イタリアは最近、深刻なデータプライバシー侵害による大規模なスキャンダルに揺れている。捜査は続いているが、本事件を通じて、日本を含む他国が自国のデータセキュリティ対策の見直しにあたって考慮すべき重要な教訓がすでに浮き彫りになっている。
イコライズ社とその犯罪容疑
本事件の渦中にあるのがミラノに拠点を置く民間情報会社イコライズ社である。同社はイタリア北部における組織犯罪対応で輝かしいキャリアを築いた元警察官カルミネ・ガッロ[1]と、(イタリア有数の展示会主催者である)フィエラ・ミラノ社の元CEOで、起業家としてこれまでに名誉ある役職を歴任し、政界にも人脈があるエンリコ・パッツァーリが率いている[2]。書類上は、イコライズ社は他の調査会社と同様の事業を行っていた。すなわち、個人・法人顧客向けに企業や個人を調査して背景情報・非公開情報を突き止め、潜在的なビジネスリスクを評価するというものである。イタリアでは、このような民間による調査業務は合法ではあるものの、厳しく規制されている[3]。例えば、個人宅内での情報収集や、保護されたコンピューターに対する不法なアクセスによる情報収集は禁じられている[4]。イタリアのデータプライバシー規制は他の欧州諸国ほど厳格ではないが[5]、世界で最も厳しいプライバシー法制とされることが多い欧州連合の一般データ保護規則におおむね準拠している[6]。
しかし、イコライズ社はこれらの規制を無視してきたとされる。報道によれば、少なくとも2022年10月から[7]、イコライズ社は全国社会保障機構、歳入庁[8]、内務省全国住民登録制度[9]などイタリアの公的行政機関や政府機関が運営する複数のデータベースにアクセスしてきた。また、イコライズ社は「省庁間捜査システム(イタリア語:Sistema d’Indagine(SDI))」にもアクセスしたとされている[10]。このデータベースは法執行部局間で共有されており、容疑、容疑者、旅券等に関する記録が掲載されているほか[11]、全国陸運事務所など他省庁のデータベースとも連携している[12]。イコライズ社は、イタリア銀行の「疑わしい取引の届出」(違法行為に関連している可能性のある取引について、金融機関に報告を義務づけたもの)にもアクセスしたとされている[13]。(約15テラバイトに及ぶとされる[14])これらのデータは、イコライズ社のほか、同社と共謀した少なくとも5社が[15]違法な文書を作成したり、顧客の依頼に応じたりするために利用したという。こうした書類の用途としては、恐喝や脅迫[16]、公的機関による決定への影響力行使、捜査・裁判の操作[17]、調査報道ジャーナリストへのリーク[18]などが考えられる。
イタリア国内外の関係者
イコライズ社の顧客リストの全体像は調査中であるが、現在のところ被告にはルックスオティカ(大手眼鏡製造・販売会社)、バリラ(大手パスタ製造会社)などの一流企業の関係者が含まれている[19]。また、組織犯罪や情報機関との関連も疑われている[20]。報道では海外の顧客の存在も示唆されており、例えばイスラエルのモサドの諜報員がイコライズ社の支援を受けてロシア国内の主体を監視し、バチカンの連絡員に情報を共有しようとしたという[21]。顧客の依頼は個人的な動機や企業内部的な動機によるものが多いものの、顧客名簿からはイコライズ社の影響力がうかがえる。
被害者とされる人々も同様に著名人揃いで、イタリアの有名人、ジャーナリスト、地元の政治家、業界トップ企業[22]のほか、イタリアのセルジョ・マッタレッラ大統領(メールアドレスが漏えい・複製されたとされる)、イニャツィオ・ラ=ルッサ上院議長、マッテオ・レンツィ元首相などが含まれる[23]。
イコライズ社がデータにアクセスできた経緯
機密データへのアクセスは、ITコンサルタントのヌンツィオ・カラムッチによって可能になったとされる。同氏は、窃取したデータを収集し、出所を明らかにしかねないメタデータなどの識別情報を消去した上[24]で顧客に配布するシステムである「Beyond」プラットフォームのチームを率いていた[25]。
警察によると、手口の一つとして、内務省ネットワークに接続された端末にインストールされていたリモートアクセス型トロイの木馬(RAT)が利用されていた。RATは、コンピューターの遠隔操作、データの窃取、キーロギング、ユーザーの監視を可能にするマルウェアである[26]。被害者に気付かれないうちに被害者のコンピューターに監視ソフトをインストールした事例もあった[27]。
腐敗した内部関係者[28]が標的システムにRATをインストールしたとみられる一方で、複数の警察官が高度に制限された[29]SDIにイコライズ社に代わって[30]アクセスした疑いがある。
ガッロが警察で省庁間協力の経験があったこと[31]や、カラムッチがデータベース設計者やデータベース所有者との職業上のつながりがあったことも[32]アクセスを容易にし、イコライズ社が不正アクセスの警告を表示させずにデータの複製を入手できた可能性がある[33]。また、専門家はルールを安全対策ではなく取るに足らない妨げとして扱うような緩んだセキュリティ文化についても指摘している[34]。
初めての事例ではない
イコライズ事件は最近、ローマに拠点を置く同様の秘密民間調査会社「スクアドラ・フィオレ」への捜査と併せて行われるようになっている[35]。さらに、2024年には他にも類似の事件が明るみに出た。9月には、イタリア財務警察のパスクアーレ・ストリアーノ警察中尉が、数千件の財務記録を違法に入手し、ジャーナリストに渡していたとして起訴された。中尉は「疑わしい取引の届出」の捜査では通常の行為であると弁明したが、検察側はダウンロード量(最大で1日あたり1万ファイル)を踏まえると通常とはいえないと主張した[36]。10月には、元銀行員のヴィンチェンツォ・コヴィエッロが数千人の重要顧客の口座情報に違法にアクセスしたとして起訴された。当局は、個人的な好奇心から行われたと思われるアクセスが、数カ月にわたって阻止されずに続いてきたことを懸念している[37]。
教訓
イコライズ事件はイタリア独自の背景の影響を受けているものの、日本を含む他国のデータセキュリティに関して貴重な教訓となっている。
一つ目の教訓は、「誰が見張り番を見張るのか」という古くからの問題である。イタリアでは、法執行部門を含め、機微なデータの保護を所管する当局が機能不全に陥っていたか、腐敗していたか、あるいは警告を単に面倒なものとして無視していたようである。強固な抑制と均衡を確保することは、機微なデータを扱う者たちの倫理基準を維持するために不可欠である。イタリアの情報機関はより厳格なアクセス管理・システム設計ガイドラインを発行したが[38]、他国は同様のスキャンダルを回避するために未然に措置を講じ、見張り番が道を踏み外した場合に備えてフェイルセーフの設計を検討すべきである。
もう一つの教訓は、機微なデータの共有に関するものである。日本をはじめとする各国が「信頼性のある自由なデータ流通(DFFT)」などの取り組みを支持し、国際的なデータの共有や連携を推進しようとしているが[39]、今回のような事件は、越境データに信頼性を求める際に、国内で強固なデータ保護措置が必要であることを浮き彫りにしている。個人情報についていえば、日本では個人情報保護法がデータ主体の権利や事業者の義務を規定している[40]。しかし、同法の実施メカニズムは事業者のデータセキュリティ向上を効果的に促進するには弱すぎるとの批判があり[41]、同法強化の改正案が提示されているものの、依然検討段階にある[42]。セキュリティ対策と違反に対する適切な対応を確立することは、信頼性のあるデータ共有のグローバル枠組みを構築する上で重要である。国内に強固な基盤がなければ、DFFTなどの取り組みの信頼性や安全性が損なわれるおそれがあるからだ。
最後の教訓は、いわゆる「回転ドア(政府機関などの公共部門と、民間部門、特に関係産業との間で職を行き来すること)」のリスクに関するものである。こうした慣行は、採用企業にとって、人脈づくりの可能性の拡大、ロビー能力の強化、政府資金へのアクセス向上などの利益をもたらす[43]。さらに、「回転ドア」は、サイバーセキュリティなどの専門分野では、専門家の需要が高まる一方で供給が限られていることを踏まえれば、ほぼ不可避であるように思われる。また、民間部門で働いた後に公共部門に戻ることで、経験やスキルの多角化につながる[44]。しかし、こうした現象は利益相反[45]や、サイバーセキュリティでは、機微な情報の自発的・非自発的な移転といった懸念が生じるおそれがある[46]。したがって、リスク軽減と柔軟性の両立を図るルールを策定しなければならない。こうしたルールは現地の事情や法律に左右されるものの、例えば、官民を行き来する人材を対象に転職期間や顧客アクセスを制限することや、離職時のデータ管理を厳格に行うことが挙げられる。イタリアには「回転ドア」に対する規制がなく[47]、このことがイコライズ社の違反疑惑の一因となった可能性がある。日本は2000年代に同様の慣行である天下り(退職した高級官僚がかつて監督対象だった民間産業で優先的に雇用されること)を規制する法律を制定したことを踏まえれば、日本はこれに比べて体制が整っているはずである[48]。しかし、サイバー分野の専門家不足が「回転ドア」の環境につながることは避けられないため、機微なデータの不正使用を防ぐための適切かつタイムリーな監視が必要である。
結論として、各国のデータプライバシーへのアプローチは柔軟性と監視の両立を図らなければならず、イコライズ事件のような事例は、規制強化と違反防止の方法を知る一助になるだろう。
(2025/05/07)
脚注
- 1 Il Sole 24 Ore, “Inchiesta hacker: i dossieraggi, i clienti e le vittime. Cosa sappiamo finora” (Hacker investigation: illegal dossiers, clients, and victims. What we know so far), October 29, 2024.
- 2 Alessandro Patella, “Chi è Enrico Pazzali, il manager a capo del gruppo accusato di spiare i politici” (Who is Enrico Pazzali, the manager leading the group accused of spying on politicians?), Wired, October 28, 2024.
- 3 調査を規制する法律には、以下に挙げるイタリアの法律が含まれる。イタリアデータ保護機関(脚注4を参照)や欧州連合によるデータプライバシー法、業界団体による規則もこの分野における規制に寄与している。Gazetta Ufficiale, “Regio Decreto 18 giugno 1931, n. 773” (Royal Decree June 18, 1931, no. 773); Gazetta Ufficiale, “Ministero Dell’Interno – Decreto 1 dicembre 2010, n.269” (Ministry of the Interior - Decree No. 269, December 1, 2010); Federpol, “Codice Etico-Deontologico Federpol 2021” (Federpol’s 2021 Ethics Code)
- 4 Garante Privacy, “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018” (Ethical rules on processing personal data for defensive investigations or to assert or defend a right in court, published pursuant to Article 20(4) of Legislative Decree No. 101 of August 10, 2018, December 19, 2018); Codice Penale, Art. 615 ter (Penal Code, Article 615 Third).
- 5 Bart Custers, Francien Dechesne, Alan M. Sears, Tommaso Tani, Simone van der Hof, “A comparison of data protection legislation and policies across the EU,” Computer Law & Security Review, Vol 34 Issue 2, April 2018, 234-243.
- 6 Ben Wolford, “What is GDPR, the EU’s new data protection law?”, GDPR.eu
- 7 Sky TG24, “Inchiesta dossieraggio, cos'è e cosa è successo: dagli hacker coinvolti agli spiati,” (Investigation on illegal dossiers: what it is and what happened, from hackers to victims), October 28, 2024.
- 8 Il Post, “Da dove vengono questi dati rubati allo Stato” (Where does the stolen state data come from), October 29, 2024.
- 9 イタリアでは、内務省が国内の公共治安の監督、旅券等のさまざまな書類の取り扱い、国家警察、消防局、市民保護局の統括を担当している。Il Sole 24 Ore, “Inchiesta Hacker.”
- 10 同上。
- 11 Riccardo Piccolo, “Sdi, come funziona la banca dati più sensibile delle forze dell'ordine che è stata ‘violata’” (Sdi, how the most sensitive “hacked” law enforcement database works), Wired, October 28, 2024.
- 12 Il Post, “Da dove vengono questi dati.”
- 13 Unita di Informazione Finanziarie per l’Italia, “The reporting of suspicious transactions.”
- 14 Philip Wilan, “Italian police arrest four after president’s email ‘hacked’,” The Times, October 27, 2024.
- 15 Matteo Runchi, “Dossieraggio sui politici, come Equalize violava le più importanti banche dati dello Stato” (Illegal dossiers on politicians: how Equalize hacked key state databases), QuiFinanza, October 28, 2024.
- 16 Sky TG24, “Inchiesta dossieraggio.”
- 17 Alexander Martin, “Dozens under investigation in Italy amid scandal over hacked government databases and illegal dossiers”, The Record, October 28, 2024.
- 18 Gabriele Caramelli, “Nuova bufera su Report per i “dossier” di Equalize. Il giornalista Mottola nega e annuncia querela” (More turmoil for Report over Equalize’s ‘dossiers’: journalist Mottola denies and sues), Il Secolo d’Italia, December 17, 2024.
- 19 Il Sole 24 Ore, “Inchiesta hacker.”
- 20 Sky TG24, “Inchiesta dossieraggio.”
- 21 Hannah Roberts and Antoaneta Roussi, “Vatican, Israel implicated in Italy hacking scandal, leaked files reveal,” Politico, November 1, 2024.
- 22 Sky TG24, “Inchiesta dossieraggio.”
- 23 Il Sole 24 Ore, “Inchiesta hacker.”
- 24 Matteo Runchi, “Dossieraggio sui politici”
- 25 Giorgia Venturini, “Chi è Nunzio Calamucci, l’hacker di Equalize a cui i clienti si rivolgevano per lavori milionari” (Who is Nunzio Calamucci, Equalize’s hacker clients hired for million-dollar jobs?), Fanpage.it, October 30, 2024.
- 26 Malwarebytes Labs, “Remote Access Trojan (RAT).”
- 27 Il Sole 24 Ore, “Inchiesta hacker.”
- 28 Paolo Ottolina, “Dossieraggio e hacker, come tutelarsi dagli ‘spioni’ e le parole per capire il caso Equalize (da Sdi a Rat)” (Illegal dossiers and hackers: how to protect yourself from 'spies' and key terms to understand the Equalize case, from Sdi to Rat), Corriere Della Sera, October 27, 2024.
- 29 Riccardo Piccolo, “Sdi, come funziona.”
- 30 Il Post, “Da dove vengono questi dati.”
- 31 Francesco Bechis and Valeria Di Corrado, “Dati rubati, così gli ex agenti segreti bucavano il Viminale: ‘Cortocircuito del sistema’. Il trucco di Calamucci: ‘La manutenzione’” (Stolen data, how former secret agents penetrated the Ministry of the Interior: ‘System's short-circuit’. Calamucci's trick: ‘Maintenance’), Il Messaggero, October 31, 2024.
- 32 Philip Wilan, “Italian police arrest four.”
- 33 Paolo Dimalio, “Spioni negli archivi riservati? Gli esperti: ‘Colpa dei dipendenti infedeli, la favola degli hacker copre l’omessa vigilanza ai piani alti’” (Spies in confidential archives? Experts: 'Blame untrustworthy employees, the hackers’ story hides failure to supervise at the top'), Il Fatto Quotidiano, November 12, 2024.
- 34 同上。
- 35 Giuliano Foschini, “I dossier sui politici della squadra Fiore, si indaga sui legami con l’intelligence” (Squadra Fiore dossiers on politicians, intelligence ties under investigation), La Repubblica, February 3, 2025.
- 36 Giovanni Bianconi, “Dossieraggi, 230 mila gli atti scaricati e altri accessi su Crosetto. Cantone: attività inspiegabile” (Illegal dossiers, 230,000 records downloaded and other accesses on Crosetto. Cantone: inexplicable activity), Corriere Della Sera, September 24, 2024.
- 37 Luca Pons, “Inchiesta Bari, ora è indagata anche Intesa Sanpaolo nel caso del bancario che spiava i conti dei vip” (Bari inquiry: Intesa Sanpaolo now under investigation in case of banker spying VIPs' accounts), Fanpage.it, October 14, 2024.
- 38 Ivan Cimarrusti, “Database di Stato violati, informazioni protette su più livelli di controllo” (State databases hacked, multi-layered information protection), Il Sole 24 Ore, December 3, 2024.
- 39 Japan Digital Agency, “Overview of DFFT.”
- 40 Hemangi Gokhale, “Improving Data Privacy for Japan - APPI and GDPR Case Study,” The Economic Review of Japan University of Economics, Vol 52 No.1 (December 2021), 159-166.
- 41 同上。
- 42 Hiroyuki Tanaka, Kohei Shiozaki, “Japan's DPA publishes interim summary of amendments to data protection regulations,” International Association of Privacy Professionals, July 11, 2024.
- 43 Sharon Belli and Jan Beyers, “The Revolving Door and Access to the European Commission: Does the Logic of Influence Prevail?,” Journal of Common Market Studies, vol. 62 no.1 (2024), 186-204; Trevor Incerti, “Who benefits from the revolving door? Evidence from Japan,” OSF Preprints, November 21, 2024.
- 44 Mark Pomerleau, “New DOD cyber workforce strategy aims to ease revolving door between government and industry,” Fedscoop, March 10, 2023.
- 45 LobbyFacts.eu, “The revolving door – from public officials to Big Tech lobbyists”, Corporate Europe Observatory, September 20, 2022.
- 46 Sandro Gaycken, “Unlearned Lessons: Why They are so Hard to Learn, and What Could Actually Help,” The Cyber Defense Review, Vol 7 No1, Winter 2022, p. 72.
- 47 Giuseppe Pipitone, “Porte girevoli tra politica e affari, la legge che non c’è: così ex ministri e parlamentari sono diventati lobbisti pagati dai privati” (Revolving doors between politics and business, the missing law: how former ministers and parliamentarians became lobbyists paid by private parties), Il Fatto Quotidiano, April 21, 2021.
- 48 Sota Kato, “Getting to the Root of Amakudari: Sweeping Reform Needed to Close the Revolving Door,” The Tokyo Foundation for Policy Research, June 13, 2017.