ラテンアメリカの個人データが、メッセージングアプリ「テレグラム(Telegram)」上で違法に売買されており、一部は国家のデータベースと関係している可能性があることが、地域NGOのDerechos Digitalesの調査で明らかになった。
同団体が作成した報告書「売られる個人情報:ラテンアメリカにおけるTelegram上の個人データの違法売買市場(Identidades en venta: el mercado ilegal de compra y venta de datos personales latinoamericanos en Telegram)」は、ラテンアメリカにおける個人データの違法な売買市場がTelegram上で存在し、実際に機能していることを記録するものである。2024年10月から2025年2月にかけて、ブラジル、ペルー、アルゼンチンで実施された実証的調査に基づき、個人情報の商取引に特化した27のグループとチャンネルが活動中であることが確認された。
調査結果の概要
調査では、3カ国で活動する27のグループやチャンネルを特定している。これらはボット(bots)とデジタル決済スキームを介して運営され、個人情報—識別番号、住所、金融履歴、職務経歴、健康情報、家族情報などの機微情報—に短時間で即座にアクセスできる仕組みになっている。アクセス方法は、無料の限定検索と有料の完全アクセスに分かれ、個人のアイデンティティが経済的価値をもつ資源として変換されることを示している。
報告書はさらに、ボットによって提供される情報の詳細を列挙している。氏名、国民身分証明書(Documento Nacional de Identidad:DNI)、労働者識別番号(Código Único de Identificación Laboral:CUIL)、手続番号、写本番号、発行日・有効期限、国籍、性別、生年月日、死亡通知などが整理された一覧として提供される場合があるという。
住所情報も詳細で、通り名、番地、地区、郵便番号、都市、自治体、州や県、さらには階数やモノブロック単位まで含まれることがある。場合によっては Google Maps への直接リンクが付与され、居住地のジオロケーションが容易になり、追跡、私的監視、嫌がらせ、誘拐などのリスクが大幅に高まると指摘されている。
観察された証拠の一部は、直接的または間接的に公的データベースや公式記録に由来する可能性を示している。フォーマット、専門用語、技術構造の一致、公的機関のマークの存在などから、国家による情報管理に潜在的脆弱性があることが示唆される。
報告書は、この現象が公共サービスのデジタル化が加速している地域的背景の下で発生しており、安全性、監査、透明性の仕組みが十分でないことから、情報の二次利用や不測のリスクが拡大していると警告している。
技術的分析と具体例
技術的な分析により、次の具体例が明らかになった:
- ブラジル:ボットを通じて職務情報、金融履歴、社会保障関連登録情報など、公式システムに類似した構造化データにアクセス可能であることが確認された。
- ペルー:写真、署名、指紋を含む身分証明書が売買され、個人情報の詐取(フィッシング)につながる恐れがあることが報告された。
- アルゼンチン:調査対象グループの一部が、公共機関の命名規則やデータ構造に類似した形式で個人情報を流通させていることが確認された。
調査では、流通する情報の形式や構造、命名規則が公式記録と一致することが観察され、公共情報管理における潜在的な脆弱性が示唆された。なお、この現象は三か国に限定されず、地域内の他国のデータも越境的に流通していることが確認されている。
アルゼンチンの事例:先駆的法規制と課題
報告書は、アルゼンチンにおける技術的・政治的・法的文脈にも言及している。特に、個人データ保護法(Ley 25.326 de Protección de Datos Personales) による規制が導入され、同国が個人情報保護において先駆的であったことを強調している。
しかし、報告書は二つの深刻な課題も指摘する:
-
情報漏洩とサイバー攻撃
2021年、国民身分登録局(Registro Nacional de las Personas:Renaper) による11万6千枚の写真が漏洩し、Telegramで不適切に共有されたことが問題となった。同年には、サイバー攻撃によって運転免許システムの公的データベースが侵害され、600万人以上の市民がリスクにさらされた。 -
情報機関の構造変更
ハビエル・ミレイ(Javier Milei)政権下で、国家情報局(Secretaría de Inteligencia del Estado:SIDE)が復活。これにより、政府は「自らの政策への公共の信頼を損なう」と判断した人物に関する情報を収集できる権限を持つことになった。報告書は、透明性や民主的監視の欠如に対する懸念が深まると指摘している。
報告書は警告する。「国家情報機関の閉ざされた構造の下でサイバーセキュリティ政策を策定し、民主的コントロールが欠如すると、国家戦略は独立性を失い、効果的な実施能力も損なわれる。公式戦略が市民や重要インフラの保護を保証する代わりに、自治性の欠如がテレグラム上での公的データの不適切利用への対応能力を著しく制限する」としている。
構造的脆弱性
調査の結果、ラテンアメリカ特有の構造的脆弱性は主に三つの側面に分けられる:
- 法的側面:三か国はいずれもデータ保護法、サイバーセキュリティ戦略、コンピュータ犯罪に関する刑事法を整備しているが、公共部門によるデータ処理に関して顕著な法的空白が残存している。
- 制度的側面:規制を施行する当局は独立性、資源、能力を欠き、国家自身を監督することが困難である。
- 情報セキュリティの側面:公共機関は堅牢なセキュリティ方針を欠き、既知の漏洩事例が存在するため、情報保護文化が未成熟であり、より深い理解と対策が必要である。
社会的リスク
違法市場によるリスクは単なる技術的問題にとどまらない。テレグラム上で個人情報が容易に入手可能となったことで、技術を媒介とした性別に基づく暴力や児童・青少年への新たな侵害のリスクが増大している。
- 女性や少女、少年、LGBTIQA+の人々は高リスクである。
- 具体例として、テレグラムで入手または拡散された個人情報が恐喝、嫌がらせ、脅迫に利用され、児童やその家族に直接影響を及ぼすケースも確認されている。
データの搾取は既存の不平等や権力構造と交差し、統制、沈黙、再被害化のメカニズムとなることが示されている。
提言
報告書は、ラテンアメリカにおけるデータ保護の構造的欠陥を克服するために以下を提言している。
- 公的データのガバナンスとセキュリティを強化すること
- 監督権限を持つ当局に自律性と資源を付与すること
- サイバーセキュリティやデータ保護政策にジェンダーや児童の視点を統合すること
- 越境的なデータ流通への地域協力と説明責任の仕組みを構築すること
- テクノロジープラットフォームに積極的な責任を求めること
これにより、制度的能力の強化、被害者救済の確保、人権に基づく国家デジタル化の促進が可能になる。
専門家が指摘するリスク
ラテンアメリカ・デジタル防衛・レジリエンスプログラム(Programa Latinoamericano para la Resiliencia y Defensa Digital)のリーダー、ラファエル・ボニファス(Rafael Bonifaz)は次のように述べた。
国家は市民にサービスを提供するためにデータを収集する。これはセンシティブな情報であり、適切に管理されなければ市民の安全が脅かされる。この調査で明らかになったのは、公共情報の保護にはまだ課題があり、Telegramのようなプラットフォームでは容易にアクセスされ得るということである。
ボニファスはさらに、公共部門による情報管理には規制の空白が存在し、監督機関の自律性が制限されていることや、制度的なセキュリティ運用にも弱点があると指摘する。
また、アクセスコストが非常に低く、悪意のある者が少額で他人の機微情報を入手できる点にも警鐘を鳴らした。ボニファスによれば、居住地、家族構成、収入、電話番号などの情報が容易に取得可能であり、リスクは極めて高いという。最後にボニファスは結論として、こう述べた。
私たちが収集した情報は非常に懸念すべきものである。各国政府はプラットフォームを規制し、市民の情報をより適切に保護する方法を模索すべきである。
報告書は、既存の法制度を実効的なデータ保護に翻訳することの困難さや、公共データのガバナンスとセキュリティ強化の必要性を強調しており、ラテンアメリカにおける個人情報保護の課題を浮き彫りにしている。
参考資料:
1. Investigación revela mercado ilegal de datos en Telegram con posibles vínculos a bases estatales en América Latina
2. Alerta por la comercialización ilegal de datos personales
No Comments