情報テクノロジーが現代社会になくてはならないものとなり、サイバーセキュリティの重要性が高まる中、信頼がかつてないほど重要になっています。情報セキュリティ分野に取り組む企業の顧客やパートナーは、自社の機密データの保護に関与しているのは誰か、彼らはどんな情報を誰と共有しているのか、彼らの行動規範はどのようなものかなどを把握していなければなりません。こうした疑問にお答えするため、当社は数年前にGlobal Transparency Initiative(透明性への取り組み)を発表しました。
このたび当社は、サイバーセキュリティ市場の先駆的企業として、透明性に関するレポート(英語)を発表しました。これは、2020年から2021年上半期にかけて全世界の法執行機関、政府機関、およびエンドユーザーから受けたリクエストについての情報を公表するものです。
当社はサイバー空間におけるユーザーの安全、保護、安心を願っていますが、横行するサイバー犯罪によって、その空間の存在自体が脅かされています。国際的なサイバー犯罪との戦いに貢献するため、当社は定期的に世界中の法執行機関に協力し、悪意あるプログラムの技術的な分析を提供することでサイバー犯罪の捜査を支援しています。これら組織はKasperskyに対し、技術的な専門知識や、個人の情報に該当しない技術情報の提供をリクエストするだけでなく、Kasperskyに提供されたユーザーデータをリクエストする場合もあります。
法執行機関からは、電子証拠としてコンテンツデータ(ユーザーが作成または伝達するデータ)を求められる場合がありますが、サイバーセキュリティ企業である当社は、コンテンツデータを処理することも、保有することもありません。当社が収集する限られた量のユーザーデータ(ライセンスの詳細、OSのバージョンなど)は、製品の正常な動作のために必要なものです。それでもなお、ユーザーデータのセキュリティとプライバシーを確保するために当社がどのような手法を採用しているのか、法執行機関からのリクエストにどのように対応しているのか、ユーザーの皆様にご理解いただきたいとの考えの下、このたび『Law Enforcement and Government Requests Report(法執行機関・政府からのリクエストに関するレポート)』を公開し、法執行機関や政府からのリクエストへの対応における基本原則を説明する次第です。
リクエストへの対応に関する当社のアプローチ
第1に、Kasperskyはいかなる法執行機関や政府機関に対しても、ユーザーデータや当社のインフラストラクチャへのアクセス権限を付与しません。そのようなデータに関する情報をリクエストに応じて提供することはありますが、外部組織が直接的または間接的に当社のインフラストラクチャやデータにアクセスすることはできず、Kasperskyの社員がすべてのリクエストを検証して処理します。
第2に、国、地域、世界の法執行機関が、ユーザーとテクノロジーの安全を守るために重要な役割を果たしていることを鑑み、当社は、技術的な専門知識と、個人の情報に該当しない技術情報を共有します。当社のサイバーセキュリティリサーチャーおよびエキスパートは、サイバー犯罪者と戦う他の組織と知識、専門技術、スキルを共有することを、職務の一環であると考えています。
第3に、受け取ったリクエストは必ず法的に検証し、適用される法律や手続きに準拠していることを確認します。下図に示すように、多段階のプロセスを設けてリクエストの承認、拒否、または申し立ての決定を下しています。
最後に、暗号鍵の提供、または未申告の機能の導入に関するリクエストは、常に拒否します。当社は製品の品質と完全性の確保に懸命に取り組んでいます。その点は、第三者機関によるエンジニアリング慣行とデータセキュリティシステムの評価によって裏付けられており、規制機関、パートナーほかの皆様には、当社のTransparency Centerにて確認していただくことができます(リンク先はいずれも英語)。
当社は、これらの原則やリクエストに関するデータを公開することが、信頼を築き、維持していく上で重要だと考えます。このたび、IT業界のベストプラクティスに従い、2020年および2021年上半期のリクエストに関するデータを公開しましたが、数字は今後6カ月ごとに更新していきます。ユーザーの皆様がこれからもユーザーデータのプライバシーについて安心感を抱くことができるように、サイバー犯罪と戦うパートナーの皆様が当社による支援のコミットメントについて引き続き確信をお持ちくださることができるように、当社は願っています。
レポートでは、すべての法執行機関および政府からのリクエストに関する情報を公開しています。そのほか、個人を特定できる情報の削除要請、どのユーザーデータがどこに保存されているかに関する情報、そうした情報の提供要請など、ユーザーからさまざまな目的で寄せられたリクエストについてのデータも含まれます。第1回透明性レポートの全文(英語)は、こちらからご覧ください。