スイスのプライバシー」が最高という幻想

tl;dr：スイスのプライバシー誇大広告に騙されるな。EUと同様のデータ共有協定を結んでいるスイスでは、外国当局があなたのデータを要求しても、あなたを守ることはできません。

私たちの世界は、巨大なケーブルのもつれ、うなるようなサーバー、ワイヤレス通信を通じて完全に相互接続されている。スノーデンの暴露の後、NSAやファイブ・アイズ、フォーティーン・アイズといった諜報機関の監視の目を逃れて活動する世界の場所について、インターネット上や広く社会でさまざまな噂が飛び交っている。しかし、これらの主張はどこまで本当なのだろうか？

国家やその他の高度な持続的脅威行為者から真に優れた保護を提供するデータヘイブンは世界に存在するのだろうか？

ロシアは、米国の法的管轄権を逃れようとする犯罪的なランサムウェアグループに選ばれた場所のようだ。マイクロネーションは、オフショアデータストレージやホスティングソリューションの可能性を予告している**。**

スイスは、富裕層が現地の税法から逃れられるようなサービスを提供してきたため、この小さな山国は長い間、銀行や金融におけるプライバシーの自由の砦として称賛されてきた。

しかし、オンライン・データの保護に関しては、スイスは同じことを主張できるのだろうか。また、デジタル監視というリバイアサンから逃れることは、地球上のどの場所でも本当に可能なのだろうか？

スイスのセキュリティ・モデルはチーズと同じ。穴だらけ。

スイスに拠点を置くプライバシー重視の企業の多くは、この小さな国が国際的な諜報機関や法執行機関の手が届かない保護バブルの中に存在しているという前提で、自社を宣伝しようとしている。スイスのプライバシーがドイツのプライバシーより優れているわけではなく、スイス政府が米国の法執行機関と積極的に協力している例も複数ある。では、なぜスイスはデータヘイブンだと思われているのだろうか？

その答えは3つある。スイスはEUに加盟していないこと、スイスは長い間中立の立場を維持してきたこと、そして悪名高い「スイス銀行口座」を通じて富の保管と脱税のための安全な避難所という評判を得てきたことだ。

サーバーがスイスにあり、「スイスのプライバシー」で保護されていれば、あなたのデータは本当に安全であるという結論を裏付けるものなのかどうか、これらを検証してみよう。

1.スイスはEUに属していない

EU加盟国であることは、米国のような世界的な諜報機関との協力においてどのような役割を果たすのだろうか。まず、アメリカの国境を越えて存在するということは、アメリカ当局がすぐにあなたの居住地に到着してドアを蹴破ることができないという安全保障の要素を加えることになる。しかし、EUと米国の間には複数の二国間情報交換協定が存在する。また、ファイブ・アイズ情報機関と独自のパートナーシップを結んでいる国もある。

スイスはEU加盟国ではないため、このようなデータ共有には関与していないと思われるかもしれないが、そうではない。クラブ・ド・ベルン」は、EU全27カ国とノルウェー、そしてご存知スイスの間で自発的に情報共有を行っているグループである。1971年に設立されたこのグループは、脅威を監視するために収集したデータを積極的に共有している。2001年9月11日の同時多発テロ以降、このグループは「テロ対策グループ」と呼ばれる分派プログラムも立ち上げた。これらのグループによって収集された情報分析は、ファイブ・アイズ加盟国であるイギリスと協力する欧州連合情報状況センターに提供される。

スイスは国際刑事警察機構（インターポール）のメンバーでもあり、欧州刑事警察機構（ユーロポール）とも積極的に協力している。また、欧州サイバー犯罪センター（European Cybercrime Centre）とも協力し、オンライン犯罪の撲滅に努めている。このグループのもうひとつの非EU加盟国はアメリカ合衆国である。ネット上のシナリオに反するとはいえ、これが情報局の仕組みなのだから驚くにはあたらない。

EU域外に存在することで、データ保護がより強化されるという主張が繰り返されているが、これは事実とはほど遠い。**スイス政府はEU加盟国だけでなく、イギリスやアメリカともデータを収集し、共有しているのだから、国境内に保存されているデータはフランスやドイツに保存されているデータよりも安全ではない。**スイスの国境が特別なプライバシーを提供するという考えは幻想である。

2.スイスの政治的中立性

スイスのNDB（連邦情報局）で起きた大規模なデータ盗難事件の後、ロイターの報道によると、スイスはアメリカとイギリスの情報機関と直接連携していた。スイス政府は数年前、9000件のユニークなデータを受け取り、4500件のデータを100以上の外国の諜報機関と共有していると自己申告している。このことは、スイスは政治的に孤立しているという、よく言われる空論と矛盾する。

中立とは、スイスの諜報機関が自国内で活動することを意味しない。電話、インターネット、ファックスのデータを傍受する「ビッグブラザー賞」を受賞したオニキスプログラムは、ロイク、ツィマーヴァルト、ハイマンシュヴァントという美しい山間の町に設置されている。オニキスシステムは、独立した第三者機関の承認に基づき、情報機関から要求された特定のキーワードに基づいてこのトラフィックを収集する。NDBは、国内トラフィックを収集しているわけではないと主張しているが、スイス国民が送信したものであっても、宛先がスイス国境を越えるトラフィックはすべて、公平な対象となる。このやり方は特別なものではなく、スイスのNDBは他の国の諜報機関と同じようなやり方で活動している。

オニキス・プログラム・データ収集ステーション

この国境を越えたトラフィック収集は、スイス国外からスイスのサービスに接続する場合、あなたのデータが積極的に収集され、世界中の他の諜報機関と共有されていることを意味する。

スイスのプライバシー "の価値とはこの程度のものなのだ。

3.スイスの銀行は外国人の資金隠しを積極的に支援している

スイスの金融機関が顧客データを共有することを保護する最初の法律は、1713年にジュネーブで制定された。この法律により、ヨーロッパ中の富裕層や企業が自国外に資金を隠し、納税を免れることが可能になった。スイスの政治的中立性も相まって、マネーロンダリングや脱税を行う金融機関として知られるようになった。

2018年、スイスが共通報告基準（CRS）に積極的に参加したことで、この秘密主義の幕が切って落とされた。つまり、納税シーズンごとに銀行や金融機関は、他国で納税義務のある外国人顧客に関する情報を提出する必要があるのだ。現在、CRSに参加しているのは、米国、欧州連合全体、ノルウェー、英国、カナダ、オーストラリア、ニュージーランド、日本、韓国、イスラエルを含む合計38カ国である。この中には、ファイブ・アイズやフォーティーン・アイズに加盟している国も含まれている。

リューク監視所

こうした情報がすべて、世界最大かつ最も包括的な諜報組織を運営する国々に流れているのだから、スイス国内に銀行があるというだけでは何の意味もない。デジタル時代において、主権国家の物理的な国境は、データ保護に関してはほとんど何の抑止力にもならない。

暗号化と所在地

このようなグローバルな情報共有協定により、私たちは、単にデータを「隠す」ことが安全な場所はひとつもない世界に生きていることに気づく。ですから、スイスのプライバシーの約束に騙されてはいけません。

あなたがどこにデータを保存していようと、あなたが十分に興味を持つようになれば、あなたの情報が法執行機関や諜報機関の手に渡る可能性がある。Stuxnetを使ったイランの核施設への米国とイスラエルのサイバー攻撃（と想定されるもの）で証明されているように、空から監視されたネットワークを持つ安全な施設でさえ、このような高度な持続的脅威に対して脆弱である。

スイスはプライバシーに強い国か？

スイスは一般的に、強固なデータ保護法と人々の銀行口座の保護に対する評判から、プライバシー保護に適していると考えられている。ドイツと同様、アルプス山脈の小国スイスには、個人データの収集、処理、保管を規定する包括的な規制があり、プライバシー保護のための強力な法的基盤となっている。しかし、 ドイツにはデータ保持法がないのに対し、スイスにはデータ保持 **法が**あることに注意しなければならない。プライバシーの権利に関しては完璧ではないが、スイスにはプライバシー保護のための健全な法的枠組みがある。

スイスのデータ保護法は、データ保護に関するスイス連邦法（Schweizer Bundesgesetz über den Datenschutz、DSG）に規定されたデータセキュリティに関する厳格な要件において、ドイツの法律に非常に類似している。欧州連合（EU）からの法的な独立性、中立的な政治的地位、プライバシー権保護の歴史から、スイスは安全でプライバシーに配慮した事業環境を求める企業にとって魅力的な選択肢に見えます。すなわち、EU一般データ保護規則（GDPR）はデータ保護に関する最も優れた法律の1つであり、EUとドイツでは有効ですが、スイスでは有効ではありません。

スイスと米国の比較

スイスと米国では、特に諜報機関の活動や監視に関する法律など、プライバシー保護に関する法律が大きく異なります。スイスは、ドイツと同様に、個人のプライバシー権を優先する包括的なデータ保護法を持ち、歴史的に大規模な監視に反対しており、スイスのNDBやドイツのBNDといった情報機関により厳しい法的制限を課している。**対照的に米国は、外国情報監視法（FISA）や米国パトリオット法（USA PATRIOT Act）といった法律を通じて、NSAやFBIといった機関に広範な監視権限を認めている。**FISAは、米国市民以外の監視を許可しており、米国市民との通信も含まれる可能性があるため、プライバシーや行き過ぎた行為に対する懸念が生じ、人々のプライバシー保護の観点から特に懸念される。

例えば、FBIは米国人の通話、メール、テキストを令状なしで「裏口」捜査することにより、FISA702を何百万回も乱用してきた。最近、FISA702が2025年まで再承認されたことで、アメリカ人の通信に対するこの違法な大量監視は続くだろう。

要約すると、スイスは、ドイツと同様、その法的枠組みと個人のプライバシー権を保護するための歴史的なコミットメントの両方により、一般的にプライバシーのために有利な場所と考えられている。

しかし、スイスにあるからといって、あなたのデータが安全であるとは限りません。安心できるのは、強力な暗号化だけです。

特別なストレージの聖域を探すよりも、安全なエンド・ツー・エンドの暗号化ですべてのデータを暗号化する方が良い選択です。仮にデータが脅威者の手に渡っても、実際のコンテンツは安全なままであり、彼らは意味のない文字化けした寄せ集めのデータしか見ることができないからだ。適切な運用セキュリティと強力な暗号化は、デジタルライフを守る上で当たり前のことであるべきだ。暗号化でデータを保護するサービスを選ぶだけでなく、完全な前方秘匿やポスト量子暗号を含む新しい暗号化モデルを現在追求しているサービスを選ぶべきだ。そうすることで、あなたのデータが**「今収穫し、後で復号化する」戦略の**犠牲にならないことを保証することができる。

結論スイスの個人情報保護法は優れており、ドイツで施行されているGDPR法と非常によく似ている。しかし、これらの法律は、国や国際的な監視プログラムからあなたを守るものではありません。むしろ、エンド・ツー・エンドの暗号化がデータを保護する最良のツールです。

用心深く、安全に過ごしてください。それでは、よい暗号化を！