全保障のためです。従って、専ら犯罪捜査目的では、FBI担当官はデータベースを検索することはできません。「プリズム」導入当初は、FBI担当官は、一般犯罪捜査の目的でも、広汎にデータベースを検索していたようですが、これは累次の法改正で禁止されました。

 しかし、国家安全保障目的がある限り、つまり、現実のスパイの脅威に対処する、国際テロを防止する、或いは、大量破壊兵器の拡散を阻止するなどのためであれば、犯罪捜査目的があっても、データベースの検索分析は可能です。即ち、現在及び未来に脅威を及ぼす虞のある個人或いは集団に関しては、捜査目的があっても、データベースの検索分析が可能なのです。

 またFBIは、「プリズム」計画を、対外諜報監視法702条によるデータ収集(米国外に所在する非米国人)だけではなく、旧来型の同法第1章によるデータ収集(米国人や米国内に所在する人)にも使用していると推定できます。昨年10月に逮捕された元米陸軍軍曹のスパイ事件では、海外におけるウェブメールの遣取りや海外で作成してクラウド・サービスに保管した文書などが把握され証拠化されています(『治安フォーラム』本年5月号拙著「海外活動に対するFBIの情報収集力」参照)。つまり、「プリズム」は、FBIによるスパイ調査・捜査において、国内外の容疑者の活動に対する情報収集にも活用されていると見られます。但し、法第1章によるデータ収集を行うには、対外諜報監視裁判所の個別命令を受ける必要があります。

(5)企業の協力姿勢

 「プリズム」計画に対する協力姿勢は、企業によって異なります。例えば、ヤフーは、本計画のデータ提供が余りにも広汎なため、憲法違反であるとして、対外諜報監視裁判所に訴えました。しかし2008年に非公開の裁判で敗訴して、已む無く協力を開始しました。 

 他方、マイクロソフトのように積極的な企業もあります。マイクロソフトは、「プリズム」計画には2007年に一番乗りで参加しましたが、他にも次の様に米政府がデータを取得し易いように、積極的に協力しています。 〇 Outlookウェブチャットの暗号化の回避~マイクロソフトは2012年ウェブチャットにSSL暗号を導入しましたが、この暗号化によって米政府によるデータ収集上に支障が生じないように、対処措置を採りました。 〇 OneDrive(旧スカイドライブ)のデータ入手方法を簡略化して、米政府による迅速完全なデータ収集を可能としました。 〇 スカイプ(マイクロソフト子会社)の保管データの収集~当初はリアルタイムの監視活動でのみデータ取得が可能でしたが、2013年にスカイプ・データベースの保管データの収集が可能となりました。 このように、米国企業でも、嫌々協力する企業と、積極的に協力する企業と違いがあるようです。

2 「プリズム」計画の成果

 2013年のスノーデン漏洩情報によれば、NSAにとって「プリズム」計画の費用は、当時、年間2千万ドル程度と少額でしたが、NSAの最大の資料源であり、成果は極めて大きいものがあります。

(1)情報成果の概要

  2013年スノーデン漏洩情報によれば、次のような成果がありました。少し古い資料ですが紹介します。「プリズム」の重要性は、更に増大していると言えるでしょう。

〇 「プリズム」はNSAの最大の資料源であり、情報報告の全体の7分の1以上を占め、その重要度は逐年増している。即ち、2012会計年度中、「プリズム」由来の情報報告は2万4096件(内74%は「プリズム」のみが資料源)であった。これはNSAの全情報報告(セカンド・パーティ、サード・パーティ資料源を含む)約18万件中の13.4%を占めていた。

〇 情報報告で最も重要な大統領ディリー・ブリーフィングにおいても、「プリズム」は最も貢献している。2012年会計年度中、「プリズム」収集データを使用した大統領報告は1477件であり、これはシギント由来の全情報報告約8200件の約18%を占める。(筆者注:2023年ではNSAによる大統領デーリーブリーフの59%に702条収集データが使われているとされています。702条収集の大部分は「プリズム」収集ですから、大統領デイリー・ブリーフィングにおける「プリズム」の貢献は更に増大していると推定できます。)

〇 更に、諜報コミュニティの主要な情報要求項目約1万3千件中、「プリズム」収集データはその全体の32%に貢献している。

(2)情報成果の事例

 「プリズム」収集データの成果は、対外諜報、スパイ対策、国際テロ対策、サイバー攻撃対策など、広汎に及んでいますが、NSA漏洩資料からその事例をごく一部紹介します。

〇 2012年ロンドン・オリンピックでは、特別に英国シギント機関GCHQの分析官100人に「プリズム」収集データの利用を認め、利用訓練を施したが、GCHQはオリンピック関連のテロ容疑者・団体の監視活動に活用した。

〇 2011年に国防総省と主要国防企業を標的としたサイバー攻撃を探知した。

〇 2012年12月には、某国防企業のネットワークへの浸透を、NSAが探知してFBIに連絡し、FBIが当該企業に警告を発して、発見当日に対処措置を取ることができた。

〇 2013年2月中のある1週間の「プリズム」収集データ成果を纏めたNSA資料によれば、メキシコの薬物情勢、エネルギー情勢、国内治安情勢、政治情勢、コロンビアの薬物密輸、左翼ゲリラFARCの情勢、ベネズエラの兵器取得情報、石油関連情報、インドの政治情勢、宇宙開発状況、核開発状況、日本の貿易情報、対イスラエル関係など、多くの対象国の多くの課題について約600件の情報報告がなされている。

(3)成果の背景

 プリズム情報の効果は、極めて大きいのですが、その背景を一言で言えば、米国がインターネット通信の中心地であることです。即ち、米国は、インターネット通信が生まれ発展した国ですが、インターネット通信では、依然として優越的地位を占めています。世界のインターネット通信容量の3分の1近くを占めており、米国内に多くのデータセンターが置かれています。漏洩資料によれば、米国はインターネット世界の「郵便局長」機能を果たしているそうです。

 また、ウェブメール(Gメール、Outlookメール、ヤフーメール等)やクラウド・サービス(OneDrive、GドライブやiCloud等)、更にはソーシャル・ネットワーク・サービス(フェイスブック、パルトーク、スカイプ等々)を利用している者は多いですが、これら米国系企業のデータセンターの多くは米国内にあります。また、一次的データセンターが米国外にある場合でも、データのバックアップを米国内のセンターに置く可能性は高いと考えられるので、多くのデータが自動的に米国内に集積していると推定できます。そもそも、例えばグーグル1社が保有するデータ量それ自体が、諜報機関に匹敵する膨大なものであると言われています。こうして、NSAは米国内に居ながらにして、電子通信サービス事業者のデータセンターを利用して世界の情報にアクセスできるのです。

 そこで、政府に批判的な米国人ジャーナリスト、ローラ・ポイトラスは「フェイスブックは米諜報機関への贈り物」と言っています。まあフェイスブックに限らず、米国系企業のSNS、ウェブメール、クラウド・サービスなどを利用する者であれば、米諜報機関はその者の行動、嗜好、性格、交友関係などの私的な情報を容易に入手できるのです。米国系企業のウェブメールやクラウド・サービスを愛用する非米国人は、米国内の図書館にデータを預けているのと同じであり、自己の預けたデータは何時でもNSAが取得できる状況にあると覚悟すべきでしょう。

3 最後に

 以上で見たように、「プリズム」計画は米国にとって極めて有効な情報収集手段です。その背景には、電子通信サービス事業者のデータセンターには膨大なデータが蓄積されているという事実があります。加えて、米国については同国がインターネット通信の中心地であることが貢献しています。他方、米国は民主主義国家ですから、米国人情報の収集に関しては法律で一定の制約も掛かっています。

 それでは、その他の国はどうでしょうか。電子通信サービス事業者のデータセンターからのデータ取得は、米国以外のインテリジェンス諸機関にとっても極めて有用且つ効率的であることは、自明のことでしょう。そうであれば、米国やセカンド・パーティ諸国以外にも、既に電子通信サービス事業者のデータセンターからデータを取得している国があっても全く不思議ではありません。また、仮に従来取得していなかったとしても、2013年にスノーデン漏洩資料によりその有効性が世界中に示されたのですから、関係諸国が新たにその取得に取り組むのは自然なことでしょう。事実、スノーデン漏洩資料で名指しされた企業には、早速、他国機関から同様の協力要請がなされたとの報道もありました。

 インテリジェンスの世界とはこういう世界です。

Leave a Reply

Your email address will not be published. Required fields are marked *

Close