2021/10/27

OSINTの収集と使用に関する「JAPANアプローチ」とは? / OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?(転載)


 OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?

デジタル化が進むにつれ、人々は生活の多くをオンラインで過ごすようになり、その過程で、自分のアイデンティティ、活動、社会的交流などのデジタルフットプリントをインターネット上に残すようになりました。このようなパラダイムシフトは、犯罪者と法執行機関の双方に恩恵をもたらしています。犯罪者は常に革新的な犯行方法を発見し、法執行機関は捜査の解決に役立つ新たな情報資源を利用できるようになりました。 

現在、法執行機関にとって最も重要な情報資源の一つがOSINT(オープンソース・インテリジェンス)です。簡単に言えば、OSINTは法執行機関の捜査能力を高め、犯罪の脅威に対する対応力を向上させるのに役立ちます。

しかし、それは何なのでしょうか?また、なぜ法執行機関ではこれほどまでに対立があるのでしょうか?

OSINTとは?

他の多くの用語と同様に、OSINTは軍の中で誕生しました。OSINTが広く受け入れられ、使われるようになったのは90年代半ばのことである。インターネットから収集されたOSINTは、今日では業界全体で使用されており、その普及を牽引しているが、OSINTの情報源には、印刷された書籍、新聞、雑誌、テレビやラジオの放送、写真など、より「伝統的」なものもある。 

オープンソース・インテリジェンス」という言葉は30年以上前から使われていますが、今日に至るまで標準的な定義はありません。 

しかし、英国国防省によるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されているもの」)や、NATOによるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されている他の未分類の情報」)は、法執行機関の捜査においてオープンソース・インテリジェンスがどのように利用されているかを理解するのに役立つかもしれない。

法執行機関によるOSINTの使用は合法的か?

簡単に言えば、「イエス」です。

2001年にNATOがOSINTハンドブックを作成したことで、多くの人にとってオープンソース・インテリジェンスは紛れもなく合法的なものだと考えられるようになりました。最近では、2010年にCIAが「情報は秘密でなくても価値がある」という声明を出し、OSINTが「一般に入手可能」であることに言及したことで、この地位が強化された。また、2011年には英国国防省が、偏見のない方法で作成されたOSINTは他の情報と同様に尊重され、正当なものであると述べている。

これらの声明は、法執行機関や情報機関によるOSINTの使用が制度的に正当化されていることを反映しているが、一般市民と当該組織の個々のメンバーの両方からの認識は、しばしば矛盾に巻き込まれている。

ここでは、これらの矛盾のいくつかを取り上げ、それらがOSINTの受け止め方にどのような影響を与えるかを説明する。

矛盾1:法執行機関はOSINTを使用する際に人々のプライバシーを尊重していない

法執行機関の捜査官は、OSINTに関して、特に捜査の収集と発見の段階で、隠密なアプローチを必要とすることがよくあります。しかし、隠密なアプローチといっても、捜査官が好き勝手なことをしたり、人々のプライバシーや市民的自由を侵害したりするわけではありません。それどころか、私たちよりも厳しい基準を守ることが求められているのです。

法執行機関によるOSINTの収集と使用は、1998年にケント州警察が策定した「JAPANアプローチ」や2016年の欧州一般データ保護規則(GDPR)で定義されているようなベストプラクティス、ガイドライン、規制に沿ったものでなければなりません。JAPANとは、Justified(正当な)、Authorized(認可された)、Proportionate(釣り合いのとれた)、Auditable(監査可能な)、Necessary(必要な)という5つの原則の頭文字をとったもので、捜査のためのデータ収集を管理することで、個人の公正で尊重された扱いを保証するものです。 

矛盾2:法執行機関は「高レベル」のデータソースにアクセスできる 

法執行機関の捜査官は、車両登録証や運転免許証、監視システムの画像など、他の政府機関が収集したデータにアクセスすることができます。また、法執行機関やその関連組織に特化した専門企業が提供するソーシャルメディア、モバイル機器、ブロックチェーンなどの情報にもアクセスできる。

このようなアクセスの違いは、一部の一般市民や活動家グループを悩ませています。最も懸念されているのは、法執行機関が画像と顔認識ソフトウェアを組み合わせて使用することで、悪用された場合、抗議活動中の監視やモニタリング活動が抑圧的な戦術に変わる可能性があることです。そこで、収集を正当化し、事後的に監査できるようにするために、これまで述べてきたさまざまな慣行やガイドラインが必要になってくるのです。

制度上の認識:OSINTは他の情報源に比べて信頼性が低い 

法執行機関やその他の政府機関で働く人々がOSINTの分野をどのように認識しているかというと、OSINTは他のリソースに比べて技術的に洗練されていないと考えられがちである。例えば、英国の警察システムでは、OSINTは通常E41 Intelligenceと評価されている。そのため、それらの調査結果はあまり深刻ではないとみなされます。つまり、警察内で情報を流すことはできても、その情報源は未検証とみなされるため、その信頼性を判断することができないのである。 

実際のところ、正しく責任を持って使用すれば、オープンソース・インテリジェンスは、他のインテリジェンスを検証する上で非常に有効であることが証明されています。その一例が、欧州警察の「Stop Child Abuse - Trace an Object」プロジェクトです。このプロジェクトでは、欧州警察のCSAM(child sexual abuse material)データベースをベースに、児童性的虐待の捜査を進めるためのOSINTをクラウドソースで収集しています。欧州刑事警察機構(ユーロポール)は、警察が調査しても成果が得られなかった検閲済みの画像をプロジェクトのウェブサイトに掲載し、一般の人々がそれを確認して情報を提供できるようにしています。2020年末までに、10人の被害者が特定され、2人の犯罪者が起訴されました。

法執行機関の捜査にOSINTがどのように使われているか

法執行機関によるOSINTの利用は、ソーシャルメディアに焦点を当てたものが多くなっています。より具体的には、アナリストが以下のように使用することができます。

  • 関心のある人物を密かに分析・監視する  
  • 潜入捜査官や組み込み捜査官が偽装のために収集した既存の情報を複製する 
  • 人間による分析など、異なる方法やソースで収集された情報にさらなる信頼性を与える

法執行機関のチームも、サイバーセキュリティの調査にオープンソース・インテリジェンスを活用することがあります。この場合、サーフェイス・ウェブやダーク・ウェブのフォーラムや市場を監視してデータを収集することで、脅威となる人物や、マルウェアやデータ・ダンプなどのE-クライム製品の販売促進などの犯罪行為を特定するのに役立ちます。さらに調査を進めるために、OSINTアナリストは、過去のデータ侵害に含まれる情報を参照して、新しい攻撃をプロファイリングし、監視し、特定の脅威の行為者に帰属させることができます。