リスクの拡大、禁止措置の増加
ティックトックに対する措置は目新しく感じられるかもしれないが、実のところ、サイバーセキュリティ上の懸念を理由に、国がプロダクトやサービスを禁止する事例の最新版にすぎない。筆者らは約20年前から、31カ国以上が関与する75件以上の類似ケースについて研究してきた(ただし、そのほとんどは過去5年間に起きたものだ)。
たとえば、ドイツ政府は2017年、米国製おしゃべり人形「マイフレンド・カイラ(My Friend Cayla)」の輸入販売を禁止した。人形と人間の会話が米国のサーバーで処理されるため、というのがその理由だ。
2016年には、リンクトインがロシア人ユーザーの個人情報をロシア国内のサーバーに保管することを拒否したため、ロシアでリンクトインへのアクセスが遮断された。さらに米政府は2017年、ロシアのコンピュータセキュリティ会社カスペルスキーがロシア政府とつながっている疑いがあるとして、米政府機関の情報システムから同社製品を排除するよう命じた。
それ以前にも、有名な類似ケースが多々あった。たとえば、2009年に中国がフェイスブックやツイッター、グーグルを遮断した時や、2010年にブラックベリーがインド、パキスタン、サウジアラビア、アラブ首長国連邦で禁止された、あるいは禁止の脅しを受けた時などだ。
コンピュータを含むプロダクト、もしくはコンピュータを使用したサービス(いまや、ほぼすべてが該当する)であれば、どのようなものでもサイバーセキュリティ上のリスクをもたらすおそれがある。そのため、政府によって禁止される頻度とその影響は拡大している(筆者の電動歯ブラシにもコンピュータが搭載されていて、インターネットにつながっている)。
こうしたプロダクトやサービスに使われている、無数のソフトウェアやファームウェアを検証することは、現実問題として不可能だ。したがって、リスクがあるという認識に基づいて、禁止の決定が下される。その認識は、信頼やサイバーセキュリティのリスク管理能力といった要因に左右される。
これまでに制限を課されたプロダクトやサービスは、医療機器からビデオ会議サービス、ソフトウェアプロダクト、セキュリティソフトウェア、ソーシャルメディア、セキュリティカメラ、金融ITシステム、ドローン、スマートフォン、スマート玩具、オンラインコンテンツサービス、衛星通信、AIソフトウェア、そして金融サービス(国際的な資金移動や決済システムを含む)まで多岐にわたる。
OECD(経済協力開発機構)のデジタルサービス貿易制限指標(デジタルSRTI)によると、2014~2019年に、主要46カ国のうち13カ国がデジタル貿易に対する制限を拡大した。逆に、制限を縮小した国は4カ国しかなかった。
一般に、リスクを管理する戦略は4つだ。すなわち、受け入れる、回避する、縮小する、あるいは移転する。一方、外国のデジタルプロダクトおよびサービスがもたらすサイバーセキュリティリスクを、国家や企業が管理する方法は多数ある。残念ながら、プロダクトの禁止は頻繁に起きるようになっているが、あまり持続可能な戦略とはいえないようだ。
