監視目的でのAI利用に関する過去の事例と、イタリアおよび欧州のデータ保護法を踏まえたパラゴン事件の分析
パラゴン事件
2025年1月31日、活動家らが抗議する中、WhatsAppは少なくとも90人に通知を送信しました。イスラエルのIT企業Paragon Solutions Ltd.が作成したスパイウェア「Graphite」の標的になっていると、EU全体のジャーナリストや政敵に警告するメールが届いた。同社によると、この軍用グレードのハッキングソフトは民主主義国家にしか提供されていないという。この事件はすぐにイタリアで勃発し、これま�でにスパイウェアの標的になったと報告している7人の被害者の中には、NGO「Mediterranea Saving Humans」の複数の職員が含まれており、創設者のFrancesco Cancellato氏、船主のBeppe Caccia氏、牧師のMattia Ferrari氏などが含まれている。リビア移民の権利活動家であり、ジョルジャ・メローニ政権下のイタリア政府の政策を批判しているダビド・ヤンビオも、彼の携帯電話に侵入しようとしたという報告を受けたため、新聞は推測を試み、パラゴン事件とリビアSDF/RADA司令官[オサマ・アルマスリ]の違法釈放との間に根本的なつながりがある可能性があるとさえ推測を試みました。 Njeem](https://iari.site/2025/02/24/il-caso-almasri-come-la-cpi-emette-un-mandato-di-arresto/)。
イタリア政府がParagon問題について議会に詳細な報告を行わなかった[失敗ため、この事件をめぐる憶測が飛び交っています。一方、カナダに拠点を置くCitizen Labは、Graphiteの被害者に生じたプライバシー侵害の調査を委託されました。この分析は、憶測や疑惑をさらに煽るものではありません。む�しろ、スパイウェアの概念と、この特定の種類のソフトウェアの機能について考察します。また、本稿で取り上げている問題に類似した事例を参考に、市民のプライバシーと個人データを保護するための推奨事項を明らかにします。
スパイウェア:その概要と仕組み
1914年に連邦取引委員会法に基づいて設立されたアメリカの政府機関である連邦取引委員会は、スパイウェアを次のように定義しています。「スパイウェアとは、コンピュータの使用を制御または監視するマルウェアの一種です。ポップアップ広告を送信したり、不要なウェブサイトにリダイレクトしたり、インターネットサーフィンを監視したり、キー入力を記録したりするために使用される可能性があり、ひいては個人情報の盗難につながる可能性があります。」
具体的には、Paragon Solutions Ltd. がブランド化したスパイウェアである Graphite は、デバイスが送信者から新しいデータを受信すると自動的に処理されるため、いわゆる「ゼロ デイ」(つまり、IT システム内のセキュリティ上の脆弱性または欠陥) を「ゼロ クリック」(つまり、送信されたリンクや添付ファイルに対する事前のユーザー操作なし) で悪用します。同様に、Graphite は携帯電話をターゲットにして目に見えないスパイとして動作し、被害者がまったく気付かないようにプライベートな会話を盗聴し、秘密情報を盗むように管理します。このように、このス��パイウェアは、政府機関や諜報機関が、国家または国際安全保障を脅かす容疑者、テロリスト、犯罪者などに対して、監視・追跡活動を行うための、目立たず適切なソリューションを提供します。Paragon Solutions Ltd.は、このスキャンダルについて直接コメントしていませんが、イタリアによるこのマルウェアの非倫理的な使用を理由に、イタリアとの契約を解除したことが確認されています。
類似事例
2021年、国際紙16社が主導した調査(https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/?s=08)により、イスラエルの監視会社NSOグループが市場に投入したマルウェア「ペガサス」を通じて、2016年以降、5万件の電話番号が収集されていたことが明らかになりました。NSOグループは、自社のソフトウェアは犯罪やテロ対策を目的としていると明言しましたが、独立調査では、少なくとも65人の企業幹部、85人の人権活動家、189人のジャーナリスト、そして600人以上の政治家の個人データも収集されていたことが明らかになりました。さらに、ペガサスは様々な独裁政権にも販売されていました。例えば、Citizen Lab は、このスパイウェアが、2018 年 10 月 2 日にイスタンブール (トルコ) のサウジアラビア領事館でサウジアラビア人ジャーナリストのジャマル・カショギ氏が 暗殺 される前に、同氏の動向を追跡・監視するために使用されていたことを 実証 しました。
世界で最も技術的に進歩した国の1つとして、イスラエルは高等教育、研究、スタートアップに多額の投資を行っており、特にこれらが軍隊が敵対する近隣の敵対する武装グループ(ガザ地区のハマスやレバノンのヒズボラなど)に対して展開したり、敵を特定し、制御し、追跡調査 地元のパレスチナ人が、ヨルダン川西岸地区とエルサレムのイスラエル人入植者の安全を確保するためにAIを使っている。こうしたイノベーションは海外にも輸出されており、民主主義政権の手に渡ることはほとんどない(最近の出来事が示すように、民主主義政権もこれらの技術を悪用する可能性が高い)。例えば、イスラエルは2018年から2022年において、世界最大の武器輸出国10カ国にランクインしました(シェア2.3%)。さらに、アゼルバイジャン、バーレーン、インド、フィリピン、アラブ首長国連邦(UAE)が最大の武器購入国として挙げられており、これらはすべて明らかに権威主義体制を構成しています。
AIが私たちの生活のあらゆる領域を支配し、この問題に関する規制はほとんど、あるいは全く設けられていない中で、民主主義国家は、オンサイトとオンラインのセキュリティを確保することと、市民��のプライバシーと個人データの尊重との間で満足のいく妥協点を見つけるという新たな課題に取り組むことが予想されます。たとえば、フランスは、モスクワ(ロシア)近郊でISKPが犯行声明を出した悪質なクロッカス市庁舎攻撃からわずか数か月後に、2024年パリオリンピックで達成した優れたセキュリティレベルを称賛されました。この目標は、フランスのテクノロジー企業Winticsが開発し、2020からパリに導入されているAI監視カメラソフトウェアCityvisionのおかげで十分に達成されました。このソフトウェアは、モビリティフローの管理、潜在的なリスクゾーンの検出、選択した基準による都市および公共交通機関からのデータのフィルタリング機能を確実に実現しています。ウィンティクスのシティビジョンがフランスの国家安全保障を大幅に強化したことは否定できないが、アルゴリズムによるビデオ監視などの予防措置は、潜在的に生体認証による大量監視につながり、プライバシーとデータ保護の権利を脅かし、国際人権法に違反する可能性がある。この点は、ヨーロッパ各地の市民社会団体が署名した公開書簡で主張されましたが、フランスはパリ2024大会において、彼らの懸念を公に取り上げない�ことを決定しました。
提言
本分析で検証した様々な事例、すなわちパラゴン事件、ペガサス事件、イスラエルのハイテク市場全体、そしてパリ2024大会におけるフランスのAIを活用したセキュリティ環境には、共通点が一つあります。それは、AIは拘束力のある国内法や国際法の対象となっていないということです。このため、AIの計り知れない可能性からどの国が利益を得るべきか、そして違反や濫用が発覚した場合にどのような代償を払うべきかについて、共通の認識を見出すことがさらに困難になっています。多くの場合、企業は倫理的な立場に基づき、条件を決定したり、全く決定しなかったりすることになります。その結果、政府や諜報機関は、誤用や悪用、違反があった場合でも、事実上処罰されないままになっています。
Paragon事件に関して、イタリアデータ保護当局は、イタリア憲法第15条、およびこの問題に関する欧州法に定められた通信の秘密保持権を再確認しました。実際、一般データ保護規則(GDPR)では、「個人データ」を、スパイウェアによって収集されたメタデータを含む、個人を特定できるあらゆる情報と定義しています(第4条)。さらに、同意がない場合でも、データは公共の利益のために合法的に処理されるに過ぎません(第6条)。最後に、政治的意見、民族、健康、性的指向といったセンシティブな情報を含むデータ�については、より厳しい制限が適用されます(第9条)。