パリ平和フォーラムで示された、8つの“サイバー規範”とは

サイバー空間の安定性推進への呼び掛け

　サイバー空間の安定性に関するグローバル委員会（Global Commission on the Stability of Cyberspace、以降GCSCと略）は、2019年11月に開催されたパリ平和フォーラム（Paris Peace Forum）内のパネルの一環として最終報告書「サイバースタビリティの推進（Advancing Cyberstability）」を発表しました。

　GCSCは2017年のミュンヘン・セキュリティ会議（Munich Security Conference）で発足した委員会で、国際的なセキュリティと安定性を強化し、サイバー空間における責任ある国家と非国家の行動指針となる規範、政策の提案を作り上げることを使命としています。また、国際的なサイバーセキュリティに関連する問題に取り組むさまざまなサイバースペースコミュニティ間の相互の認識と理解を深める手助けをしています。プレスリリースによれば、今回の報告書は過去3年間におよぶ同委員会の作業の集大成であり、国際社会とより幅広いエコシステムに対するサイバースタビリティの枠組みや原則、行動規範、提言を示しているとのことです。

　まず注目すべきは、今回の報告書の主題である「安定性（Stability）」を、可用性（Availability）と完全性（Integrity）が保証されていることとしている点です。よく知られている情報セキュリティのCIAのうち、機密性（Confidentiality）は含まれていません。

　今回の報告書の中心となるのは次の4つです。

• 7つの枠組み
• 4つの原則
• 8つの規範
• 6つの推奨事項

　ポイントとなるのは、国家だけでなく、非国家主体をも対象としている点です。これは、サイバー空間は主に非国家主体によって設計・展開・運用されているため、安定性の確保にはそのような非国家主体の参加が必須であるというわけです。

　今回はこの報告書のうち、8つの規範を紹介します。気になるのは、いわゆる「サイバー攻撃」というものを全面的に禁止しているわけではないと「読み取れる」点でしょう。なお、以下はあくまで参考訳にすぎませんので、正確な内容（ニュアンスなど）は必ず原文で確認してください。

1. 国家および非国家主体はインターネットの公共の中核の一般的な可用性または完全性、すなわちサイバー空間の安定性を意図的かつ実質的に損なう行為を行ったり、故意に許可したりすべきではない（should neither ... nor ...）。
2. 国家および非国家主体は選挙や国民投票または住民投票に必要不可欠な技術インフラを損なうことを意図したサイバー活動を続行、支援または許可してはならない（must not）。
3. 国家および非国家主体は、開発および生産において製品やサービスを勝手にいじることでサイバー空間の安定性を大幅に損なう可能性がある場合は、そのような行為をしたり、または許可したりすべきではない（should not ... nor ...）。
4. 国家および非国家主体はボットネットとしての使用または同様の目的で一般大衆のICTリソースを勝手に奪い取るべきではない（should not）。
5. 国家は情報システムおよび技術において知った公知でない脆弱性や欠陥の開示の可否および時期を評価するための手続き的に透明なフレームワークを作成すべきである（should）。基本的には開示を選択すべきである（should）。
6. サイバー空間の安定性が依存する製品およびサービスの開発者および生産者は、1）セキュリティと安定性を優先し、2）製品またはサービスに重大な脆弱性がないことを保証する合理的な措置を講じ、そして、3）のちに見つかった脆弱性をタイムリーに緩和し、かつそれらのプロセスについて透明性のある手段を取るべきである（should）。全ての関係者には、悪意のあるサイバー活動の防止または軽減を支援するために脆弱性についての情報を共有する義務がある。
7. 国家は基本的なサイバー衛生を確保するために法律および規制を含む適切な法令を制定すべきである（should）。
8. 非国家主体は攻撃的なサイバー活動に携わるべきではなく（should not）、国家主体はそのような活動を防止し、もし発生した場合は対応すべきである（should）。

　今回は規範だけを紹介しましたが、そのほかの枠組みや原則、推奨事項についてはExecutive SummaryやFact Sheetにも掲載されていますので、本文に目を通すことが難しい場合は、まずそちらをご覧いただくことをお勧めします。

　GCSCの報告書は基本的に提言でしかなく、今回の公開をもってすぐに世界各国で何らかの拘束力を伴う法整備が進むというものではありません。しかし、国が関与しているとみられるサイバー攻撃が珍しくなくなった今の時代に、このような提言が示されたことは意味のあることですし、今後の関連した動きについては注視すべきでしょう。

AIを使った監視システムは急速に普及

　監視カメラをはじめとする監視システムの設置が当たり前となっている中、米国に本部を置く国際的なシンクタンクであるカーネギー国際平和基金（Carnegie Endowment for International Peace）は世界176カ国を対象に「いわゆるAI」を使った監視システムの導入状況を調べた結果を発表しました。なお、調査対象として人口が25万人に満たない国は除外されています。

　主要なポイントとして挙げられているのは以下の8点。

• 調査対象の176カ国のうち少なくとも75カ国が監視目的でAI技術を積極的に使っている。そのうち56カ国がスマートシティ／セーフシティのプラットフォーム、64カ国が顔認識システム、52カ国がスマート警備（smart policing）を導入している。
• AI監視の世界規模での普及において中心的な役割を果たしているのは中国。中国企業（特にHuaweiやHikvision、Dahua、ZTE）の技術は63カ国で使われており、そのうち36カ国は中国が主導する「一帯一路」に署名している。Huaweiだけで少なくとも50カ国で採用されており、他社の追随を許していない。中国以外の企業で最も多く採用されているのは日本のNECで14カ国である。

AI監視技術の起源（カーネギー国際平和基金「Carnegie Endowment for International Peace」より）

AI監視に貢献しているトップ企業（カーネギー国際平和基金「Carnegie Endowment for International Peace」より）

• 中国製品の売り込みに際しては購入を促すために相手の政府に対して比較的低金利のソフトローンを組ませることが多くある。例えばケニアやラオス、モンゴル、ウガンダ、ウズベキスタンのような国ではそれがなければAI技術の導入は難しかったと考えられる。ただし、中国政府が高度な弾圧的技術の購入にどの程度まで補助金を出しているかについては懸念もある。
• 世界中で高度な監視技術を提供しているのは中国だけではない。米国企業の技術は32カ国で採用されている。最も多いのはIBMで11カ国、ついでPalantirの9カ国、Ciscoの6カ国。自由民主主義国の企業としてはフランスやドイツ、イスラエル、日本も重要な役割を担っている。
• AI監視の主要な利用者は自由民主主義国である。民主主義先進国の51％がAI監視システムを導入している。一方、閉鎖的な独裁国家の37％、選挙制度のある独裁国家または競争のある独裁国家の41％、選挙のある民主主義国家または反自由主義の民主主義国家の41％がAI監視技術を導入している。完全に民主主義の国の政府は監視技術を安全な都市のプラットフォームから顔認識カメラまで広範囲に導入しているが、それをもって監視システムを悪用しているとは言えない。
• 独裁国家および準独裁国家の政府は自由民主主義国家の政府よりもAI監視を悪用する傾向がある。例えば、中国やロシア、サウジアラビアなどの独裁国家は一般大衆を監視する目的で使っている。また、ほかにも人権の扱いに問題がある政府の場合は、弾圧を強化するためにAI監視をより限定的なかたちで使っている。
• 軍事費と政府のAI監視システムの利用の間には強い関係がある。軍事支出の世界トップ50の国のうち40カ国がAI監視技術を使っている。
• 国際NGOフリーダムハウスによるインターネット上の自由度に関する報告書「Freedom on the Net」の2018年版で調査対象となった65カ国のうち、中国企業によって開発されたAI監視技術を利用したことのあるのは、2018年の18カ国から2019年には47カ国に増えている。

　ほかにもAI監視を導入している国の地域ごとの割合をまとめた図も掲載されています。

AI監視を導入している国の地域ごとの割合（カーネギー国際平和基金「Carnegie Endowment for International Peace」より）

　地域差があることが分かりますが、アフリカについては「一帯一路」による中国企業の積極的な売り込みで近いうちにAI監視導入の割合は増すのではないかと予想されています。

　また、実際に導入されているものにも傾向に違いがあります。湾岸地域や東アジア、南および中央アジアの多くの政府は高度な分析システムや顔認識カメラ、洗練されたモニタリング能力を導入しているのに対し、ヨーロッパの自由民主主義国家では国境警備の自動化や予測警備（predictive policing）、セーフシティ、顔認識システムの導入が急速に増えているそうです。

　AIを使った監視システムの導入は今後ますます増えていくことは避けようがありません。自由民主主義国家においては、プライバシーの侵害などの問題もこれまで以上に注目されることになるでしょう。また、特定の国の企業、特に政府の強い後ろ盾のある企業の技術が事実上の世界標準になっている状況をどう考え、どのように対応するのかも重要な課題と言えます。