Kayli Lewis @ MailSPEC

公正取引委員会のマイクロソフト社に関する通報窓口メールアドレス、裁判所メール等が、マイクロソフト社のメールサーバになっている件に関するサイバーセキュリティ視点 Q&A を自分のために書いています (Q10 ～ Q15)↓ 後続 Q10 ～ Q15: Q10. 【脅威 1】(マイクロソフト社自身の利益のためのアクセス: 公取や公取通報者において想定される脅威) は顧客のメールにマイクロソフト社が平文アクセスした結果を目的外で利用する行為に関するものだ。だが、マイクロソフト社は信用できる企業だから、「クラウド事業者としての強大な影響力を背景に、公益を犠牲にし自らの利益を得ようとする公法違反をするような企業 (コンプライアンスを遵守しない企業)」・・・ ② ではないのではないか? だから、マイクロソフト社は、クラウド事業者としての強大な影響力を背景に、受信した公取のメールアドレス宛のメールを見て、これを目的外で利用することはないはずだ。 Q11. インターネットに詳しく、公取のメールサーバーをマイクロソフト社が運営していることに気付き、かつ、Q1 ～ Q7 のような事柄を理解できる人は、一般人には少なく、インターネットのプロの事業者くらいのものであろうから、Q10 の萎縮効果は、通常の通報者には影響はないのでは? Q12. あえてここまで時間を費やしてマイクロソフト社を非難する必要性は何かな? Q13. 日本政府における少数の原因関係者たちは、2020 年頃に米国 CLOUD Act について十分検討し、対処策を考えた上で現在の仕組みを企画したのだから、これは、すでに検討されていた事態である。それから状況は変化していないのではないから、新しい研究問題ではないのではないかな? Q14. ところで、技術と関係ないが、政府のメールサーバーのこの問題の原因関係者を「犯人」と表現することは、仮に不適切行為に過ぎず、犯罪ではないとすれば、日本語の誤用ではないかな? Q15. 日本政府のこれまでの外国クラウド偏重方針について、公共の場面で異議を唱えると、色々な点で、不利益な扱いをうけるリスクはあるだろうか? 前提となる脅威は、以下の 2 点です: 【脅威 1】 マイクロソフト社自身を公益に反して違法行為をし得る者 (公取の被疑である独禁法違反はそれです) として信用できないと考える立場に立って同社が公取のメールボックスに平文アクセスできるのではないか? 【脅威 2】 マイクロソフト社は信用できるとしても、マイクロソフト社に外国政府 (米国政府、米国裁判所、米国の 50 州の政府機関等) が当該外国の法令に基づき行政調査や司法令状 (顧客への通知を禁止) を発付したときに、マイクロソフト社が顧客 (日本の裁判所) のメールボックスに平文アクセスできるのではないか? これらについて、以下のように研究をしました。 誤り指摘の情報提供をいただければ幸いです。 ■ Q10. 【脅威 1】(マイクロソフト社自身の利益のためのアクセス: 公取や公取通報者において想定される脅威) は顧客のメールにマイクロソフト社が平文アクセスした結果を目的外で利用する行為に関するものだ。だが、マイクロソフト社は信用できる企業だから、「クラウド事業者としての強大な影響力を背景に、公益を犠牲にし自らの利益を得ようとする公法違反をするような企業 (コンプライアンスを遵守しない企業)」・・・ ② ではないのではないか? だから、マイクロソフト社は、クラウド事業者としての強大な影響力を背景に、受信した公取のメールアドレス宛のメールを見て、これを目的外で利用することはないはずだ。 → A10. はい、私も、マイクロソフト社は信用できる企業だから、「クラウド事業者としての強大な影響力を背景に、公益を犠牲にし自らの利益を得ようとする公法違反をするような企業 (コンプライアンスを遵守しない企業)」・・・ ② で "ない" と信じています。 しかし、ここが今回の【脅威 1】の問題の本質なのですが、公正取引委員会は今回、マイクロソフト社の独禁法被疑について、マイクロソフト社が ② のような企業で "ある" 可能性があるという前提で、情報提供を求めています。したがって、マイクロソフト社が独禁法に違反した事実を情報提供する人は、マイクロソフト社が ② のような企業で "ある" という前提に立ち、メールで情報を公取に送信しようとするはずです。 ところが、公取のメールサーバーを当のマイクロソフト社が運営していることは、メールを送付する前に公開情報 (DNS。インターネットを使う上での基本・基礎) ですぐに分かります。 そして、そのような通報者は、DNS を引くと、マイクロソフト社に対する被疑事件の公取のメールサーバーは、なんとマイクロソフト社が運営していると気付くことになります。この時点で、そのような通常の通報者は、Q1 ～ Q9 に書かれているような事柄を理解します (Q1 ～ Q7 の情報は、情報セキュリティリテラシがあれば、広く公開されている情報に書かれているか、そこから容易に導出できます)。そのような通常の通報者はマイクロソフト社が ② のような企業で "ある" という前提に立っているので、通報者は、マイクロソフト社が、クラウド事業者としての強大な影響力を背景に、受信した公取のメールアドレス宛のメールを見て、これを目的外で利用する (自らに不利益な心証を抱き、不利益な扱いをしてくる) 可能性がそれなりにありそうだ、と判断します。 このような通常の通報者の立場に立てば、現在の公取のメールアドレスがマイクロソフト社の運営するサーバーである以上、通報を控えようという判断となることは極めて合理的だと思います。 ■ Q11. インターネットに詳しく、公取のメールサーバーをマイクロソフト社が運営していることに気付き、かつ、Q1 ～ Q7 のような事柄を理解できる人は、一般人には少なく、インターネットのプロの事業者くらいのものであろうから、Q10 の萎縮効果は、通常の通報者には影響はないのでは? → A11. いいえ。今回のマイクロソフト社の独禁法被疑について、価値がある情報提供をしたいと考える通報者たちのほとんどは、まさにインターネットのプロの事業者たちがほとんどを占めると考えられます。これらのプロの事業者たちのほとんどが、公取のメールサーバーをマイクロソフト社が運営していることに容易に気付き、かつ、Q1 ～ Q7 のような事柄は瞬時に連想しますので、多くの割合の通報者たちに強い萎縮効果を及ぼします。 たしかに、一般人が DNS 等の引き方は知らない人も多いので、全通報者が、DNS を調べて、「あっ、これは、公取のマイクロソフト社に関する情報提供募集メールアドレスがマイクロソフトだ」とは気付かないかも知れませんし、さらに、それに仮に気付いても、Q1 ～ Q9 に書かれているような事柄を理解しないかも知れません。 しかし、ここが、特に今回の件でもっとも重要で興味深い点なのですが、今回の公取の案件について価値のある通報をする「通常の通報者」たちは、普通の個人というよりも、むしろ、インターネット業界、クラウド業界のプロ中のプロたちばかりのはずです。なぜならば、今回仮に独禁法違反が事実であるとすれば、想定される、重要な情報を持っている通報者の典型例は、マイクロソフト社のクラウド向け Windows 等のライセンスを他のクラウド上で動作させる際に、Azure 上の OS 原価よりも高値で購入させられて、あるいは、取引拒絶されて不利益を受けているかも知れない、日本でクラウドサービス事業を運営する他のクラウド事業者 (例: AWS 社, Google 社, あるいはその他の多数の日本のクラウド事業者 etc) たち (あるいはそれらに関係する SIer たち) であるためです。マイクロソフト社の独禁法違反が仮に事実だとすると、彼ら (AWS 社, Google 社, あるいはその他の多数の日本企業等) はマイクロソフト社からの他クラウド向けライセンスの料金を Azure 上よりも高い値段で (言い値で) 購入させられていて、現在、たいへんに苦しんでいることになります。彼らにとって、その苦しみを取り除いてくれる唯一の希望が公取です。そのような通報者たちは、是非とも公取に真実の情報の通報をしたいと考えますが、他方で、通報したことがマイクロソフト社に知られると、マイクロソフト社に心証を損ねられて、報復として、マイクロソフト社のライセンス料の言い値が今よりもさらに上昇するか、または、取引拒絶されるのではないかとおそれることになります。 したがって、今回の情報通報をしようとする他のクラウド事業者たちにとっては、マイクロソフト社に、誰が通報したのか知られることは、重大な死活問題となり得ます。 このように、今回の案件では、ほとんどの情報価値がある想定通報者たちは、公取のメールサーバーをマイクロソフト社が運営していることに容易に気付き、かつ、Q1 ～ Q7 のような事柄は瞬時に連想しますので、彼らに強い萎縮効果を及ぼします。 これが、今回の公取の件が、普通と違う点です。 ■ Q12. あえてここまで時間を費やしてマイクロソフト社を非難する必要性は何かな? → A12. いいえ。今回の問題について、マイクロソフト社の法人それ自身は、特に非難されることはしていないと思います。そうではなく、マイクロソフト社の運営するメールサーバーをそのままマイクロソフト社に関する通報窓口アドレスに用いた、あるいは米国 CLOUD Act の対象となる日本の裁判所のメールサーバーをマイロソフト社に運営させる原因を作った、デジタル庁の原因関係者が問題です。 ■ Q13. 日本政府における少数の原因関係者たちは、2020 年頃に米国 CLOUD Act について十分検討し、対処策を考えた上で現在の仕組みを企画したのだから、これは、すでに検討されていた事態である。それから状況は変化していないのではないから、新しい研究問題ではないのではないかな? → A13. いいえ。たしかに 2023 年頃まで米国 CLOUD Act についての検討はなされていましたが、その主たる対処方法としては、「米国外国主権免除法」を援用すれば米国政府の開示要求に対抗できると、という理論でありました。ところが、その後、2023 年 4 月の米国最高裁決定の判例で、「米国外国主権免除法」は米国 CLOUD Act のような刑事手続きには利用できないことが確定してしまいました [3]。もはやこの理論は使えなくなりました。これが 2020 年頃から現在までの大きな変化です。 　[3] supremecourt.gov/opinions/22pdf… ■ Q14. ところで、技術と関係ないが、政府のメールサーバーのこの問題の原因関係者を「犯人」と表現することは、仮に不適切行為に過ぎず、犯罪ではないとすれば、日本語の誤用ではないかな? → A14. 日本では、国会や中央省庁等の公的な場所の議論において、公共の意思決定等に関する原因関係者 (特に意思決定にかかわった公務員) の意味で「犯人」と表現することは一般的です [8]。犯罪発生時に限定されて使用される言葉ではないように思います。したがって、日本語の誤用ではありません。 　[8] 第 104 回国会 参議院 補助金等に関する特別委員会 第 3 号 kokkai.ndl.go.jp/simple/detail?… 『犯人はだれかなと思っておりましたが、大蔵大臣みずから自白をなさったので』 ■ Q15. 日本政府のこれまでの外国クラウド偏重方針について、公共の場面で異議を唱えると、色々な点で、不利益な扱いをうけるリスクはあるだろうか? → A15. いいえ。現在では、そのリスクはなくなりました。 (1) 日本政府においては、2023 ～ 24 年頃に大きく情勢が変わり、現在は、デジタル庁やその他の省庁においても、外国クラウド偏重は短期的には楽にみえても長期的にはさまざまな問題があり、デジタル産業形成、国富形成、国際競争力回復、デジタル主権維持のためにも、米国やヨーロッパ等を見倣って、自国域において自給できるように、軌道修正の準備をしなければならない、という反省的空気が支配的になっているようにみえます。このことは、政界も同様です。 (2) 近時においては、外国クラウド偏重推進が良いと考える政府関係者・政界関係者は極めて少数となっており、公共の場面で異議を唱えるとしても、特段のリスクがない状態となっていると思います。むしろ評価される状態となっているように見えます。 たとえば、特別な例ですが、[9], [10] のように新聞やインターネットメディアでガバメントクラウドに関して問題提起し、デジタル庁のガバメントクラウド関係者を批判した吉本和彦氏は、その半年以上 "後" に、政府から、内閣府での審査と、内閣での閣議決定 (各大臣による合議) により、勲章を受章されています。このことからも、現在、政府内や政界内には、外国クラウド偏重推進に異議を唱えることを排除しようとしている影響力がある有力者はいなくなっていると考えられます。 　[9] 読売新聞 政府クラウド 見直し急務… J-LIS 前理事長 吉本和彦氏に聞く 2025/3/15 yomiuri.co.jp/commentary/202… 　[10] デジタル時代のノアの箱舟と羊たちの沈黙 2024/11/27 stamp-net.org/tokusyu/pdf/%E… (3) 今回の件を研究をしてみて、もう 1 つ分かった興味深い点は、これまでに米国系パブリック・クラウドを利用せよという圧力は、米国政府からも、米国系パブリック・クラウド事業者群からも、政官界に対して一切なかった、という事実です。今でもそのような圧力はまったく存在しません。さらには、政治家の方々が米国系パブリック・クラウド事業者から何らかの不正な利得を得ている事実も、そのような関係も、まったくありませんでした。 (4) 日本政府に米国系パブリック・クラウドを利用させるという方針は、これらの事業者たちのうち 2 社の日本法人の営業スタッフが、日本で思い付いた、日本ローカルのアイデアに過ぎませんでした。ところが、ここからがまさに驚くべきことなのですが、その営業方針が非常に上手く、「米国政府の意向が背後にある」、「米国にデータを差し出させるべきだということか」という印象を持ってしまった政治家の方々、官僚の方々が、そうだと誤解をしてしまって、忖度をしてしまい、日本法人の営業スタッフたちをあたかも米国の代理人であるかのように勝手に誤解をしてしまいました。さらに、米国系パブリック・クラウド事業者系から政界に対して何らかの癒着や利得の提供があるかも知れないという空気が作られました。これらは一切なく、政界は潔白です。 一般に想像されていることと違い、実際のところ、背後には誰もいないのです。これまでの出来事は、「背後に米国の意向がある」、「それに異議を唱えると政治家や米国ににらまれて剣呑である」という空気を作り出すと (これにはいくつかのテクニックがあるようなので、興味がある学生は、デジタル庁へ遊びに行き、米国クラウドの日本法人の営業からうまいこと聞き出して勉強し、是非ともやってみるとよい)、日本政府を相手にした営業マーケティング・キャンペーンが非常に上手く行くという、良い題材として、さらなる研究の価値があります。 (5) このことの功罪について検討します。短期的には、日本では 2020 年頃から、米国系パブリック・クラウドを使わないといけないという空気が形成され、日本は中国と比較してもデジタル基盤技術領域で 10 年程度の技術研究の遅れを得、これは不利益のように見えます。しかし、米国のデジタル基盤技術 (AI 先端領域以外) の後退期と中国の発展期の山と重なるときに日本が頑張ったとしてもそもそも勝てないのではないかと思います。2030 年中頃が、中国のデジタル基盤技術の最盛期ですが、同時期から中国は AI 先端領域について米国を越える可能性があり、そののちに中国のデジタル基盤領域の減速衰退が始まるように思います。したがって、日本が 2030 年頃から、ようやく、デジタル基盤領域の技術研究が進み、米中と同程度以上のパブリック・クラウド技術 (今回の問題となった Exchange Online や Azure, AWS のようなもの) を作ることができるようになりはじめればよく、中国が AI 全盛によりデジタル基盤領域が減速し始めることに、ちょうど日本がトップになれば、その後何十年も、世界中から信頼できる地味なデジタル・プラットフォーマー企業群 (非 AI) として大きく利益を得ることができます。AI のような先端領域はその後でもよく、その頃には米国は AI の次を走っていると思います。 日本人は、全体としてみると、無意識的にタイミング待ちをしているようであり、そのタイミング待ちのための呼吸リズム調整として、日本政府の米国系パブリック・クラウド偏重による、今後最大級の利益を得ることとなる国内デジタル基盤領域技術の研究一時停止という一見不利益な利益現象が発生しているように見えます。他国が必死になって徹夜開発をしている間は、われわれは、明け方になるまで、ゆっくり寝て休んでいればよいのかも知れません。