「暗号化通信はオプションではなく義務である

セキュリティ、責任、そしてクライアントの信頼について、税理士マティアス・バエンズにインタビュー。

Tax lawyer Matthias Baenz uses Tuta Mail – and believes anyone taking email security seriously should do the same.

暗号化通信は、多くの企業で軽視されがちだ。しかし、これは深刻な結果を招きかねない。私たちは、長年のTutaユーザーであり、税法を専門とする弁護士のMatthias Baenz氏と対談し、リスクがどこにあるのか、なぜ多くの弁護士がいまだに暗号化を提供しないのか、そしてなぜ彼と彼の法律事務所が異なる方法をとるのかを探りました。Baenz氏はまた、暗号化通信ツールを採用するための小さなステップが、法律事務所が長期的にデータ保護と顧客保護を改善するのに役立つ理由についての洞察も共有しています。


質問です: バレンツさん、すでにお話したように、あなたとあなたの法律事務所を紹介する前に、ぜひ知りたいことがあります:なぜ暗号化通信が弁護士にとって重要なのでしょうか?

回答 弁護士にとっての暗号化通信は、弁護士だけに関係するものではありません。しかし、弁護士には、専門的な法律の側面もあります。これは、弁護士が特別なルールの中で活動し、私的領域では適用されない一定の配慮義務を負っていることを保証するものです。

つまり、弁護士である私にとっては、一定のことを規定するルールがあるだけである:これは私に影響を与えるのか?私に興味があるのか?悪いことだと思うか?一方、弁護士としては、自分の職業上の法律だけでなく、何よりもクライアントの利益を常に考慮しなければならない。

という明確なガイドラインがある:依頼人の利益を損なってはならない。ちなみに、このようなルールは以前から存在していた。しかし、データ保護問題の過程で、新たなリスクが生じました。そして、すべての弁護士はこれを真剣に受け止める必要がある。すべての弁護士は、依頼者がデータ漏洩、意図しないアクセス、データの公開などのリスクにさらされないようにする特別な義務を負っている。

これは、Tuta Mailのような本物の暗号化通信によってのみ確保できる。しかし、多くの弁護士は、これが事実であり、真剣に取り組まなければならないことにさえ気づいていない。TLSのような電子メールトラフィックにおける通常の技術的な予防措置では、単純にこれを達成することはできません。

ほとんどの弁護士は、SSLやTLSの意味さえ知らないと思います。電子メールのプロバイダーは通常、接続は暗号化されていると言ってユーザーを安心させます。これはしばしば、“Connection encrypted.”(接続は暗号化されています)のように表示される。しかし多くの人は、これが自分のメールサーバーへの接続にしか適用されないことを知らない。それ以外の接続は基本的に暗号化されていない。

つまり、データは傍受され、変更される可能性があるということだ。この事実はあまり知られておらず、深刻に受け止められていない。人々はよくこう言う。あるいは、“誰がそんなことを気にするんだ?“と言う。このような態度では、実際の脅威には気づかない。しかし私の考えでは、暗号化通信はオプションではなく、特に弁護士にとっては義務なのです。

Turn ON Privacy in one click.

質問 そうですね。ほとんどの人が気づいていないことですが、「変更される」というトピックも非常に重要だと思います。最近ドイツのメディアで、ある企業が電子メールで送った請求書が改ざんされていたと報じられました。電子メール、特に請求書が暗号化されずに送信された場合、このリスクはどの程度大きく、企業の責任はどうなるのでしょうか?企業は暗号化された電子メールに頼るべきでしょうか

回答 今回のケースでは、顧客はそれを身をもって知ることになりました。しかしもちろん、それは常に双方向で適用されます。まず、この具体的なケースで何が問題だったのかを簡単に説明する必要があるだろう。

会社の電子メール・アカウントがハッキングされた—少なくとも裁判所はそう推測した。それを前提に考えてみよう。つまり、ハッカーが介入したのだ。受信者アカウント、つまり支払い口座が、請求書文書に関連するすべての電子メールについて変更されていた。他はまったく同じだった。電子メールは同じように見え、口座番号だけが変更されていた。しかし、企業も顧客も誰もこのことに気づかなかった。

その後、裁判所は2つのことを立証した。第一に、顧客は請求書で指定された口座への支払いで債務を履行したのか?いいえ、そうではありませんでした。つまり、債務がまだ残っていたのである。それは顧客にとって最初の大きな痛手だった。11,000ユーロを支払ったにもかかわらず、債務を履行していなかったのだ。

裁判所はそう判断せざるを得なかった。お金があるべき場所に届かなければ、それは支払われていないことになる。

暗号化された電子メールなど、ハッキングを防ぐために会社が何かすべきだったかどうかという問題は、当初はこの文脈とは無関係だった。それが問題になったのは、「会社は損害賠償責任を負うのか?損害とは、顧客が無駄に送金した金額のことではないのか?

裁判所はこう言った:そうかもしれないが、全額ではない。

その上で、裁判所は次のように述べている。契約当事者はともに、危険な形態のコミュニケーションを行っている。 だから、リスクのあることに自発的に関与する者は、責任ある市民としてリスクも負わなければならないという原則が適用される。例えば、巨大企業対消費者のように、知識や専門性が不平等に配分されている状況では、状況は異なるかもしれない。

しかし、このケースでは、一方は確立された企業であり、他方は確立された顧客であった。そのため、裁判所は知識の大きな違いを証明することができず、「原則として、リスクは双方が負担する 」とした。

しかし、裁判所は、貴社は別の義務、すなわち、自社のITシステムを保護する一般データ保護規則上の義務に違反した、と述べたため、最終的に同社にはもう少し多くの責任が「与えられた」。

Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology. Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology.

暗号化されたコミュニケーション・プラットフォームへの移行を迷っている他の法律事務所にどのようなアドバイスをするかという質問に対して、彼は、例えばTuta Mailのアカウントから小規模に始めることを提案している。

質問です: それは興味深いですね。顧客は暗号化通信を要求すべきだったということですか?

答え 安全策を取りたいのであれば、その通りです。その通りです。裁判所は、あなた方2人がこの脆弱な通信に関与したのだから、あなた方2人に責任がある、と言ったのです。

質問 実に興味深いですね。あなたがおっしゃったような問題、つまり弁護士が守らなければならないこと、弁護士に義務付けられていることを防ぐために、あなたとあなたの法律事務所は、ツタメールだけでなく、暗号化通信のためのさまざまなオプションを提供しています。依頼者がさまざまな通信手段を選択できることが、なぜあなたにとってそれほど重要なのですか?

答え これには2つの異なる側面があります。ひとつは、クライアントに選択肢を与えたいということです。これは私に課せられた義務ではありませんが、私の立場からすると、一つのシステムに固執して他のすべてを拒否するのは単に正しいことではありません。結局のところ、クライアントがすでにどの亜種を使っているかもわからない。また、私は新たな障壁を作りたくありません。

だからこそ、さまざまなオプションを用意しているのです。PGPを使いたいなら、そうすればいい。Tuta Mailを使いたいなら、そうすればいい。他に何かあれば、別の方法をとればいい。

2つ目の側面は、コミュニケーションを異なるツールに分散させれば、1つの場所に潜在的な攻撃ベクトルを少なくすることができるということです。これは一種の分割戦略で、1つのプロバイダーに完全に依存し、攻撃に対して脆弱にならないようにするためだ。コミュニケーションの100%をひとつのシステムで処理しようとは思いません。

質問です: クライアントの反応はどうですか?

答え 実はこれが問題の核心なのです。ほとんどのクライアントは、アイデアや好みどころか、暗号化のシステムすら持っていません。実際に自分のケースにとって重要だという考えに近づくと、たいていは私が提案するシステムを採用します。そして、それがこの10年間のTuta Mailなのです。クライアントにとっては、ただ機能する ことが重要なのです。彼らはいろいろなものを試したり比較したりしたがらない。ただ動いてほしいのです。

ちょうど10年前、Tutanotaが登場したときは本当にうれしかった。技術的な仕掛けに消極的なクライアントでも、暗号化通信を恒常的に使用するよう説得することができた。それ以前は、特にPGPの場合はもっと難しかった。あれもこれもインストールして、証明書を発行して…」と説明しなければならず、クライアントにとっては手間がかかりすぎました。

一度その壁を越えてしまえば、クライアントにとっては簡単なことだった。 暗号化通信を始めるのに、Tutaのアカウントを作成する必要さえない。この方法で、彼らは普段使っている電子メール・プログラムを使い続けながら、Tutanotaからのリンク、つまり今日のTutaを通じて私と安全にコミュニケーションをとることができる。共有パスワードによって、彼らはいつでもインターネット・ブラウザ経由で 過去のすべてのコミュニケーションに アクセスすることができるので、各メッセージを個別に解読する必要がなく、1つのリンクで過去のすべてのコミュニケーションを見ることができる。クライアントにとっては素晴らしいことだ。

唯一の難点は、通信が途切れる時間が長くなると、もう一度パスワードを伝えなければならないことだ。物事を簡単にするために、私は通常、電子メールではなく、別の安全な経路でパスワードを伝えていた。Tutaの実用的な点は、クライアントのパスワードをTuta Contactsに安全に保存しておき、要求されたときに調べることができることです。そうすれば、半年以上経った後でも、またクライアントにパスワードを教えることができます。

質問です: そう言っていただけてとても嬉しいです。Tutanotaを立ち上げたのは11年前ですから、パイオニアですね。今まであなたと私がすれ違わなかったのが不思議なくらいです(笑)。(当時の変遷を今でも覚えていらっしゃいますか?Tutanotaを導入する際、法律事務所にとって困難なことはありましたか?

Turn ON Privacy in one click.

答えてください: もちろん、公平を期すために今でもあります。残念ながら、事務所全体をツタノタ(現在はツタメール)に変えることはできていません。有名なこだわりがあります。もし完全に切り替えていたら、私たちは突然新しいメールアドレスを持つことになっていたでしょう。一人や二人のクライアントの話ではなく、何百人ものクライアントの話です。これにはみんな戦々恐々だ。

しかし、私がそれを示すとお望みであれば、独自ドメインを使い続けることができますし、メールアドレスも見た目には変わりません。そのためには、プロバイダーとの調整、一定の調整、一回限りの労力が必要となる。そして、商業的な考えも出てくる:私に何の得があるのか?リスクはどの程度なのか?その労力に見合う価値があるのか?

それが、最終的に2つのシステム・モデルから抜け出せない理由だ。私は何人かのパートナーを説得して、Tutaへのアクセスを設定させたり、私が設定したり、少なくとも暗号化されたTutaからのメールを通常のメールボックスで受信し、リンクとブラウザを使ってメールを開き、暗号化された返信をするようにさせたりしている。私たちは、特に機密性の高い話題や共同任務、あるいは二重管理原則を使用したい場合に、この方法を使用している。ほとんどの同僚は、日々のコミュニケーションにいつものシステムを使い続けている。私はまだそれを変えることはできていない。

癖があることが知られているにもかかわらず、人々は慣れ親しんだものに固執したがる。典型的なリスク・ベネフィット分析だ。だから私自身は、機密事項、つまりクライアントとの事実上すべてのコミュニケーションにはTuta Mailを使い、それ以外はOutlookを使うという2本立てのアプローチを使っている。最終的には、メールサーバー上の電子メールを安全に暗号化することであり、私の場合はTutaです。

質問です: スマートなソリューションですね。すべてをクラウドに移行するというマイクロソフトの戦略と、それに関連するデータ保護の問題(米国によるデータへのアクセスの可能性についても)をどう評価しますか?法律事務所にとってはかなりのリスクです。アメリカのクラウドは、たとえデータがドイツのサーバーに保存されていたとしても、法律事務所にとっては実はNGなのでしょうか?

答え もちろんです。ですから、今後数年のうちに完全に移行できることを願っています。 いったんTutaに切り替えた後は、すべてが以前と同じように機能します。アプリとデスクトップクライアントのおかげで、どこでもTuta Mailを使うことができます。クライアントによってはIMAP経由で作業しなければならないOutlookとは対照的に、すべてがはるかにシンプルだ。

Tuta MailとOutlookの詳細な比較を読む

質問 次はあなたです:簡単な自己紹介と法律事務所の紹介をお願いします。専門は何ですか?

回答 喜んで。当事務所は、ハンブルグ、ベルリン、ポツダム、シュヴェリン、ロストック、そして海外にも事務所を構える中堅法律事務所です。当事務所は中堅企業を中心に、個人のお客様にも主に商法と税法のアドバイスを行っています。私たちは弁護士であり、税理士であり、監査人です。

ここシュヴェリンには税務部門があり、記帳から税務申告、年次財務諸表に至るまで、クライアントの税務に関するあらゆる問題に対応しています。私自身は税法を専門とする弁護士であり、長年にわたって税法問題を集中的に扱ってきました。特に、困難な税務調査、自発的な情報開示、脱税容疑による刑事訴訟など、重要なケースに対処してきました。そこで私の出番です。

また、特に税金の最適化に焦点を当てた契約書の作成もサポートします。これは従来の税務コンサルタントが単独でできることではなく、実行には専門の弁護士が必要です。そのため私は、例えば会社法上の構造、遺言、結婚契約、あるいは同様のデリケートな問題など、税務上の問題とその法的履行をつなぐ役割を担うことが多いのです。

質問です: これは非常にセンシティブなデータです。Tutanotaが市場に登場したとき、あなたが喜んだ理由がよくわかります。

答え はい、その通りです。私にとっては、このテクノロジーに集中的に取り組むことを内心で正当化していました。専門的な仕事、クライアント、判例、法律に加えて、時間がかかります。しかし、特に税理士としては、非常にセンシティブなデータを扱うことが多く、中には刑法に関連するものもあるので、私にとっては重要なことでした。私のコミュニケーションは、安全な部屋での極秘の会話と同じくらい安全であってほしいのです。

Turn ON Privacy in one click.

質問: 素晴らしい姿勢ですね。驚くべきことに、現在のトレンドは正しい方向に進んでいる。先ほどのハッキングされた電子メールによる請求書操作のようなスキャンダルを見ると、セキュアなコミュニケーションは今後どのような役割を果たすと思いますか?

回答 ますます重要になるでしょう。第一に、アメリカでは大統領が司法審査の対象とならない領域を自ら主張する傾向がある。これはドイツの法律ではほとんど理解できないが、ドイツでは真剣に受け止められている。このような分野では、法的保護は事実上存在しない。

もちろん、これは米国法、キーワード愛国者法、デジタル主権の対象となる企業にも影響する。たとえサーバーがヨーロッパにあったとしても、米国企業が米国当局にデータの引き渡しを要求されれば、そうしなければならない。そんなことはしない」などという約束は、緊急時には何の価値もない。これはマイクロソフトにも当てはまる。

一方、ヨーロッパでは、バックドアによって暗号化を弱めようとする政治的な動きがある。例えば、いわゆるチャットコントロールだ:暗号化はうまくいくが、捜査当局がアクセスできるようにするというものだ。弁護士である私にとっては反対だ。善人のためだけのバックドアなど存在しない。いったんアクセスできれば、最終的には他の人たちにもドアを開けてしまうことになる。

質問 ヨーロッパのデジタル主権に話を戻しましょう。年後、私たちはどうなっているでしょうか?そのときも当局はマイクロソフトを使っているのでしょうか?

答え そうでないことを願う。例えば、シュレースヴィヒ=ホルシュタイン州では、そのようなアプローチもありますが、残念ながら5年後にはそこに到達していないでしょう。10年後かもしれない。大きな問題のひとつは、当局が提供するITコンサルティングだ。彼らはしばしば、それがうまくいくからという理由で自分たちの標準に固執する。そして、問題や懸念はしばしば抑制される。

これは電子患者ファイルにも見られる。基本的には良いのですが、実装が不十分なのです。当局は常にゼロからすべてを行うのではなく、ネクストクラウドやTuta Mailのようにオープンソースのアプローチを利用し、その上に構築することができる。その代わりに、車輪は常に再発明され、誰もが自分のスープを作っている。これでは時間もお金もかかるし、何も達成できない。

質問 最後に:暗号化通信に切り替えるべきかどうか迷っている法律事務所にアドバイスをお願いします。

答え とにかくやってみることです。私のように小さく始めてください。Tutaアカウントを開設し、機密性の高い通信に使用する。 クライアントにも提供してください。すぐにすべてを変えずに、ゆっくりと成長させる。テクノロジーを恐れないでください。

質問です: とにかくやってみることです。私もいつもそうアドバイスしています。データ保護とセキュリティの向上に向けて、小さな一歩を踏み出しましょう。しかし、小さな一歩が大きな力になるのです。バレンツさん、インタビューありがとうございました!

回答 ありがとうございました。

画面にTutaのロゴが入った携帯電話のイラスト。携帯電話の横には、暗号化によるTutaの高度なセキュリティーを象徴するチェックマークの入った盾が大きく描かれている。