Obfuscation: A User’s Guide for Privacy and Protest

プライバシーと抗議のユーザーガイド

フィン・ブラントン ヘレン・ニッセンバウム MIT Press

目次

• 謝辞 ix
• はじめに 1
• I 難読化用語
  • 1 コアケース 8
    • 1.1 チャフ：軍事レーダーの欺瞞 8
    • 1.2 Twitter ボット：チャンネルをノイズで埋める 9
    • 1.3 CacheCloak：位置追跡なしの位置情報サービス 12
    • 1.4 TrackMeNot：本物と人工の検索クエリを混ぜ合わせる 13
    • 1.5 リークサイトへのアップロード：重要なファイルを埋もれさせる 14
    • 1.6 偽りの手掛かり：訓練された観察者を欺くパターンを作る 15
    • 1.7 グループの同一性：1つの名前で多数の人々 15
    • 1.8 同一の協力者と対象：1つの服装で多数の人々 16
    • 1.9 過剰な文書化：分析を非効率にする 17
    • 1.10 SIMカードの入れ替え：モバイルターゲティングを不確実にする 18
    • 1.11 Tor リレー
    • 他人の代理でリクエストを行い、個人トラフィックを隠蔽する 19
    • 1.12 バベルのテープ：音声に音声を隠す 21
    • 1.13 オペレーション・ヴーラ：アパルトヘイトとの闘いにおける難読化 21
  • 2 その他の例 25
    • 2.1 巣を編む蜘蛛：動物の難読化 25
    • 2.2 誤った命令：難読化を利用してライバル企業を攻撃する 25
    • 2.3 フランスのデコイレーダーの配置：レーダー探知機を欺く 26
    • 2.4 AdNauseam：すべての広告をクリックする 26
    • 2.5 Quote stuffing：アルゴリズム取引戦略を混乱させる 27
    • 2.6 ポイントカードの交換による買い物パターンの分析を妨害する 28
    • 2.7 BitTorrent Hydra：偽のリクエストを使用してアドレス収集を妨害する 29
    • 2.8 意図的に曖昧な表現：代理機関を不明瞭にする 30
    • 2.9 匿名テキストの難読化：文体分析を阻止する 31
    • 2.10 コードの難読化：人間には不可解だが、機械には不可解ではない 33
    • 2.11 個人に関する偽情報：個人を消し去るための戦略 35
    • 2.12 Appleの「クローニングサービス」特許：電子プロファイリングの汚染 36
    • 2.13 Vortex：ゲームと市場としてのクッキーの難読化 37
    • 2.14 「ベイズ推定の洪水」とオンラインアイデンティティの価値の「アンセリング」 38
    • 2.15 FaceCloak：隠蔽の隠蔽 39
    • 2.16 難読化されたファーム：操作の兆候を隠蔽する 40
    • 2.17 URME 監視：「アイデンティティの補綴」による抗議の表明 40
    • 2.18 矛盾する証拠の捏造：調査を混乱させる 41
• II 難読化の理解
  • 3 なぜ難読化が必要なのか？ 45
    • 3.1 難読化の概要 45
    • 3.2 情報の非対称性の理解：知識と権力 48
    • 3.3 オプトアウトの幻想 53
    • 3.4 弱者の武器：難読化がもたらすもの 55
    • 3.5 難読化と強固なプライバシーシステムの区別 58
  • 4 難読化は正当化されるか？ 63
    • 4.1 難読化の倫理 64
    • 4.2 倫理から政治へ 70
  • 5 難読化は機能するのか？ 84
    • 5.1 難読化は目的を達成するための手段である 85
    • 5.2 私は難読化を… 87…
      • 時間を稼ぐために 88…
      • 隠蔽のために 88…
      • 否認のために 89
      • 個人の暴露を防ぐため 89
      • プロファイリングを妨害するため 90
      • 抗議の意思表示をするため 90
    • 5.3 私の難読化プロジェクトは
      • 個人的なものか、集団的なものか？ 91
      • 周知のものか、未知のものか？ 92
      • 選択的なものか、一般的なものか？ 92
      • 短期のものか、長期のものか？ 94
• エピローグ 97
• 注釈 99
• 参考文献 113
• 索引 121

謝辞

本書はテクノロジー、つまり TrackMeNot プロジェクトから始まった。このプロジェクトを立ち上げたダニエル・ハウ氏、そしてこのプロジェクトに参加し、その範囲を拡大し、現在もそのプロジェクトとその採用者を精力的にサポートしているヴィンセント・トゥビアナ氏に、心からの感謝を捧げたい。ユーザーコミュニティやプライバシー保護コミュニティ全体からのフィードバックやコメント、そしてラクシュミナラヤナン・スブラマニアン氏との共同技術論文（ヴィンセント・トゥビアナ氏、ラクシュミナラヤナン・スブラマニアン氏、ヘレン・ニッセンバウム氏著「TrackMeNot: Enhancing the Privacy of Web Search」）は、その潜在的可能性と限界について我々の目を開かせてくれた。さらに最近では、デザイナーのMushon Zer-Aviv氏とのコラボレーションにより、Daniel Howe氏とともに第二のシステムAdNauseamを開発し、公開したことで、難読化についての見解がさらに広がり、その手法や戦略が提供するものをより深く体系的に理解する必要性についても認識を深めることができた。

難読化についての一般的な理解を深める作業を開始すると、First Monday誌に掲載された論文や『プライバシー、適正手続き、そして計算論的転回』の章で取り上げた多くの概念をさらに掘り下げていくことができた。これらの論文は、その場で得られたレビューや編集者のフィードバックから多大な恩恵を受けた。

難読化は、査読者の方々や、MIT PressのMarguerite Avery、Gita Manaktala、Susan Buckley、Katie Helke、Paul Bethgeの皆さんの励ましと的確なアドバイスのおかげで、一冊の本にまとめることができた。 皆さんに感謝の意を表したい。エミリー・ゴルドシャー・ダイヤモンドは、研究助手として綿密な作業を行い、このプロジェクトの多くの側面を組織した。この本の草稿の作成は、全米科学財団（ITR-0331542：ワイヤードワールドにおける機密情報）、EAGER（CNS-1355398： 「将来のインターネットアーキテクチャのための設計における価値 – 次段階」）、米国空軍科学研究所（MURI-ONR BAA 07-036: 「共同政策と確実な情報共有」）、インテル科学技術センター（ソーシャルコンピューティング）からの助成金によって支えられていた。これらの助成金による支援は、このプロジェクトを推進し、実現させるための時間、技術、そして協力的な環境を提供した。

難読化に関する私たちの考え方を形作り、洗練する上で、2つの主要なイベントが役立った。1つは、ニューヨーク大学メディア・文化・コミュニケーション学部と情報法研究所が共同開催し、インテル科学技術センター社会コンピューティング部門が共催した「難読化に関するシンポジウム」（2014年2月15日）である。このイベントの実現に尽力してくださったNicole Arzt、Emily Goldsher-Diamond、Dove Helena Pedlosky、Melissa Lucas-Ludwig、Erica Robles-Anderson、Jamie Schulerの皆さま、そして何よりも、この日のイベントの多くを企画、構成、運営してくださったSeda Gürsesに感謝の意を表したい。講演者一人ひとりが、私たちの原稿に直接的な影響を与えた。もう一つのイベントは、NYUのプライバシー研究グループ（PRG）で継続中の会話であり、私たちはその週ごとのセミナーで、この資料のいくつかの段階を発表した。PRGでの議論がなければ、この本は最終的な形にはならなかっただろう。関係者全員に感謝の意を表したい。

この作品の側面を発表し、検証するその他の機会は、非常に生産的であった。支援者、批評家、信奉者、懐疑論者の反応によって、私たちのアイデアは大幅に改善された。こうした機会には、MIT市民メディア・比較メディア研究センター共催の討論会、ニュースクール・フォー・ソーシャルリサーチ2014年卒業生会議、テルアビブのニューメディアサロン、エルサレム・ヘブライ大学コミュニケーション・ジャーナリズム学部セミナー、ハイファのIBM研究開発研究所、アイビーム・アート＋テクノロジーセンター、HotPETS 2013、ブリュッセルの「コンピューター、プライバシー、データ保護」、クイーンズ大学の「監視研究会議」などが含まれる。

私たちは、難読化について議論し、フィードバック、批判、激励、アイデアを提供してくれた友人や同僚に深く感謝している。特に、Julia Angwin、Solon Barocas、danah boyd、Claudia Diaz、Cynthia Dwork、Cathy Dwyer、Tarleton Gillespie、Mireille Hildebrandt、Ari Juels、Nick Montfort、Deirdre Mulligan 、アルヴィンド・ナラヤナン、マルティン・ヴァン・オッターロー、アイラ・ルビンスタイン、イアン・スピロ、ルーク・スターク、キャサリン・ストランドバーグ、マシュー・ティアニー、ジョー・トゥロウ、ジャネット・ヴェルテシ、タル・ザースキー、マルテ・ジヴィッツ、イーサン・ザッカーマン。

最後に、この本の出版は、私たちのプロフェッショナルな拠点であるニューヨーク大学メディア・カルチャー・コミュニケーション学部からの支援なしには実現しなかった。皆さまに感謝いたします。

はじめに

私たちはこの本で革命を起こそうとしている。しかし、それは大きな革命ではない。少なくとも、最初は。私たちの革命は、抜本的な改革や、社会のゼロ年的な全面的な再構築、あるいは新しいテクノロジーの隙間なく完璧に画一的な採用に依存するものではない。それは、日常生活、映画、ソフトウェア、殺人ミステリー、さらには動物界において利用可能な既存の要素、すなわち哲学者が「手近にある道具」、技術者が「商品ハードウェア」と呼ぶものの上に築かれる。その手法の語彙は、専制者や権威主義者、秘密警察によって利用されてきたし、今も利用されているが、私たちの革命は、小規模なプレーヤー、謙虚な人々、行き詰まった人々、すなわち、私たちのデータ発信を拒否したり、オプトアウトしたり、コントロールしたりする立場にない人々にとって特に適している。私たちの限られた革命の焦点は、今日のデジタル監視を軽減し、打ち負かすことにある。私たちは、回避、非遵守、明確な拒否、意図的な妨害、および利用規約に従った利用のための、既存の拡大するツールキットに、概念と技術を追加していく。敵対者、目標、リソースに応じて、私たちは、姿を消す方法、時間を浪費させ分析を妨害する方法、悪戯的な不服従、集団的な抗議、大きなものから小さなものまで個人の救済行為のための方法を提供する。私たちは、一般化してポリシーやソフトウェア、行動に組み込むことのできる共通のアプローチを共有する、確立されたものから新興のものまで、あらゆる事例の全体像を描き出す。この概要は、私たちの小さな大きな革命の旗印であり、その領域は「難読化」と呼ばれる。

簡単に言えば、難読化とは、監視やデータ収集を妨害するために、あえてあいまいな、混乱を招く、あるいは誤解を招く情報を追加することである。 難読化は単純なことだが、さまざまな複雑な応用や用途がある。 ソフトウェア開発者や設計者であれば、個人情報を収集・利用する必要のあるソーシャルネットワーキングや位置情報サービス、その他のサービスを提供しながら、自社ソフトウェアに難読化を組み込むことで、ユーザーデータを自分自身や自社を買収した企業からさえも守ることができる。また、難読化は、政府機関がデータの収集目標の多くを達成する一方で、悪用される可能性を最小限に抑える方法も提供する。そして、デジタル監視（およびその後の分析）の対象となることなく現代社会で暮らしたいと願う個人やグループにとって、難読化は歯車に砂を入れ、時間を稼ぎ、信号の群れに紛れるための手段のレキシコンとなる。本書は出発点となる。

私たちのプロジェクトでは、可視性、可読性、可聴性が求められる人々が、目立つ信号を雲や誤解を招く信号の層に埋めることで対応している、非常に異なる領域にわたる興味深い類似点を追跡してきた。私たちは、行為者が難読化戦略に訴える多様な状況に興味をそそられ、第1章と第2章で、この一般的な共通項を共有する詳細な事例を数十例紹介している。この2つの章は、本書のパート1を構成しており、難読化がとってきた多様な形態と形式のガイドを提供し、これらの事例がそれぞれの目標と敵対者に合わせてどのようにして作り出され、実装されているかを示している。ソーシャルネットワーク上でも、ポーカーテーブルでも、第二次世界大戦中の空の上でも、また顔認証システム、1980年代の南アフリカのアパルトヘイト政権、あるいはテーブルの向こう側にいる対戦相手といった形の敵対者と対峙する場合でも、適切に配置された難読化は、プライバシーの保護や、データ収集、監視、分析の阻止に役立つ。第1章と第2章で取り上げた状況や用途の多様性は、インスピレーションと刺激となる。難読化はあなたにとってどのような仕事ができるだろうか？

パート1で提示された事例は、難読化に関する基本的な問題を紹介し、その重要なアプローチを説明した物語にまとめられている。そのアプローチは、この本の第2部 でさらに詳しく検討され、議論される。第2部 では、より短い事例が難読化の応用範囲と多様性を示しながら、基本的な概念を補強する。

第3章から第5章では、プライバシーに関するさまざまな取り組みにおいて難読化が果たす役割、難読化の手法を用いることによって生じる倫理的、社会的、政治的な問題、特定のシナリオにおいて難読化が有効であるか、または有効となり得るかを評価する方法について考察することで、難読化に対する読者の理解を深める。難読化アプローチが有効であるかどうかを評価するには、難読化が他のツールと異なる点、およびその特定の弱点と強みを理解する必要がある。第3章から第5章のタイトルは質問形式になっている。

第3章で問われる最初の質問は、「なぜ難読化が必要なのか？」である。この質問への回答として、今日のデジタルプライバシーの課題が、難読化の有用性によってどのように解決できるかを説明する。私たちは、私たちのデータが、私たちが理解できない状況で、私たちが理解できない目的のために収集され、私たちが理解できない方法で使用される場合に発生する情報非対称性を、難読化がどのようにして緩和できる可能性があるかを指摘する。私たちのデータは共有され、売買され、管理され、分析され、応用される。そして、それらのすべてが私たちの生活に影響を与える。ローンやアパートの賃貸契約は承認されるだろうか？保険リスクや信用リスクはどの程度あるだろうか？ 受け取る広告はどのような基準で選ばれているのだろうか？ なぜ、多くの企業やサービスが、あなたが妊娠していることや、依存症に苦しんでいること、転職を計画していることを知っているのだろうか？ なぜ、異なる集団、異なる人口、異なる地域が、異なる資源配分を受けているのだろうか？ データ主導のテロ対策という、現在の時代を象徴する不吉な言葉にあるように、あなたは「リストに載っている」のだろうか？この領域における無害な、あるいは一見無害な活動でさえ、考慮に値する結果をもたらす。 難読化には、ガバナンス、企業行動、技術的介入の代替策として、あるいは、画一的な解決策としてではなく（繰り返しになるが、これは意図的に小規模で分散的な革命である）、プライバシー慣行のより大きなネットワークに適合するツールとして、果たすべき役割がある。特に、特定の時点において、あるいは全般的に、他の救済手段を利用できない人々、つまり、たまたま特定の情報力関係の弱者であるために最適に設定されたプライバシー保護ツールを展開できない人々にとって、特に適したツールである。

同様に、難読化をめぐる倫理的・政治的問題も、その文脈によって形作られる。社会政策からソーシャルネットワーク、個人の活動に至るまで、さまざまな領域で難読化が利用されることには深刻な懸念がある。第4章では、「難読化は正当化されるか？」という問いを投げかける。私たちは人々に嘘をつくこと、故意に不正確な情報を提供すること、あるいは商業的・市民的用途に潜在的に危険なノイズデータベースを「汚染」することを奨励しているのではないか？ターゲット広告（およびそのサービス）の料金を支払うために、自分に関するデータを公開している誠実なユーザーの善意に、商業サービスを利用する難読化技術者はただ乗りしているのではないだろうか？ また、このような行為が広く行われるようになった場合、私たちは処理能力と帯域幅を全体として無駄にすることになるのではないだろうか？ 第4章では、これらの課題を取り上げ、特定の難読化の事例が評価され、容認できるか否かが判断される道徳的および政治的計算について説明する。

難読化が達成できることとできないことは、第5章の焦点となる。暗号技術と比較すると、難読化は偶発的で、不安定な技術であると見なされる可能性がある。暗号化の場合、総当たり攻撃に対する正確なセキュリティの度合いは、鍵の長さ、処理能力、時間などの要因を参照することで計算できる。 難読化の場合、その強度はユーザーが何を達成したいか、また使用状況に応じてどのような具体的な障害に直面するかに依存するため、このような正確な計算はほとんど不可能である。 しかし、複雑性は必ずしも混沌を意味するものではなく、成功は依然として体系的な相互依存関係に対する注意深い配慮にかかっている。第5章では、難読化プロジェクトの6つの一般的な目標を特定し、それらを設計の次元に関連付ける。目標には、時間を稼ぐ、隠蔽する、否認する、監視を逃れる、プロファイリングを妨害する、抗議の意思表示をする、などが含まれる。特定する設計の側面には、難読化プロジェクトが個別か集団か、周知か非公知か、選択的か全体的か、短期か長期か、などが含まれる。例えば、難読化が採用されていることを敵対者が知っている場合、その目的によっては難読化は成功しない可能性がある。集団的な抗議や、正当な理由による妨害、否定の余地のある生産など、その他の目的の場合は、データが汚染されていることを敵対者が知っている方が望ましい。もちろん、これらはすべて、敵対者が利用可能なリソース、すなわち、敵対者が難読化情報の識別と排除に費やす時間、労力、注意、および資金がどれほどあるかによって左右される。これらの関係の論理は有望である。なぜなら、特定のケースについての推論から、その目的に応じた難読化の改善方法を学ぶことができるからだ。難読化は機能するのか？ はい、ただし文脈によってのみです。

では始めよう

I 難読化の用語

難読化の戦略は数多くある。それらはユーザーの目的（数分間の時間を稼ぐことやプロファイリング・システムを恒久的に妨害することなど）や、ユーザーが単独で作業しているか共同で作業しているか、対象や受益者、難読化される情報の性質、そして第2部で議論するその他のパラメータによって形作られる。（第1部 と II はそれぞれ独立して読むことができる。難読化の目的、倫理的・政治的ジレンマ、または、私たちが主張する、難読化がプライバシー対策ツールキットに有用な追加機能となる状況について疑問がある場合は、先に進むことをお勧めする。）しかし、その前に、難読化の多くの具体的な状況がどのようにパターンとして一般化されるかを理解していただきたい。一見ばらばらに見える出来事をひとつの見出しのもとに結びつけ、その根底にある連続性を明らかにし、同様の手法を他の状況や問題に適用する方法を提案することができる。難読化は、対処しようとする問題や阻止または遅延させたい敵によって形作られるが、その特徴は単純な状況にある。すなわち、監視を拒否または否定できないため、隠蔽したい情報を埋もれさせてしまうような、多くの妥当で曖昧かつ誤解を招くシグナルを作り出すのである。

現在における使用と発展の観点から最も顕著な難読化の例を挙げ、本書の残りの部分の参考となるよう、難読化の仕組みとそれが何をもたらすかを例示する一連の中核的な事例を選択した。これらの事例はテーマ別に分類されている。単純な類型化には適していないが、難読化に特有のさまざまな選択肢が、読者が読み進めるうちに明らかになるよう構成されている。これらの事例に加えて、難読化のその他の用途や、より特殊な状況における難読化の例をいくつか示す簡単な事例集も提示する。これらの事例と説明により、私たちが遭遇したすべての領域における難読化のインデックスが得られるだろう。難読化は、肯定的・否定的、効果的・非効果的、標的型・無差別型、自然・人工、アナログ・デジタルなど、さまざまな分野でさまざまな形態で現れる。

1 コアケース

1.1 チャフ：軍用レーダーの欺瞞

第二次世界大戦中、レーダーオペレーターがハンブルク上空の飛行機を追跡し、サーチライトと高射砲を、アンテナの掃射ごとに更新される蛍光ドットの位置に合わせて誘導していた。突然、飛行機を表すと思われるドットが急増し、表示がすぐに飽和状態となった。実際の飛行機はどこかに存在しているはずだが、「偽のエコー」が存在しているため、位置を特定することは不可能であった。1

その飛行機はチャフを放出している。チャフとは、アルミホイルで裏打ちされた黒い紙の短冊で、レーダーの目標波長の半分にカットされている。大量に投下され、空中を漂いながら、チャフはレーダー画面を信号で埋め尽くす。チャフは、レーダーが探知するように設定されたデータと完全に一致しており、レーダーが処理できる以上の数の「飛行機」を空全体に散らばらせている。

これは、妨害工作の手法の最も純粋でシンプルな例であると言えるだろう。実際の航空機が発見されることは避けられないため（当時、レーダーに探知されないように航空機を隠す方法などなかった）、チャフは、潜在的なターゲットを過剰に増やすことで、発見システムの時間と帯域幅の制約を圧迫した。チャフは地面に落下するまでの間しか機能せず、恒久的な解決策ではなかったが、この状況下ではそれは関係がなかった。レーダーの探知範囲を機体が通過する間、十分に長く機能すればよかったのだ。

第2部 で述べるように、多くの種類の攪乱は、時間を稼ぐ「捨て」の手段として最も効果的である。攪乱は数分間しか持続しないが、時には数分間が唯一必要な時間であることもある。

また、チャフの例は、難読化のアプローチを最も基本的なレベルで区別するのに役立つ。チャフは、エコー（本物そっくりの模造品）を生成することで、観測者の限られた範囲を悪用する。（フレッド・コーエンはこれを「おとり戦略」と呼んでいる。2） 後述するように、偽装のいくつかの形態は、本物だが誤解を招くシグナルを生成する。これは、ある車両の中身を守るために、他の複数の同一車両を伴ってその車両を送り出すことや、特定の航空機を守るために空を他の航空機で埋め尽くすことと似ている。一方、他の形態では、パターン抽出をより困難にするために、本物のシグナルをシャッフルし、データを混合する。殻を撒く者は敵について正確な知識を持っているため、殻はこれらのいずれも行う必要がない。

難読化システムの設計者が観測者の限界について特定かつ詳細な知識を持っている場合、彼らが開発するシステムは1つの波長で45分間しか機能しない。もし敵対者が観測に使用するシステムがより忍耐強い、あるいはより包括的な観測能力を備えている場合、敵対者の内部の意図、つまり、敵対者が監視を通じて得たデータからどのような有用な情報を引き出そうとしているのかを理解し、真正な信号を操作することでその意図を妨害しなければならない。

真正な信号の操作について述べる前に、チャネルにエコーを流し込むというまったく異なる例を見てみよう。

1.2 Twitterボット：チャネルをノイズで埋め尽くす

これから述べる2つの例は、対照的なものである。模倣品を製造することが彼らの難読化の手段であるにもかかわらず、第二次世界大戦から現代の状況、レーダーからソーシャルネットワークへと話が展開する。また、重要なテーマも紹介する。

第3章では、偽装工作は「弱者」、すなわち状況的に不利な立場に置かれている人々、非対称的な力関係の不利な立場に置かれている人々にとって特に適した手段であると論じている。結局のところ、これは、不可視化できない場合、つまり追跡や監視を拒否できない場合、単にオプトアウトしたり、専門的に保護されたネットワーク内で操作したりできない場合に採用する理由がある方法である。これは、強力な権力者たちがこの手法を採用しないという意味ではない。通常、抑圧的または強制的な勢力は、難読化よりも優れた手段を自由に利用できる。しかし、ロシアとメキシコの2つの選挙でそうであったように、強力な権力者たちにとっても難読化が有益となる場合がある。対立するグループが直面する選択肢を理解すれば、この種の難読化がどのように採用されるかが明らかになる。

2011年のロシア議会選挙で発生した問題に対する抗議活動中、投票箱への投票の不正操作やその他の不正行為に関する会話の多くは、当初はLiveJournal上で交わされていた。LiveJournalは、米国で誕生したがロシアで最も人気を博したブログプラットフォームであり、ユーザーベースの半分以上がロシア人である。3 LiveJournalは非常に人気があるものの、FacebookやGoogleの各種ソーシャルシステムと比較すると、ユーザーベースは非常に小さい。FacebookやGoogleの各種ソーシャルシステムと比較すると、そのユーザー数は非常に少なく、アクティブなアカウント数は200万未満である。4 したがって、LiveJournalは分散型サービス拒否（DDoS）攻撃によって比較的簡単にシャットダウンされてしまう。つまり、世界中に散らばるコンピュータを使用してサイトに大量のリクエストを送信し、サイトを公開しているサーバーが過負荷状態となり、正規ユーザーがアクセスできなくなるという攻撃である。LiveJournalに対するこのような攻撃は、モスクワでの抗議デモで活動家ブロガーが逮捕されたことと相まって、検閲への直接的なアプローチであった。5 では、いつ、なぜ難読化が必要になったのだろうか？

ロシアの抗議デモに関する会話はTwitterに移行し、それを妨害しようとする権力者たちは新たな課題に直面した。Twitterは膨大な数のユーザーベースを持ち、それにふさわしいインフラとセキュリティの専門知識を備えていた。LiveJournalのように簡単に停止させることはできなかった。米国を拠点とするTwitterは、LiveJournalの親会社よりも政治的な操作に抵抗できる立場にあった。（LiveJournalのサービスは、その目的のために米国で設立された企業によって提供されているが、同社を所有するSUP Mediaはモスクワに拠点を置いている。6）Twitterを完全に遮断するには、政府による直接的な介入が必要となる。LiveJournalへの攻撃は、プーチン/メドベージェフ政権の承認や支援を受けているかどうかは不明だが、ナショナリストのハッカーたちによって独自に行われた。7 したがって、Twitter上の政治的会話を阻止しようとする関係者は、難読化の使用法を探る中で、おなじみの課題に直面することになった。時間的制約があり、従来の対策手段は利用できなかった。その国でのTwitterのブロックや世界規模のサービス拒否攻撃といった直接的な技術的アプローチは不可能であり、政治的・法的アプローチも使えない。そのため、攻撃者はTwitterでの会話を停止するのではなく、ノイズで過負荷状態にするという方法を取った。

ロシアの抗議運動の際には、この難読化は、突然何千ものTwitterアカウントが発言し始め、ユーザーが抗議者たちが使用したのと同じハッシュタグを使ってツイートを投稿するという形を取った。8 ハッシュタグはツイートをグループ化する仕組みである。例えば、ツイートに#obfuscationを追加すると、記号#がその単語をアクティブなリンクに変える。ハッシュタグは、特定のトピックに関する一貫した会話を、大量のツイートを整理してまとめるのに役立つ。#триумфальная（抗議が行われたTriumfalnaya広場を指す）は、人々が怒りをぶつけたり、意見を述べたり、さらなる行動を組織したりするために使用できるタグの1つとなった。（ハッシュタグは、Twitterがサイト上の「トレンド」や重要なトピックを決定する方法にも影響を及ぼす。これにより、そのタグで議論されているものにさらに注目が集まる。サイトのトレンドトピックリストは、しばしばニュース報道の対象となる。9）

#триумфальнаяをフォローしていた場合、ロシアの活動家たちがニュースへのリンクを拡散したり、計画を立てたりするツイートを次々と目にしたことだろう。しかし、それらのツイートは、ロシアの偉大さを謳うツイートや、ノイズや意味不明の言葉やランダムな単語やフレーズで構成されているように見えるツイートが混ざり始めた。最終的に、#триумфальнаяのツイートはそれらのツイートが大半を占めるようになり、抗議運動に関連する他のトピックのツイートも、そのトピックに関連するツイートが本質的にノイズに埋もれてしまい、注目を集めることも、他のユーザーとまとまりのあるやりとりを始めることもできないほどになった。この大量の新しいツイートは、これまでほとんど活動していなかったアカウントから投稿されたものだった。それらのアカウントは、開設から抗議運動が起こるまでの間はほとんど投稿を行っていなかったが、抗議運動が起こった後は1時間に数十回もの投稿を行っていた。これらのアカウントのユーザー名には、imelixyvyq、wyqufahij、hihexiqといった美しい響きの名前もあれば、latifah_xanderのように、firstname_lastnameというモデルに基づいた、より伝統的な名前もあった。

明らかに、これらのTwitterアカウントは「Twitterボット」であり、人間を装い、自動的にターゲットを絞ったメッセージを生成するプログラムであった。これらのアカウントの多くは、ほぼ同時期に作成されていた。数と頻度から見て、このようなメッセージは議論を支配し、特定のオーディエンスにとってプラットフォームを事実上台無しにする可能性がある。つまり、偽の無意味なシグナルを生成することで、議論を混乱させる可能性がある。

Twitterボットの使用は、Twitterでの議論を抑制する確実な手法になりつつある。2012年のメキシコ大統領選は、この戦略が実際に用いられ、さらに洗練されたもう一つの例である。11 首位のエンリケ・ペーニャ・ニエト氏とPRI（制度的革命党）に反対する抗議者たちは、#marchaAntiEPNというハッシュタグを組織化の目的で使用し、会話の集約、行動要請の構造化、抗議イベントの準備を行った。抗議活動の組織化を妨害しようとするグループは、ロシアのケースと同様の課題に直面した。しかし、何千ものボットではなく、何百ものボットが活動していた。実際、このケースがアメリカのスペイン語テレビネットワークUnivisionによって調査された際には、このようなボットはわずか30ほどしか活動していなかった。彼らのアプローチは、#marchaAntiEPNの推進を目的とした活動を妨害することと、そのハッシュタグを乱用することの両方であった。ツイートの多くは「#marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN」のバリエーションで占められていた。このような繰り返し、特にすでにボットのような挙動を示しているアカウントによるものは、Twitterのシステムがハッシュタグ操作の試みを特定し、問題のハッシュタグをトレンドトピックリストから削除する引き金となる。つまり、トレンドトピックに載るものはニュース性が高く注目を集めるため、スパマーや広告業者は、繰り返し投稿することでハッシュタグをトレンドトピックに載せようとする。そのため、Twitterは、そのような行為を検知してブロックする仕組みを開発した。12

メキシコ大統領選に関するTwitterボットは、自動的な削除を誘発するために意図的に悪質な行為を行い、#marchaAntiEPNの影響を大手メディアの「レーダーから外す」ことを狙っていた。彼らはハッシュタグを機能させなくし、その潜在的なメディア上の重要性を排除した。これは破壊行為としての攪乱工作であった。このような取り組みは、レーダーチャフと同じ基本的な戦術（つまり、本物を隠すために構成された多くの模造品を生産すること）を用いているが、その目的は大きく異なる。単に時間稼ぎをする（例えば、選挙の準備期間やその後の不安定な期間）のではなく、誤ったシグナルを使用してデータの特性を操作することで、特定の用語を使用不能にする（場合によっては、ソートアルゴリズムの観点からは有害な）のである。

1.3 CacheCloak

位置追跡なしの位置情報サービス CacheCloakは、位置情報サービス（LBS）に適した難読化のアプローチを採用している。13 これは、偽のエコーと模造品を難読化に使用するという2つの工夫を示している。そのうちの最初のものは、ユーザーが関連データを確実に抽出できることを確認することであり、2つ目は、一時的な時間稼ぎの戦略ではなく、無期限に機能するアプローチを見つけようとするものである。

位置情報サービスは、モバイルデバイスの位置特定機能を活用して、さまざまなサービスを創出している。その中には、ソーシャルなもの（例えば、Four-Squareは、外出先での行動を競争ゲームに変える）や、収益性の高いもの（例えば、位置情報を利用した広告）、そして非常に便利なもの（例えば、地図や最寄りの対象物の検索）などがある。 プライバシーと利便性のバランスを取るという古典的なレトリックでは、利便性はプライバシーを損なうものとして提示されることが多い。LBSの価値を求める場合、例えば、友人と同じネットワークに属し、友人と自分が互いに近くにいる場合に友人と会うことができるようにしたい場合、プライバシーをある程度犠牲にしなければならず、サービスプロバイダーに自分の居場所を知られることに慣れなければならない。CacheCloakは、このトレードオフを再構成する方法を提案している。

「他の方法では、ユーザーの経路の一部を隠すことで経路を不明瞭にしようとするが、CacheCloakの作成者は、「他のユーザーの経路でユーザーの経路を囲むことで、ユーザーの所在地を不明瞭にする」と書いている。つまり、あいまいなデータの伝播によってである。標準モデルでは、携帯電話がサービスに自分の所在地を送信し、その見返りとして要求した情報を取得する。CacheCloakモデルでは、携帯電話がユーザーの移動経路を予測し、その結果に基づいて複数の可能性の高いルートから情報を取得する。ユーザーが移動すると、位置認識機能のメリットが得られる。つまり、潜在的なリクエストに先立ってキャッシュされたデータとして、ユーザーが探しているものにアクセスできる。一方、敵対者は、多くの可能性のある経路を残し、ルートの始点と終点を区別できず、ユーザーがどこから来て、どこに行こうとしているのか、あるいはどこにいるのかさえも判断できない。観察者の視点では、重要なデータ（自分たちだけが知っておきたいデータ）は、同様に可能性の高い他のデータの中に埋もれてしまう。

1.4 TrackMeNot

自然検索クエリと人工検索クエリの融合 2006年にダニエル・ハウ（Daniel Howe）、ヘレン・ニッセンバウム（Helen Nissenbaum）、ヴィンセント・トゥビアナ（Vincent Toubiana）によって開発されたTrackMeNotは、模倣信号による活動を隠蔽するソフトウェア戦略の好例である。15 TrackMeNotの目的は、ユーザーの検索履歴からユーザーのプロフィールを推測する行為を阻止することである。これは、米司法省がGoogleの検索ログを要求したことと、ニューヨーク・タイムズ紙の記者がAOL社が公開した匿名化された検索ログからでも一部の身元やプロフィールが推測できるという驚くべき発見をしたことに対応して設計された。16

私たちの検索クエリは、最終的には場所、名前、興味、問題のリストとして機能する。IPアドレスがすべて含まれているかどうかに関わらず、これらのリストから個人の特定が可能であり、関心のある分野のパターンを把握することもできる。検索企業は、検索クエリの収集と保存に対する懸念に応えるため、説明責任を求める声に応えてきたが、検索クエリのログの収集と分析は継続している。17 検索クエリの流れから、特定の個人の関心や活動が不適切に明らかになるのを防ぐことは依然として課題である。18

TrackMeNotが提供するソリューションは、ユーザーのクエリを検索エンジンから隠すことではなく（クエリを満たす必要性から見て、非現実的な方法である）、「シードリスト」の用語からクエリを自動的に生成することで、クエリを不明瞭化することである。当初はRSSフィードから抽出されたこれらの用語は、異なるユーザーが異なるシードリストを開発するように進化する。模倣の精度は、検索クエリへの応答から生成された新しい用語をシードリストに再投入することで、継続的に改善される。TrackMeNotは、実際のユーザーの検索行動を模倣しようとする方法でクエリを送信する。例えば、「good wi-fi cafe chelsea」を検索したユーザーは、「savannah kennels」、「freshly pressed juice miami」、「asian property firm」、「exercise delays dementia」、「telescoping halogen light」も検索している可能性がある。個人の活動は多数のゴーストの活動によって覆い隠され、パターンを識別するのが難しくなるため、任意のクエリがTrackMeNotの自動出力ではなく、人間の意図によるものだったと断言するのははるかに困難になる。このように、TrackMeNotは、状況によっては、難読化の役割を拡大し、もっともらしい否認も含むようにしている。

1.5 リークサイトへのアップロード

重要なファイルを隠蔽する WikiLeaksは、訪問者と投稿者の身元を保護するために、さまざまなシステムを使用していた。しかし、サイトの安全性を損なう兆候があった。ファイルのアップロードである。WikiLeaksのトラフィックを監視することができれば、WikiLeaksのセキュアサーバーへの素材の送信行為を特定することができる。特に、その後公開されたデータのさまざまな集合の圧縮サイズを推測できれば、送信された内容、送信日時、そして（技術面および運用面のセキュリティの他の領域での障害を考慮すると）誰が送信したかについて、遡及的に推論することができる。このような非常に特殊な課題に直面したWikiLeaksは、偽のシグナルを生成するスクリプトを開発した。このスクリプトは、訪問者のブラウザ上で起動し、セキュアサーバーへのアップロードのように見える活動を生成する。19 したがって、詮索する者は、多数のリーク者のように見える膨大な数のユーザー（その大半は実際には、すでに公開されている文書を読んだり、目を通したりしているだけ）を目にするが、その中には本当にリークしているユーザーも少数いるかもしれない。データマイニングや広告を妨害するために特定のデータを提供しようとしたわけではなく、単に一部のユーザーの動きを模倣し、隠蔽しようとしただけである。

しかし、暗号化および圧縮されたデータにも関連するメタデータが含まれている。OpenLeaks（WikiLeaksの亜種で、最終的には失敗に終わったもの）の提案には、さらに改良が加えられている。20 WikiLeaksへの投稿の統計的分析を行った後、OpenLeaksは、リークサイトのアップロードトラフィックに通常現れるファイルのサイズ比率と同じ比率を維持する偽のアップロードのモデルを開発した。ほとんどのファイルのサイズは1.5～2メガバイトの範囲であったが、700メガバイトを超える例外もいくつかあった。 敵対者がアップロードトラフィックを監視できる場合、形式は内容と同じくらい重要であり、本物のシグナルと偽物のシグナルを仕分けるのに役立つ。この例が示すように、難読化のメカニズムは、操作可能なすべてのパラメータを把握すること、そして敵対者が何を求めているかを把握することから、非常に多くのことを学ぶことができる。

1.6 誤った情報：訓練された観察者を欺くパターンを作る

同じ基本的な難読化のパターンが、内部告発者の活動を隠すよりも軽い文脈で役立つ場合があることを考えてみよう。ポーカーである。

ポーカーの楽しさや難しさの多くは、表情やジェスチャー、ボディランゲージから、コールを引き出すためにブラフ（つまり、実際に持っている手よりも弱い手を持っているふりをする）をしているかどうかを推測する能力にある。相手を観察する上で重要なのは「テル」と呼ばれるもので、相手が強い手札や弱い手札を持っている時に示す無意識の癖やしぐさ、例えば汗をかいたり、不安そうにちらっと見たり、前のめりになったりするようなもののことである。ポーカーという情報経済社会では、テルは非常に重要であるため、プレイヤーは時に偽のテル、つまり、より大きなパターンの一部であるように見える癖を作り出す。21 一般的なポーカー戦略では、偽のテルはトーナメントの重要な局面で使用するのが最善である。他のプレイヤーがそれが不正確であることに気づき、それを逆手にとってあなたを攻撃することがないようにするためである。複数のゲームをじっくり分析すれば、真の合図と偽の合図を区別できるかもしれないが、時間制限のある高額賭けのゲームでは、偽の合図が非常に効果的になることもある。 類似のテクニックは、視覚的なコミュニケーションを伴う多くのスポーツでも用いられている。 野球のサインがその一例である。あるコーチは新聞記者に対して、「時にはサインを出しているが、それには何の意味もない」と説明している。

1.7 グループのアイデンティティ：多くの人々が1つの名前で

最も単純で印象的な難読化の例のひとつであり、難読化を行うグループの活動を紹介する例として、映画『スパルタカス』の中で、ローマ兵士たちが反乱奴隷たちに、磔にする予定のリーダーを指名するように求める場面がある。23 スパルタカス（演じるのはカーク・ダグラス）が話し始めようとすると、周りの奴隷たちが次々と「私がスパルタカスだ！」と名乗りを上げ、やがて群衆全体がその名を名乗り始める。

集団の保護を目的として同一のアイデンティティを名乗る人々（例えば、1830年の英国農民蜂起における「キャプテン・スウィング」、ディケンズの小説『二都物語』に登場する急進派が名乗るありふれた「ジャック」、あるいは、グラフィック・ノベル『Vフォー・ヴェンデッタ』に登場するガイ・フォークスの仮面は、現在ではハクティビスト集団「アノニマス」と関連付けられている）は、今やほとんど決まり文句のようになっている。24 マルコ・デセリスは、「不適切な名称」の使用と、個人の責任の消去と行動の拡散における集団的アイデンティティについて研究している。25 難読化のいくつかの形態は単独で行うことができるが、他の形態はグループ、チーム、コミュニティ、協力者に依存する。

1.8 同一の協力者と対象：1つの服装に多くの人々

グループのメンバーが協調して、本物だが誤解を招くシグナルを発生させ、その中に本物の顕著なシグナルを隠すという、わかりにくくする例は数多くある。大衆文化における印象的な例としては、1999年の映画『トーマス・クラウン・アフェアー』のリメイク版で、主人公がマグリット風の独特な衣装を身にまとい、同じ衣装を着た他の大勢の男たちの中に突然現れ、美術館の中を動き回り、彼らと同じブリーフケースを交換する場面がある 。26 2006年の映画『インサイド・マン』の銀行強盗計画は、強盗犯全員が画家のつなぎ服、手袋、マスクを着用し、人質にも同じ服装をさせるというものだった。27 最後に、アルフレッド・ヒッチコック監督の1959年の映画『北北西に進路を取れ』の主人公、ロジャー・ソーンヒルの機転の利いた行動を考えてみよう 1959年の映画『北北西に進路を取れ』の主人公であるロジャー・ソーンヒルは、シカゴに到着した列車から警察に追跡されないように、駅で群衆に紛れるために赤帽（荷物取扱人）に賄賂を渡し、その独特な制服を借りた。駅にいる赤帽の群衆は、警察が捜索する上で何か特定のものを与えすぎていることを知っていた。

同一の物体を偽装手段として用いることは、想像上でも現実でも十分にあり得ることであり、十分に理解されている。古代ローマのアンキリア（ancilia）がその好例である。伝説によると、古代ローマの第2代王ヌマ・ポンピリウス（紀元前753年～673年）の治世中に、空から盾（ancile）が降ってきた。これは神の恩寵のしるしであり、所有すればローマ帝国の継続が保証される神聖な遺物であると解釈された。29 11個の完全な複製とともにマルス神殿に掲げられたため、盗もうとする者はどれを盗めばよいのか分からなかった。シャーロック・ホームズの小説のタイトルにもなった、ナポレオンの石膏製胸像6体も、その一例である。悪党は、5つの複製があるだけでなく、より大きな品目のひとつ（安価な白いナポレオンの胸像）でもある、湿った石膏製の品物に黒真珠を刺した。30

現実世界での例としては、いわゆる「クレイグズリスト強盗」がある。2008年9月30日火曜日の午前11時、ワシントン州モンローの銀行前に駐車されていた現金輸送車に、青いシャツ、ゴーグル、防塵マスクを身に着け、スプレーポンプを手にした駆除業者風の男が近づき、警備員を唐辛子スプレーで気絶させ、 。31 警察が到着したとき、現場周辺には青いシャツ、ゴーグル、防塵マスクを身に着けた13人の男たちがいた。これは、午前11時15分に銀行の住所で開始予定のメンテナンス作業に高賃金を支払うという内容のクラシファイド広告の指示に従って身に着けていたユニフォームだった。日雇い労働者の中に強盗犯がいないことは、ほんの数分で判断できたはずだが、強盗犯にはそれだけの時間しかなかったのだ。

また、デンマーク王と多数のデンマーク人非ユダヤ教徒が黄色い星を身につけることで、占領中のドイツ人がデンマークのユダヤ人を区別できず、彼らを強制送還することができなかったという、事実とは異なるがよく語られる強力な話もある。デンマーク人は勇敢にも他の方法でユダヤ人たちを守ったが、反ドイツ感情を煽ることを恐れたナチスは、占領下のデンマークでは黄色い星を使用しなかった。しかし、「ベルギー、フランス、オランダ、ポーランド、さらにはドイツ国内でさえ、ナチスの反ユダヤ主義に抗議するために、ユダヤ人でない人々が黄色い星を身につけていたという記録が残っている」32。この伝説は、協力による難読化の完璧な例である。異教徒が抗議の意思表示として黄色い星を身につけることで、個々のユダヤ人が紛れ込める集団を提供しているのだ。33

1.9 過剰な文書化：分析を非効率的にする

本物だが誤解を招くシグナルを追加することで機能する難読化について引き続き見ていくが、ここでは訴訟における過剰な情報開示のような難読化の一形態としての文書の過剰生産について考えてみよう。これは、フランス革命の恐怖政治期における主要な機関である治安委員会の警察総局の局長であったオーギュスティン・ルジューヌの戦略であった。ルジューヌと彼の部下たちは、逮捕、投獄、処刑の根拠となる報告書を作成した。後に、恐怖政治における自らの役割を正当化しようと、ルジューヌは、彼の部署からの報告書が厳密で圧倒的に詳細であったのは意図的なものだったと主張した。彼は、反乱のそぶりを見せずに委員会への情報提供を遅らせるために、部下たちに資料を過剰に作成し、「最も些細な詳細」を報告するよう指示していたのだ。ルジューヌの主張が完全に正確であるかどうかは疑わしい（彼が報告書の作成数として挙げた数字は信頼できない）が、ベン・カフカが指摘しているように、彼は供給過剰による業務停滞を生み出す官僚的な戦略を編み出していた。「彼は、文書や詳細事項が増加すれば、コンプライアンスの機会が増えるだけでなく、抵抗の機会も増えることを、遅ればせながら認識したようだ」34。ノー」と言えない状況では、役に立たない「イエス」の合唱が起こる可能性がある。例えば、リクエストに対してフォルダを1つ送るのではなく、関連書類が含まれている可能性のあるフォルダを大量に送る、といった具合だ。

1.10 SIMカードの入れ替え

モバイルターゲティングを不確実にする 最近の報道やエドワード・スノーデン氏の暴露の一部で明らかになったように、国家安全保障局（NSA）に勤務するアナリストは、シグナルインテリジェンスのソース（特に携帯電話のメタデータや位置情報システムからのデータ）を組み合わせて、排除すべきターゲットを特定し追跡している。35 メタデータ（ いつ誰が誰に電話したかを示す）メタデータは、特定の電話番号を「関心対象者」の所有する電話番号として識別することを可能にするソーシャルネットワークのモデルを生成する。携帯電話の位置特定機能により、これらの番号は、程度の差こそあれ特定の場所に位置づけられ、その場所は無人機による攻撃の対象となり得る。つまり、このシステムでは、人物の顔を直接目視することなく、特定から位置確認、そして暗殺までを実行することが可能である。 ドローン操作者が人物を目にする可能性が最も高いのは、建物の外観や車に乗り込むシルエットかもしれない。 NSAの携帯電話メタデータプログラムや無人機攻撃の記録がまちまちであることを踏まえると、もちろん、正確性については重大な懸念がある。国家安全保障に対する脅威が残っていることへの懸念、無実の人の命が不当に奪われることへの懸念、あるいはその両方への懸念のいずれであっても、このアプローチには欠陥がある可能性があることは容易に理解できる。

しかし、状況を逆転させて、ターゲットの視点からより抽象的に考えてみよう。NSAのターゲットのほとんどは、常に追跡装置を所持するか、身近に置いておく義務がある（テロ組織の最高レベルの人物のみが、信号発生技術から自由でいることができる）。また、彼らと接触するほぼすべての人々も同様である。彼らの組織を維持する通話や会話は、彼らを特定する手段にもなる。彼らの活動を可能にする構造は、同時に彼らを追い詰めるものにもなる。敵対者は、空のどこかにある標的を見つけるために高射砲を調整するのではなく、車や街角、家屋にミサイルを命中させることができる完全な航空優勢を握っている。しかし、敵対者にも密接に関連する一連のシステム上の制約がある。このシステムは、その範囲と能力において注目に値するが、最終的にはSIM（加入者識別モジュール）カードと携帯電話の物理的な所持に依存している。これは、悪用可能な一種の狭い帯域幅である。統合特殊作戦軍（Joint Special Operations Command）の無人機オペレーターであった人物は、そのためターゲットは本物の信号を混ぜ合わせたり混乱させたりする手段を取っていると報告している。一部の個人は、自分の身元に関連付けられた多数のSIMカードを流通させており、それらのカードはランダムに再配布されている。一つのアプローチは、出席者全員がSIMカードを袋に入れ、その袋からランダムにカードを取り出す会議を開催することである。そうすれば、各デバイスに実際に接続している人物が誰なのかは明確にならない。（これは時間制限のあるアプローチである。メタデータの分析が十分に高度であれば、アナリストは最終的に過去の通話パターンに基づいて個々人を再び分類できるはずだが、不規則な再シャッフルはそれをより困難にする。）追跡されていることに気づいていないターゲットが携帯電話を売却したり、友人や親戚に貸し出したりすることによって、意図せずに再シャッフルが起こる可能性もある。その結果、危険な人物の排除という観点から、あるいは誤って罪のない非戦闘員が殺害されるという観点から見た場合、技術的には非常に正確なシステムでありながら、実際の成功率は非常に不確実なものとなる。かなり正確な位置追跡やソーシャルグラフ分析を回避できない場合でも、偽の信号を生成するのではなく、真正な信号を混ぜ合わせるために難読化を使用することで、ある程度の防御と制御が可能となる。

1.11 Tor リレー

他者の代理として行うリクエストで、個人トラフィックを隠蔽する

Tor は、暗号化とメッセージを多数の異なる独立した「ノード」に渡すことを組み合わせることで、インターネットの匿名利用を促進するよう設計されたシステムである。 難読化のハイブリッド戦略では、Tor をより強力なデータ隠蔽メカニズムと組み合わせて使用することができる。 このような戦略では、真正な（暗号化された）アクティビティを混合および交互に配置することで、難読化が部分的に実現される。メッセージが大勢の人々をくぐり抜け、あなたのもとにこっそりと届けられたと想像してみよう。そのメッセージは、個人を特定する情報が一切含まれていない質問である。あなたの知る限り、そのメッセージは最後にメッセージを持っていた人物、つまりあなたにメッセージを手渡した人物によって書かれたものだ。あなたが書いた返信は、予測不可能な経路をたどり、人ごみに消えていく。その人ごみのどこかで、質問者は自分の答えを受け取る。あなたも他の誰にも、質問者が誰なのか正確にはわからない。

Tor を使用中にウェブページをリクエストした場合、そのリクエストはあなたの IP アドレスから送信されるのではなく、Tor システムの「出口ノード」（メッセージの宛先にメッセージを手渡す最後の人物に類似）から、他の多くの Tor ユーザーのリクエストとともに送信される。データはTorシステムに入り、中継の迷路へと進む。つまり、Torネットワーク上のコンピュータ（群衆の中の人物に例えられる）が、他の人からのTorトラフィックを処理するために帯域幅の一部を提供し、メッセージを中身を見ずに転送することに同意する。中継の数が増えれば増えるほど、システム全体が高速化する。すでにTorを使用してインターネットトラフィックを保護している場合は、自分のコンピュータをより大きな公益のための中継に変えることができる。Torネットワークとネットワーク上の個人の匿名化は、より多くの人がネットワークを利用することで改善される。

Torの設計者は、匿名化がTorの保護力を大幅に強化すると指摘している。Torリレーを実行することで、「一部の攻撃に対して匿名性を高めることができる」のだ。最も単純な例は、少数のTorリレーを所有する攻撃者である。攻撃者はあなたからの接続を見ることはできるが、その接続があなたのコンピュータから発信されたものなのか、あるいは他の誰かから中継されたものなのかを知ることはできない。」36 もし誰かが群衆の中にエージェントを配置している場合、つまり、監視目的でTorリレーを実行している場合、エージェントは通過するメッセージを読むことはできないが、誰がメッセージを自分に送ったのかを知ることができる。Torを使用していてリレーを実行していない場合、彼らはあなたが彼らに渡したメッセージをあなたが書いたものであることを知っている。しかし、あなたのコンピュータをリレーとして動作させている場合、そのメッセージはあなたのものであるかもしれないし、あるいはあなたが他の人のために転送している多数のメッセージのうちの1つであるかもしれない。そのメッセージはあなたが最初から書いていたものなのか、それともそうではないのか？ 情報は今や曖昧であり、あなたが書いたメッセージはあなたが転送している他の多数のメッセージ群の中に紛れ込んで安全になる。これは、特定のデータ通信を曖昧にし、通信量を利用してトラフィック解析を阻止する、より高度で効率的な方法である。単に本物の信号を混ぜ合わせる（バッグの中のSIMカードを振ることで、調整に伴うあらゆる問題を引き起こす）だけでなく、各メッセージを宛先に届ける。ただし、各メッセージは他のメッセージの送信元を不明瞭にするのに役立つ。

1.12 バブルテープ：音声に音声を隠す

FBIの脅威にさらされたマフィアに関する古い決まり文句では、浴室での会話が頻繁に登場する。水の飛沫や音、換気扇のうなり音などにより、家の中に盗聴器が仕掛けられていたり、部屋の中に盗聴器を装着した人物がいたりすると、会話が聞き取りにくくなるというのだ。現在では、音声傍受を阻止する洗練された（かつ、より効果的な）技術が開発されており、これらは難読化をより直接的に利用している。その一つが、いわゆる「おしゃべりテープ」の使用である。37 逆説的ではあるが、おしゃべりテープは、盗聴が弁護士・依頼者間の守秘特権を侵害する可能性があることを懸念する弁護士たちによって、マフィアよりも使用されることが少なかった。

バブルテープとは、会話中にバックグラウンドで再生されることを目的としたデジタルファイルである。このファイルは複雑で、40の音声トラックが同時に再生され（英語では32トラック、その他の言語では8トラック）、各トラックは周波数と時間で圧縮され、周波数スペクトル全体を埋める追加の「音声」が生成される。また、人間以外の機械音や、盗聴器の自動ゲイン制御システムを妨害するように特別に設計された周期的な超音速バースト音（成人には聞こえない）も含まれている。この音は、盗聴器が音声信号を最もよく拾えるように自動的に調整される。 ここで最も重要なのは、弁護士が使用するバブルテープに録音された音声には、依頼人と弁護士自身の声が含まれていることだ。 このようにさまざまな声が混ざり合っていると、特定の声を聞き分けることがより困難になる。

1.13 オペレーション・ヴーラ：

アパルトヘイトとの闘いにおける難読化 この章の締めくくりとして、アパルトヘイトとの闘いの中で、南アフリカのネルソン・マンデラの釈放を求めるグループが複雑な状況下で用いた難読化の例を詳しく見てみよう。「ヴラ（Vula）」作戦（「道を開く」を意味する「ヴリンドラ（Vul’indlela）」の略）と呼ばれるこの作戦は、マンデラと連絡を取り合い、ANCのエージェントや支持者、世界中の将軍たちと連携を図っていた南アフリカ国内のアフリカ民族会議（ANC）の指導者たちによって考案された。

ANCがこれほど大規模なプロジェクトを実施したのは、1960年代初頭にマンデラをはじめANCのほぼすべてのトップリーダーが逮捕され、リリーズリーフ農場の文書が押収されて法廷で不利な証拠として使用された大惨事以来のことだった。そのため、オペレーション・ヴーラは、絶対的な機密保持とプライバシー保護の下で実施されなければならなかった。実際、1990年代にこの作戦の全容が明らかになったとき、南アフリカ政府や国際諜報機関だけでなく、ANC内部の多くの著名な指導者たちも驚いた。腎臓移植を受けた、あるいはオートバイ事故から回復したと伝えられていた人々は、実際には新しい身分で地下に潜り、南アフリカに戻ってきており、マンデラ氏の釈放への「道筋」を作っていたのだ。南アフリカ国内および国外での監視、既存のANCの通信手段が漏洩する可能性、そして世界中のスパイや法執行機関の関心などを考えると、オペレーション・ヴーラでは、情報を共有し調整するための安全な方法が必要であった。

オペレーション・ヴーラの驚くべき物語は、その主要な立案者の一人であるティム・ジェンキンがANC機関誌『マイブイエ』のページで語っている。38 これは、作戦上のセキュリティ、諜報活動、安全なネットワークの管理の優れた事例である。

Vula作戦でいつ、どのように難読化が採用されるようになったかを理解するには、その設計者が直面した課題を理解する必要がある。南アフリカ国内で固定電話回線を使用することは、各回線が住所と名前に関連付けられているため、選択肢にはなり得なかった。少しでも情報が漏れると、盗聴や、現在ではメタデータ分析と呼ばれる行為につながる可能性があり、その結果、活動家のネットワークの全体像が、国内および海外の通話記録から把握されてしまう可能性があった。Vulaのエージェントたちはさまざまな暗号化システムを使用していたが、いずれも手作業による暗号化の難しさと退屈さが障害となっていた。特に危機が発生し、物事が急速に動き始めた際には、「また電話でひそひそ話をする」という誘惑にかられることが常にあった。エージェントが移動する中、南アフリカ（主にダーバンとヨハネスブルグ）とルサカ、ロンドン、アムステルダム、そして世界中の他の場所との間で、業務をシームレスに調整する必要があった。郵便サービスは遅く、脆弱であり、暗号化には膨大な時間がかかり、しばしば杜撰になりがちであった。家庭用電話の使用は禁止されており、世界中の複数のタイムゾーン間の調整は不可能に思われた。

ジェンキンは、パソコンを使用すれば暗号化をより迅速かつ効率的に行えることに気づいていた。プレトリア中央刑務所から脱獄後、ロンドンを拠点とした彼は、1980年代半ばに「オペレーション・ヴーラ」に必要な通信システムの開発に携わり、最終的にそれは素晴らしいネットワークへと発展した。暗号化はパーソナルコンピュータで行われ、暗号化されたメッセージは、ポータブルカセットプレーヤーに録音された高速のトーンの連続として表現された。エージェントは公衆電話に行き、ロンドンの番号に電話をかけ、その電話はジェンキンが改造した留守番電話につながり、最大5分間録音することができた。エージェントは電話の送話口にカセットをあてがった。カセットの裏面に録音されたトーンは、音響モデムを通してコンピュータに再生し、解読することができた。（「発信側」の留守番電話もあった。遠隔地のエージェントは公衆電話から電話をかけ、メッセージ用のトーンを録音し、ジェンキンが考案した暗号化システムを実行できるコンピュータがあればどこでもそれを解読することができた。）

これはすでに非常に優れたネットワークであった。とりわけ、デジタル面の大半（国際電話回線を通じて雑音の多いブースからメッセージを再生する際の雑音に対処するためのエラー処理コードの実装方法を含む）をゼロから開発しなければならなかったことを考えると、そのことは顕著である。しかし、オペレーション・ヴーラが拡大し、工作員のネットワークが拡大するにつれ、膨大な量のトラフィックがネットワークを圧倒する恐れが出てきた。活動家たちは南アフリカでの行動に備えていたが、その作業にはクレジットカードが使える公衆電話を見つけたり（コインを落とす音が信号を妨害する可能性がある）、テープレコーダーを操作しながら立ちつくしたりする時間はあまりなかった。ジェンキン氏と彼の協力者たちは、メッセージが次々と寄せられる中、夜遅くまでテープを入れ替えていた。暗号化された電子メールに切り替える時が来たが、システム全体は、南アフリカ国内の既知の電話回線を使用しないように開発されていた。

「Vula」作戦では、南アフリカ、ルカサ、ロンドンのコンピュータ間で、疑いをかけられることなく暗号化されたメッセージを送受信する必要があった。1980年代、ここで説明したネットワークが形を整えていく一方で、国際ビジネスのより大きな環境が、まさにこの策略を隠す背景を作り出していた。問題は、ジェンキンが言うように、「敵が、毎日国外に送信される何千ものメッセージのうち、どれが『疑わしい』ものかを判断する能力を持っているかどうか」であった。活動家たちは、暗号化メールの典型的なユーザー、つまり政治的な所属が明確でない人物を探し出し、暗号化されたメッセージが大量のメールの流れの中で目立たずに済むかどうかを確かめる必要があった。ジェンキン氏は後に、彼らは「海外との連絡に通常コンピュータを使用する人物を見つけ、その人物に連絡を処理してもらう必要があった」と振り返っている。

彼らは、新しいアプローチに切り替える前にこのシステムを試すことができるエージェントを雇っていた。そのエージェントは、英国の通信会社で長年プログラマーとして海外で働いた後、故郷である南アフリカに帰国しようとしていた南アフリカ人のネイティブスピーカーであった。そのエージェントは、カスタムサーバーではなく商用の電子メールプロバイダーを使用し、多くの企業が通信に暗号化を使用しているという事実を頼りに、毎日大量の電子メールメッセージを送る一般市民と同じように行動した。「これは、彼の立場にある人物にとってはごく普通の行動でした」とジェンキン氏は振り返る。このシステムはうまく機能した。エージェントのメッセージは通常のトラフィックに紛れ込み、秘密の通信を公然と行うためのプラットフォームを提供し、急速に拡大することができた。

ティム・ジェンキンとロニー・プレス（ANC技術委員会のもう一人の主要メンバー）は、コンピュータコンサルタントを装うことで、新しい機器やストレージ技術に遅れずについていくことができ、必要な場所への購入と配送の手配をすることができた。商用電子メールプロバイダーと個人用およびポケットコンピュータで稼働する掲示板サービスを組み合わせることで、南アフリカ国内および世界中にメッセージを配信することが可能となり、また、配布用のANCの印刷物のフォーマットも完全に準備することができた。（このシステムでは、マンデラ氏の弁護士が書籍の秘密のスペースに隠して持ち出したマンデラ氏からのメッセージを、システムに入力することもできた。） ありふれたビジネスアドレスを持つ一般ユーザーの日常的な活動が、価値の高い情報チャネルとなり、膨大な量の暗号化データをロンドンからルカサ、そして南アフリカ国内のヴーラ・セルへと移動させた。このシステムの成功は、歴史的な状況によるところもあった。パソコンや電子メール（暗号化メールを含む）は、疑いを招くほど一般的ではなく、しかし今日政府が持つような、より包括的な新しいデジタル監視システムの構築を促すほど一般的でもなかった。

Vulaネットワークは最終段階では、デジタルメッセージのセキュリティについて甘く見ていたわけではなく、独創的な工夫を凝らした高度な暗号化システムによってすべてを保護し、ユーザーに暗号化キーの変更と適切な運用セキュリティの実践を促していた。しかし、その文脈において、Vulaは難読化が安全かつ秘密の通信システム構築に果たす役割の優れた例を示している。この例は、適切な既存の状況を見つけ、そこに溶け込むことの利点を示している。日常の商取引の喧騒に紛れ、群衆に隠れること。

2 その他の例

2.1 巣を編む蜘蛛：難読化する動物

動物（および一部の植物）の中には、身を隠したり視覚的なトリックを駆使したりする方法を持つものもいる。 昆虫は葉や小枝の外観を模倣し、ウサギはタカに発見されやすく攻撃されやすい形状の手掛かりを排除するためにカウンターシャドー（白い腹）を持ち、蝶の羽の斑点模様は捕食動物の目を模倣している。

動物界における典型的な擬態の例としては、巣を編むクモの一種、Cyclosa mulmeinensis が挙げられる。1 このクモは、擬態が有効な解決策となる特有の問題に直面している。獲物を捕らえるためには、クモの巣をある程度露出させる必要があるが、そうするとスズメバチによる攻撃に対してクモが非常に脆弱になってしまうのだ。この蜘蛛の解決策は、獲物の死骸、落ち葉、蜘蛛の糸を使って、ハチから見ると蜘蛛と同じ大きさ、色、反射率を持つ囮を作り、それを蜘蛛の巣の周囲に配置することだ。これにより、ハチが蜘蛛の巣に命中する確率が減り、Cyclosa mulmeinensisは危険から逃れるために急いで逃げ出すことができる。

研究対象地域で発見された、装飾品（a）と鳥の糞（b）に逆さまにぶら下がったC. ginnagaの幼生の写真（スケールバー：5 mm）。

2.2 偽の注文：難読化による競合企業への攻撃

チャネルをより騒々しくするという難読化の目的は、重要なトラフィックを隠すだけでなく、そのチャネルを介した組織のコストを上昇させ、ビジネスを行うコストを上昇させるために利用されることもある。タクシー配車代行サービス会社Uberは、このアプローチを実際に適用している例である。

タクシーやハイヤーに類似したサービスを提供する企業向けの市場は急速に成長しており、顧客と運転手の獲得競争は熾烈を極めている。Uberは、競合サービスから運転手を引き抜くためにボーナスを提示し、同社本社を訪問するだけでも報酬を支払っている。ニューヨークでは、Uberは競合他社であるGettに対して特に積極的な戦略を展開し、Gettのドライバーを勧誘するために偽装工作を行った。2 数日間にわたって、Uberの従業員数名がGettに配車依頼を行い、Gettのドライバーが到着する直前にそれらの配車依頼をキャンセルした。この無駄な配車依頼の殺到により、Gettのドライバーは料金を得られないまま動き続け、正当な依頼の多くに応じることができなかった。無駄な注文、あるいは複数の無駄な注文を受けた後、GettのドライバーはUberから転職を勧めるテキストメッセージを受け取ることになる。 実在する乗車依頼は、Uberの偽の依頼によって事実上混乱させられ、Gettでの仕事の価値が低下した。（ライドシェアリング企業であるLyftは、Uberが同社のドライバーに対して同様の混乱攻撃を行っていると主張している。）

2.3 フランスのデコイレーダー設置：レーダー探知機の無効化

フランスの政府によるレーダー探知機対策戦略にも、難読化が一部で採用されている。3 レーダー探知機は、警察が近くで速度違反取締用レーダーを使用している場合にドライバーに警告する、ごく一般的な機器である。一部のレーダー探知機は、ユーザーの車両に対するレーダーガンの位置を表示できるため、ドライバーがスピード違反切符を回避する上でさらに効果的である。

理論的には、スピード違反切符は、危険なほどに高速な運転に対する抑止力となる。しかし実際には、地元の警察署や政府の財源となっている。この2つの理由から、警察はレーダー探知機を無効化することに強い動機を持っている。

600万人のフランス人ドライバーがレーダー探知機を所有していると推定されるという事実を考慮すると、レーダー探知機を規制したり、あるいは禁止する選択肢は非現実的である。これほど多くの一般市民を犯罪者に変えることは非合理的である。レーダー銃の監視を停止する権限を持たないフランス政府は、交通量の多い区域でレーダー探知機の警告信号を実際に速度を測定せずに発動させるデバイスの配列を展開することで、このような監視をあまり役に立たなくさせるために、曖昧な表現を用いるようになった。これらの装置は、警告音が次々と増幅されるという点で、チャフ戦略と類似している。そのうちの1つは、実際の速度検出レーダーを示している可能性もあるが、どれなのか？ 有意な信号は、他の妥当な信号の大量の群れに埋もれてしまう。ドライバーはスピード違反切符を切られるリスクを冒すか、レーダー信号の洪水に反応して減速するかのどちらかだ。そして、市民の目標は達成される。交通警官やスピード違反のドライバーについてどう思うかは別として、この事例は、欺瞞が、敵対者の装置を完全に破壊することなく、機能的に無関係なものにすることで目的を促進する手段として興味深い。

2.4 AdNauseam：すべての広告をクリックする

フランスのレーダー・ガン・デコイの戦略に似た方法で、ブラウザープラグインであるAdNauseamは、行動ターゲティング広告の目的で行われるオンライン監視に抵抗する。Ad Block Plusと併用することで、AdNauseamはバックグラウンドで動作し、ブロックされた広告をすべて静かにクリックしながら、ユーザーの興味に合わせて、配信された広告とブロックされた広告の詳細を記録する。

AdNauseamのアイデアは、無力感から生まれた。広告ネットワークによるいたるところで行われている追跡を阻止することは不可能であり、その社会的・技術的背景を構成する複雑な制度上および技術上の複雑性を理解することもできない。これには、ウェブクッキーやビーコン、ブラウザフィンガープリンティング（訪問者の技術の組み合わせや設定を使用してその活動を識別する）、広告ネットワーク、分析企業などが含まれる。トラッキング拒否の技術標準を通じて何らかの妥協点を見つけようとする努力は、ターゲット広告の政治経済における強力なアクターによって阻まれてきた。こうした妥協のない状況の中で、AdNauseamが誕生した。その設計は、自社製品に興味を持つと見込まれる閲覧者に広告を配信することで広告主からプレミアム料金を徴収する、一般的なビジネスモデルに対する鋭い洞察から着想を得たものである。特定の広告がクリックされること以上に、興味の証となるものがあるだろうか？クリックは、広告ネットワークや広告を掲載するウェブサイトへの支払いの基準となることもある。広告のクリックは、他のデータストリームと組み合わさって、追跡されたユーザーのプロファイルを構築する。フランスのレーダー欺瞞システムと同様に、AdNauseamはクリック追跡機能を破壊することを目的としているわけではない。代わりに、自動的に生成されたクリックで実際のクリックを不明瞭にすることで、それらのクリックの価値を低下させる機能を持つ。

2.5 クォート・スタッフィング：アルゴリズム取引戦略の混乱

「クォート・スタッフィング」という用語は、取引所で競合他社に対して優位に立つために生成された、誤解を招くような取引データと思われる、株式取引における異常な活動の急増に適用されている。 高頻度取引（HFT）という特殊な分野では、アルゴリズムが人間よりもはるかに高速で大量の取引を行い、人間のトレーダーが注目しないようなわずかな時間差や価格差を利用している。タイミングは常に取引にとって重要であったが、HFTではコンマ何秒の差が利益と損失を分けるため、取引を加速し、競合他社の取引を遅らせる複雑な戦略が生まれている。市場行動の分析者は、2010年夏にHFT活動の異常なパターンに気づき始めた。特定の株式に対する気配値リクエストが急増し、時には1秒間に数千件に達した。このような活動には経済的な根拠がないように思われるが、最も興味深く、もっともらしい仮説のひとつは、こうしたバーストは隠蔽工作であるというものである。ある観察者は、この現象を次のように説明している。「もし、競合他社が処理しなければならない大量の見積もりを生成でき、しかも、生成した見積もりは無視できるのであれば、貴重な処理時間を獲得できる。

重要でない情報を引用という形で大量に発生させることで、重要な活動領域を埋め尽くし、重要でない情報の発生源が正確に状況を把握できるようにする一方で、競合他社が状況を把握することをより困難で時間のかかるものにする。 彼らは自分たちだけが透視できる雲を作り出すのだ。その情報に含まれるパターンは、長期間にわたってアナリストを欺いたり、注意をそらしたりすることはないだろう。それらは明らかに人為的で取るに足らないものだからだ。しかし、HFTのコンマ何秒の世界では、活動の観察と処理に要する時間だけでも大きな違いが生じる。もし「クォートスタッフィング」が蔓延した場合、何十万もの無意味なクォートが帯域幅を消費することで、証券取引所が依存する物理的インフラが圧倒され、株式市場というシステム自体の完全性が脅かされる可能性がある。「これは非常に憂慮すべき事態です。なぜなら、より多くのHFTシステムがこのような行為を行うようになれば、クォートスタッフィングによって市場全体が混雑により機能停止に追い込まれるのは時間の問題だからです」と、前述のオブザーバーは付け加えている。

2.6 ロイヤリティカードの交換による買い物パターン分析の妨害

食料品店は、データを扱うという点では、以前から技術的に最先端を走ってきた。比較的無害な初期のロイヤリティカードプログラムは、リピーター客を惹きつけるために使用され、カードを使用しない人々から追加の利益率を引き出し、郵便番号によるダイレクトメールの整理など、原始的なデータプロジェクトを支援していた。大半の食料品店やチェーン店は、ACNielsen、Catalina Marketing、および数社にデータ分析業務を委託していた。6 当初は、こうした行為は孤立したものであり、害のないものと認識されていたが、いくつかの事件により、その目的が害のないものから、やや不穏なものへと認識が変化した。

1999年には、ロサンゼルスのスーパーマーケットで起きた転倒事故が訴訟に発展し、スーパーマーケット・チェーンの弁護士が被害者のアルコール購入履歴を法廷で開示すると脅した。7 このような類似の事例が長年にわたって続いたことで、いわゆるロイヤリティカードは割引以外の目的にも利用されているのではないかという疑いが人々の間で広がっていった。カードが広く普及し始めた直後から、カード交換ネットワークが発展した。人々は、購買パターンに関するデータを隠すためにカードを交換し合った。当初は、その場限りの物理的な会合で、その後はメーリングリストやオンラインのソーシャルネットワークの助けを借りて、より多くの人々や広範囲の地域で交換が行われるようになった。例えば、RobのGiant Bonus Card Swap Meetは、バーコードを共有するシステムがあれば、ワシントンDC周辺のスーパーマーケットチェーンGiantの顧客が、他の顧客のバーコードを印刷し、自分のカードに貼り付けることができるというアイデアから始まった。8 同様に、Ultimate Shopperプロジェクトでは、 セイフウェイのポイントカードのバーコードを印刷したステッカーを配布し、それによって「クローンの軍団」を作り出し、その買い物データを蓄積した。9 ポイントカードの交換を郵送で行うCardexchange.orgは、同じ目的のために開催される実際のミーティングの直接的なアナログであると主張している。ポイントカードの交換は、グループ活動としての難読化を構成する。カードを共有する意思のある人の数が増え、カードが移動する距離が長くなるほど、データの信頼性は低下する。

カード交換サイトでは、ポイントカードの不正利用に関するさまざまなアプローチや、それによって生じる倫理的な問題についての議論やニュース記事、エッセイなども投稿されている。 カード交換によって、小売店が利用できるデータや、おそらくは他の受取人が利用できるデータも劣化するため、食料品店への悪影響が懸念されている。 このような影響は、カードプログラムとカード交換のアプローチの双方に依存している点に注目すべきである。例えば、ポイントカードが家庭内や友人同士で共有された場合、店舗側は個人レベルのデータを失うことになるが、それでも、特定の地域における買い物行動や商品嗜好に関する有益な情報を入手できる可能性はある。郵便番号、近隣地域、地区レベルのデータは、無視できない価値がある。また、混ざり合ったデータに含まれる本物の情報から、より大きなパターンを推測できる可能性もある。

2.7 BitTorrent Hydra：偽のリクエストを使用してアドレス収集を阻止する

BitTorrent Hydraは、現在は終了しているが、興味深く、示唆に富むプロジェクトであった。このプロジェクトは、ビット単位のファイルに対する正当なリクエストをダミーのリクエストと混在させることで、ファイル共有反対派による監視の取り組みに対抗した。10 BitTorrent プロトコルはファイルを多数の小さなピースに分割し、ユーザーはピースの同時送受信によってファイルを共有することが可能となった。11 他のユーザーからファイル全体をダウンロードするのではなく、そのファイルを所有している他のユーザーからピースを入手し、そのピースを必要としているユーザーは、あなたからピースを受け取ることができる。この「多くの人から多くのピースを集める」というアプローチにより、あらゆる種類のファイルの共有が迅速化され、映画や音楽などの大容量ファイルの移動に最適な方法として急速に普及した。12 BitTorrentのユーザーが必要なファイルを組み立てられるよう、「トレントトラッカー」はファイルの送受信を行っているIPアドレスを記録していた。例えば、あるファイルの一部を探している場合、Torrentトラッカーは、その必要な部分を持っているユーザーのIPアドレスを教えてくれる。コンテンツ業界の代表者たちは、知的財産権の侵害を探し、主要な無許可アップローダーやダウンロードユーザーのアドレスを収集するために独自のトラッカーを稼働させ、それらのユーザーを停止させ、場合によっては告訴するようになった。Hydraは、BitTorrentで以前に使用されたランダムなIPアドレスをTorrentトラッカーによって検出されたアドレスのコレクションに追加することで、このトラッキングに対抗した。ファイルの一部をリクエストした場合、定期的に、あなたが探しているものを持っていないユーザーに誘導されることになる。BitTorrentシステム全体としてはわずかな非効率性だが、著作権の執行者が収集したアドレスの有用性は大幅に損なわれる。そのアドレスは、実際の参加者によって使用されている可能性もあるが、Hydraによって挿入されたダミーのアドレスである可能性もある。疑念と不確実性がシステムに再び持ち込まれ、確信を持って訴訟を起こせる可能性が低くなった。Hydraは、敵対者のログを破壊したりBitTorrentトラフィックを隠蔽しようとするのではなく、「私はスパルタカスだ」という防御策を講じた。Hydraはデータ収集を回避しなかったが、データ収集の信頼性を低下させることで、特定の調査結果を疑問視した。

2.8 意図的に曖昧な表現：難読化する機関

ジャクリーン・バーケルとアレクサンドル・フォーティエによると、健康情報サイトのプライバシーポリシーでは、トラッキング、モニタリング、データ収集の使用について説明する際、特に分かりにくい言語構成が用いられている。13 条件動詞（例えば「may」）、受動 受動態、名詞化、時間副詞（「定期的に」や「時折」など）、および定性的形容詞（「少量のデータ」など）の使用は、BurkellとFortierが特定した言語構造の一部である。この種の難読化は一見微妙なものであるが、すでに説明した他の形式と明らかに類似した操作である。具体的かつ明確な否定（例えば、「当社はユーザー情報を収集しません」）や正確な承認に代わるあいまいな表現は、活動や帰属の可能性を示す多くの混乱を招くような表現を生み出す。例えば、「このサイトの利用と第三者による他のサイトの利用に関する情報を結びつけるために、特定の情報が受動的に収集される可能性がある」という文章は、特定の情報に関してサイトが何を行うかという詳細を、さまざまな解釈が可能な曖昧な表現で表現している。

このような文章の書き方は、難読化というよりも、より一般的な難解な言語や「あいま いな表現」の領域に属するものである。14 しかし、難読化の手法の幅を示すという目的においては、難読化された言語のスタイルは有用である。文書は存在しなければならないが、明確な否定は不可能であるため、誰が何をしているのかを分かりにくく不明瞭にするという戦略が取られる。

2.9 匿名のテキストの難読化

文体分析の阻止 テキストのどの程度が、ある著者の作品であると特定できるだろうか？ 文体分析では、匿名のテキストの著者を特定するために言語スタイルの要素のみを使用する。 オンラインフォーラムへの投稿、その他の外部的な手がかり（IPアドレスなど）、タイミングなど、特定の人物のみが何らかの知識を持っている可能性を考慮する必要はない。文の長さ、言葉の選択、構文、書式や用法の特異性、地域性、繰り返されるタイプエラーなどを考慮する。連邦党論文の匿名の著者をめぐる論争の決着に役立ったのは文体分析であった（例えば、「while」と「whilst」の使い分けにより、アレクサンダー・ハミルトンとジェームズ・マディソンの文体を区別することができた）。また、法的な文脈における文体測定の有用性は、現在では十分に確立されている。15

少量のテキストが与えられれば、文体測定法によって著者を特定することができる。ジョシュア・ラオとパンカジ・ラタンギによると、6,500語程度のサンプルがあれば（電子メール、ソーシャルネットワークへの投稿、ブログ投稿など、特定されたテキストのコーパスと併用した場合）80パーセントの確率で著者を特定できるという。16 多くの人々は、日常的にコンピュータを使用する中で、数日で6,500語を生成している。

特定の著者を既知の個人の中から特定することが目的でなくても、文体分析は監視の目的に役立つ情報を提供することができる。テクノロジー活動家のダニエル・ドムシャイトベルクは、WikiLeaksのプレスリリース、リークの要約、その他の公開文書が文体分析にかけられた場合、それらの文章はすべて、多数の多様なボランティアではなく、わずか2人（ドムシャイトベルクとジュリアン・アサンジ）によって作成されたものであることが示されるだろうと気づいた瞬間を思い出した アサンジとドムシャイトベルクが示唆しようとしているように、多数の多様なボランティアグループではなく、わずか2人（ドムシャイトベルクとジュリアン・アサンジ）がすべての文章の責任者であったことが明らかになる。17 文体分析は、敵対者に「匿名」または秘密主義の運動、およびその脆弱性について、他の手段では得られないより正確な情報を提供する。著者を少数に絞り込むことで、敵対者は既知の容疑者グループを標的にするのに有利な立場に立つことができる。

難読化により、公開された文章の信号を曖昧にし、その文章と名前のついた著者を結びつけるプロセスを妨害することが可能になる。文体分析による難読化は、その成功が他の多くの難読化手法よりも容易にテストできるという点でも独特である。その正確な効果は非常に不確実である可能性があり、また非協力的な敵対者だけが知っている可能性もある。

筆跡分析を打ち負かすための3つのアプローチは、難読化について有益な洞察を提供している。最初の2つは直感的かつ単純なもので、通常のスタイルとは異なる筆記体を想定するものである。その弱点は、難読化の価値を強調している。

翻訳攻撃は、テキストを複数の言語に翻訳し、それを再び元の言語に翻訳するという機械翻訳の弱点を利用する。これは「伝言ゲーム」のようなもので、著者のスタイルが著しく損なわれ、帰属が不可能になる可能性がある。18 もちろん、この方法ではテキストの首尾一貫性や意味も損なわれる。また、翻訳ツールの精度が向上すれば、匿名化の目的を十分に達成できなくなる可能性もある。

模倣攻撃では、オリジナルの著者が意図的に別の著者のスタイルで文書を書く。このアプローチの脆弱性の一つは、研究によって見事に明らかにされている。19 テキストが同一の著者のものであると識別するために使用するシステムを使用して、2つのテキスト間の著者を識別する最も強力な識別子を決定し、その識別子を分析から除外して次に最も強力な識別子を探し、同じ除外プロセスを繰り返す。もしテキストが本当に別人の作品である場合、両者を区別する精度は徐々に低下する。なぜなら、著者の間に明白な大きな違いがある一方で、より小さく信頼性の低い違いも数多く存在するからだ。しかし、両方のテキストが同一人物によるもので、そのうちの1つが他の著者の模倣として書かれた場合、両者を区別する精度は急速に低下する。なぜなら、顕著な特異性の下では、根本的な類似性を覆すことは難しいからだ。

文体解析に対する難読化攻撃には、特徴的なスタイルを持たないような書き方をするというものがある。研究者たちは、テキストの「表面的」な難読化と「深層的」な難読化を区別している。「表面的」な難読化は、最も明白な特徴のほんの一部だけを変更する。例えば、「while」と「whilst」のどちらを使うかといった具合である。「深い」難読化は模倣を阻止するために使用されるのと同じ分類システムを実行するが、それは著者の利益のためにそうする。このような手法は、文書を編集する著者にリアルタイムでフィードバックを提供し、最もランクの高い特徴を特定し、文体論的分析の精度を低下させる変更を提案するかもしれない。例えば、洗練された言い換えなどである。「一般的な用法」の平凡さをリソースに変え、著者が膨大な数の類似した著者の中に紛れ込めるようにするかもしれない。

本稿執筆時点で開発中のツールである「Anonymouth」は、このアプローチを実行に移すための一歩であり、類似した文章のコーパス内で難読化できる統計的に平凡な散文を生成する。20 2011年の映画『ドライヴ』で逃走ドライバーに提供された車を考えてみよう。シルバーの新型シボレー・インパラは、 。これは巧妙な方法かもしれないが、政治的マニフェストや重要な文書が、優れた修辞的・文体的平凡さを追求する未来に、私たちは疑問を抱いている。そして、「これらは人々の魂を試す時代である」という次のトマス・ペインに匹敵する人物が現れるのか、私たちは疑問を抱いている。

2.10 コードの難読化

人間には不可解だが、機械には不可解ではない コンピュータプログラミングの分野では、「難読化されたコード」という用語には、関連するが異なる2つの意味がある。 1つ目は、「保護手段としての難読化」であり、つまり、コピー、修正、または侵害を目的として、コードを解釈する人間（または、使用のためにコンパイルされたコードを解明するのに役立つさまざまな「分解アルゴリズム」）にとって、コードを解釈しにくくすることである。（このようなリバースエンジニアリングの典型的な例としては、以下のようなものがある。マイクロソフトがセキュリティ上の理由からWindowsコンピュータを更新するためのパッチを配布する。悪意のある者がそのパッチを入手し、コードを調べてパッチがどの脆弱性を対象としているかを把握する。そして、発見した脆弱性を突く攻撃を考案する。） 「難読化されたコード」の2つ目の意味は、芸術の一形態を指す。人間には解読が極めて困難なほど複雑なコードを記述するが、最終的にはコンピュータが容易に処理できるありふれた計算タスクを実行する。

簡単に言えば、難読化されたプログラムは、以前と同じ機能性を持ちながらも、人間が分析する場合にはより難しくなる。このようなプログラムは、難読化のカテゴリーおよび概念として2つの特徴を示す。第一に、制約の下で動作する。つまり、コードが公開されるため難読化を行う。難読化の保護目的は、解析効率を低下させること（実験研究により、「少なくとも必要な時間を2倍にする」ことが判明している）、初心者と熟練した解析者の間のギャップを縮小すること、そして（どのような理由であれ）攻撃を受けやすいシステムの脅威プロファイルを、より攻撃を受けにくいシステムのプロファイルに近づけることである。 22 第二に、難読化されたプログラムのコードは、他の難読化手法でよく使われる戦略を採用している。具体的には、意味ありげな無意味な文字列の追加、説明が必要な余分な変数の使用、コード内の要素に任意のまたは意図的に紛らわしい名前を使用、行き止まりや無駄足につながる意図的に紛らわしい指示（本質的には「行 x に移動して y を実行」）をコードに含める、さまざまな形式のスクランブルなどである。保護モードでは、コードの難読化は解析を阻止するための時間稼ぎのアプローチであり、いわば「スピードバンプ」である。（最近では、難読化を解除する難易度と所要時間を大幅に増大させる進歩が見られる。これについては以下で説明する。）

芸術的、審美的な形でのコードの難読化は、目標を達成するための直感に反した不可解な手法の先駆けである。ニック・モントフォートは、これらの手法についてかなり詳細に説明している。23 たとえば、プログラミング言語Cが変数名を解釈する方法により、プログラマーはゼロと似た文字列で人間の解析を混乱させることはできても、ゼロと似た文字列でゼロと似た文字列で機械による実行を混乱させることはできない。このような難読化の手法の中には、私たちが定義した「難読化」の定義から少し外れるものもあるが、難読化の根本的な問題に対するアプローチを示すには役立つ。すなわち、精査の対象となり得るものを、曖昧で、誤った手掛かりや誤った同一性、満たされない期待感に満ちたものに変えるにはどうすればよいか、という問題である。

コードの難読化は、筆跡鑑定のように、正確に分析、テスト、最適化することができる。その機能性は、時間を稼ぐことやコードの解明をより困難にするという限定的な範囲から、完全な不可視性へと近づくものへと拡大している。Sanjam Garg氏とその同僚による最近の論文では、コードの難読化を「障害物」から「鉄壁」へと変えている。多線ジグソーパズルはコードをバラバラに分解し、パズルのピースのように「組み立てられる」ようにする。多くの配置が可能であるが、正しい配置は1つだけであり、コードの実際の動作を表している。24 プログラマーは、クリーンでクリアな人間が読めるプログラムを作成し、それを難読化ツールにかけることで、以前よりもはるかに長い時間精査に耐える、理解不能な何かを作り出すことができる。

コードの難読化は、難読化全般の研究において活気のある豊かな分野であり、比較的使いやすく、かつ破ることが非常に困難なシステムに向かって進歩しているように見える。これはハードウェアにも適用できる。Jeyavijayan Rajendran氏とその同僚は、チップの機能のリバースエンジニアリングを防止するために、回路内のコンポーネントを利用して「論理の難読化」を行っている。25

2.11 個人に関する偽情報：個人消滅の戦略

消滅の専門家は、難読化を試みる人々に多くのことを教えることができる。こうした専門家の多くは、逃亡者や債務者の発見を業務とする私立探偵や「足取り追跡業者」であり、顧客が所在不明のままでいられるよう、自らのプロセスを逆行分析している。彼らが用いるテクニックや手法の多くは、難読化とはまったく関係のないもので、単に回避や隠蔽を目的としたものにすぎない。例えば、新しいアパートを借りたり、公共料金の支払いをしたりする法人を設立し、それらの一般的な検索可能な活動と自分の名前を関連付けないようにする、といったものである。しかし、ソーシャルネットワーキングやオンラインでの存在感の拡大に対応して、消滅の専門家たちは偽情報の戦略を提唱している。これは、さまざまな難読化の手法である。「偽の人物」と失踪コンサルタントのフランク・アハーンは言うが、ウェブ検索結果のリストに現れる可能性のある既存の個人情報を「葬り去る」ほどの数と詳細さで作り出すことができる。26 これには、同じ名前で基本的な特徴が同じ数十人の架空の人物を作り出す必要がある。そのうちの何人かは個人ウェブサイトを持ち、何人かはソーシャルネットワークのアカウントを持ち、全員が断続的に活動している。ストーカーや虐待的な配偶者から逃れる顧客に対して、Ahearn氏は、調査員が追跡しそうな偽の情報を多数同時に用意することを推奨している。例えば、ある都市の賃貸アパートの契約のための信用調査（実際には契約は締結されない）、全国または世界中に散らばった公共料金、勤務先住所、電話番号の申請、遠隔地での費用支払いのために旅行する誰かに与えられたデビットカード付きの一定金額の預金口座などである。失踪の専門家が提案する戦略は、敵対者に関する既知の詳細に基づいている。その目的は、誰かを「完全に消し去る」ことではなく、実用的な目的で視界から十分に遠ざけることで、捜索者の予算とリソースを使い果たすことにある。

2.12 Appleの「クローニングサービス」特許：電子プロファイリングの汚染

2012年、ノベルからのより大規模なポートフォリオ購入の一部として、Appleは米国特許8,205,265「電子プロファイリングの汚染技術」を取得した。27 これは、サービスを犠牲にすることなくデータ監視を管理するためのアプローチであり、すでに説明した技術的難読化のいくつかのシステムと類似している。この「クローニングサービス」は、個人情報を誤解させるような情報を生成するプロセスを自動化し、強化するもので、ターゲットは私立探偵ではなく、オンラインデータ収集者である。

「クローニングサービス」は個人の行動を監視し、その人の生活リズムや興味について、もっともらしい情報を収集する。ユーザーの要求に応じて、クローニングされたIDが作成され、そのIDは、認証に使用された識別子（より厳しい監視者ではなく、ソーシャルネットワークに対して）によって、実在する人物であることを証明する。これらの識別子には、意図的に不正確な情報が大量に混ぜ込まれているが、少量の実在する機密データ（髪の色や婚姻状況など、生活に関するいくつかの詳細）が含まれている可能性もある。初期データセットから始まり、クローンIDはメッセージの送受信に使用する電子メールアドレス、電話番号（少額の料金で電話番号を利用できるオンライン通話サービスは数多くある）、ボイスメールサービスを取得する。少額の取引を行うための独自の資金源（ギフトカードや、随時入金される固定口座に紐づくデビットカードなど）を持っている可能性もある。 さらに、実在性を示す2つのシグナルとして、郵送先住所やAmazonロッカーを持っている可能性もある。 これらのシグナルに、ユーザーが正式に指定し、SNSサイトや類似の手段でアクセス可能な既存のデータで補強された関心が追加される可能性もある。クローンを作成するユーザーが、ドロップダウンメニューから「アメリカ人である」や「写真やキャンプに興味がある」などを選択すると、システムは、そのクローンはアンセル・アダムスの作品に興味があるはずだと判断する。検索（TrackMeNot のような方法）、リンクの追跡、ページの閲覧、さらには購入やサービスのアカウント作成（例えば、大自然探訪のディールに特化したメーリングリストの購読や、ナショナルジオグラフィックのTwitterアカウントのフォローなど）も可能である。これらの興味は、ユーザーの閲覧履歴などから推測される実際の興味に基づいて設定されるが、徐々にそれらの興味から乖離し始める可能性もある。（また、自分のクローンのプロフィールに、人口統計的に適切な活動を自動的に選択して追加することも可能である。典型的な興味や行動を選択することで、自己の特異性を打ち消すようなものを作り出すことができる。）

簡単な分析を行うと、クローンは人のリズムや習慣も取り入れることができる。週末や夜、休日には基本的にオフラインで過ごす人であれば、そのクローンも同様に行動する。 ただし、クローンは常に稼働しているわけではなく、飛行機に乗る際には停止させることができるので、敵対者がどの行動があなたのものではないかを簡単に推測することはできない。 あなたが再びオンラインに戻ると、クローンも再開する。（なぜ今、複数のクローンについて話しているのかについては、下記を参照のこと。） もちろん、なりすまし行為者が、説得力を持たせるためにそうする必要がない限り、メディアコンテンツを海賊行為したり、爆弾の製造方法を探したり、ポルノを見たりしないように、クローンが関与しない活動の種類を選択することもできる。すべてのクローンが品行方正で、真面目なネットワークユーザーであり、歴史や慈善活動、レシピにしか興味がないとすれば、疑いを招く可能性がある。（単一のクローンについて語るのではなく、複数のクローンについて語るようにした理由は、ひとつのクローンが稼働し始めると、他のクローンも多数生まれることになるからだ。実際、十分に洗練されたクローンが、あなたの履歴、人口統計、習慣から学んだ上で、自分自身のクローン、つまりコピーのコピーを作成するという、ブラックユーモアを想像してみてほしい。）あなた自身になり得るこの人口を拡大し、日々、あなたらしい生活を送らせることは、あなたにとって有益である。これは特許で概説された基本的な目標を達成するものである。すなわち、クローンはデータ収集を回避したり拒否したりせず、収集に協力するが、収集されたデータを汚染し、そのデータから作成されたプロファイルの価値を低下させる。

2.13 渦：ゲームと市場としてのクッキーの難読化

アーティスト、デザイナー、プログラマーであるレイチェル・ロウが開発したコンセプト実証ゲーム（一種）である「ボルテックス」は、同時に2つの機能を提供する。すなわち、オンラインフィルタリングシステムがインターネット利用にどのような影響を与えるかをプレイヤーに教えること、および、ブラウザクッキーやその他の識別システムに基づくターゲット広告を混乱させ、誤った方向に導くことである。このゲームは、ユーザーを楽しませながら時間を費やさせるという点で、クッキーベースのターゲット広告という一見、乾燥した抽象的なテーマをユーザーに理解させるのに最適な場となっている。言い換えれば、これは個人データの管理と交換を扱う大規模多人数同時参加型ゲームである。主な活動は、ウェブサイトからクッキーを「採掘」し、他のプレーヤーと交換することである。このゲームの1つのプレイ状態では、ブラウザのブックマークバーに色分けされたボタンがいくつか表示され、それらを使ってクッキーを蓄積したり交換したりすることができる（事実上、異なるIDを使用している）。別のプレイ状態では、クッキーを採掘できる準惑星としてサイトを表す風景が表示される。（この風景表現は、人気の探検・建築ゲーム「Minecraft」から着想を得ている。）

Vortexは、クッキーの表示、管理、共有を楽しく、かつ親しみやすい方法で提供している。クッキーを作成したり、収集したり、他のプレーヤーと交換したりする際に、クリックひとつでクッキーを切り替えることができる。これにより、効果的に自分を偽装し、異なるウェブ、異なるフィルターセット、異なるオンライン上の自分自身を体験することができる。これにより、ターゲット広告は選択肢のひとつとなる。異なるジェンダー、異なる人種、異なる職業、異なる関心事を持つ人物として表示されるクッキーに切り替えることができ、広告や「パーソナライズ」された詳細情報を、あなたを特定のマーケティングモデルのアイデンティティとして位置づける邪魔で操作的な要素ではなく、単なる背景の雑音に変えることができる。ウェブをさまざまな人物として体験し、自分に関する記録を、自分とはあまり関係のない否定できない肖像画に変えることができる。信頼できる友人たちのサークルでは、アカウントのクッキーを共有することで、居住地域では購入が禁止されている商品を購入できるようになる。例えば、特定の国に居住する視聴者だけが利用できるビデオストリームなどである。自己から自己へと飛び移り、それによって人口統計的書類の作成プロセスを台無しにする。 ボルテックスのプレイヤーは、オンライン上のアイデンティティをオンラインロールプレイングゲームのインベントリー画面のようなオプションのフィールドに変える。 クッキーやパーソナライゼーションが提供する利益を隠したり、あきらめたりするのではなく、ボルテックスは、ユーザーが自身のアイデンティティを他者の群衆に提供しながら、多数のアイデンティティを展開することを可能にする。

2.14 オンラインアイデンティティの価値　「ベイズ流フラッディング」および「アンセリング」

2012年、開発者であり起業家でもあるケビン・ラドロー氏は、よく知られた難読化の問題を取り上げた。Facebookからデータを隠す最善の方法は何か？29 簡単に答えを言えば、データを削除する良い方法はないということだ。また、ソーシャルネットワークから完全に撤退することは、多くのユーザーにとって現実的な選択肢ではない。ルドロー氏の回答は、今ではおなじみのものとなっている。

「Facebookから情報を隠そうとするよりも、大量の情報を流し込むだけで可能になるかもしれない」とルドロー氏は書いた。ルドロー氏のこの実験（統計分析の一種にちなんで「ベイズ流洪水法」と名付けた）では、数か月にわたって数百件の人生の出来事をFacebookのタイムラインに入力した。彼は結婚と離婚を経験し、癌と闘い（2度）、多数の骨折をし、子供をもうけ、世界中を旅し、1ダース以上の宗教を探求し、そして多くの外国軍のために戦った。ルドロー氏は、これらのストーリーに誰かが惹きつけられるとは思っていなかった。むしろ、広告が現在反応している不正確な推測を通して、Facebookのターゲットを絞らない個人的な体験を作り出すことを目指していた。また、広告自体や、ユーザーが意図するよりも多くの情報を入力するように仕向けたり、影響を与えたりするサイト構造に組み込まれている操作や「強制的な心理的トリック」に対する抗議の行為でもあった。実際、世界中を飛び回り、不運な運命をたどるキャディのような神秘的な傭兵として活躍するLudlowのTimelineの人生は、あまりにも信じがたい。そのため、一種のフィルターとして機能している。人間である読者は、そしてLudlowの友人や知人は、そのすべてが真実だとは考えないだろう。しかし、広告を推進する分析には、そのような区別をつける方法はない。

ルドローは、もし彼の手法がより広く採用されることになれば、地理的、職業上、または人口統計学的に極端な例外、つまりタイムラインが事件で過密状態になっている人々を特定することは難しくなく、そうして得られた結果をより広範な分析から洗い出すことも可能になるだろうと仮説を立てている。ルドローが思い描く勝利の特定の理解は、本書の第2部で提示する目標の類型論で議論しているが、限定的なものである。彼のベイズ流洪水法は、広大な範囲にわたるデータ収集と分析を相殺し、台無しにすることを目的としているわけではない。むしろ、その目的は、システム内にある自分自身のデータを、アクセスできない状態に保つことである。マックス・チョーは、より穏健なバージョンを次のように説明している。「コツは、Facebookに、Facebookがあなたに商品を販売する能力を損なうほど十分な嘘を投稿することだ」30。つまり、確信と抗議の行為として、オンラインでの活動を商品化しにくくすることである。

2.15 FaceCloak：隠蔽の隠蔽

FaceCloakは、Facebookによる個人情報へのアクセスを制限する別の方法を提供する。Facebookのプロフィールを作成し、居住地、出身校、趣味や嗜好など、個人情報を入力する際、FaceCloakは、これらの情報を公開するか非公開にするかを選択できる。31情報を公開すると選択した場合、その情報はFacebookのサーバーに送信される。非公開にする場合は、FaceCloakは情報を別のサーバー上の暗号化されたストレージに送信し、FaceCloakプラグインを使用してFacebookページを閲覧する際に承認した友人に対してのみ、復号化して表示する。Facebookはこれにアクセスすることはできない。

FaceCloakの現在の目的で際立っているのは、Facebookの必須プロフィールフィールドに偽の情報を生成することでその方法を難読化し、実際のデータが別の場所に保存されているという事実をFacebookおよび未承認の閲覧者から隠蔽している点である。FaceCloakが実際のデータをプライベートサーバーに送信する際、FaceCloakはFacebookに対して、あなたに関する実際の事実とは何の関係もない、特定のジェンダーを持つ、名前と年齢を持つ、もっともらしい架空の人物を偽造する。この偽装された架空の人物を隠れ蓑に、ユーザーは友人たちと本物のつながりを築くことができる一方で、他の人々には難読化されたデータを提示することができる。

2.16 難読化された「いいね」の収集：操作の痕跡を隠蔽する

「いいね」の収集は、Facebook上で人気があるかのように見せかけるための戦略として、現在ではよく知られている。一般的に開発途上国の従業員が、特定のブランドや製品に対して「いいね」をクリックする （1000件の「いいね」に対して、現在の相場は数米ドルである。）32 多くの「いいね」を獲得したアイテムには多くの利点がある。例えば、Facebookのアルゴリズムは人気があることを示すページを循環させるため、さらに勢いが増す。

特にFacebookのような高度なシステムでは、このような行為は簡単に発見できる。いいね！を増やす行為は、ほとんど何もしないアカウントから、特定の1つのものまたは1つのカテゴリーに集中的にいいね！を付けるという形で実行される。より自然に見せるために、彼らはさまざまなページに「いいね」をするというわかりにくくする戦略を用いている。通常は、最近「ページの提案」フィードに追加されたページで、Facebookがユーザーの興味関心に合わせて宣伝しているページである。33 あるページに計画的に「いいね」をするという有料作業は、ばらまかれた「いいね」の中に隠すことができ、奇妙に単一でありながら特徴のない興味を持つ人物からの「いいね」のように見える。ライクファームは、偽装の動機が実に多様であることを明らかにする。この例では、政治的支配への抵抗ではなく、単純に料金を支払ってサービスを利用することである。

2.17 URME 監視：「アイデンティティの補綴」による抗議

アーティストのレオ・セルヴァッジは、公共空間のビデオ監視と顔認識ソフトウェアの含意について取り組みたいと考えた。34 通常の反応の範囲（マスクの着用、カメラの破壊、Surveillance Camera Players のような皮肉な注目を集める方法）を検討した後、セルヴァッジは抗議活動家らしい特にわかりにくい反応を思いついた。セルヴァッジョは、抗議運動家らしい特にわかりにくくする反応を思いついた。彼は、自分の顔を正確に再現したマスクを制作し、配布した。このマスクを装着した人は、Facebookの顔認識ソフトウェアによって、本人としてタグ付けされることになる。

セルヴァッジョのプロジェクトの説明は、偽装工作の要点を簡潔にまとめている。「この装置を使えば、カメラに自分の顔を隠したりぼかしたりするのではなく、カメラに対して別の、代替のアイデンティティを提示することができます。

2.18 矛盾する証拠の捏造：捜査を混乱させる 政治的殺人の芸術

フアン・ホセ・ヘラルディ・コネデラ司教の死に関する捜査について、フランシスコ・ゴールドマンが著した『政治的殺人の芸術：司教を殺したのは誰か？』は、証拠収集の濁りを意図的に引き起こす難読化の手法を明らかにしている。35 1960年から1996年にかけてのグアテマラ内戦中、人権擁護に多大な貢献を果たしたヘラルディ司教は、1998年に殺害された。

ゴールドマンは、この殺人事件の責任者の少なくとも数名を裁くために、グアテマラ軍内部で長期間にわたって危険な捜査が行われたことを記録したが、その過程で、捜査の対象となった人々は、単に自分たちの役割を隠すために証拠をでっち上げるだけではなかったことに気づいた。誰かを犯人に仕立て上げるのは明らかな戦術であり、でっち上げられた証拠は偽物であると見なされるだろう。むしろ、彼らは矛盾する証拠、多数の目撃証言や証言、あり得るストーリーをあまりにも多く作り出した。その目的は、完璧な嘘をでっちあげることではなく、あり得る仮説を多数作り出すことで、観察者が真実に到達することに絶望するほどに、ということだった。司教殺害の状況は、ゴールドマンが「際限なく利用できる状況」と呼ぶものを生み出した。それは、どこにもつながっていない手がかりと、事実の要素が他の要素を疑問視するような、押収された証拠の山で満ち溢れていた。「これほど多くのことが起こり、また、起こったように見せかけることも可能だった」とゴールドマンは記している。彼の強調したイタリック体は、曖昧さの持つ力を強調している。36

グアテマラ軍および情報機関の暴漢たちは、この状況を管理するのに十分な手段を持っていた。すなわち、国内の政治権力、資金、そしてもちろん暴力や暴力の脅威にアクセスする手段である。状況がいまだに不透明であることを踏まえ、正確な決定について推測することは避けたいが、根本的な目標は十分に明確であると思われる。最も差し迫った重大な敵対者である捜査官、判事、ジャーナリストが殺害されたり、脅迫されたり、買収されたり、あるいはその他の影響を受ける可能性がある。 難読化された証拠やその他の資料は、より広範な監視者コミュニティに宛てられたものであり、誤った手がかりの氾濫により、捜査のあらゆる側面に対して、捜査や結論に疑問を投げかけるのに十分なほど時間を浪費する疑いが生じている。

II 難読化の理解

3 なぜ難読化が必要なのか？

賢者は葉をどこに隠すのか？ 森の中だ。 しかし、森がない場合はどうするのか？ 隠すために森を育てるのだ。

G. K. チェスタートン著「折れた剣の印」

3.1 難読化の概要

プライバシーは複雑で、時に矛盾する概念であり、場合によっては誤解を招いたり、ほとんど意味をなさないこともあるほど幅広い意味を持つ言葉である。プライバシーは法律や政策、テクノロジー、哲学、そして日常会話の中で表現される。プライバシーは、ウェブサイトのダッシュボード（プライバシー設定はドロップダウンメニューやラジオボタンで管理できる）から、人間社会の発展に関する包括的な議論まで、幅広い領域を網羅している。プライバシーは時代遅れの考えであり、2世紀にわたる西欧の産業化の異常な産物であり、村での生活とソーシャルメディアの間の空白期間である、という意見もある。プライバシーは、自由な発想を持つ独立した個人として成長することを可能にする。プライバシーは、ブルジョワの偽善と不誠実さの表れである。プライバシーは、社会の多様性を守るものである。1 これは、単にこの言葉が使われる方法を示すだけではない。少し考えれば、これらの用法には相反する概念が含まれていることが明らかになる。プライバシーの家には多くの部屋がある。そのうちのいくつかは家族生活の完全性に関係し、またいくつかは国家による弾圧（現在または将来）に関係し、またいくつかはデータの有用性や価値に関係し、またいくつかは匿名性においてのみ現れる真の自己に関係し、そして多くの部屋には共通部分や行き来できるドアがある。2 この概念上の多様性は、プライバシーの生成、実行、保護に使用される戦略、実践、 プライバシーの保護、実行、作成に使用される戦略、実践、テクノロジー、戦術にも反映されている。3 別の場所で、これらの概念の多くが文脈の整合性の旗印の下に統合できることを示したが、ここでは、これらの懸念事項の関連性、特に明確に表現されたもの、およびそれに応じてどのように自己防衛できるかについて焦点を当てる。4

本章の目的は、難読化とは何か、またそれがプライバシーの利益、その利益に対する脅威、およびそれらの脅威に対処するために使用される方法の多様な状況にどのように当てはまるかを説明することである。プライバシーは多面的な概念であり、それを生み出し、それを守るために、幅広い構造、メカニズム、規則、および慣行が利用可能である。プライバシーの道具箱を、比喩的に引き出しごとに開けていくと、地域、国家、世界レベルでの政策や法律、

暗号化などの証明可能な安全性を確保した技術、個人の情報開示の行動や慣行、ジャーナリスト、聖職者、医師、弁護士などの守秘義務に関する社会システム、ステガノグラフィーシステム、コミュニティによる集団的な情報保留やオメルタ（シチリアマフィアの暗黙の掟）など、さまざまなものが見つかる。ティモシー・メイのBlackNetは、暗号技術を応用した、完全に匿名の情報市場を描写するアプリケーションである。追跡不可能で課税対象外の取引が行われ、企業スパイや軍事機密、禁止・機密資料の流通を促進する。長期的な目標は「政府の崩壊」である。5 私たちは、合衆国憲法修正第4条を基盤とした法的作業により、通信ネットワークやソーシャルサイトを保護する仕組みを構築し、個々の市民の権利と法執行機関の権限のバランスを取るよう努めている。この多様なキットに、難読化を、それ自体の手法として、また、目的に応じて他の手法と併用できるアプローチとして追加する。私たちは、プライバシー問題の中には難読化が妥当な解決策となり得るものがあり、また、中には最善の解決策となるものもあることを読者に納得してもらうことを目指している。

難読化とは、最も抽象的な意味では、データの集合をより曖昧で、混乱しやすく、悪用しにくく、行動を起こしにくく、したがって価値の低いものにするために、既存の信号をモデルとしたノイズを生成することである。「難読化」という言葉がこの活動に選ばれたのは、この言葉が「不明瞭さ」、「理解不能」、「当惑」を意味し、また、消失や消去に頼る手法と区別するのに役立つからである。難読化は、何らかの方法で信号が発見されることを前提とし、関連性のある類似した適切な信号を大量に追加する。つまり、個人が混ざり合い、交じり合い、短時間であれば隠れることができる群衆である。

G. K. チェスタートンの短編小説『折れた剣のしるし』に登場する架空の軍人殉教者、アーサー・セントクレア将軍を考えてみよう。 敵の野営地に対する考えの浅い攻撃で、セントクレア将軍の部下たちは虐殺された。 なぜ、優秀な戦略家が、明らかに欠陥のある敵の優勢な位置への攻撃を試みたのか？ チェスタートンの教会探偵であるブラウン神父は、質問で答える。「賢者は小石をどこに隠すのか？」友人は答えた。「浜辺だ。」そして、彼は森の中に葉を隠す。ブラウンは続ける。「もし死体を隠す必要があるなら、隠すために多くの死体を用意しなければならない。秘密を守るために、セントクレア将軍は一人の男を殺し、高台にある大砲に突撃を命じたことで生じた他の死体の混乱の中に隠したのだ。

ブラウン神父の修辞的な質問は、2007年の特許訴訟でジャコブ法務卿によって繰り返された。

この種の大量開示を行う方が、文書を慎重に検討して開示すべきかどうかを決定するよりも安上がりであるという意見もあるかもしれない。その段階では、特にそれが許容される費用である以上、コピー機やCDメーカーで全て処理する方が安上がりかもしれない。しかし、それは問題ではない。過剰開示によって生じる下流の費用が、しばしば非常に高額で無意味であることが問題なのだ。過剰な開示が行き過ぎた場合には、本当に重要な文書が見落とされるという現実的なリスクがあることさえ言える。賢者はどこに葉を隠すか？7

死んだ兵士から開示された文書まで、物事を隠そうとする本質は見落とさせること、そして、見落とすことのコスト、手間、難しさを増大させることにある。

難読化は、カモフラージュと比較することができる。カモフラージュは、しばしば完全な消失のためのツールと考えられている。例えば、シンプソンズのエピソードで、ミルトンが迷彩服を着て緑の中に溶け込み、メガネと笑顔だけが見えるようになる場面を想像してみよう。8 実際には、自然および人工のカモフラージュは、 自然および人工のカモフラージュは、さまざまな技術や目的で機能するが、その一部は視界から完全に消えることを試みるものもある。また、他の形状の断片や暗示によって、形状のエッジ、輪郭、方向、動きを隠す「混乱パターン」を利用するものもある。ヒラメが砂に身を隠したり、タコが外套膜を使って岩に化けたりするように、輪郭を分断しても、形が完全に消えるわけではない。むしろ、観察を避けられない状況、つまり、動いたり、位置を変えたり、あるいは露出したりする場合には、分断パターンや分断色調が、範囲、サイズ、速度、数といったものの評価を妨げる。それによって個体を識別し狙いをつけることが難しくなり、集団のメンバーを数えることもより困難になる。軍事分野におけるカモフラージュの初期の用途の多くは、大砲陣地のような隠れにくい大きなものを対象とし、航空機から正確に評価することが困難になるようにすることに専念していた。姿を消すことができない状況では、多数のターゲットや移動経路を作り出すことで混乱を招き、貴重な時間を稼ぐことができる。難読化の象徴的な動物がいるとすれば、それは第2章で触れた、自分の偽物で巣を埋め尽くす球状蜘蛛の一種、Cyclosa mulmeinensis（ハナグモ）である。その偽物は完璧なコピーとは程遠いが、スズメバチが襲いかかるときには十分に機能し、球状蜘蛛は安全な場所に逃げ込むために1、2秒の猶予を得ることができる。

ハンナ・ローズ・シェル著『カモフラージュの歴史：隠れんぼう、カモフラージュ、偵察のメディア』では、「カモフラージュ意識」というテーマが展開されている。これは、監視技術に対する内部モデルに基づいて行動する方法である。シェルは、カモフラージュパターンを制作する者 パターンを制作する専門家、兵士を訓練する専門家、そして戦場にいる兵士たちは、双眼鏡や望遠ライフル銃の照準器、静止画や動画のカメラ、飛行機、監視員、衛星などから見える範囲を把握し、その視認性を低減する方法で活動しようとしていたとシェルは主張している。そのためには、観測技術の欠陥や限界を突くために、研究、推定、モデリング、当て推量を組み合わせる必要があった。カモフラージュは、擬態による完全な不可視性を追求するものであれ、他の曖昧で不明瞭な形状の混乱の中に形状を隠す一時的な解決策を求めるものであれ、常に開発された技術の能力を反映したものだった。

ここで問題にしているのは、データや情報の難読化の形式であり、デザイナー、開発者、活動家にとっての技術的有用性である。このような難読化の道徳的・倫理的役割を理解することは、それらが挑戦し、妨害しうるデータ収集およびデータ分析技術を理解することである。脅威モデル、目的、制約を理解することでもある。難読化はプライバシーの構築と防御のためのツールのひとつであり、他のツールと同様に、その目的と解決できる問題によって磨かれる。これらの問題の本質を明らかにするために、情報の非対称性という概念を導入する。

3.2 情報の非対称性の理解　知識と権力

この時点で、ドナルド・ラムズフェルドがイラク侵攻に先立ってリスクの計算について述べた、複雑にからみあった有名な説明を思い出してみよう。「既知の既知、つまり我々が知っていることを我々は知っている。既知の未知、つまり我々が知らないことを我々は知っている。そして未知の未知、つまり我々が知らないことを我々は知らない」10 これは意図的な論理パズルのように思えるが、3つのまったく異なる危険カテゴリーを区別している。街灯に取り付けられた監視カメラや、廊下の天井のドーム型鏡ガラスに隠された監視カメラを目にすれば、自分が記録されていることが分かる。録画がその現場だけで配信されているのか、あるいはインターネットを通じて遠隔地にストリーミングされているのか、私たちは知らない。録画がどのくらいの期間保存されるのか、また、録画を閲覧する権限を持つのが警備員なのか、保険請求が発生した場合の保険調査員なのか、あるいは警察なのか、私たちは知らない。

一見単純なCCTV録画にも、さらに大きな未知の未知のカテゴリーが存在する。例えば、その映像が顔認識や歩容認識ソフトウェアで分析できるかどうか、タイムコードをクレジットカード購入や、私たちが降りた車のナンバープレートと照合して、映像と身元を結びつけることができるかどうか、私たちは知らない。実際、プライバシー保護活動やセキュリティ技術に個人的に関わっていない限り、私たちは、自分が知らないということを知らないことすら知らないのだ。混乱を招くような表現ではあるが、この文章の3つの否定表現は正確であるだけでなく、不確実性の層を示している。つまり、ビデオファイルが、犯罪者やテロリストを特定して尋問するために、予測人口統計ツールで分析されないと確信できないことを私たちは認識していないのだ。これは未知数の終わりでもなく、潜在的に重大な決定を形作る可能性のある、無知の濃い雲の中で生み出されたものばかりである。そして、それは単に1台のCCTVカメラであり、そのケーブルやワイヤレス伝送はどこかで終了し、どこかのハードドライブに保存され、それがまたどこかでバックアップされているかもしれない。どのような管轄権のもとで、どのような条件で、どのような業務上の取り決めのもとで？クレジットカードでの購入、メールリストへの登録、スマートフォンのアプリのダウンロード（「このアプリは連絡先へのアクセスが必要です」？「もちろん！」）、妥当かつ合法的な要求に応じた郵便番号や誕生日、識別番号の提供など、1日を通して、そして世界中で、このような行為が繰り返される。

情報の収集が非対称的な力関係の中で行われていることは明らかである。私たちは、監視されているかどうか、収集された情報にどのような処理がされているか、その情報から導き出された結論に基づいて自分たちにどのようなことが行われているかについて、ほとんど選択の余地がない。電車に乗る、電話をかける、駐車場を利用する、食料品を買うといった場合、情報収集の対象となり、その情報の一部またはすべてに対するコントロールを放棄することになる。完全な情報と十分な知識に基づく選択が可能な空間において、明確な合意が得られることはほとんどない。重要なリソースを受け取ったり、市民生活に参加したりするには、特定のフォームに記入しなければならない。また、仕事で必要となるソフトウェアを使用するには、煩わしい利用規約に同意しなければならない。さらに、インフラストラクチャは、デフォルトでユーザーに関するデータを収集する。難読化は、この権力の非対称性の問題と関連している。カモフラージュの例が示すように、これは、簡単に監視から逃れることができないが、移動や行動が必要な状況に適したアプローチである。しかし、この問題は、情報収集の表面的な側面、つまり「自分が知っていることを知っている」という側面だけである。2つ目の側面である情報または認識の非対称性は、より深刻で有害な問題であり、プライバシー保護のための難読化の形成に大きな役割を果たしている。

電子フロンティア財団の理事長であるブラッド・テンプルトンは、「タイムトラベルした未来からのロボット」11の危険性について語っている。このロボットは、現在よりも強力なハードウェアと洗練されたソフトウェアを携えて過去に戻り、私たちを完全に監視する。。彼らは、ばらばら（そして、私たちは控えめだと思っていた）に存在する私たちの生活の点を結びつけ、私的な経験の流れをあまりにもはっきりと、あまりにも人間的なパターンに変え、過去の暗い隅々にまで強力な分析の光を照らす。未来から来たロボットたちは、彼らを雇うのに十分なほど裕福な者、つまり広告業者、産業、政府、利害関係者のために働く傭兵である。彼らが私たちの履歴を照合し収集するのを止めることはできない。なぜなら、彼らとは異なり、私たちは時間を遡って過去の行動を変えることができないからだ。

しかし、テンプルトンの話はSFではない。私たちは毎日膨大な量のデータを生産している。それらのデータは半永久的に残り、それらを関連付けたり分析したりするテクノロジーは日々進歩している。かつてはプライベートだと考えられていたもの、あるいは考えられていたとしても、それらはオープンになり、可視化され、新しいテクノロジーにとって意味のあるものとなる。これは、プライバシーと自律に関する私たちの行動を形作る情報非対称性の側面の一つである。私たちは、近未来のアルゴリズム、技術、ハードウェア、データベースが、私たちのデータを使って何ができるようになるのかを知らない。無意味なものから意味のあるものへ、些細な人生の出来事から税金や保険料、資本へのアクセス、移動の自由、あるいはブラックリストに載るかどうかといったことまで、常に変化が進行している。

それは未知の未来であるが、現在においても懸念すべき情報非対称性がある。私たちに関する情報は貴重であり、また、その情報はあちこちに移動する。私たちに関する情報を収集した企業は、その情報を他のさまざまな記録（通話記録、購入記録、個人識別情報、人口統計名簿、ソーシャルネットワーク上の活動、地理的位置データ）と結びつけ、その情報をパッケージ化して他の企業に販売したり、政府の要請や召喚状に応じて情報を引き渡したりする可能性がある。たとえ企業経営者が情報を厳重に管理することを約束したとしても、破産後に資産のスケジュールに組み込まれ、取得または売却される可能性がある。相関関係の分析作業はすべて、ほとんどの人々にとっては表面的な理解以上のものはないツールやトレーニングによって行われる。一般の人々は、その他のデータベースや技術、数学やコンピュータサイエンスのトレーニング、あるいは、生活や活動から得られる些細な詳細情報から何ができるのか、また、そのような詳細情報が、一般ユーザーが予想するよりも強力で、より完全で、より明瞭な分析を提供できる可能性があることを理解するために必要なソフトウェアやハードウェアにアクセスできない。実際、エンジニアやアナリストでさえ予想できないほど明瞭な分析である。

データマイニングの主要な理論家の一人であるタル・ザースキー氏は、予測ソフトウェアの微妙な罠について説明している。非対称性のさらなる一歩である。予測システムは、膨大な既存のデータセットを利用して人間の行動を予測する。予測は、正確であろうが不正確であろうが、意思決定や強制的な結果の生成に使用され、人々はまだ行っていないことに対して罰せられたり、報酬を与えられたりする。差別や操作の可能性は明らかである。しかし、Zarskyが説明するように、懸念事項にはもう1つの層がある。「人間が理解できないデータマイニング分析から、人間が理解できないプロセスが導かれる可能性がある。この場合、ソフトウェアは複数の変数（数千にも及ぶ場合もある）に基づいて選択を決定する。… 自動化された推奨システムによって個人が差別的な扱いを受けることになった理由を尋ねられた場合、政府が詳細な回答を提供することは困難である。政府が言えるのはせいぜい、過去の事例に基づいてアルゴリズムがそう判断したということだけである。」12

ソロン・バロカスは、これらの考えをさらに発展させ、現在一般的に「ビッグデータ」と呼ばれるデータ集約、分析、予測モデリングに対して、私たちがどれほど脆弱であるかを明らかにしている。ビッグデータ手法は、私たちが自発的に共有した、あるいは提供を余儀なくされた情報を利用し、ほとんどのデータ主体である私たち個人が予想もできなかった推論から知識を生み出す。なぜその決定が下され、実施されるのか、その理由を完全に理解していると断言することもできない。なぜなら、究極の「知ることのできない未知」であるデータ収集においては、決定を下す者たちも、なぜその決定が下され、実施されるのかを理解していないからだ。私たちは、不透明な業務の内部を推測するしかない。私たちは判断の根拠を理解していない。私たちは情報の非対称性の状態にある。

この議論は、我々が知らないこと、いや、知ることができないことに部分的に基づいているため、やや抽象的になる危険性がある。しかし、リスクというテーマに簡単に触れることで、この議論を徹底的に具体化し、情報の非対称性の問題の異なる側面について議論することができる。「リスク」とは「信用リスク」のことである。ジョシュ・ローアーの研究が示しているように、信用管理は、データ収集、書類作成、データマイニングの歴史において極めて重要であった。14 19世紀の米国における商業および社会秩序の変容により、企業は、かつては信用とリスクの計算に用いられていた「個人的な人脈や地域社会の評価」にアクセスできないまま、顧客に信用供与を行うことを余儀なくされた。「個人的な知り合いや地域社会の評判」に代わって、信用調査機関が、個人に融資、保険、リース、その他のリスクの高いものを与えるかどうかを判断するための情報を収集するデータとして活用されるようになった。1920年代後半には、信用調査機関の報告書や分析は、米国政府が国内で実施するプロジェクトをすべて合わせたよりもはるかに規模の大きい、民間による監視システムを構成するようになった。その結果、いくつかの重大な影響が生じた。その中には、個人の「経済的なアイデンティティ」に性格評価が組み込まれたことや、蓄積されたデータの新たな利用法としてターゲットを絞ったマーケティングが台頭したことなどがある。ここで取り上げる議論に関連する影響は、特に次のものがある。デジタルデータベースやツールの台頭によって顕著になったこの影響は、信用調査はリスクを低減させるが、状況によってはリスクを輸出することにもなるというものである。（これらの結果は、アンソニー・ギデンズの「製造されたリスク」の領域に属するものである。すなわち、近代化の過程で生み出された危険であり、近代化によって緩和されるのではなく、逆に新たな緩和システムを必要とするものである。15）

貸し手、保険会社、あるいは顧客に信用供与を行う企業がリスクを低減する過程で、個人のリスクは高まる。そのリスクの一つは、個人情報の盗難である。百貨店の下請け業者（それが誰であれ）が完璧なセキュリティ対策を遵守していると信頼しなければならない。もう一つのリスクは、店舗が怪しげなデータブローカーに販売データを提供したり、パートナーとデータを共有したり、企業全体でデータを取得したり、あるいは政府がより大規模なデータ収集プロジェクトの一環としてデータを無差別に収集したりするなど、文脈の侵害のリスクである。これは公正な取引であるかもしれないが、データ収集によってリスクが消えるわけではないことを忘れてはならない。データ保有者によって新たなリスクが生み出され、外部化されるのだ。これらのリスクはあなた自身、そしてあなたのデータをより良く分析し理解するために使用される他の人々によって負担されることになる。より大きな規模で言えば、政府が安全保障の名の下に開始する監視やデータ収集プロジェクトは、国家が防衛しなければならない特定のリスクからの保護を目的としているが、市民が危険を負うことになる別のリスクを生み出す。すなわち、反対意見が抑圧されるリスク、合法的な反対勢力が弾圧されるリスク、あるいは単に事故が起こり、無実の人々が拘束、追跡、暴露、処罰されるリスクである。これらは、収集する情報の量や詳細度を増やすことで、ある人にとってはリスクが軽減する一方で、別の人にとってはリスクが増大するケースである。これは、私たちが日々経験している情報の非対称性であり、ある種の隠ぺいが是正に役立つと私たちは考えている。

「彼ら」（または「彼ら」のさまざまなグループ）は私たちについて多くのことを知っているが、私たちは彼らについて、また彼らが何ができるかについてほとんど知らない。このように知識、力、リスクの面で非対称的な状況では、効果的な対応策を計画することはおろか、実行することさえ困難になる。これは、小さな町で互いの事情を知っている人々や、一部の人々が他の人々よりも多くのことを知っている人々における、司祭やおせっかいな人の非対称性とは異なる。ここで述べているものは、非対称性の集約により異なるものとなる。つまり、私たちについて知っている人々は、私たちに対して権力を持っている。彼らは、私たちに雇用を拒否したり、信用を奪ったり、移動を制限したり、避難所や会員資格、教育を拒否したり、より良い生活へのアクセスを制限したりすることができる。

3.3 オプトアウトという幻想

もちろん、私たちは依然としてこうした非対称的な関係に参加することを選択している。これらのデータ収集のほとんどの場合、サービスを利用したり、好ましくない利用規約を提示し、不適切な行為を行うことで知られている機関と関わる個人にも、いくばくかの責任があるはずだ。政府機関や民間サービスにすべての責任を押し付けるのは不公平ではないだろうか。それらの機関はセキュリティを維持し、ユーザーが生成する貴重なデータのいくつかを取得しようとしているのだ。これはユーザーに古典的なモラルハザードを負わせることになり、ユーザーの選択によるリスクと責任をサービスプロバイダーに負わせることにならないだろうか。我々ユーザーは、同意できないシステムからオプトアウトすることはできないのだろうか。

単にオプトアウトすることがどの程度理不尽になってきているかを見るために、安定した民主的に統治されている国の大都市に住むごく普通の人の1日を考えてみよう。彼女は刑務所や施設に入れられているわけでも、反体制派や国家の敵でもない。しかし、彼女はこれまでにないほど正確かつ親密な完全な監視下に置かれている。彼女がアパートを出ると同時に、彼女はカメラに映し出される。彼女の住む建物の廊下やエレベーター内、銀行の外にあるATMを使用しているとき（ATMでは、彼女の引き出し記録とタイムスタンプ付きのクローズアップ画像が撮影される）、店を通り過ぎたり横断歩道で待っているとき、地下鉄の駅や電車内、そして職場ではロビーやエレベーター、自分のブースにいるときなど、すべてが昼食前の出来事だ。彼女がアパートの外で過ごすほぼすべての行動をモンタージュでつなぎ合わせることができ、それぞれの行動を説明することができる。特に、彼女がフィットネス追跡装置を身につけることを選んだ場合はなおさらだ。しかし、そのようなモンタージュはほとんど必要ない。彼女の携帯電話は、歩行中に基地局やアンテナを探して接続を維持するという通常の動作を行う中で、彼女の位置と行動のログを常に記録している。携帯電話の電波が届かない「圏外」にいる時間も、地下鉄の乗車記録や、彼女が身につけている無線識別バッジから、勤務先のビルに入った記録が作成される。（自動車を運転している場合は、ETCカードが同様の役割を果たし、ナンバープレート自動撮影システムも同様である。） もし彼女のアパートがスマートグリッドプログラムに参加している場合、電気使用量の急激な増加から、彼女がいつ起きて、照明や換気扇をつけ、電子レンジやコーヒーメーカーを使用したかが正確にわかる。

オプトアウトの選択に戻る前に、前項で述べたシステムが、私たちの仮想の一般人の日常生活にどれほど深く浸透しているかを考えてみよう。それは、彼女の日常的な出入りを記録する以上の、はるかに侵入的なものだ。彼女を観察している人物は、彼女の社会的・家族的なつながり、彼女の苦悩や関心、信念やコミットメントを法医学的な詳細さで集めることができる。Amazonでの購入履歴やKindleのハイライト、ドラッグストアやスーパーマーケットでのポイントカードとリンクした購入記録、Gmailのメタデータやチャットログ、公共図書館での検索履歴や支払い記録、Netflixでストリーミングした映画、FacebookやTwitter、出会い系サイト、その他のソーシャルネットワークでの活動などから、非常に具体的で個人的な物語が明らかになる。彼女のポケットに入っているモバイル端末、手首に巻かれているフィットネス追跡装置、そして車に取り付けられたイベントデータレコーダーは、彼女が移動しているときに彼女を追跡している。これらのデータの一部が収集され、同じような人々によって生成されたデータと関連付けられると、強力な人口統計学的推論や予測が可能になる。私たちは、数十年も前の秘密警察のエージェントがうらやむほど、徹底的にこの被験者を知っている。しかも、被験者が自らを監視しているおかげで、比較的少ない労力でそれを実現できているのだ。

もしここで説明したような完全監視の仕組みが意図的で、中央集権的で、明白なものであり、カメラを切り替えるビッグブラザーの機械であるならば、反乱が起こるだろうし、全体主義の顕微鏡の外での生活を想像することもできるだろう。しかし、もし私たちが歴史上の人物とほぼ同様に監視され、記録されているのであれば、私たちの状況は、壁も鉄格子の柵も刑務所長もいないが、そこから脱出するのは難しい監獄である。

そうなると、また「オプトアウト」の問題に戻ってくる。刑務所やパノプティコンに関する劇的な表現が飛び交う中、ここで説明したようなデータ収集（難読化がその対応策となるような種類のもの）は、民主主義の国々では、依然として理論的には任意である。しかし、拒否した場合の代償は高く、さらに高くなりつつある。すなわち、分岐する社会的孤立の中で生活し、見つけられる公衆電話（ニューヨーク市ではわずか5年前と比べて半減している）や携帯電話の「バーナー」を使用し、非常に限定的な雇用形態しか受け入れられず、ビジネスや商業の中心地から離れて生活し、多くの信用供与や保険、その他の重要な金融商品へのアクセスがなく もちろん、道路料金の現金払い窓口での長蛇の列、食料品店の割高な価格、航空機の座席の狭さなど、開示されていない不特定の価格による些細な不便や不利益もある。16 誰もが原則に基づいて生きることは不可能である。現実問題として、私たちの多くは、望むような統制や同意なしに、非対称的な関係の中で妥協を強いられる。そのような状況、つまり21世紀の日常的な生活においては、抵抗、反論、そして自律の余地を確保する方法がまだ残されている。それらは弱者の武器である。

3.4 弱者の武器：難読化がもたらすもの

政治学者のジェームズ・C・スコットは、マレーシアの仮名村「セダカ」を訪れ、歴史家、人類学者、そしてあらゆるタイプの活動家を悩ませてきた疑問の答えを見つけようとした。一般的に認められている政治的な手段、すなわち投票、資金、暴力を欠く人々は、どのように抵抗を行うのか？17 農民、小作農、強制労働者は、その労働を収奪され、そこから余剰分を搾取される。それは穀物、現金、さまざまな形態の債務、または無償の労働時間としてである。農民たちが自分たちを搾取する勢力と対決するリスクを冒すことは、ごくまれにしかありえない。 不正に対して劇的で歴史に残るような抵抗を行うために利用できる手段は、都市部の熟練した工業労働者よりも少ない。 スコットは、経験則に基づく問題に関心を持っていた。 明らかに不正な行為を前にした農民たちは、どのような行動を取るのか？その答えは、ごく日常的で極めて実際的な行動や反論の方法のリストであり、スコットはそれを「弱者の武器」という見出しのもとにまとめた。これらは、同意と全面的な拒否の狭間で、抵抗し、ある程度の自律性を維持するための、豊富で多様な説明と結びついている。特に、ゲイリー・マークスの著作における監視に関する説明が挙げられる。18

言うまでもないことだが、それでも言っておく価値はある。スコットが描いた人々と、一般的に難読化のユーザーを一対一で比較するつもりはない。また、難読化がスコットの概念とまったく同じ限界と特性を持つとも考えていない。本書の目的上、私たちはスコットのアイデアの基本的なテーマに触発されている。すなわち、情報や権力の非対称性が大きい人間と組織の間の避けられない関係性という文脈の中で、難読化の行為をよりよく理解できるということだ。まず、これらの「武器」の多くは、必ず小規模で付加的な性質を持つことを観察する。スコットが観察した「難読化」やその他の武器は、世界革命を覆すというよりも、進行中かつ無期限の社会・政治的取り決めにおける役割を反映している。 不公平に分配された土地への大規模な侵攻ではなく、不法占拠や密漁がその手法である。窃盗やごまかし（大手小売業者が婉曲的に「商品縮小」と呼ぶ現象）は、必要なものの再配分というプロジェクトの小規模なバージョンである。注文への対応は、映画のような拒絶ではなく、足を引きずったり、作業を遅らせたり、無知を装ったり、わざと愚かにふるまったり、あるいは従順を装ったりすることである。最後に、そして我々の目的にとって最も重要なこととして、あからさまな反抗や英雄的な「ここにいるぞ」という演説ではなく、スコットが「隠された議事録」と呼ぶものがある。19

この本を読んでいる人なら誰でも、目上の人（職業上の、親としての、法的、宗教的、またはその他の）に対して背を向け、心の中で反対の声を呟いたことがあるだろう。おそらく、その反対意見は完全に心の中で生じるのだろう。あるいは、自分だけに聞こえるか聞こえないかという小声で、あえて反対意見を口にするのかもしれない。あるいは、プライバシーが守られたグループ内で共有されるのかもしれない。（スコットが指摘しているように、強力なグループにも隠されたトランスクリプト、つまり、一般的に議論や開示ができない権力を蓄積し維持する方法がある。）職場での反対意見は、噂話、ジョーク、逸話、あるいは、権力の秩序を直接的に批判することなく批判できるようなストーリーの形を取るかもしれない。反対意見は、発言者の尊厳と相対的な自主性を保つ空間を作り出す。たとえそれが他の目的を果たすものであっても。しかし、それがいかに秘密裏になされたとしても、自分は公に示している姿とは違うという主張がなされる。

この概要を踏まえた上で、いくつかの簡単な区別を提示しよう。スコットが研究した農民と、ブラウザ拡張機能をインストールしたりTorリレーを実行したりする難読化者の間には、合理的な類似性を見出すことはできない。両者が利用できるリソースの幅、すなわち構造やインフラ、そして彼らが直面する強制や管理のメカニズムは、単純な比較を許さない。しかし、ここで要約したように、スコットが成し遂げたことの一部は、私たちが考慮に入れる抑圧や強制に対する反応の幅を広げることである。それは単に武装蜂起か、あるいはまったく何もしないかのどちらかであり、誰もがただ受動的であるわけではない。権力、富、地位、そしてその他の自律性や救済の要素へのアクセスには、非常に異なる程度のものがあるが、私たちはできる時に、できる場所で抵抗する。このテーマをさらに掘り下げて、デジタルプライバシーに関する永遠の疑問のひとつを考えてみよう。なぜ人々は、メッセージのエンドツーエンド公開鍵暗号化のような、強力で、検証可能な信頼性があり、公開監査された堅牢な保護システムを利用しないのだろうか。なぜ最適なシステムを利用しないのだろうか。

そうすべきではないと主張したいわけではない。全く逆だ！しかし、強力なシステム、最適なシステムが不可能、アクセス不可、望ましくない、またはその3つの組み合わせである場合もある。私たちは、目に見える存在でなければならない状況、目に見える存在である必要がある状況、あるいは目に見える存在でありたい状況（友人や同胞に対して、あるいは公共の抗議や存在の行為として）に置かれているにもかかわらず、できる限り足跡を隠したいと思うことがある。時には、データを収集されることについて選択の余地がないこともあるため、そうであれば（そのことについて強く思うのであれば）歯車に砂を少し入れるのも良いだろう。政府のために仕事をしているときやソフトウェアを開発しているとき、サービスを提供するためにデータを収集しなければならない場合もあるが、それでもユーザーに対して正しいことを行い、私たちの善意を共有しない将来のグループからユーザーの利益を守ることを目指すべきである。そのような制約がある状況では、私たちはしばしば、弱いシステム、あるいは一部の弱いコンポーネントを持つ強力なシステムに足止めされ、自分自身も「弱い」立場に置かれる。

私たちはスコット氏に従いたいが、データ監視や難読化を伴う状況への対応の幅を広げるために、彼の研究を少し異なる方向へ発展させたい。難読化のアプローチには、実質的な有用性がある。その有用性は、既存の強固なプライバシーシステムを強化することにあるのか、特定の行動を隠蔽することにあるのか、敵対者にわずかながら困難をもたらすことにあるのか、あるいは、私たちの不満や拒否の意思を表明するという「単なる意思表示」にあるのかはわからない。隠蔽アプローチは、表現力豊かで機能的な（時には脆弱ではあるが）抗議や回避の手段を提供し、さまざまな人々が利用できるが、他の手段を利用できない人々や、他の手段を補完したい人々にとっては特に重要である。 したがって、私たちは「弱者の武器」という概念を適用する。

次のセクションで、難読化が役立つ状況の種類について述べる前に、混乱を避けるために、もうひとつ説明が必要である。「強者」も難読化のテクニックを使用することがあり、実際に使用している。これまでに本書で挙げた例をいくつか考えてみよう。訴訟における企業の過剰な文書開示、企業の反競争的な策略、証拠の捏造、そして軍事的なカモフラージュ技術などである。弱者は目立たず、注目を浴びないようにする必要があるが、目立たないことは強者にとっても有利である。我々の主張は相対的な効用に関するものである。はっきり言おう。もしあなたが富、法律、社会的制裁、武力にアクセスでき、強力なシステムのあらゆる語彙を自由に利用でき、権力の非対称性の有利な立場にあり、優秀な弁護士を雇い、有能なプログラマーを雇うことができるのであれば、なぜ難読化に時間を割く必要があるだろうか？外交官用郵便小包やNSAが保護する電話回線を利用できるのであれば、SIMカードを入れ替えたり、偽の身元を作ったりするような無駄な時間を費やす必要はない。難読化は、すでに強固なプライバシー保護システムを導入している強力なアクターにとっては、時に便利なこともある。その点については、本稿でも言及しているが、それは、脆弱なシステムに縛られている人々により容易に採用されるツールである。

3.5 難読化と強力なプライバシーシステムの区別

これまで、最適な「強力な」セキュリティおよびプライバシー対策が個人やグループにとって現実的ではない、または利用できない場合があることを論じてきた。これは、他のシステムや対策に対する反対意見ではなく、難読化が適切な代替策となり得る、または既存の技術やアプローチに追加できる状況があることを認めるに過ぎない。難読化は、隠された議事録のような機能を提供し、反対意見や秘密の言論を隠蔽し、自主性を主張する機会を提供することができる。これは、同意のジェスチャーの中に隠された拒否の行為である。あるいは、より直接的な抗議や不明瞭さのためのツールを提供することもできる。多くの人々が定期的に、不確かな結果と明確なコントロールの再確立のメカニズムなしに、何かをあきらめざるを得ない状況に置かれることがある。そのような瞬間こそ、包括的な軍事レベルのデータ管理ソリューション（そのようなソリューションと組み合わせることは有益であるかもしれないが）ではなく、煙幕を張る直感的なアプローチを提供する、難読化が役割を果たす場面である。

難読化とは何かを説明するには、それが何でないか、そしてそれがどのような空隙を埋めるのかを明確にする必要がある（スコットの「弱い者の武器」が同意と反乱の間の空隙を埋めるように）。また、難読化が他のサービスやシステムでは達成できないことを達成するものであること、そして難読化が困難さ、無駄なデータ、無駄な時間というコストを伴うものであることを説明する必要がある。最適なテクノロジー、ビジネスにおけるベストプラクティス、あるいは法律や政府の介入によるデータ保護という観点において、何が難読化を必要としているのか？ 難読化がもたらす可能性のあるコストを考慮した場合、なぜ難読化に頼る必要があるのか？これらのコストについて説明し、それらを踏まえて論を進めることで、倫理的および政治的な懸念（第4章）や、特定の目標と成果を念頭に置いた設計（第5章）という観点で論じる前に、難読化について一般的に明らかにする。

すでに、難読化が区別しなければならない選択肢のひとつ、すなわち、自分のデータが悪用される可能性のあるプラットフォーム、サービス、またはやりとりから自らをオプトアウトする、という選択肢については取り上げた。これは、道徳的な妥協を必要としない解決策であるように思われる。すなわち、同意できないので拒否し、トラブルを引き起こさないというものである。このようなオプトアウトは、ごく限られた範囲のユーザーや用途では可能かもしれないが、すべての人にとって現実的で合理的な選択肢とは言えない。殉教は政治的な計算においては生産的な選択肢とはほとんどならない。オプトインまたはオプトアウトという合理的行動者の二項対立は単純明快かもしれないが、受け入れるか、（ネットワーク化された）地球の端から落ちるかの選択は、実際には選択とは言えない。私たちはしばしば、さまざまな程度やさまざまな方法で問題を抱える限られた選択肢の中から最善の決断をしようとして、妥協的な状況に陥ってしまう。データセキュリティとプライバシーに関して常に完璧な選択を行うユーザーは、完全に合理的な経済主体のように、理論上は存在する可能性が高いが、実際にはそのような人物は見つからないだろう。実際には、そのような人物は、高度な技術者とラッダイトの拒否主義者との間の奇妙なバランスを取る人物であるだろう。

顧客のためにベストプラクティスを採用する企業に頼るというのはどうだろうか？

もちろん、データ収集の対象となるのはユーザーだけではない。関係する企業がユーザーの懸念の多くを解決すれば、データの難読化は必要なくなる。適切に設計されたオプトアウトポリシーがあれば、集約と分析のプロセスをきめ細かく制御でき、拒否と承諾の極端な選択肢の間に位置する選択肢を選ぶことができる。一定の利用の度合いに対して一定の利益を受け取ることができ、また、特定のコンテクストにおいてのみ、特定の目的のためにのみ、そして一定の期間のみにデータが収集または展開されることを指定できる。 これは、ユーザーが評価できる真の選択肢を提供できるかもしれない。 しかし、このような民間部門の取り組みは、企業がデータマイニングの主な戦略的利益を得る存在であるという事実によって妨げられている。今日の消費経済はデータによって成り立っている。すなわち、調査、コンバージョン分析、顧客維持分析、人口統計、ターゲット広告、販売時点での収集データが、ジャストインタイム方式の生産施設からトレンド予測システムに至るサプライチェーン全体にフィードバックされる。20 問題となっている特定の企業が、個々のデータの収集、パッケージ化、販売を業務としているかどうか（DoubleClickやAcxiomのように）、 顧客が生成し提供したデータを業務改善に利用している（AmazonやWal-Martのように）、ユーザーデータ主導の広告収入を基盤としている（Googleのように）、あるいは信用リスク、保険リスク、レンタルリスクを特定する目的で消費者データの分析を外注しているかどうかに関わらず、この情報へのアクセスを制限する一般的な規制を支持することは、企業の利益にはならない。

情報へのアクセスを制限する一般的な規制は競争上不利となるため、各企業は顧客、クライアント、消費者、さらには患者に関するデータの収益を失うリスクを負うことになる。ウェブパブリッシャー、特に株主への説明責任を負うパブリッシャーは、個人情報から得られる価値を「活用せずに放置する」ことを恐れている。さらに、データの流動性と可搬性により、断片的な放棄戦略は非常に問題が多い。ある企業の手に渡った際にはさほど重要でない情報でも、より充実した、あるいはより管理の行き届いたデータベースにアクセスできる別の企業の手に渡ると、深刻なプライバシー侵害につながる可能性があるからだ。情報サービス業界の企業や、競争優位性を高めるためにデータを活用する企業にとって、消費者の落胆や、場合によっては罰金や注意といったものは、ビジネスを行う上でのコストとしては十分に小さいものであり、そうした企業は個人データの「予備」へのアクセスを維持するために激しく争う。

より良い法律の制定と施行を政府に委ねるというのはどうだろうか？

政府は本来、利害のバランスを取り、価値観や政治的原則を守る場であるべきではないのか？ これに対しては、曖昧さを正当化しなければならない別の疑問が生じる。なぜ企業は、データ収集とデータ管理の手法を独自に考案しなければならないのか？ 確かに、そうした手法は政府によって定義され、施行されるべきである。

実際、規制や法律は、米国憲法修正第4条から欧州連合のデータ保護要件や指令に至るまで、歴史的に個人のプライバシーの中心的な防護壁となってきた。おそらく、私たちの法律は、個人情報の収集と蓄積に関する難しい問題について、社会として答えを出すための最終的な議論の場となるだろう。しかし、法律はゆっくりとしか機能しない。政府や法の執行機関が公益のためにプライバシー保護の方向に動く推進力は、企業やその他の組織（政府自身も含む）の反対勢力によって相殺されてしまう。

スノーデン事件後の世界では、多くの国家安全保障、諜報、法執行機関にとって、召喚令状が出せるか、あるいは秘密裏に悪用できる可能性のある、自分自身に関する膨大な量の情報を企業に開示することに前向きな国民がいることは 23 設計や管理が不適切なソーシャルプラットフォームは、効率的に自らの情報を監視する人々を生み出す。EXIFメタデータがそのままの状態でアップロードされた写真や、データマイニングアルゴリズムの対象となるのを待っている詳細なソーシャルチャットを伴う、無料の盗聴を自ら行うのだ。

特に米国では、データ収集の規則や慣行を改革する政府プロジェクトについて、人々は慎重かつ厳しい質問をしなければならないだろう。膨大な量の個人データはすでに流通している。 自由意志で提供された個人データは増え続け、パッケージ化されて販売されているが、一方では、法整備や司法判断という気の遠くなるような作業が、一歩前進、一歩後退を繰り返しながらゆっくりと進められている。 進歩の速度は楽観的な見通しを抱かせるものではない。 ここで冒頭の疑問に戻ろう。 テクノロジーがこれらの問題の多くを生み出した背景とパラメータを生成したのであれば、優れたテクノロジーがそれらを解決できないはずはない。

優れた技術的ソリューションに頼るというのはどうだろうか？

データマイニング、ウェブサーフィンや検索、機密情報の送信など、プライバシーの保護と強化を目的とした強力で、よく考えられ、よく設計されたシステムが開発されてきた。しかし、状況は依然として不完全である。データの由来を検出するツールの作成、データセットの適切な匿名化、コンテクスト認識の生成、安全で機密性の高い通信の提供には、深刻な技術的課題が伴う。このような潜在的なシステムは、資金力のある企業や政府機関からの抵抗にも直面する。彼らは、不完全で実装も採用（適応）も不十分なシステムを使用することを望んでいる。24 さらに、技術開発や標準がどれほど説得力があっても、組織や制度が多くのデータフローを仲介する社会のアクターによる採用には、政治的な問題が付きまとう。個人レベルでも、Arvind Narayananが「Pragmatic Crypto」（暗号化によって社会全体を完全に再構築するというテクノロジー決定論的なプロジェクトである「Cypherpunk Crypto」とは異なる）の利用に関する研究で指摘しているように、導入には 開発者にとっては、複雑なエンジニアリングやユーザビリティの問題が伴うため、導入は困難である。25 これらの問題は、TorからOTR（Off-the-Record）メッセージング、Gnu Privacy Guard（GPG）などの電子メール暗号化ツールキットに至るまで、プライバシー技術の成果や実用性を損なうものではない。しかし、技術的達成、法律および規制、業界のベストプラクティス、ユーザーの選択の組み合わせは、大きな、無視された、保護されていない空白領域を残す。それは、ベン図の否定形のようなもので、難読化が本領を発揮する。

後ほどより実践的な詳細を述べるが、難読化は、ある意味では問題を引き起こす戦略である。プライバシーは、法律や規制の制約、組織のベストプラクティスによる開示制限、良心的な開発者による保護技術的余裕、そして自粛やオプトアウトの行使によって守られているが、脆弱性の領域は依然として広大である。難読化は、これらに対してさらなる保護レイヤーを提供することを約束する。難読化は、ノイズを発生させ、状況を曖昧にすることで隠蔽する。難読化は、困難な状況下でのデータ不服従や、情報的に弱い立場にある人々にとってのデジタルな武器として使用することができる。

4 難読化は正当化されるか？

火には火をもって対抗せよ。脅迫者に脅迫を仕返しし、鼻であしらえ。

シェイクスピア、ジョン王、1595年

TrackMeNotに関する講演の後、聴衆の一人が立ち上がり、欺瞞や不誠実の価値を高めることに深く悩んでいると述べた。彼女にとって、真の関心のない検索クエリを送信することは正しいことではないように思えた。欺瞞の問題は、難読化に対する唯一の反対意見ではない。その他の反対意見には、無駄遣い、ただ乗り、データベースの汚染、利用規約違反などがある。

講演会で女性が提起したような問題は、私たちにとって懸念すべきものであった。私たちは、道徳的に正しい立場にあり、TrackMeNotは、非合法で搾取的な情報慣行から個人を守るものだと考えていた。しかし、そのような問題を簡単に片付けることはできなかった。難読化の戦術は、しばしば根本的に敵対的であり、偽装や誤誘導を伴うため、意図しない、または望ましくない用途にリソースを流用する場合は、その理由を説明し、正当化しなければならない。「A Tack in the Shoe」と題された記事の中で、ゲイリー・マークスは次のように書いている。「個人情報の収集を無効化する取り組みについて、『良い』『悪い』、あるいは『適切』『不適切』と評価できる基準が必要である。」2 わかりにくくする手法が効果的であるから、あるいは唯一効果的な手法であるからという理由で、その手法を用いるだけでは十分ではない。難読化を使用する場合は、倫理的な根拠に基づいて正当化でき、かつ、その人が生活する社会の政治的価値観と一致していなければならない。

TrackMeNotは、難読化システムの開発者だけでなくユーザーにも突きつけられる可能性のある倫理的な問題の多くを明らかにし、その結果、道徳的に正当化できる使用とそうでない使用を区別する必要性を明らかにした。直感的に、クラシファイドの強盗犯と、彼に強制された同一の服装をした共犯者たちは後者に分類され、連合国のレーダーチャフは前者に分類されるが、なぜだろうか？ それらを異なるものとしているのは何だろうか？ そして、その答えをより曖昧なケースに適用するにはどうすればよいだろうか？ 特定のシステムの正当性を擁護するには、単に承認または非承認というだけでは不十分であり、そのシステムが道徳的および政治的な危険を回避する理由を体系的に説明しなければならない。

本章では、難読化の設計者や利用者が直面する可能性のあるさまざまな課題に対応できるよう準備する。 倫理的な課題としては、難読化は一般的な害を超えて害を引き起こしたり、倫理的な権利を侵害したりするという主張がある。 政治的な課題としては、難読化は政治的な権利や価値を縮小する、不公平または不当である、権力を非合法な方法で再分配する、または一般的に周囲の社会やコミュニティの政治的価値観と対立するという主張がある。

4.1 難読化の倫理

不誠実

難読化の目的が欺瞞や誤導にある場合、不誠実であるとの非難を避けることはほぼ不可能である。難読化を嘘をつくことの倫理と関連付けることは、本書の範囲を超えるが、より限定的な目的に重要な洞察をもたらす、広大な哲学思想の領域につながる。
カントの古典的な嘘に関する立場は、嘘をつくことは絶対に間違っているとし、殺人犯が罪のない被害者の居場所を知りたいと尋ねた場合でも真実を答えるべきだと主張している。この立場では、難読化の使用は非難されるだろう。嘘に関するその他の擁護論は、より多様で偶発的な倫理観に基づいている。一般的に、嘘に関する文献は2つの流れに分かれる。1つは嘘の定義に関するもので、もう1つは倫理に関するもので、嘘は常に悪いものなのか、正しい場合もあるのか、また、たとえ悪いものであっても許される場合があるのか、といったことである。実際には、この2つの流れは相互に依存している。なぜなら、嘘の悪さに対する厳格な立場は、狭義の定義によって和らげられるからである。例えば、トマス・アクィナスは、慎重な偽装工作であれば倫理テストに合格すると認めていたが、それは嘘が時として道徳的に許容されるからではなく、偽装工作が時として定義から外れるからである。3 私たちの推測では、カントやアクィナスほど断固として真実を語ることに専心する人はほとんどおらず、ほとんどの人は、重大な被害を防ぐ、強迫下にある、約束を守る、あるいはその他の重要な目的を達成するなど、適切な理由があれば嘘を許容するだろう。4

本書で取り上げた多くの事例では、難読化は、強制、搾取、または脅迫に抵抗する手段となっている。これらは一般的に不誠実な行為を正当化する目的である。したがって、偽装工作が道徳的に正当化されるかどうかは、その目的の正当性によるといえる。連合軍の爆撃機を保護するレーダーチャフはテストに合格するが、マルウェアの拡散、銀行強盗、選挙の不正操作は合格しない。たとえ、そのような行為を行う者の巧妙さに感心したり、苦笑したりするとしても、である。結論を誇張して、正当な目的のみが難読化を正当化する、とまでは言わない。不誠実な行為である限りにおいて、正当な目的のみが倫理的な難読化の必要条件である、とだけ言いたい。

たとえ、賞賛に値する目的を達成するために難読化を選択したとしても、その選択はさらなる批判にさらされることになる。難読化に対するその他の倫理的批判をいくつか検討した後に、賞賛に値する、あるいは単に受け入れられる目的を越えた倫理的評価に何が欠けているのかを説明するために、十分性に関する問題に戻ろう。

浪費

評論家は、ノイズを生成するために重要なリソースを使用する場合は、難読化システムは無駄であると言うかもしれない。例えば、TrackMeNotの場合、検索エンジンのサーバーの無駄な使用、ネットワーク帯域幅への負担、さらには不必要な電力消費について不満を訴える人もいた。同様に、CacheCloak5はネットワークやモバイルアプリのリソースを浪費していると非難される可能性がある。また、多くのノイズを発生させるソーシャルネットワークツールはFacebookのサービスを過度に利用している。さらに、Uberは偽の呼び出しに応答するドライバーの労力を浪費している。好みの難読化システムを擁護する立場に立つ人は、このような非難には隠された意図があることをすぐに認識すべきである。なぜなら、「浪費」という概念は完全に規範的なものだからだ。それは、問題となっているリソースの許容範囲内での、望ましい、あるいは合法的な使用、消費、利用、または雇用という基準を前提としている。こうした基準に関する強固な社会的合意のみが、こうした主張を単なる個人的意見以上のものとし、特定の難読化システムがリソースを浪費するという主張に信憑性を与えるのは、事実に基づく確かな知識のみである。

しかし、基準が定まっていない場合、使用と浪費の境界線については、より大きな不確実性が存在する。蛇口を出しっ放しにするのは水の無駄遣いであるという点では誰もが同意するだろうが、砂漠気候の中で青々とした芝生を維持するために毎日水を撒くことが無駄かどうかについては、ロサンゼルス市民とシアトル市民の見解は一致しない。 TrackMeNotの無駄遣いという非難に対しては、画像、音声、動画ファイル、ソーシャルネットワーク上の豊富な情報フロー、インターネットベースの通信サービスによって発生する使用量と比較すると、同社のネットワーク使用量は最小限であることを指摘することができる。しかし、TrackMeNotの検索語句によって生成されるトラフィックと、（例えば）ビットコインやWorld of Warcraftを維持するために必要なトラフィックとの間に大きな規模の違いがあることを指摘しても、この苦情を完全に解決することにはならない。結局のところ、一滴一滴の水が垂れ流される蛇口の累積流量は、毎日のシャワーに必要な水量よりもはるかに少ないかもしれないが、それでも前者は不要であるため浪費的であると判断される可能性がある。

Cache-CloakやTrackMeNotなどのシステムが発するノイズを無駄だと考えるかどうかは、そのノイズの音量だけでなく、個人の価値観にもよる。擁護派は、検索クエリに基づくプロファイリングを防止することでプライバシーを保護することは帯域幅の浪費に値する、と指摘する。確かに、サーバーから家庭への経路で帯域幅を詰まらせる多数の動画よりもはるかに価値がある。一部の批評家は依然として懐疑的であるが、彼らの疑念は一般的なリソースの無駄遣いというよりも、検索エンジンやモバイルアプリのプロバイダーが所有するサーバースペースなどのプライベートなリソースの無駄遣いに対するものである。この場合も、量と正当性の両方が問題となる。ノイズが敵対者のシステムを過負荷状態にしたり、極端な場合には利用可能なリソースをすべて消費したりする場合には、サービス拒否攻撃となり、正当化のハードルは非常に高くなる。標的が圧制的な、支配的な、または明らかに不公平な行為を行っていることを説得力を持って証明できない限り、機能低下を引き起こす難読化攻撃を正当化することは難しい。難読化システムが個人所有のリソースを使用しているだけで、機能低下を引き起こしていない場合、何が正当と見なされるかは明白ではない。ウェブ検索を例に考えてみよう。手動で送信されたクエリは、その目的がどんなに軽薄なものであっても、無駄遣いという苦情を引き起こすことはないように思われる。「ニンジャタートル」や「ファンタジーフットボール」が、例えば「エボラ出血熱の症状」よりもGoogleのサーバーリソースを無駄にしているという意見は誰も主張していないが、一部の批評家はTrackMeNotが送信する自動化された検索クエリは無駄であると主張している。このような批判の理由は、TrackMeNotのクエリがGoogleの利益、希望、または好みに反するものであり、それらがプライバシー保護を目的とした難読化を求めるユーザーの利益、希望、または好みよりも優先されるべきだという考え方以外には考えられない。これは、不正な情報収集からユーザーを守る手段として難読化を擁護する人々と、難読化の対象となり、そのような行為を無駄だと主張する人々との間の修辞的な闘争である。この論争の勝者は倫理的な優位を獲得し、相反する既得権益をめぐる私的な論争を公共の道徳の問題へと変える。しかし、この例において、検索リソースの擁護者が難読化を「無駄」と罵倒している場合、私たちが集団としてまだ適切に対処できていない問題を提起していることに注目することが重要である。プライバシー保護の名の下に、クエリ難読化は所有者の許可なくプライベートリソースを利用するが、これを浪費的とみなすか、正当とみなすか、禁止すべきか、許可すべきかについては、権力や特権の行使に関する政治的な問題であり、この章の後半で再び取り上げる問題である。

ただ乗り

好みの難読化システムの設計によっては、他者のデータ収集、集計、分析への協力や、データ収集者によるサービスの利用に便乗しながら、その利益を個人情報の提供から得ようとしないことを理由に、ただ乗りを非難される可能性がある。第一に、敵対者は、よりコストのかからないターゲット、つまり、難読化を行わない人々を狙う。これは、捕食動物がより遅い獲物を狙うのと同じである。2つ目の例では、FacebookやFoursquareなどのサービスを、利用規約に反する方法で利用した場合、暗黙の契約に違反することになり、利用規約に準拠した行動を取っている人々だけでなく、サービス提供者の投資からもただ乗りすることになる。これは例えば、広告ブロックブラウザプラグインのユーザーにも当てはまる。広告ブロックプラグインをインストールしていないユーザーが保証しているコンテンツにアクセスしながら、より静かで、より高速に読み込み、広告のないウェブ体験を楽しむことができる。あるいは、評論家たちはそう提案している。フリーライダーとして描かれる難読化は、反逆者というよりも卑劣な人物のように見える。結局のところ、道徳的に高い立場を望む場合、他者の無知や愚かさにつけこんでシステムを悪用する人物になりたいと思うだろうか？ これらの非難は真剣に受け止めなければならないが、当社の見解では、これらの非難が正しいかどうかは次の2つの質問に対する答えによって決まる。あなたが開発した、あるいは使用している難読化システムは、他者にも自由に利用可能となっているか？ また、難読化を行っていない人々が、そのシステムを使用した結果として、何ら不利益を被っていないか？ これらの質問に対する答えが両方とも「はい」である場合、これまで取り上げてきた多くのシステムと同様に、私たちは搾取も道徳的な悪も見出さない。 いずれかの質問に対する答えが「いいえ」である場合、状況は複雑であり、さらなる調査が必要となる。秘密裏に行われる難読化は、難読化を行わない人々を不利にしないのであれば許容できるかもしれない。難読化を行う人々を不利にする難読化であっても、それが広く、かつ、誰でも自由に利用できるのであれば、正当化できるかもしれない。いずれのシナリオにおいてもさらなる正当化が必要であるが、最も難しい問題を提起するのは、難読化を行わない人々を不利にする秘密裏の難読化である。

こうした難しい問題は、道徳的責任に関する哲学的な議論へと私たちを導く。最悪のケースでも、難読化システムのターゲットであるデータ収集者に責任を転嫁できるかもしれない。「誰が誰を利用しているのか？」と問うこともできる。捕食者と獲物の例えに戻ると、「足が速いからといって私を責めないでほしい。結局、獲物の命を絶つのは捕食者なのだから」と主張できる。確かに、足の遅い同胞を捕獲される可能性の高い状況にさらしているのはあなたかもしれないが、非難の矛先は主に捕食者に向かうはずだ。こうなると、データ収集者はサービスをただ乗りしていると難読化者を非難し、難読化者は個人情報にただ乗りしているとデータ収集者を非難するという、お互いに非難し合うという膠着状態に陥る。

インターネットの支配的な経済においては、個々のユーザーは無料サービスを享受しているが、そのサービスは広告ネットワークやその他のサードパーティのデータ収集者によってユーザーに関する情報から抽出された価値によって支えられている。 商品やサービスに対して明示的に価格が支払われる伝統的な商業市場とは異なり、インターネットが定着した経済は、間接的で巧妙かつ多くの場合巧妙に隠された手段によって情報を入手することに基づいている。情報に関する価格、つまり実質的には白紙委任状のようなものは、無料ではないと専門家は指摘している。彼らの論評は、この問題に関する私たちの考えに影響を与えた。6 個人情報の提供がサービスの提供を受けるための必要条件であり、その利用目的が合理的に説明されない場合、必要以上に大量に収集される場合、または文脈上の期待に反する場合など、その価格が搾取的であり、その行為が不当である場合がある。さらに、このような慣行に対処する上で、従来の制度的な保護が有効でない場合、ただ乗りを非難された難読化者は、定着したシステムの既得権を正当に疑問視することができる。そのシステムでは、無知なユーザーが、 。7 価値ある資源の交換条件を定めることには、各当事者とも関心を持っているが、どちらの関心が優先されるかは公平に決定されなければならない。そうでなければ、これは尊重に値しない主張であると難読化者は言う。

この主張は、フリーライドの非難に対して、すべての情報を難読化することが正当かつ正当化されることを意味するものではない。他の道徳的要件が満たされ、フリーライドの問題が、個々のユーザーとユーザーに関する情報を収集するサービスプロバイダーとの相互作用によって生み出された余剰価値を誰が享受する権利を有するかという点にかかっている場合にのみ、そうなる。言い換えれば、自分のシステムが価値のある目的など、他の倫理的な基準を満たしていると納得した後は、相反する利害や欲求、あるいは利益や権利の公平な分配に関する疑問は、以下で取り上げる経済および政治的分析の領域に入る。

汚染、破壊、システムへのダメージ

データの汚染という非難は、避けられないものとして厄介である。データの難読化は、ノイズの挿入と定義され、何かの純度を低下させたり、不純物や汚れを加えるという点で、汚染と類似している。水や土壌、大気を有害化学物質や微粒子、廃棄物で汚染する行為は、厳しく批判される。なぜなら、環境の完全性は理想としてだけでなく、現実的な目標としても高く評価されているからだ。しかし、環境汚染の規範的な影響力を引き合いに出して批判する人々は、データの保管場所を混乱させるという難読化の事実を冷静に観察しているわけではない。彼らは、データの完全性が重視される環境を汚染していると主張しているのだ。しかし、違いがある。ほとんどの現代社会では、自然環境の価値は当然のものと見なされ、汚染が明らかになった行為は非難に値するものとみなされる。しかし、データ集合が保護に値するものであることを明確に証明できない限り、その整合性を主張することは問題を先送りすることになる。

環境の完全性でさえも絶対的な価値があるとはみなされておらず、セキュリティ、商業、財産権などの他の価値とトレードオフされてきた。同様に、データ汚染の非難が正当化されるためには、データ集合が、その難読化を試みるものが保護しようとするものよりも大きな価値を持つことを示さなければならない。データベースに悪影響を及ぼすことを明らかにするだけでは、倫理的な問題を提起することにはならない。結局のところ、 データ汚染が非倫理的であるのは、問題となっているデータフローまたはデータセットの完全性が倫理的に要求されている場合のみである。さらに、データの完全性が他の価値や利害関係を上回るかどうかは、明確に解決されなければならない。問題となっているのが、データ収集者の利害が難読化によって悪影響を受けるかどうかである場合、倫理的な問題は、これらの利害が一般的な価値を持ち、難読化者の利害を上回ることを立証することによってのみ解決できる。データ収集者と難読化者の相反するそれぞれの利益（または優先事項）を支持する明確な道徳的根拠がない場合、政治的な解決、あるいは市場ベースの解決が最善の策となる可能性がある。

特定のデータフローまたはデータセットの完全性に対する真の公共の利益があり、難読化がシステム全体に悪影響を及ぼす場合、その行動を正当化する責任は難読化者に移る。例えば、集団の健康に関するデータベースの完全性を損なうことで、そのデータベースが提供できる可能性のある公共の利益が減少する場合、その難読化を行った人物に正当な異議を申し立てることは可能である。しかし、このような場合でも、他者の利益や公共の利益のために個人が支払う代償が妥当であるかどうかを評価すべきである。もし個人が強制的に貢献を求められるのであれば、少なくとも、その情報がどのように使用され、どこに送信され、どのように保護されるのかが、周知の公正な情報処理の原則に沿ったものであるという保証が必要である。言い換えれば、倫理的な議論は次の2つの考慮事項に左右される。すなわち、問題となっているデータが真に公共の利益にかなうものかどうか、また、そのような利益のために個人がどれほど犠牲を強いられるか、という2点である。この両方の考慮事項を念頭に置くことで、たとえ価値があるとみなされるデータ集合であっても、その完全性は絶対的なものではないことが認識され、データ管理者は、データ集合（および関連する慣行）の公共的重要性と、データ対象者個人に課される可能性のある負担の正当性を擁護する責任がある。

これまでの議論では、「汚染」、「破壊」、「システムへの損害」という3つの用語を区別してこなかった。倫理的に擁護できるシステムを確保しようとする際に、3つのうちどの用語が適切であるかを検討する必要があるかもしれない。難読化システムが、難読化者のデータ追跡のみを汚染または破壊する場合は、他のデータ主体にも影響を及ぼす場合や、サービス拒否攻撃のようにシステムの一般的な機能に干渉する場合よりも倫理的な課題は少ない。慎重な評価には、正当な目的に関連するデータの収集やデータの難読化について、上述したような質問、すなわち、それぞれの損害、権利、社会福祉、および比例性に関する質問が含まれる。

4.2 倫理から政治へ

目的と手段

難読化はほとんどの場合、偽装、システムリソースの不正使用、または機能障害を伴うため、難読化の意図する目的、目標、目的、またはゴールを理解することは、その道徳的立場を評価する上で極めて重要である。ある目的は明らかに善であり、またある目的は明らかに悪であるように見えるかもしれないが、単に問題のない目的（例えば、スーパーマーケットの監視を回避する）や、多少論争の余地のある目的（例えば、ピアツーピアのファイル共有を可能にする）など、広大な中間領域が存在する。 倫理的に曖昧または柔軟なこれらの領域では、政治や政策が関わってくる。

しかし、目的は全体像の一部にすぎず、必要ではあるが十分な条件ではない。倫理理論と常識は、手段もまた正当化されるべきであると要求しており、ことわざが警告するように、目的が手段をすべて正当化するわけではない。手段が容認されるかどうかは、多くの倫理的要因に依存している可能性があるが、多くの場合、目的とさまざまな偶発的要因や文脈的要因との相互作用に依存している可能性があり、その考慮は政治的な領域に属する。

倫理問題に関する特定の論争は政治的に解決するのが最善であると認識しても、イザヤ・バーリンのような政治哲学を「集団や国家、そして実際には人類全体に適用される道徳的探究」と捉える立場に立つ場合、必ずしも倫理的な考察から完全に排除できるわけではない。。8 場合によっては、目的を曖昧にするという倫理観をめぐる意見の相違は、最終的な結果や価値観の相違をめぐる意見の相違に帰着するが、それでもカントが殺人を防ぐよりも真理を優先したように、純粋に倫理的な解決が可能な場合もある。しかし、最終的な結果をめぐる意見の相違は、常に純粋に倫理的な推論で説明できるとは限らない。このような場合、その解決は社会政策の問題となる。なぜなら、こうした意見の相違がどのように解決されるかは、それが組み込まれている社会の構造や形に影響を与えるからである。社会的な解決を必要とするような倫理的な問題は、プラトンからホッブズ、ルソーを経て現代に至るまで、政治哲学者たちを鼓舞してきた。彼らは政治体制を比較・評価し、優れた社会の特徴となる政治的特性や意思決定の方法を特定し、正義、公平、良識といった政治原則を明確にしようとしてきた。倫理的な問いに対する答えは政治的に導かれるべきであると結論づけたとしても、それは社会における権力、権限、財の分配に関するものであるため、私たちは依然として倫理を念頭に置いている。ここでいう社会とは、特定の社会を指すのではなく、偉大な哲学者や批判的思考家、政治的指導者たちが言葉と行動によって理想化してきた、専制政治に反対し、善良で公正かつ良識的な社会を目指す社会を意味する。この点を念頭に置き、不明瞭化の文脈で生じる不誠実（偽装）、浪費、ただ乗り、汚染、システムへのダメージといった問題について、もう一度考えてみよう。

無駄の問題に取り組む中で、私たちは、互いに非難し合う反対派の応酬を想像した。一方が他方の無駄な活動について非難し、他方は問題となっている活動は正当な利用であると主張する。これは、批評家がTrackMeNotユーザーが真の関心のない検索で帯域幅を無駄にしていると非難し、TrackMeNotユーザーが帯域幅を無駄にしているのではなく、正当なプライバシーの主張を促進するために使用していると反論したケースである。同様に、データセットを汚染したり、システムのデータマイニング能力を損なったりしたと非難された人が、データセットやデータマイニングの目的は社会的な保護を保証するものではない、少なくとも、データ難読化による監視回避を正当化するものではないと反論する。

一般的に、データ難読化がデータベースを損傷し、損害を与えたり、システムを危険にさらしたり、あるいは共有リソースを乱用したり浪費したりするものであると主張しても、難読化が非倫理的であると断言する権利はない。ただし、問題となっているデータストアやシステムが、難読化者が推進しようとしている目的よりも重要な社会的目標をどのように推進しているかを明確に説明できる場合はこの限りではない。データ収集者がその活動の価値を正当化することを求める形で、これらの相反する目的が明示的または体系的に取り上げられることはほとんどない。目的の基準を理解するには、データ収集（データベースまたは情報フロー）によってもたらされる目的や価値について尋ねることになるが、これはデータの難読化活動についても同様である。さらに、これらの目的が集団（社会、国家など）のより広範な政治的コミットメントの中でどのように位置づけられるかについても尋ねることになる。現時点では、運輸保安局が旅行者の安全を確保することを目的として個人情報のプロファイルを収集することには、私たちは大きな寛容さを見せているように思われる。したがって、プライバシー保護を目的とする場合でも、この文脈で情報を曖昧にする個人に対しては、私たちはそれほど寛容ではないかもしれない。つまり、データの収集と難読化の倫理に対する私たちの反応は、目的によって異なるべきであるということだ。

しかし、手段も重要である。たとえ目的が正当であっても、すべての手段を正当化できるわけではない。法律や政策においては、しばしば「比例性」を考慮することが求められる。例えば、犯罪に対しては相応の処罰を科すべきである、というようなことだ。混乱を招く、場合によっては有害な手段を正当化するよう難癖をつける必要があるが、ターゲットに難癖をつけることも当然正当である。検索クエリを記録するという基本的な行為に反対しているのではなく、あまりにも詳細なデータを、適切な使用制限もなく長期間保持するといった容認できない極端な行為に反対しているからこそ、TrackMeNotを導入することを決める場合もある。検索機能を向上させるため、あるいはコンテクスト広告をクエリに一致させるためでさえ、データを保持することは許容できると思われるかもしれないが、行動ターゲティング広告を改善し、検索履歴を他のオンライン活動と一致させて、あまりにも個人的に、あまりにも正確に、あまりにも親密に人物像をプロファイルするために、データを無期限に保持することは、検索エンジンのコア機能と著しく不釣り合いではないだろうか？このような疑問は、あらゆる極端な情報監視の形態に関連するものである。オンライン監視は、オンライン行動の常時追跡が手段として極端に不釣り合いであると思われる特殊なケースであり、その理由は、それが商業広告という限定的な目的にしか役立たないからである。たとえこの追跡が広告の有効性をわずかに改善するとしてもである。しかし、難読化技術もまた、比例性の課題に答えなければならない。しかも、極めて具体的な形で。したがって、Track-MeNotの目的は正当であると認めつつも、ノイズの量を規制したいという意見には同意できる。例えば、プロファイリングを阻止するが、サービス拒否攻撃によって検索エンジンを完全に無効化することはない、というような規制である。比例と非比例の間に正確な線を引くことは決して容易ではないが、たとえケースバイケースで線を引く必要があるとしても、線があるという直感は強固で深い。

比例性は、特定の手段と目的、行動と反応の組み合わせに対して規範的な基準を提示するが、手段は代替案よりもコストが低いかどうかなど、比較基準によっても測定できる。功利主義的な思考は、検討中の行動や社会政策によってもたらされる幸福が不幸よりも大きいこと、あるいは利益がコストを上回ることだけでなく、行動や政策が利用可能な代替案の中で最適な割合をもたらすことを要求する。たとえ称賛に値する目的を達成するためであっても、難読化が他者の目を欺いたり、データセットを台無しにしたり、システムの機能を損なったりすることを伴う場合、倫理的な難読化を行う者は、他の手段が同様に容易に利用可能で、かつ道徳的なコストがより少ないかどうかを調査すべきである。 異なる形態の難読化に伴うコストが大幅に異なるかどうかを問うことはできるが、これまで検討してきたコストをかけずに、他の手段で同じ目標を達成できるかどうかを問うこともできる。

難読化に代わる、混乱を招く可能性は低いが同等の効果、またはそれ以上の効果を持つ代替策が見つかるかどうかという問題は、検討に値する。しかし、第3章で、問題の多いデータ監視行為に対抗するための標準的なアプローチの一部を検証したところ、楽観視できる理由はほとんど見つからなかった。「この行為が気に入らないのであれば、関与しないという選択肢もある」という批判派の意見は、気の利いたモバイルアプリやデジタルゲーム、各種のソーシャルメディアに関しては実現可能かもしれないが、 オンラインショッピング、EZパス、マイレージプログラムに関しては、不便で費用もかかる。また、携帯電話、クレジットカード、保険、自動車、公共交通機関など、多くの監視手段を放棄することは、多くの人々にとってほぼ不可能である。

企業におけるベストプラクティスや法的規制など、他の代替策は、理論的には有望であるものの、実際には限界がある。根本的に一致しない利害関係や、鶏小屋に狐を置いて番をさせるという諺にもある愚行といった構造的な理由により、企業が主体となってデータ慣行に有意義な制限を設けることはまずないだろう。さらに、さまざまな業界がそれぞれのデータ慣行を規制しようとしてきたが、いずれも失敗に終わっているため、有意義な改革が実現する見込みはほとんどない。政府による立法も効果はまちまちであるが、9 特にオンラインおよびモバイル追跡の規制に関しては、その効果は商業部門には及んでいない。連邦取引委員会、商務省の全米電気通信情報管理局、およびその他の政府機関による粘り強い努力と強いコミットメントにもかかわらず、全体的な進展はわずかである。例えば、プライバシーポリシーに示された通知と同意は、データ対象者にとって理解不能であり、あいまいな表現であり、継続的に改訂され、実際にはデータ収集と利用の程度と範囲を制限していないという決定的な証拠があるにもかかわらず、オンラインでのプライバシー保護の主要なメカニズムとして依然として残っている。さらに、ほとんどの意見によると、ウェブ閲覧における「トラッキング拒否」標準の確立に向けた協調的な取り組みは広告業界によって妨害されたとされており10、またスノーデン氏による暴露により、米国政府およびその他の政府が長年にわたって大規模な監視活動を行ってきたことが明らかになっている。11 個人としては、情報の適切な収集および利用におけるプライバシーの利益が、従来の手段によって近い将来に確保されるのかどうかを疑問視する理由がある。

正義と公正

これまで、難読化の倫理について難読化者とその批判者が意見を異にするとき、その意見の相違は、目的や価値観の対立に帰着することがあることを示してきた。批判者は、難読化者が正当な目的を侵害していると非難する。難読化者は、まさに同じことを対象に非難する。このような対立は、政治の場で公に議論し、熟考することが有益である。我々はこれを強く支持する。しかし、難読化の倫理に関する我々の議論では、対立する目的や価値観よりも、相反する利害や好みに関する対立を特定した。この明確な例は、ただ乗りに関する我々の議論で浮上した。見苦しい行為の責任を問われた難読化者は、データ収集者が一方的に定めた相互関係の条件を指摘するかもしれない。この条件は、相互関係の過程で生み出された余剰価値をデータ収集者が収奪することを可能にするものである。同業者との関係においては、フリーライドに関する苦情は、同業者をさらに厳しい監視や不利益にさらした可能性のある難読化者、あるいはその監視や不利益の要因となった者に、より適切な責任があるかどうかという厄介な問題を提起している。

このような主張と反論を純粋に倫理的に解決することは、それらを個別に捉えた場合、難読化者の利益や好み、あるいは難読化者の標的の利益や好みを優先することになるため、不可能かもしれない。しかし、より広範な社会的な文脈においては、誰の好みや利益が最も重視されるかという論争は、政治的な問題である。彼らは、特定の権利を他の権利よりも優位に位置づけ、そうすることで、しばしば、権力、権限、財、負担、従属の体系的な配分や再構成をもたらす。これらは、何の価値が他の価値よりも優先されるか、誰の権利が他者の権利よりも重要であるかという対立を解決する際に、何世紀にもわたって政治哲学者たちを悩ませてきた正義と公平の問題である。しかし、権利や価値観を超えて、社会は、個人、機関、組織といったアクター間の熾烈な競争に委ねるのではなく、また、強力な現職者が望むような現職の独断に委ねるのではなく、広範な財の分配を管理し、不公平で不当で不適切な結果を改善するための原則を模索してきた。

私たちは、財（権力、富、権限など）の公正かつ公平な分配に関する私たちの考えを導くために、政治哲学の最近の著作に目を通した。私たちが特定したターゲットと隠蔽者の間の対立を、そのすべての特殊性を含めて説明するために役立つ洞察を得るために、広大な学問の伝統からいくつか例を挙げることをお許しいただきたい。技術的に進歩した自由主義的で進歩的な民主主義国家であれば、すでにそうした原則を法律や規制に組み込んでいるはずであるため、根本原則に立ち返る必要はないように思えるかもしれない。 プライバシーと難読化に関する政治的な問題の答えは、既存の法律や規制を参照すればよいということになる。 しかし、プライバシー保護における圧倒的なギャップに既存の法律や政策が適切に対処していない、あるいは対処できていないからこそ、根本原則を参照してより良い答えを見出す必要があるのだ。

難読化者の抵抗が標的の意思や利益を妨げる状況に戻って、これらの正義に関する考察が我々の評価をどのように導くかを考えてみる。ジョン・ロールズは著書『正義論』12の中で、基本的な要件として、問題となっている難読化の慣行が基本的な権利や自由を侵害したり、損なったりしないことを求めている。この要件は、財産、セキュリティ、および自律の権利を侵害する可能性のある、欺瞞、システムの破壊、および搾取に依存する難読化システムに疑問を投げかける。この原則は、自律、公正な扱い、言論の自由、政治結社の自由など、同等の、またはそれ以上の重みを持つ強力な反対主張が明確に示されない限り、そのようなシステムに対して推定有罪を宣告する。最初の原則は、犯罪者が攻撃を隠蔽し、足跡を混乱させるために用いる難読化を簡単に片づける。

敵対する主張のどちらにも明確な倫理的優位性がない微妙なケースでは、ロールズの第二原則であるマキシミンが関連する。この原則は、公正な社会は「最悪の結果が他者の最悪の結果よりも優れている代替案」を優先すべきであると要求している。13 実務的な観点では、政策オプションを評価する際、公正な社会は必ずしも異なる個人やグループの地位を平等化する必要はないが 異なる個人やグループの地位を平等化することに重点を置くべきではなく、それが不可能である場合や意味をなさない場合は、社会経済的なスペクトラムの下位に位置する人々の窮状に焦点を当てるべきである。どのような政策が選択される場合でも、それらの利害関係者の成果を最大化するものであることを保証する。言い換えれば、公正な社会の政策は最小限のものを最大化すべきである。

先ほどの例に戻って、今度は浪費されたリソースに関する議論を考えてみよう。すでに検討した共有リソースではなく、Facebookのプロフィールを誤解を招くようにしてFacebookのリソースを浪費したとされるような、私有リソースの場合である。この場合、サービスプロバイダーやリソースの所有者は、所有権によって利用条件を自由に、かつ自分たちに有利なように設定できるため、無許可の行為は、定義上、そのサービスやリソースを非倫理的または浪費的に使用していると主張する。これに対し、難読化を行う側は、自らの力が弱まり、搾取され、脆弱になり、危険に晒されていると主張し、単にコントロール、権力、優位性の不均衡を是正し、リスクと曖昧さを軽減しようとしているだけだと主張する。前述の通り、相反する主張をどのように評価するかによって、TrackMeNotの偽のクエリ生成のような難読化活動が無駄であるか、正当であるか、禁止されるべきか、許容されるべきかが決まる。明白な倫理上の問題が存在しない場合、権力や特権の行使に関するこうした政治的な選択は、正義の最大原理に従うことになる。この結果がどうなるかは、個々の事例の詳細によって決まる。例えば、Track-MeNot、Vula、ロシアのナショナリストによるTwitterボットの特性における具体的な違い、およびそれらが稼働するコンテクストなどである。

フリーライドに関連して、Rawlsの第二原則は、個人情報を利用して余剰価値を獲得できる条件を備えたデータサービスが、その余剰価値を獲得する権利を有しているかどうかという疑問を投げかける。これにより、これらの企業が利用規約を通じて一方的に主張している利益と管理の権利は、実際には、異なる社会政策の採用を通じて再分配が可能であることが分かる。特定の契約における不利益が過度で不当であり、サービスプロバイダーが主張する権利が、社会技術システムによって新たに可能となった情報フローへの影響を十分に認識していない体制のもとで主張されている場合、隠蔽者はただ乗りをしているわけではない。同様の論点は、汚染にも当てはまる。データ収集者がデータを収集し、整理したという事実のみをもって、データの完全性を主張する権利があると推定する人もいるが、社会的価値が証明されない限り、汚染という非難は成り立たない。それができないのであれば、あらゆる価値はデータ収集者にのみ、または主に帰属すべきであるという主張を裏付ける論拠が必要となる。難読化によって保護を求める個人がデータプールの純度を低下させたり、データ収集者にコストを強いたり、あるいはデータ収集者がデータの収集、集約、分析によって生み出された余剰利益を享受できない可能性があることは事実であるが、全体像を考慮すると、データの価値とデータ収集者の主張の正当性が考慮される。ただ乗りやデータの汚染が問題となる場合、データ所有者の私的な主張と、データの隠蔽者の反論は、優先順位や利害の対立として見なされる。 私たちの見解では、財産権を指摘することで解決策を求めることは、テクノロジーとデータの流動的な環境におけるこれらの権利の範囲の問題を提起する。 この問題は、政治的な交渉と調整の余地が残されている。 一般的な繁栄と社会福祉は、理想的には、Rawlsの第二原則に照らして考慮されるべきである。

責任の所在や道義的責任の評価も政治的に行うことができる。フリーライドやデータ汚染に対する責任を考える場合、私たちは、これらのケースではいずれも難読化者が原因であるものの、難読化の対象となる側の活動や事業、データ処理に非の打ちどころがなければ、道義的責任は難読化の対象となる側に帰属する可能性が十分にあると主張してきた。正義の観点からの考察は、コストの公平な分配だけでなく、利益の公平な分配にも当てはまる。

政治哲学者であるジョン・ロールズをはじめとする政治哲学者たちが提示するさまざまな正義論においては、社会経済的スペクトラムの底辺に位置する人々に対して大きな関心が向けられているという、かなり一貫した考え方がある。マキシミン原則が政治的な立場を曖昧にするさまざまな方法に関連していることを強調するにあたり、私たちは、より裕福であることやより貧困であること、権力があることや弱いこと、富裕であることや貧困であること、教育水準が高いことや低いこと、健康であることや病気であること、といった意味での伝統的または標準的な見解は依然として妥当であると仮定している。こうした不平等性の次元に、私たちのテーマである「権力と知識の情報非対称性」という2つの次元が加わる。これは、マキシミン原則にとって極めて重要なものである。15

情報的正義と権力および知識の非対称性

本書の第1部で紹介した、状況を分かりにくくするシステムを取り巻く状況は、一般的に権力の非対称性と知識の非対称性の両方を特徴とする。個人と、その個人を監視し、その行動に関する情報を収集し、その後、それらを収集・分析する企業や政府機関・組織との間の権力格差は明らかである。また、特定されないデジタル公共16の判断する、獲物を狙うような目も、個人に向けられる可能性がある。第1部で示したように、より強力な者がより弱力な者に対して難読化を使用することは可能であり、実際に使用されているが、より強力な者は通常、自らの意思を押し付けるより直接的な方法を持っている。一般的に、難読化はこうした直接的な方法ほど強力でも確実でもないため、強力な行為者が採用することはまれであり、採用する場合でも、それは通常、他の強力な行為者の監視を逃れるためである。17 強力な行為者は、何かを隠したい場合、秘密の分類、検閲、企業秘密、国家による暴力の脅威など、より優れた方法を利用できるため、難読化に頼る必要性が低い。それでは、社会の弱者が、公平性を保つために難読化に頼る可能性について考えてみよう。

裕福でもなく、政治的に影響力もなく、従属的な立場にある人々、高度な暗号化技術を利用できるほど技術的に精通していない人々、スーパーマーケットでの割引や無料の電子メールアカウント、安価な携帯電話を望む人々にとって、難読化は、恒久的なコントロールの再構成や確立された階層の逆転ではないにしても、ある程度の抵抗、不明瞭さ、尊厳をもたらす。アナトール・フランスの言葉を借りれば、「法は、その威厳ある平等性において、貧者だけでなく富裕層にも橋の下で眠り、パンを盗むことを禁じている」18。 状況や必要に迫られて自分に関するデータを放棄せざるを得ない人々、つまり、橋の下という場が、たとえそれが仮設で、満足のいくものではないとしても、最も必要としている人々にとって、難読化は救済手段となる。私たちが「力の非対称性」と呼ぶものは、富、社会階級、教育、人種など、伝統的な力のベクトルに密接に対応している。データ主導の現代社会では、認識上の非対称性や情報上の非対称性が重大な影響を及ぼす。難読化は、既知の具体的な脅威に対する防御策となり得るが、存在は感じ取るものの、その実態はほとんど分かっていない不確かな情報源（政府や企業）から潜む脅威に対する防御策にもなり得る。私たちは、オンラインで移動したり、オンラインおよびオフラインで取引を行ったり、仕事やコミュニケーション、交流を行う際に発生する情報を、これらの「他者」が取得できるのではないかと疑っているが、具体的にどのような情報を取得し、どこに送信し、どのように利用し、それが私たちにどのような影響を与えるのか、そのロジックについてはまったくわからない。これが、認識上の非対称性の最も極端な形である。このような状況下では、難読化は暗中模索のように思えるかもしれないが、未知の知識を持つ者に対する希望はある。

権力や支配の直接的な行使に対する難読化は、よく知られた種類の抵抗であるが、潜んでいる未知の敵に対する難読化の盾は、異なる政治的脅威を想起させる。フィリップ・ペティットは著書『共和主義：自由と政府の理論』の中で、自由を実際の不干渉ではなく、非支配、つまり恣意的な干渉に対する安全として定義することを好んでいる。「単に、恣意的な干渉を行う権力を持つ人々（あるいは政府や企業などのその他の行為主体）が、おそらくはそれを行使しないだろうというだけでなく、当該の行為主体がその権力を失うこと、すなわち、その権力を行使する能力を奪われるか、少なくともその行使能力が大幅に制限されること」である。19 認識的不均衡の弱い側面から見ると、 オンラインでもオフラインでも、自分に関する情報や自分の活動から生じる情報は、権力階層のより上位にいる人々によってアクセス可能であり、その情報はしばしば合理化された情報集合体という形で提供される。この集合体は、直接的または間接的に私たちをコントロールし、私たちが何を持ち、何を持てないか、どこに行き、どこに行けないかを決定するために使用されるプロファイルである。社会がビッグデータ分析の可能性を受け入れ、相関関係やクラスタリングが意思決定において支配的な役割を担うようになると、個人はますます「統計的には正しいが、理屈に合わない」決定に従わされることになるかもしれない。20 私たちの自由は、私たちが望むものを持つことや行うことを妨げられる場合だけでなく、他人が私たちが理解できない方法で、かつ恣意的に行使できる能力を持つ場合にも損なわれる。ペティットによれば、まさにこれが「支配」である。共和主義は、妥当な法や政府への非恣意的な従属を排除するものではない。個人が恣意的な干渉から安全であることを要求するのみであり、「干渉者のarbitrium（意志または判断）によって制御される。特に、干渉を受ける人々の利益や考えに従うことを強制されない範囲において」である。

情報社会における権力と知識の非対称性の悪影響を受ける人々は、すでに論じたように、事実上、恵まれない階級に属する。すなわち、監視の対象となり、それが自分たちの運命にどのような影響を与えるのかが不確かであり、関与の条件を定める力もない。したがって、ジョン・ロールズの2つの原則に従って公正とみなされる社会のための政策を策定するにあたっては、22 知識と権力の非対称性の不利な立場にある人々に対して、たとえそれが知識と権力の非対称性の有利な立場にある人々の利益や好みに影響を与えることを意味するとしても、（倫理的要件に従って）曖昧さを通じて彼らの価値観、利益、好みを主張する自由を認めるべきである。したがって、第1原則の倫理的要件を満たした上で、第2原則である最大多数の利益の原則に従うならば、これまで議論してきたようなケースに内在する相反する利害や好みを解決することを目的とした社会政策は、こうした人々が既得権益化された権力や知識の非対称性の犠牲者となっている場合、その地位向上に潜在的に役立つ可能性があるという重要な役割に留意すべきである。

他者の福祉のために

このセクションの締めくくりとして、データ難読化が直面する最も厳しい課題について考えてみたい。それは、個々の対象者自身を超えて社会的な利益をもたらすシステムを標的にしている場合、それを許容できるかどうかという問題である。ビッグデータの認識論的および意思決定のパラダイムに深く深く入り込み、公共の利益に役立つ可能性に期待が高まるにつれ、個人の参加義務に関する疑問が生じる。23 難読化する側は、利益を得るためのコストを支払うことを嫌がり、公共の利益のために貢献しようとしないと非難されるかもしれない。しかし、この義務の範囲や限界とは具体的にどのようなものだろうか。個人は、求められるものには何でも支払い、利用規約には何でも従い、たとえ費用が発生しても協力する義務があるのだろうか。例えば、希少疾患の患者は、研究に参加し、自分に関するデータを統計分析に統合してNの規模を大きくし、結果を改善させる義務があるのだろうか。そして、費用が発生する場合はどうだろうか。

倫理的な曖昧さの苦境は、例えば納税や兵役など、公益に貢献することが期待される倫理的な市民の苦境に似ている。同様に、データの共有に貢献するだけでなく、正直かつ正確に、良心的に貢献する義務があるという意見もあるだろう。義務感があるとしても、特にリスクやコストが伴う場合、その義務の形をどのような原則が規定するのだろうか？ 倫理は一般的に、過剰な義務を要求するものではない。また、自由民主主義国家は、多数派の利益のために、罪のない個人を犠牲にすること、たとえそれが少数であっても、を要求したり容認したりすることはない。どこで線引きをするのか？ これらの問題について指針となる正義の原則とはどのようなものだろうか？

ジェレミー・ウォルドロンは、2001年9月11日のテロ攻撃の後、市民は安全保障と自由のバランスを安全保障に傾けることを求められたと指摘している。24 社会政策が価値や権利を他のものと引き換えに要求することは珍しくないが、ウォルドロンは、そのような引き換えは結果に細心の注意を払って賢明に行われなければならないと指摘している。特に重要な帰結として、損失と利益、コストと利益が個人間およびグループ間で公平に負担されるべきであるという分配上の影響がある。ウォルドロンが懸念しているのは、集団安全保障のために自由をある程度放棄すると我々が言うとき、重要な点が省略されているということである。すなわち、一部の個人やグループが、集団の安全保障の利益のために不釣り合いな自由の損失を被る、あるいは、トレードオフ全般に時折見られるように、集団の利益から完全に排除されることさえあり得るということである。この警告を一般化して、集団の利益のために個人のデータを支払うことに関する問題に当てはめると、費用対効果の総額だけでなく、誰が費用を負担し、誰が利益を享受しているのかを考慮する必要がある。企業は、サービスの改善やセキュリティを理由にデータへの貪欲さを正当化することが多いが、肝心な詳細については曖昧である。例えば、既存の顧客やデータ提供者たちが、これまで貢献してこなかった新規顧客をサポートしているかどうか、また、抽出された価値の「すべて」が「すべて」の者に帰属し、どの程度の割合が企業に帰属するのか、といった点である。データ主体が共通データストアに貢献しなければならない義務の性質と範囲に関する疑問に対処するためには、これらの疑問に答えなければならない。

リスクとデータ

ビッグデータがすべての人々に恩恵をもたらすという期待を語る際には、リスクという言葉が頻繁に登場する。推進派は、データによってテロや犯罪、効果のない医療、不適切な与信判断、不十分な教育、非効率的なエネルギー利用などのリスクを低減できると主張する。これらの主張は、空港で私たちがスーツケースの中身を快くさらけ出すように、個人に情報を惜しみなく提供するように説得し、あるいは強制するはずである。これらの主張の論理に従えば、情報をわかりにくくする行為は、共通の財産を減じたり、奪ったり、破壊したりするものであり、非倫理的である。説得力があるだろうか？反論の余地がないだろうか？しかし、ここでも、正義は分配と公平性に注意を払うことを要求する。誰がリスクを負い、誰が利益を得るのか？我々はこれらの主張を一蹴するわけではないが、これらの疑問に対する答えが示され、損害やコストの問題が解決されるまでは、そのような義務は存在しえない。例えば、行動ターゲティング広告を目的としたオンライン追跡というありふれた、いたるところで行われている行為がある。25 広告ネットワークは、オンライン追跡と行動ターゲティング広告によって、不適切なターゲットへの高額な広告や、利益のない顧客への魅力的なオファーのターゲティングといった「リスク」を低減できると主張している。確かにリスクは軽減されるかもしれないが、すべての人々による情報提供は、主にサービスを提供する広告ネットワーク、おそらくは広告主、そして彼らが引き寄せようとする魅力的な顧客の利益のみを向上させる。 私たちは、クレジット詐欺を減らすことを目的としたデータ集約について議論した際にも、同様の指摘を行った。すなわち、リスクの軽減を理由に挙げることは、全体的なリスクが軽減されない場合や、たとえ軽減されたとしてもすべての人々に対して軽減されるわけではない場合があるという事実を単純化しすぎている、という指摘である。実際には、リスクが移転され、再分配されるのである。 医療情報の不適切な開示についても同様の警告を発している。医療情報の開示は、情報対象者によってはリスクを増大させる一方で、他の人々にとってはリスクを低減させる可能性がある。あるいは、価格差別化を目的としたデータの収集と分析は、監視下にある消費者にはリスクを課す一方で、データプロファイリングのスキームに従事する事業者にはリスクを低減させる可能性がある。

まとめ

データの難読化は、難読化システムを設計または使用する人なら誰でも留意すべき重要な倫理的課題を提起する。我々は、この課題を精査し、倫理的な観点からその裁定に関連する状況や条件を調査した。しかし、倫理的課題の裁定には、政治的および便宜的な考慮がしばしば必要となることも発見した。政治が関わってくるのは、社会的な目的の相対的重要性や、倫理的価値と社会的価値の相対的な重要性の相違をめぐる意見の相違が論争の争点となっている場合である。また、道徳的ではない主張の是非、財の配分、リスクの分散を扱う場合にも、政治が関わってくる。政治的な領域に踏み込む際には、難読化を正義の要求に照らして検証しなければならない。しかし、難読化が検証されるのであれば、データ収集者、情報サービス、追跡者、プロファイラーも検証されなければならない。データがもたらす可能性と現実を巡る息もつかせぬようなレトリックは、正義やリスク転嫁の問題について十分な説明をしていないことが分かった。既存の企業は、構築中のデータ構造にほとんど保護や緩和策を組み込んでいない。こうした背景を踏まえると、難読化は、強者が弱者を支配することを防ぐために機能する場合、正当化できるバランスを追求する手段となる。公正な社会は、この逃げ道を残しておく。

5 難読化は機能するのか？

難読化はどのようにして成功するのか？ 資金力があり、決意に満ちた組織に対して、ましてやGoogle、Facebook、Axciom、国家安全保障局のようなデータ界の巨頭に対して、少数の個人が余計なデータを生成する努力がどのようにして効果を発揮するのか？こうした疑問を何度も繰り返し経験するうちに、人々が特定の難読化の事例や、難読化一般について「しかし、それは機能するのか？」と尋ねた場合、妥当な答えは「はい、しかし、状況によります」であることがわかってきた。それは、目標、難読化を行う者、敵対者、利用可能なリソースなど、さまざまな要因に左右される。そして、それらは、設計と実行のための手段、方法、原則を示唆する。

先に想定した典型的なシナリオでは、個人が、自分自身が作り出したものでも、選択したものでもない情報エコシステムの中で機能している。これらのエコシステムの設計者、運営者、管理者、所有者に対して、個々のデータ主体は、知識、権力、あるいはその両方において非対称的な関係にある。これらの個人は、自分自身に関する情報、あるいは自分自身が作り出した情報がその関係において必要であることを認識しているが、知らないことも多い。どの程度の情報が取得されているのか？ それによって何がされるのか？ どのような影響を受けるのか？ウェブ検索から顔認証に至るまで、自らが意図的に、あるいは無意識のうちに組み込まれているエコシステムについて、その慣行が不適切であると信じたり認識したりするのに十分なほど理解しているかもしれないが、同時に、そのエコシステムの外で合理的に機能したり、そのエコシステム内で合理的に変化を促したりすることはできないと認識している。

難読化が機能するかどうか、つまり、個人情報に関する契約条件を一方的に変更することが特定の難読化プロジェクトによって果たされるかどうかは、特定の問題解決手法に関する単純な質問のように思えるかもしれないが、よく考えてみると、実際にはいくつかの質問がある。難読化が機能するかどうかは、既存の状況の特徴、望まれる契約条件の変更、これらの希望が満たされたと見なされるもの、および検討中の特定の難読化プロジェクトの構造と機能によって決まる。これが、「効果があるか？」という質問に「状況による」と答えることが冗談ではない理由である。むしろ、情報エコシステムがどのような特徴を持つと難読化が効果を発揮するのかを系統的に検討するよう促すものである。こうした検討を踏まえて、私たちは、難読化プロジェクトの設計可能性を、そうしたプロジェクトの推進者や利用者が持つであろう多様な目標の数々に対応させることを目指している。

したがって、本章では2つの質問に回答する必要がある。「難読化は機能するのか？」という質問は、「私や私の特定の状況にとって、難読化はどのように機能するのか？」という意味で捉えることもできるし、「難読化は一般的に機能するのか？」という意味で捉えることもできる。私たちは両方の質問に回答する。全体的な答えは単純明快である。つまり、難読化は機能するが、それが機能するかどうか、またどの程度機能するかは、脅威への対応、目標の達成、その他の特定のパラメータの充足を目的とした実装方法によって異なる。本章では、難読化を適切に適用するために検討すべきと思われる一連の質問を提示する。

5.1 難読化は目的を達成するためのもの

セキュリティとプライバシー理論の世界では、あらゆる「それは機能するか？」という質問に対する答えは「状況による」ということがすでに確立されている。何かを保護したり、非公開にしたり、安全にしたり、秘密にしたりするには、トレードオフが伴う。その多くについてはすでに議論してきた。セキュリティを確保するには時間、費用、労力、注意が必要であり、多くのツールやサービスへの利便性やアクセスが低下する一方で、組織や個人間の摩擦が生じる。 個人がデジタル監視からほぼ完全に自由になることは、結局のところ単純なことである。1920年代の不法移民労働者のような生活を送ればよいのだ。インターネットも電話も保険も資産も持たず、非合法な肉体労働に従事し、帳簿外で報酬を受け取る。シンプルだが、コストは非常に高い。なぜなら、「すべて」という脅威モデルは、とんでもなく広範囲にわたるからだ。組織のセキュリティのトレードオフについて考える場合、スパイ映画のパロディであるテレビシリーズ『Get Smart』に登場する「沈黙の円錐」を思い出すことができる。最高機密の会議を行うために使用されるこの円錐は、非常にうまく機能するが、その中では人々が互いの声を聞くことができない。つまり、完璧なプライバシーが確保されているが、それは面白いくらいに役に立たないのだ。

脅威モデルは、敵対者が何を求めているか、また、何を見つけられるかを理解する手助けとなり、セキュリティとプライバシーのコストを削減する。これにより、それらの危険から具体的に身を守ることができる。3 もし、自社が情報セキュリティに対する高度な攻撃を含む危険に直面していることを知っているのであれば、組織内のコンピュータのUSBポートをすべてゴムのりで塞ぎ、機密情報をネットワークに接続しない「エアギャップ」マシンに保存すべきである。しかし、もしあなたの組織がそのような危険にさらされていないと思うのであれば、なぜUSBメモリの利便性を人々から奪う必要があるのだろうか？難読化は一般的に、必要な可視性によって形作られる特定の種類の脅威に関連して有用である。繰り返し強調してきたように、難読化はすでに、ある程度は露出している。レーダーに探知され、公開された法的手続きを精査する人々や、防犯カメラ、盗聴、ウェブ検索プロバイダー、そして一般的に利用規約で定義されたデータ収集に晒されている。さらに、本人は情報の非対称性の負の側面において、ほとんど知られていない程度にさらされている。そして、この未知のさらされ方は、時間とともに、つまり、データの将来の流通や分析システムの普及によってさらに悪化する。私たちは、この可視性を、難読化が果たしうる役割を解明するための出発点と捉えている。

言い方を変えれば、最善の脅威モデルは存在しない。実際、難読化を行う人には、そのようなモデルを構築するのに十分なリソース、研究、トレーニングがないかもしれない。私たちは、弱者の立場から、本来なら拒否すべき選択肢を受け入れざるを得ない状況で活動している。もしそうであれば、私たちは（以下でさらに詳しく述べるように）何とかやりくりしなければならず、また、何を達成したいのかを明確に理解していなければならない。ダナ・ボイドによる、米国のティーンエイジャーのソーシャルメディア利用に関する研究を考えてみよう。米国のティーンエイジャーは、膨大な量の監視の対象となっており、そのほとんどは彼らの同意や管理（親、学校、その他の権威者）なしに行われている。ソーシャルメディアは、彼らをさらに監視の対象としやすくしているようだ。彼らはデフォルトで監視の対象となっており、実際、プライバシーの観点では、誰からも見えるように見えることが彼らの利益となっている。「ティーンエイジャーは特定のテクノロジーに出会うと、自分が何を達成しようとしているかに基づいて判断を下す」とボイドは書いている。4 そして、彼らが達成しようとしていることは、多くの場合、意味を共有することなくコンテンツを共有することである。彼らは、自分のコミュニティのために秘密のソーシャルスペースを必ずしも作れるわけではない。親は、ソーシャルネットワークのアカウントのパスワードや携帯電話へのアクセスを要求することがあり、実際に要求されることもある。その代わり、彼らは、誰もが自分の行動を見られることを前提としたさまざまな方法を用い、その行動の意味を理解できる人が限られるように行動する。「意味へのアクセスを制限する」ことは、「コンテンツ自体へのアクセスを制限する」よりも、プライバシーを確保する上でより強力な手段となり得る、とボイドは書いている。5 彼らの手法は必ずしも難読化を用いるわけではない（彼らは、微妙な社会的合図、参照、ニュアンスを大いに活用し、異なるオーディエンスに対して異なる解釈ができるような素材を作成する。これは「社会的ステガノグラフィー」と呼ばれる手法である）。しかし、彼らは目的を理解することの重要性を強調している。その目的は、姿を消すことでも、完全な情報統制を維持することでもない（それは不可能かもしれない）。誰もが見ることのできる行動を正確に解釈できるコミュニティを限定し、形成することである。

難読化についても、ほぼ同じことが言える。この見出しで取り上げた多くの事例や慣行は、発見、可視性、または脆弱性を出発点とする特定の目的の表現である。すでに説明した理由により、人々は現在、特定の種類のデータ収集や分析から逃れることはできない。したがって、次に問われるのは「難読化者は難読化によって何をしようとしているのか？」ということになる。この問いに対する答えは、難読化に対するアプローチを形成するために使用できるパラメータ（選択肢、制約、メカニズム）のセットとなる。

5.2 難読化を使用したい…

破られない金庫は存在しない。金庫は、攻撃者が（さまざまなツールセットを使用して）開けるのにかかる時間で評価される。6 金庫は、鍵のかかるドア、警報装置、警備員、警察官など、他のセキュリティ要素に加えて、セキュリティの源として購入される。警察が確実に20分以内に到着する地域では、警報装置付きの1時間金庫で十分であろう。これを少し抽象化すれば、難読化の目標を特徴づけるのに利用できる。難読化アプローチの強度は、金庫のように単一の客観的基準によってではなく、目標と文脈との関係において測定される。すなわち、十分に強力であるかどうかである。難読化は単独で、あるいは他のプライバシー技術と組み合わせて使用される。難読化の成功は常にその目的と、制約、障害、認識と権力の非対称性という不公平な競争条件を考慮した相対的なものである。

さまざまな難読化の例を収集する中で、1つのシステムがいくつかの目的や目標に関連付けられる可能性があること、また、中間的な目的が他の目的を達成するための手段として機能することもあるにもかかわらず、一般的な目的や目標の周りに収束する傾向があることがわかった。さらに微妙な区別もあるが、目的や目標をより簡単に設計や実装に適用できるように、目的や目標を簡素化し、統合した。それらは、時間を稼ぐことから抗議を表明することまで、大まかに分類して記載されている。プロファイリングを妨害する第5の目標には、隠れみのを提供することなど、それ以前の目標の一部が含まれる可能性があり、さらに抗議を表明すること（第6の目標）に含まれる可能性もある。（事実上、すべての難読化は監視目的のデータの迅速な分析と処理の難しさに寄与しているため、すべての高次目標には最初の目標である「時間稼ぎ」が含まれている。）プロジェクトに適した目標を特定すると、難読化の複雑性と多様性の可能性の階段を上ることになる。

懐疑的な読者（そして、私たち全員が懐疑的であるべきである）は、選挙抗議運動を妨害するためのTwitterボットの使用、ソーシャルネットワーク詐欺における「いいね！」稼ぎ、企業間の企業間戦争など、悪意ある目的のために強力なグループによって使用される難読化の例に、もはや私たちが大きく依存していないことに気づくだろう。このセクションでは、難読化が肯定的な目的のために使用できる方法に焦点を当てたい。

前章の質問に納得のいく答えを出せるのであれば、この章はあなたのために用意されたものである。まずは、難読化によって時間を稼ぎたいという可能性について考えてみよう。

時間を稼ぐ

レーダーチャフは「機能した」のだろうか？ 結局、数分で地上に落下し、再びビームの掃射が可能な空域が現れたが、もちろんその時にはすでに飛行機は範囲外にあった。

時間を稼ぐための一時的な難読化システムは、ある意味で非常にシンプルだが、物理的、科学的、技術的、社会的、文化的環境の複雑な側面を深く理解する必要がある。成功には、特定の時間、あるいは可能な限り最長の時間を稼ぐ必要はなく、必要なのは、必要なだけの時間を稼ぐことだけである。同一の協力者を利用したり、文書に目を通すプロセスを遅らせたり、官僚主義に対処したり、真実と偽りの情報を仕分けしたりするだけでも、この目的に役立つ可能性がある。 ほとんどの難読化戦略は、プライバシー保護や抗議の他の技術と併用することで最も効果を発揮するが、これは特に時間稼ぎのアプローチに当てはまる。時間稼ぎのアプローチは、すでに確立されている回避や抵抗の他の手段に依存しており、敵対者に対する明確な認識が必要である。（5.3節の質問を参照）

…隠蔽の提供

このサブセクションと次のサブセクションは関連しているが、明確に区別できるものであり、かなりの重複がある。 敵対者を、特定の活動、結果、または対象を明確に結びつける行為から遠ざけるという同じ問題に、異なる側面からアプローチしている。 隠蔽のための難読化には、他の行動の空間でその行動を隠すことが含まれる。精査に耐えるために実施できるアプローチもあるが、文脈による隠蔽に頼って監視を逃れるアプローチもある。 バブルテープを考えてみよう。これは、数十の音声チャンネルにメッセージを埋め込むものだ。私たちは話し手が話していることは分かるが、何を話しているかは分からない。あるいは、最終的にオペレーション・ヴーラが採用したアプローチを考えてみよう。それは、単に暗号化された電子メールではなく、ありふれた国際ビジネスのプロファイルに完璧に適合する暗号化電子メールである。ANCの工作員の通信は、傍受を避けるために、自分たちと同様の他のメッセージのトラフィックを利用することで、追加の保護レイヤー（暗号化と優れた運用セキュリティ）として偽装することができる。一方の方法は、監視を前提とし、もう一方は無視されるよう努める。それぞれが状況に適している。

否認可能性のために

カバーを提供することで行動が他の行動の間に隠される場合、否認可能性を提供することで決定が隠され、行動と行動者を確実に結びつけることがより困難になる。Torリレーを実行する利点の1つは、それがもたらす混乱の追加レイヤーである。このトラフィックはあなたから始まっているのか、それとも他の誰かのためにそれをただ転送しているだけなのか？（TrackMeNotにも同様の仕組みがある。プロファイリングへの干渉に関する小見出しで詳しく説明する。）同様に、サイトへのリークを目的とした模擬アップロードの利用も考慮すべきである。これにより、特定のセッションで特定のIPアドレスから特定のファイルがアップロードされたと断言することが難しくなる。最後に、SIMカードを入れ替えるという単純なことを考えてみよう。これは、携帯電話の持ち運びや通話の行為を隠すものではないが、いつでもこの電話をこの人物が使っていると断定することがより難しくなる。否認の提供は、隠蔽や個人の監視の防止と少し重複するが、敵対者が確実に本人であることを確認したいとわかっている場合には特に有用である。

個人の暴露を防ぐ

このやや変わった目標は、一見すると一般的なもののように聞こえるかもしれない（難読化のアプローチはすべて、個人の監視を防止したいのではないだろうか？）。しかし、ここで言う「個人の監視を防止する」とは、非常に具体的な意味である。特定の個人を監視するためにデータが使用されるのを防ぎながら、個人、企業、機関、政府が集合データを使用できるようにするという、好ましい社会的成果を達成するのに適した難読化のアプローチもある。プライバシー保護型の参加型センシングは、特定の車両に関する信頼性の高い情報を一切公開することなく、交通の流れに関する貴重な集合データを収集することができる。CacheCloakは、位置情報に基づくモバイルサービスの重要な社会的有用性を維持しながら、それらのサービスを提供する企業がユーザーを追跡することを防止する（また、他の収益源を残しておく）。ポイントカードの交換用プールは、食料品や小売チェーンが期待するほとんどの利益をもたらす（カードはビジネスを促進し、有用な人口統計データ、郵便番号、または購買データを提供する）が、特定の買い物客に関する詳細な情報を収集することを防止する。

プロファイリングを妨害する

包括性のレベルがさらに高まると、プロファイリング防止の難読化は、個人の観察やグループの分析を妨害したり、隠蔽や否認の手段となったり、あるいはデータのビジネスにかかるコスト（時間や費用）を増加させる可能性がある。 また、有益なデータをそのまま残したり、あいまいさや妥当な嘘、無意味な情報を詰め込んだりすることもある。

Vortexは、ユーザーが複数のアイデンティティやプロフィールを切り替えて利用できるクッキー交換システムであった。もしプロトタイプ段階を超えて広く実装されていたならば、広告目的のオンラインプロファイリングは役に立たなくなっていたであろう。これまで説明してきたさまざまな「クローニング」や偽情報サービスは、プロファイリングの信頼性を低下させる同様のツールを提供している。TrackMeNotは、検索クエリ否認（例えば、そのクエリは「ティーパーティーへの参加」についてだったのか、「ふわふわのセックス・トイ」についてだったのか、それともそうではなかったのか？）を提供しており、検索プロファイル全般の信頼性を低下させるという大きな目標を掲げている。どのクエリを信頼できるのか？どのクエリが検索者を分類するクラスターを定義するのか？どのクエリに対して広告を出すべきか、また、どのユーザー活動やアイデンティティを召喚状に応答として提供すべきか？

抗議の意思表示をする

もちろん、TrackMeNotは抗議の意思表示であり、他の多くの例と同様である。例えば、カードを交換する活動家やガイ・フォークスの仮面をつけた群衆などである。多くの難読化戦略は、すでに述べた目標を達成したり、目標達成に貢献したりできるだけでなく、不満や拒否の意思表示にもなる。難読化アプローチについて尋ねるべき適切な質問は、注目されないようにする、無害に見せる、あるいは反対意見を表明する、という目的があるかどうかである。

5.3 私の難読化プロジェクトは…

目的が明確になったところで、残る4つの質問は、目的を基に難読化プロジェクトの構成要素を形作るものである。6つの目的の場合と同様、これらの質問にもいくつかの重複がある。これらの質問は、難読化システムがどのように機能するかを決定するが、完全に区別できるものではなく、相互に影響を及ぼす部分もある。ここでは、難読化の実施における役割に従って、質問を分類している。

個人か、集団か？

難読化プロジェクトは、1人の人間が効果的に遂行できるものだろうか、それとも集団で行動する必要があるだろうか？マスクを着用している1人の人物は、マスクを着用していない人物よりも容易に特定され追跡されるが、同じマスクを着用している100人の人物は集団としての同一性を帯びた群衆となり、個々の行動の帰属を特定することが困難になる。ある種の難読化プロジェクトは、個人または小規模なグループで使用できるが、より多くの人が参加することで、より効果的になる。逆の場合もあり得る（下記「既知または未知」を参照）：周囲に溶け込み、注目されないことを前提とする技術、つまり精査を避けることで機能する技術は、広く採用されると、はるかに脆弱になる。

このサブセクションの質問に対する回答から、2つの結果が導かれる。

まず、集団行動を基盤とする難読化技術は、「ネットワーク効果」を通じて採用を促進することができる。この技術が、より多くのユーザーが参加するにつれて、既存のすべてのユーザーにとってより信頼性が高くなったり、より堅牢になったりする場合には、参加することによる大きな利益が明らかになる閾値を超えるという観点から設計を考えることができ、広範な利用を促進することができる。あなたの技術は、ある程度の数のユーザーが参加しなければ、本当に効果を発揮しないだろうか？もしそうであれば、その段階に到達するにはどうすればよいだろうか？これは、そのテクニックが「スケール」できるかどうか、つまり、一度に大量のユーザーに急速に採用された後も、引き続き有用性を維持できるかどうかを考える機会である。また、これはユーザビリティにも関係する。成功するにはユーザー数を必要とするテクニックは、いかに即座に利用可能で、理解しやすく、使いやすいかを十分に考慮すべきである。難読化が多数のユーザーを必要とする場合、その計画にはユーザーを獲得する方法を含める必要がある。例えばTorプロジェクトは、専門家ではないユーザーにとってのアクセシビリティの向上の必要性を認識している。

第二に、広く採用されていないこと、あるいは敵対者が探しているものではないことなど、相対的な不明瞭性に依存する技術は、独占的な利用から利益を得る。

周知か、それとも周知でないか？

難読化の手法の中には、生成した無害なデータに紛れ込む能力を利用して精査を回避するものもあれば、精査を逃れるためにそれを利用するものもある。あなたが達成したい目標に対して、もし敵対者がその手法が使用されていることを知っていた場合、あるいはその手法がどのように機能するかを敵対者が詳細に熟知している場合、その手法は機能するだろうか？単に時間を稼ぐだけの多くの手法では、答えは重要ではない。例えば、敵対者のレーダーオペレーターが多数の点が実際の航空機を表していると思うかどうかは、敵対者の反撃の調整能力には何の影響も与えない。レーダーオペレーターが10分間遅延する限り、チャフによる攪乱は成功である。より複雑な攪乱方法では、敵対者がそれらが使用されていることを知っているかどうかによって、異なる目標を達成することができる。例えば、AdNauseamの活動が敵対者に知られていない場合、プロファイリングを妨害する働きをし、広告クリックの記録を無差別で無意味な活動で埋め尽くす。 もし知られていた場合、個人のプロファイリング作業を妨害し、抗議の役割を担うことになる。（監視マシンを構築して、私にいくつかの広告をクリックさせようというのか？ それなら全部クリックしてやる！）しかし、場合によっては、この区別が重要であり、説明する必要がある。もし、データベースを長期的に見て、より効果の低いもの、価値の低いものに変え、敵対者が引き続きデータベースを使用し、誤解を招くような、あるいは偽りの情報に基づいて行動するようにすることが目的であるならば、妥当な難読化のソースは、選択され削除されたり、対抗されたりしないよう、不明のままにしておきたいはずである。主に公の抗議行為として機能する難読化の形式は、順守ではなく拒否として機能できるように、難読化の性質を明確にする必要がある。

…選択的、または全体的？

これは最も複雑な問題であり、考慮すべき4つの異なる意味合いがある。

上述の各目標は、程度の差こそあれ、難読化の対象となる敵対者についての理解に依存している。この理解は、それが脅威モデルとして形式化されているか、あるいは推測によるものかに関わらず、断片的であったり、重要な要素が欠けていたり、あるいはその他の点で不完全であることが多い。私たちが最初に難読化に関心を持ったのは、プライバシーに関する課題を正確に理解していない人々が難読化を使用していたからである。それは、機密情報であったり、分類されていたり、理解できない技術や手法に依存していたり、あるいは「敵対者」にはデータを自由に提供する他の人々も含まれていたり、問題は現在だけでなく将来的な脆弱性にも存在していたりする。難読化の限界を明確に理解することに加え、つまり、敵を知ること、そして、自分たちが知らないことを念頭に置き、機密情報を保護するために単一の技術だけに頼ることの危険性を認識しなければならない。これは、特定の難読化戦略がどれほど的を射たものかという疑問を提起する。それは単に足跡を隠そうとする一般的な試みなのか、それとも、ある程度の知識がある特定の脅威に合わせて生成した難読化ノイズなのか？この質問に対する答えから、さらにいくつかの質問が派生する。

まず、難読化アプローチは特定の敵対者を対象としているのか、それとも、自分に関するデータを収集し利用している可能性のある誰かを対象としているのか？分析を遅らせたり妨害したりする特定のポイントがあるのか、それとも、できるだけ多くの塵を巻き上げようとしているだけなのか？ アップルが取得した「クローニング」特許に概説されている戦略は、後者の例である。収集する可能性のある者に対して、すべて妥当なデータを生成する、ユーザーの多くのバリエーションを生成する。 敵対者が誰で、その敵対者の技術や目標が何であるかを知っていれば、難読化をより正確に行うことができる。

もし敵対者が誰なのか分かっている場合、次の疑問が生じる。その敵対者はあなた（または特定のグループ）を標的にしているのか、それとも、より一般的なデータの集計や分析の対象となっているのか？ 前者の場合、データを選択的に偽装する方法を見つけなければならない。後者の可能性がある場合、難読化には異なる作業が必要となる。誤解を招くデータの作成は、より幅広い形態を取ることができ、多くの個人に関するデータに似たものとなる可能性がある。

すると、3つ目の疑問が生じる。すなわち、選択的な利益をもたらすことを目的とした手法なのか、それとも全体的な利益をもたらすことを目的とした手法なのか、という疑問である。データ監視の作業の多くが個々人の精査ではなく、より大きなグループから導き出される推論の使用であることを踏まえると、この手法は、自身の足跡を隠すことだけに効果を発揮するかもしれないし、あるいは全体的なプロフィールやモデルの信頼性を低下させることに効果を発揮するかもしれない。これらの可能性はそれぞれ、独自の困難を伴う。例えば、TrackMeNotが効果的に機能した場合、難読化者のプロフィールだけでなく、データセット内の他の人物のプロフィールにも疑いの目を向ける可能性がある。

受益者について考えると、4つ目の疑問が浮かび上がる。あなたの目的は、誰も何が本当で何が難読化されているのかを知ることも、知る必要もないように、一般的に判読不可能なデータを作成することなのか？ それとも、敵対者が何の価値も得られない（あるいは得られる価値が減少する）ように難読化されたデータを作成することなのか？ しかし、真実を知る必要のある人には真実を伝えるデータなのか？FaceCloakというシステムを考えてみよう。このシステムは、Facebookが個人データにアクセスできないように、無意味なノイズを付加する一方で、実際の顕著な個人データやソーシャルデータは友人のみが閲覧できるようにする。あるいは、社会的に価値のあるデータクラスを保護するように設計されたシステムを考えてみよう。例えば、資源を効果的に配分したり、効率的に統治したりするために、国勢調査から派生したデータクラスを保護する一方で、そのデータ内の個々のデータ主体の特定を防ぐ。選択的に読み取り可能なシステムを構築することは、単に一般的に妥当な嘘をつくよりもはるかに難しいが、選択的に読み取り可能なシステムは、プライバシー保護とともに幅広い利益をもたらす。また、その構築に伴う困難さは、プロジェクトの当初から考慮すべき課題である。

短期か、長期か？

最後に、あなたのプロジェクトはどの程度の期間有効であるべきだろうか？時間を稼ぐという目標は、この質問への回答の出発点である。10分間だけ状況を混乱させたいのであれば、それも可能である。しかし、データベースを恒久的に信頼できないものにし、推論や予測に値しないものにするとなると、はるかに難しい。難読化が対処する情報非対称性の主な要素は時間的なものであり、第3章で取り上げた「未来からやってきたタイムトラベルロボット」の問題である。あるデータは現在では無害であっても、文脈の変化、所有者の変更、ツールや法律の変更によって、同じデータが危険になる可能性がある。あなたの技術は、今だけ、そして、1つの暴挙、1つの企業、1つの収集・分析手法だけにしか対応できないのか、それとも、将来的に、あるいは他の目的で信頼できなくなるようにデータを台無しにする必要があるのか？ 前者は容易ではないが、比較的単純である。後者には、より幅広い課題が関わってくる。技術が広く採用された後に、その技術が暫定的なものであったことや、特定の国の法律に縛られた企業特有のものであり、もはやその法律が適用されないことに気づくといった事態に陥らないよう、開発段階でこの問題を検討しておくことは価値がある。

以上の6つの目標と4つの質問を念頭に置くことで、難読化戦略をまとめる上での基本事項と、いくつかの落とし穴を評価することができる。もちろん、質問はこれだけにとどまらない。実用的な手法として、また、抑圧的なデータ体制に対する強力で信頼性の高い対応策として、難読化は、その発展と繁栄を可能にする条件によって、十分にその役割を果たすことができる。これには以下のようなものが含まれる。

関連する科学および工学の進歩 統計学、暗号学、システム工学、機械学習、システムセキュリティ、ネットワーク、脅威モデリングなどの方法を発展させ、以下のような疑問に取り組む。ノイズの量はどの程度か、どのような種類のノイズか、ノイズの対象に合わせてどのように調整するか、攻撃からどのように防御するか、どのような具体的な問題に対して難読化が適切な解決策となるか、など。

• 関連する社会科学、理論、倫理の進歩 難読化システムを使用する際に個人が何を望み、何が必要としているかに関する疑問を提起し、提案されたシステムの健全な規範的評価を行う。
• 技術政策および規制の進展 難読化システムの開発者が重要インフラにアクセスし、関与することを可能にするオープンで公開された標準およびプロトコルを保護する。また、大規模で一般公開されているシステムに対して、難読化システムの開発者にオープンなAPIを提供するよう奨励する。さらに、妥当な難読化システムを禁止する利用規約の強制を拒否する。

難読化は、そのささやかで暫定的な、何もしないよりはましという程度の、社会的な条件付きの方法ではあるが、利用のコンテクストと深く関わっている。あなたは、実際にデータ収集の有用性を低下させるかどうかに関わらず、抗議の意思表示として単独で機能するように意図された個人的な拒否行為を行っているだろうか？ あなたは、ある集団と敵対者に対してカスタマイズされた、より大規模なプライバシー保護ツール群の1つの要素として難読化を使用しているだろうか？あるいは、無差別な監視のコストを高めるために、悪用するにはより多くの労力を必要とするデータ収集に対して、ポリシーレベルで難読化を適用しているのかもしれない。あるいは、サービスを提供する以外には何もできないように、難読化のレイヤーでサービスを提供するソフトウェアを開発または貢献しているのかもしれない。技術的、社会的、政治的、経済的なリソースにアクセスできる場合もあれば、フォームの記入や機関とのやりとり、あるいは選択の余地がほとんどないオンラインでのやりとりを行う場合もある。しかし、それらのさまざまな可能性があるとしても、私たちの目標や疑問によって提起された問題は、さまざまな領域にわたる難読化プロジェクトに共通するものであり、それらに取り組むことが、難読化作業を世に送り出す出発点となり、世に送り出された難読化作業が騒ぎを起こして良いことを始めることができる。

エピローグ

私たちは難読化を発明したわけではない。検索クエリログを妨害するという特定の目的のためのツールから出発し、それが私たちの身の回りで起こっていることと関連していることに気づいた。私たちは、それを一般化し、情報技術、通信ネットワーク、データ収集および分析における最も困難なプライバシー問題のいくつかに対処する役割を果たす方法の始まりとして役立つように、それを命名し、最も重要な部分を明確にするという作業に着手した。 いったん探し始めると、私たちは発見したアプリケーションの広範さに驚かされた。 本書の第1部では、その可能性の概要を提示した。

第2部 では、プライバシー保護の戦略としてのデータ難読化の概念、難読化が引き起こす倫理的な問題、そして難読化プロジェクトに際して尋ねるべきいくつかの重要な質問について説明した。全体を通して、難読化はプライバシー保護のツールキットの追加であり、すでに依存しているツールの1つまたはすべてに取って代わるものではないことを強調するよう注意を払った。プライバシーに対する今日の脅威に対応できる、ツール、理論、フレームワーク、スキル、設備などからなる豊富なネットワークの一部として、難読化には果たすべき役割がある。私たちは、難読化を名付け、識別し、定義することから始めたばかりである。本書は、難読化を理解し、活用するための出発点の集まりである。実践から学ぶべきことはまだ多くある。

本書では、プライバシー保護の他のアプローチと組み合わせて難読化が機能した事例や、難読化を法律、ソーシャルメディア、ポリシー、暗号化と統合して、これらの代替手段の有効性を高める方法について説明した。難読化の目標には、時間稼ぎからプロファイリングの阻止、抗議まで、さまざまなものがある。定量化可能な指標を用いて、異なる成功モデルを開発することは可能だろうか？もちろん、難読化は敵対者との関係によって形作られるが、難読化が使用される状況のほとんどは、データの利用方法に関する不確実性、データセットが結合された際にこれらの機能がどのように拡大するかに関する不確実性、そして日常生活を特徴づける情報の非対称性特有のその他の謎など、さまざまな種類と程度の不確実性を伴う。特に否認や隠蔽を目的とした難読化プロジェクト、あるいはプロファイリングへの干渉（特に長期的な）を目的とした難読化プロジェクトにおいて、さまざまな種類の不確実性のもとで最適な難読化手法を開発することは可能だろうか？ 高度なニューラルネットワークやディープラーニングなどの洗練された最新のデータ分析手法を活用し、より効果的な難読化戦略を開発することは可能だろうか？私たちは共通の目標を特定し、重要な疑問を明らかにしたが、異なる難読化プロジェクトに適用できる難読化のベストプラクティスはあるのだろうか？ これらは、さらなる研究と応用によって答えられるべき疑問である。 難読化の有用性がその将来性を明らかにするにつれ、少なくとも適切なデータ慣行を規制するためのより強固で公平なアプローチが必要とされるまで、他の疑問も出てくるだろう。

プライバシーの問題に単純な解決策はない。なぜなら、プライバシーそのものが、絶えず変化する社会的な課題に対する解決策だからである。中には自然に発生し、人間の制御が及ばないものもある。また、技術的な問題もあり、本来は人間の制御下にあるべきだが、複雑な社会的および物質的な諸力が入り混じり、その影響が予測できないものもある。プライバシーとは、データの流れを止めることではない。社会の目的や価値、そしてその対象となる個人、特に社会的弱者や不利益を被っている人々に対して、データを賢明かつ公正に活用することを意味する。プライバシーは、個人と集団が互いに積極的に関与し合うことを促す自由と自主的な追求を支えるものでなければならない。プライバシーを確保するために、無数の慣習、概念、ツール、法律、メカニズム、プロトコルが発展してきた。そして、私たちは、プライバシーを活発な会話、闘争、選択として維持するために、難読化をその集合に追加する。

事例、実例、説明、倫理的な問いを通して難読化について考察し、その有効性やさまざまな目的への適合性について検討した後は、この本を閉じて、自分が関わっているプロジェクトや反対しているプロジェクトのために、ソフトウェアやポリシーに難読化を導入することを検討したいと思うかもしれない。群衆を作り出し、その中に身を隠すことで、自分の利益、他者の利益、そして実践による学習の利益を得るために。