概念、実践、および戦略的・法的・倫理的展望

序論：オープンソース・インテリジェンス（OSINT）の定義と歴史的進化

オープンソース・インテリジェンス（OSINT：Open Source Intelligence）とは、一般に公開されている、あるいは商業的に入手可能な情報源からデータを収集し、それを評価・分析することによって、特定の情報要件やギャップに対処し、意思決定に寄与する実用的なインテリジェンス（知見）を導き出すプロセスおよびその成果物を指す ¹。現代のデジタル宇宙が指数関数的な膨張を続ける中、OSINTは国家のインテリジェンス機関のみならず、民間企業のリスク管理部門、サイバーセキュリティ専門家、さらには人権擁護団体や調査報道機関に至るまで、極めて広範な領域で不可欠な基盤となっている ¹。この分野の戦略的重要性を反映し、世界のOSINT市場は2018年時点で50億2000万ドルと評価されていたが、2020年から2026年にかけて年平均成長率（CAGR）24.7%で急速に拡大し、2026年には291億9000万ドルという巨大な規模に達すると予測されている ¹。

歴史的な観点から見れば、公開情報を組織的に収集・分析する試みは決して新しい概念ではない。一般に、1939年に設立された英国のBBCモニタリングサービスが、インテリジェンス機関によるOSINTの構造的かつ公式な適用の端緒とみなされている ⁵。続く数十年にわたり、情報収集の主要な対象は印刷媒体、テレビやラジオの放送プログラム、および正式には出版されていないいわゆる「グレーリテラシー」に限定されていた ⁵。この時代のアナログ的な性質により、データの収集、処理、分析には膨大な人的資源と時間を要し、結果としてOSINTは国家という巨大なインフラを持つ主体によって独占される傾向にあった ⁵。

しかしながら、インターネットの普及とそれに続く情報化時代の到来により、公開データの性質、量、およびアクセス可能性は根本的な変容を遂げた ⁵。今日、世界中で毎日エクサバイト級のデータが生成されており、ソーシャルメディア上のテキストや画像、高解像度の商業衛星画像、インターネットに接続されたIoTデバイスのメタデータ、企業が公開する財務報告書や特許情報など、多岐にわたるデジタル・フットプリントが網羅的に蓄積されている ¹。この情報の非対称性の崩壊は、もはやインテリジェンスが国家の専売特許ではないことを意味している。民間セクターや個人のアナリストが、国家の機密情報に匹敵、あるいはそれを凌駕する精度の分析結果を導き出すことが可能な時代へと突入しているのである。

インテリジェンス・サイクル：脅威情報を意思決定に変換するプロセス

膨大な公開データを単なる「情報の寄せ集め」から、組織の戦略的決定や戦術的行動を導く「インテリジェンス」へと昇華させるためには、厳格かつ反復的なプロセスを経る必要がある。この一連の構造化された流れは「脅威インテリジェンスのライフサイクル（Threat Intelligence Lifecycle）」として概念化されており、情報の収集から分析、そしてステークホルダーへの提供に至るまで、一般に以下の6つの段階（フェーズ）で構成される ⁷。

フェーズ	概要	実施される具体的なプロセスと戦略的意義
1. 計画 (Planning)	調査の方向性と対象の定義	インテリジェンス要件（IR）を確立する段階である。どのような情報を収集し、誰がどのように利用するのかという目的を明確化する。組織として守るべき中核資産を特定し、サイバー侵害が与える影響レベルの理解、対応方針、基本方針、対策基準、および実施手順の設定が行われる 7。調査の焦点を絞ることで、無関係なデータの海に溺れるリスクを排除する。
2. 収集 (Collection)	多角的なデータの取得	計画段階で設定された目的と範囲に基づき、関連するデータを集める。ニュースサイト、ソーシャルメディア、ブログなどの外部公開情報のほか、内部ネットワークのメタデータや外部の脅威情報フィードが活用される。データは量と質の両方を確保し、特定のツールや情報源に偏らないよう、多角的なアプローチ（マルチソース・レコン）が求められる 7。
3. 処理 (Processing)	データの構造化と正規化	収集された非構造化または半構造化の生データを、分析可能な形式へと変換（処理）する段階である。インタビューやテキストデータの事実確認、他のデータソースとのクロスリファレンス（照合）を行い、スプレッドシートや専用のデータベースなど、統一的なフォーマットへと正規化する 7。
4. 分析 (Analysis)	インテリジェンスの抽出	処理された情報群からパターンや相関関係を見出し、組織の意思決定に直結するインテリジェンスへと変換する。どの情報がクリティカルであり、結果からどのようなリスク（脆弱性の露呈や攻撃者の意図）が示唆されるか、そしてそれらのリスクに対してどのような緩和策を講じるべきかを論理的に明らかにする 7。
5. 拡散/共有 (Dissemination)	ステークホルダーへの提供	導き出された分析結果を、それを必要とする組織内の適切な関係者に共有する。この際、経営層にはリスクの全体像を示す「要約」を、技術的なインシデント対応チームには具体的なIoC（侵害の指標）を含む「詳細技術情報」を提供するなど、受け手の役割とニーズに応じたフォーマットの最適化が極めて重要である 7。
6. フィードバック (Feedback)	プロセスの評価と継続的改善	共有されたインテリジェンスの有用性、質、および提供のタイミングについてステークホルダーから評価を受け、プロセス全体を見直す。特定された改善点や新たな情報ギャップは、次のサイクルの「計画」段階へと即座に反映され、インテリジェンスの精度を持続的に向上させる 7。

このサイクルが示す通り、OSINTの真の価値はデータの絶対量に依存するのではなく、そのデータをいかに迅速にコンテキスト化し、ノイズを排除して純度の高い洞察を抽出できるかにかかっている。さらに、インテリジェンスは用途に応じて、高位の意思決定を支援する「戦略的脅威インテリジェンス」、日々のセキュリティ運用を支える「運用上の脅威インテリジェンス」、攻撃者のTTPs（戦術・技術・手順）を理解する「戦術的脅威インテリジェンス」、および具体的なマルウェアのハッシュ値などを追跡する「技術的脅威インテリジェンス」の4つに大別され、各段階での処理アプローチが最適化される ⁷。

技術的フレームワークと主要なOSINTツール群

現代のOSINT調査は、手動での検索エンジン利用から始まり、高度に専門化された多種多様なソフトウェア、スクリプト、および自動化プラットフォームに依存するエコシステムへと進化している。これらのツール群は、ウェブスクレイピング、ソーシャルメディア・アナリティクス、地理空間インテリジェンス、および人工知能（AI）を活用し、データ処理における比類なき精度と速度を提供する ¹。情報の種類や調査の目的に応じて、以下の表に示すような多岐にわたるツールが組み合わせて使用される。

ツール・フレームワーク名称	主要な機能と特徴	OSINT調査における戦略的用途
Maltego	視覚的なリンクアナリシス	人物、組織、SNSアカウント、ドメイン、IPアドレスなどの関連情報をインターネット上から収集し、それらの複雑なつながりをノードとエッジからなるグラフ形式で可視化する。サイバー犯罪ネットワークの解明や、不正調査における隠れた相関関係の直感的な把握に不可欠である 9。
Shodan	インターネット接続デバイスの検索	「ハッカーのための検索エンジン」とも称され、ネットワーク上で露出しているIoT機器、サーバー、ルーター、産業用制御システム（ICS）などを検索する。特定のポートが開いているデバイスや、パッチが適用されていない脆弱なシステムを可視化し、組織のセキュリティ監査やアタックサーフェスの特定に用いられる 9。
SpiderFoot	自動化されたマルチソース偵察	数百に及ぶ情報源（APIやパブリックレコード）を自動的に横断検索し、特定のターゲットに関するIPアドレス、ドメイン、メールアドレスなどのデジタル・フットプリントを包括的にマッピングする。初期の偵察フェーズにおける情報収集を劇的に効率化する 9。
Google Dorks	高度な検索演算子の活用	「filetype:」「site:」「intitle:」といったGoogleの高度な検索演算子を組み合わせることで、標準的な検索ではインデックスされない、あるいは管理者の意図に反して公開されてしまっている機密ファイル、パスワードリスト、データベースのバックアップなどをピンポイントで特定する手法である 1。
Wayback Machine (Archive.org)	ウェブサイトの歴史的アーカイブ	過去に公開されていたが現在では削除または改ざんされたウェブページの履歴を閲覧する。企業が隠蔽しようとした情報や、攻撃者が一時的に設置したフィッシングサイトの痕跡を事後的に追跡する上で極めて重要な役割を果たす 1。
theHarvester / BuiltWith	インフラと人的リソースの列挙	theHarvesterは公開ソースからメールアドレスやサブドメインを収集し、組織の人的ネットワークをマッピングする。BuiltWithは特定のウェブサイトを構成しているテクノロジースタック（CMS、サーバー種類、解析ツール）を明らかにし、技術的な脆弱性の当たりをつけるために使用される 10。
Talkwalker & Hootsuite	AI駆動型SNS・ウェブ監視	広範なソーシャルメディアプラットフォームやウェブ全体を監視し、ブランドに対する脅威の早期発見、市場トレンドの分析、および情報工作活動の検出を行う。マーケティングのみならず、インシデントの予兆検知にも有効である 9。

これらの個別のツールを無秩序に使用するのではなく、体系的なアプローチを提供するために開発されたのが「OSINT Framework」である ¹⁰。このフレームワークは、情報セキュリティの観点から構築されたウェブベースのディレクトリであり、ユーザー名、メールアドレス、ドメイン名、IPアドレスといった「起点となる情報」からツリー構造を辿ることで、利用可能な無料または登録制のOSINTリソースへとアナリストを誘導する ¹²。調査の盲点をなくし、網羅的な証拠収集（Evidence Capture）を行うための羅針盤として機能する。

さらに、画像や動画の検証においては、メタデータ（写真撮影時に自動記録されるEXIF情報）を解析する「ExifTool」、画像の過去の使用歴を暴く「TinEye」やGoogleの逆画像検索、動画のサムネイルやタイムスタンプを抽出するAmnesty Internationalの「YouTube DataViewer」などが必須の装備となっている ¹⁰。

ディープウェブとダークウェブの境界線とOSINTの適用範囲

OSINTの実践において、インターネットの階層構造（サーフェイスウェブ、ディープウェブ、ダークウェブ）を正確に理解し、調査の境界線を画定することは、法的リスクを回避する上で極めて重要である。OSINTの対象となる情報の大部分は、標準的な検索エンジンでインデックスされる「サーフェイスウェブ（表層ウェブ）」に存在する。しかし、インテリジェンスの価値を高めるためには、その下の階層への適切なアプローチが必要となる。

ディープウェブ（Deep Web）とは、検索エンジンのクローラーにはインデックスされていないものの、特別なソフトウェアや認証のクラックを必要とせず、URLを知っていれば、あるいは特定のAPIを通じて合法的にアクセス可能な領域を指す ¹⁵。例えば、企業のウェブディレクトリの奥深くに配置されたログイン不要のPDF資料、公的機関の動的なデータベース、学術論文のリポジトリなどはディープウェブに該当する。これらは条件付きでOSINTの正当な調査対象となり、「深いが合法な情報源」として調査の精度を飛躍的に高める可能性を秘めている ¹⁵。

対照的に、ダークウェブ（Dark Web）は、Tor（The Onion Router）やI2Pなどの特別な匿名化ネットワークと専用ソフトウェアを用いてのみ接続可能な、高度に暗号化された空間である ¹²。ダークウェブには、内部告発者のための安全な通信チャネルが存在する一方で、サイバー犯罪フォーラム、漏洩した認証情報の販売サイト、違法薬物の取引市場などが蔓延している。ダークウェブへのアクセス行為自体が直ちに違法となるわけではないものの、そこから情報を収集・保存し、自社のデータベースに取り込む行為は、後述する個人情報保護法や各種のサイバー犯罪関連法規に抵触する深刻な法的リスクを伴う ⁶。したがって、サイバー捜査権限を持つ法執行機関や、厳格なコンプライアンス体制を敷いた専門の脅威インテリジェンスプロバイダーを除き、一般企業や個人アナリストがOSINTの一環としてダークウェブに深く踏み込むことは推奨されず、原則として標準的な調査対象からは除外されるべきである ¹⁵。

サイバーセキュリティおよび企業リスク管理における実践的適用

企業や組織におけるOSINTの活用は、サイバー空間における「情報の非対称性」を是正し、攻撃者に対する優位性を確立するための要となる。サイバー攻撃者は、標的となる組織に対してフィッシング攻撃やランサムウェア攻撃を仕掛ける前に、必ずと言っていいほどOSINTを用いた綿密な偵察（Reconnaissance）を行う ³。組織のインフラ構造、使用しているソフトウェアのバージョン、役員の交友関係、従業員の趣味嗜好といった公開情報を収集し、最も効果的なソーシャルエンジニアリングのシナリオを構築するのである。

このような脅威に対抗するため、企業のセキュリティチームは自らの組織を攻撃者の視点から分析する「防御的OSINT」を継続的に展開する必要がある ³。この取り組みは、具体的に以下の主要な領域で実施される。

アタックサーフェス（攻撃対象領域）の管理と予防的対策

組織の管理が及んでいない、あるいは意図せず公開されてしまっているデジタル資産（シャドーIT）を特定する。例えば、クラウドストレージ（AWS S3バケットなど）の設定ミスによる内部文書の露出、GitHubなどの公開コードリポジトリに誤ってハードコードされたAPIキーや認証情報、Shodan等で発見可能なパッチ未適用のVPNサーバーなどをOSINTによって能動的に発見し、攻撃者に悪用される前に無効化・修正する ³。また、過去のデータ侵害で漏洩した従業員のパスワードがダークウェブやハッカーフォーラムで流通していないかを監視し、クレデンシャルスタッフィング攻撃を未然に防ぐことも重要である ⁶。

インシデントレスポンス（初動対応）の加速

実際にサイバーセキュリティインシデント（マルウェア感染や不正アクセス）が発生した際、OSINTはインシデントレスポンスチームに不可欠な証拠とコンテキストを提供する ⁴。検知された不審なIPアドレス、ドメイン、あるいはファイルのハッシュ値をOSINTリソース（脅威インテリジェンスフィードや過去の攻撃レポート）と照合することで、それが既知のAPT（持続的標的型攻撃）グループによるものか、どのような意図を持っているのかを迅速に評価する。この背景情報の提供により、初動対応のスピードと精度が飛躍的に向上し、侵害範囲の特定や二次被害の封じ込めが容易になる ⁴。

ペネトレーションテストとレッドチーム演習

自社のセキュリティ体制の有効性を検証するペネトレーションテスト（侵入テスト）において、OSINTは最初のステップとして組み込まれる。ホワイトハッカーは公開情報を駆使して企業の技術的・人的な弱点を洗い出し、実際の攻撃者が用いるであろう極めてリアルな攻撃シナリオ（標的型フィッシングメールの文面作成など）を構築する ⁴。これにより、組織は机上の空論ではない、実践的な防御力の評価と改善を行うことができる。

ただし、これらのセキュリティ調査を実施する際、企業はパッシブ（受動的）な情報収集とアクティブ（能動的）な攻撃行為の境界を厳守しなければならない。公開情報の範囲を超え、他社のウェブサイトの脆弱性を探るための無許可の直接的なスキャン、サブドメインに対するブルートフォース（総当たり）攻撃、あるいは非合法なルートからの流出データの購入といった行為は、明確なサイバー犯罪法違反となり、法的な処罰や深刻なレピュテーションリスクを招く ¹⁶。

調査報道のパラダイムシフトと市民インテリジェンスの台頭

サイバーセキュリティ領域と並び、OSINTが最も劇的かつ歴史的な変革をもたらしたのは、調査報道（Investigative Journalism）と国際人道法違反の立証という分野である。このパラダイムシフトを牽引し、「市民によるインテリジェンス機関」として世界的な注目を集めているのが、オープンソース調査の国際的コレクティブである「Bellingcat（ベリングキャット）」である ⁵。

2014年にエリオット・ヒギンズ（Eliot Higgins）によって設立されたBellingcatは、国家の機密情報や内部告発者に依存するという従来のジャーナリズムの制約を打破し、「誰もがアクセス可能な公開データのみを用いて真実を解明する」という手法を確立した ¹⁷。彼らのアプローチは、シリア内戦における化学兵器やクラスター爆弾の使用の追跡から始まり、その後、世界の地政学を揺るがす数々の歴史的調査を成功させてきた ¹⁸。

その最も顕著な例が、2014年のマレーシア航空17便（MH17）撃墜事件の調査である。事件直後から偽情報が交錯する中、Bellingcatのチームは、ロシアのソーシャルメディア（VKontakteなど）に投稿された兵士の写真、一般市民のDashcam（ドライブレコーダー）の映像、およびGoogle Earthの過去の衛星画像を徹底的にクロスリファレンス（相互参照）した ⁵。その結果、使用された「ブーク」地対空ミサイル発射機がロシア第53防空ミサイル旅団に所属していること、そしてその機体がロシア領内からウクライナ東部へと国境を越えて移動した経路を、公式の国際合同調査団（JIT）の発表に先駆けて完全に特定し、立証したのである ⁵。

さらに、2018年に英国ソールズベリーで発生したロシアの元スパイ、セルゲイ・スクリパル氏の神経剤（ノビチョク）暗殺未遂事件においても、OSINTの威力が遺憾なく発揮された。Bellingcatは、流出したロシアの車両登録データベース、パスポートの通し番号の規則性、および公開されている軍事学校の卒業生名簿などをパズルのように組み合わせ、監視カメラに映っていた「観光客」を装う二人の実行犯が、実際にはロシア軍参謀本部情報総局（GRU）の高度に訓練された工作員であることを特定し、彼らの本名を全世界に暴露した ⁵。

これらの事例が示すように、OSINTジャーナリズムは、独裁国家や情報操作を行うアクターが事実を隠蔽することを極めて困難にしている。偽情報やディスインフォメーションが兵器として使用される現代において、ジャーナリストはSNSの投稿を単に鵜呑みにするのではなく、それを「検証すべき手がかり」として扱う。動画のタイムスタンプやサムネイルを抽出し、逆画像検索で過去の使い回しを見抜き、ExifToolでメタデータを暴き、Sentinel Hubなどの衛星画像と地形データを照合して撮影地点を特定（ジオロケーション）するといった厳密な手法により、調査の過程そのものを透明化し、誰もが再現可能な「検証可能な事実」を提示しているのである ¹⁴。

武力紛争における「新たな危害の理論（Theory of Harm）」

OSINTが戦争犯罪の抑止や説明責任の追求に多大な貢献をしている一方で、その技術の民主化は、武力紛争における国際人道法（IHL）および国際人権法（IHRL）の適用において、かつてない複雑な倫理的・法的ジレンマを生み出している。この問題は「新たな危害の理論（Theory of Harm）」として議論の的となっている ²⁰。

21世紀の武力紛争、とりわけロシアによるウクライナ侵攻において、OSINTは戦場に劇的な影響を与えている。民間セクターの衛星企業が最前線のウクライナ砲兵部隊に高解像度の地理空間データ（Geospatial data）を直接提供したり、市民社会組織（NGOやアクティビスト）がSNSに投稿された動画のジオロケーションを行い、それに基づいて敵軍の陣地を特定したり、民間人の死傷者をリアルタイムでマッピングするといった活動が常態化している ¹⁷。

これらは、国家と非国家アクター間の情報の非対称性を劇的に再調整する効果をもたらすが、同時に意図せぬ「危害」の連鎖を引き起こすリスクを内包している。具体的には、民間人がスマートフォンで敵の戦車の移動を撮影しSNSにアップロードする行為、あるいはその情報を遠隔地のアナリストが分析して軍の意思決定（ターゲティング）に直結する形で公開する行為は、国際人道法上、その個人が「敵対行為に直接参加している（Direct participation in hostilities）」とみなされる危険性がある ²⁰。戦闘行為に参加していると法的に解釈された場合、その個人は民間人としての保護的地位（Immunity from attack）を喪失し、合法的かつ直接的な軍事攻撃の標的とされてしまう。

さらに、OSINTによって明らかにされた情報が、結果として抑圧的な政権による報復の対象を特定する手助けをしてしまうリスクや、データ収集のプロセスそのものが現地の情報提供者の生命を脅かすリスクも存在する。現在の国際法体系は、データの「取得」「分析」「保持」「再現・公開」というOSINTの情報サイクル全体がもたらすこれらの新興の危害を包括的に規制し、保護するまでに至っておらず、法学者や人道支援組織は、デジタル情報の流通がもたらす直接的および間接的な被害を定義し直す理論の再構築を急務としている ²⁰。

デジタル証拠の法的有効性：バークレー・プロトコルとその国際的意義

市民やジャーナリスト、非政府組織によって収集された膨大なOSINTデータが、単なる「インターネット上の噂」にとどまらず、国際刑事裁判所（ICC）や国内の法廷において戦争犯罪や人道に対する罪を立証するための「法的証拠」として採用されるためには、厳格な法医学的・専門的基準を満たす必要がある。長らく欠如していたこの架け橋を構築するため、カリフォルニア大学バークレー校人権センター（Human Rights Center）と国連人権高等弁務官事務所（OHCHR）の主導のもと、多数の専門機関との協力により策定されたのが「Berkeley Protocol on Digital Open Source Investigations（デジタル公開情報調査に関するバークレー・プロトコル）」である ²¹。

2020年12月、ニュルンベルク裁判の75周年を記念する場で発表され、国連の全公用語（英語、アラビア語、フランス語、スペイン語、中国語、ロシア語）に翻訳されたこのプロトコルは、国際法違反の疑いに関するオンライン調査を実施するための、世界初となる包括的かつ最低限の専門基準を定義している ²²。これは、過去の重大な人権侵害調査の青写真となった「イスタンブール・プロトコル（拷問に関する指針）」や「ミネソタ・プロトコル（超法規的処刑に関する指針）」に匹敵する歴史的意義を持つ ²⁴。

バークレー・プロトコルは、調査のプロセスを以下の5つの原則的段階に体系化している ²⁴。

調査プロセス段階	目的と要求される行動基準
1. 識別 (Identification)	調査の目的に合致し、法廷での立証に関連する可能性のあるデジタル情報（動画、写真、テキストなど）を正確に特定し、無関係なノイズから切り離す。
2. 収集 (Collection)	特定された情報を、元のファイルが持つメタデータ（EXIF情報など）を喪失・変質させない適切な技術的手法を用いて取得する。
3. 保存 (Preservation)	取得したデータを暗号化された安全な環境で保管し、「Chain of Custody（証拠の管理の連鎖）」を厳密に文書化する。これにより、誰が、いつ、どのようにデータを扱ったかを証明し、証拠としての完全性（Authenticity）と不改ざん性を法廷で担保する 24。
4. 検証 (Verification)	デジタル画像や動画の真偽、出所、撮影された正確な日時、およびジオロケーション（地理的位置情報）を、複数の独立した情報源を用いて科学的に確認する。
5. 分析 (Analysis)	検証された事実の蓄積に基づき、バイアスを排除した客観的な解釈を形成し、事件の全体像や指揮命令系統の責任を導き出す。

これらの技術的プロセスに加え、プロトコルは調査の信頼性を支える中核原則として、調査員の専門能力（Competency）、生来のバイアスを認識し緩和する客観性（Objectivity）、データ保護法等を遵守する適法性（Legality）、および運用上のセキュリティ意識（OpSec）の確保を強く求めている ²¹。

特筆すべきは、物理的な安全性だけでなく「心理社会的安全（Psychosocial safety）」の保護を明記している点である。凄惨な戦争犯罪の画像や動画を日々分析する調査員が受ける二次的トラウマ（Vicarious trauma）を軽減するための措置や、調査の対象者に自らのデジタルフットプリントを悟られないための匿名性の確保、さらには現地でリスクを冒して映像を撮影するアクティビストや目撃者といった第一応答者（First responders）を保護するための厳格な指針が示されている ²¹。

現在、このプロトコルは理論的な枠組みにとどまらず、ウクライナの検察官によってロシアの戦争犯罪（ブチャにおける民間人殺害疑惑など）を記録し立証するための実務的なガイドラインとして直接的に活用されており、市民社会が集めたOSINTデータが国際的な説明責任を果たすための確固たる法的証拠となる道筋を確立している ²⁴。また、裁判官や事実認定者がデジタル画像を評価するための実践的なガイドも派生して開発されるなど、司法界全体のリテラシー向上に寄与している ²⁴。

OSINT調査における倫理的枠組み：JAPAN Principlesの適用

OSINTの強力な能力は、単に「公開されているから」という理由だけで無制限に行使されてはならない。調査活動が倫理的な境界線を越えず、対象者の基本的な人権やプライバシーを不当に侵害しないことを保証するために、インテリジェンス・コミュニティでは「JAPAN Principles（JAPAN原則）」と呼ばれる倫理的枠組みが採用されている ²⁶。この原則（PLANEまたはALPENとも称される）は、法執行機関や民間調査員が運用の効率性を損なうことなく、プライバシー保護とのバランスを維持するための指針となる ²⁶。

原則	定義とOSINT調査における実践的意味
正当性 (Justifiable)	調査行動には、気まぐれや個人的な好奇心ではなく、明確かつ正当な目的が存在しなければならない。アナリストは調査目標の達成を直接サポートするデータのみを収集の対象とし、対象者の私生活への不必要な介入やプライバシー侵害を厳格に排除すべきである 26。
権限/認可 (Authorised)	すべてのインテリジェンス活動は、適用される国内法および国際的な法的枠組みに完全に準拠しなければならない。調査員は関連する法律（後述する個人情報保護法やGDPRなど）を熟知し、自身の行動が法的に許容される範囲内にあることを常に確認する義務を負う 26。
均衡性 (Proportionate)	採用される調査手法、使用されるツール、および情報の浸透度は、解決しようとしている脅威のレベルや事案の重大性に比例するものでなければならない。軽微な事案に対して高度に侵襲的な分析手法を用いるなど、プライバシーを過度に犠牲にするアプローチは否定される 26。
監査可能性 (Auditable)	調査員と組織の説明責任（アカウンタビリティ）を果たすため、実行されたすべての調査プロセス、使用したツール、検索クエリ、および情報源は詳細に文書化されなければならない。この記録の維持により、プロセスの透明性が確保され、後日、第三者や司法機関による検証・監査が可能となる 26。
必要性 (Necessary)	調査目的に不可欠な情報のみを標的とする。この原則により、無関係な周辺データの網羅的なスクレイピングや、「後で役に立つかもしれない」という理由での無差別なデータの蓄積（バルクコレクション）が防止され、情報のミニマリズムが維持される 26。

企業や調査機関がOSINTを導入する際、これらの倫理原則を内部のコンプライアンス規程に組み込むことは、深刻な法的訴訟やレピュテーションリスクから組織を防御するための防波堤となる。

日本における法的制約：個人情報保護法改正と著作権法の交差点

日本国内において、企業や組織がサイバーセキュリティ、与信調査、あるいはマーケティング目的でOSINTを活用する場合、独自の厳格な法的環境、とりわけ「個人情報の保護に関する法律（個人情報保護法）」および「著作権法」の規制を正確に理解し、ナビゲートする必要がある ⁶。OSINTの原則が「公開情報の収集」であるからといって、日本法においてその自由な利用が完全に担保されているわけではない。インターネット上に公開されている情報であっても、それが特定の個人を識別できる情報（氏名、顔写真、SNSの識別可能なアカウント情報など）に該当する場合、取得や利用の目的に関する法的な義務が当然に生じるからである。

個人情報保護法（2024年改正）がもたらす重大な影響

特に、2024年4月に施行された個人情報保護法規則・ガイドラインの改正は、OSINTを用いた自動化されたデータ収集（ウェブスクレイピングやクローリング等）の実務に極めて重大な影響を及ぼしている。今回の改正における最大の焦点は、漏洩時の報告義務や安全管理措置の対象が、従来のすでに体系化された「個人データ」にとどまらず、「事業者が取得した個人情報」および「事業者が取得しようとしている個人情報」、すなわち「データベース化する予定の個人情報」にまで前倒しして拡大された点にある ²⁷。

これはOSINTの実務において何を意味するのか。企業が自動化ツールを用いてインターネット上の公開フォーラムやSNSから特定のインジケーターやユーザー情報をスクレイピングし、自社の脅威インテリジェンスプラットフォームに取り込もうとするまさにその「取得の段階」から、法的な安全管理措置の実施が厳格に求められるということである ²⁷。収集行為そのものがデータベース化の意図を持つとみなされるため、企業は収集システムのアクセス制御や通信の暗号化、委託先の監督などを、情報が保存される前段階から担保しなければならない。

また、OSINTにおける画像分析に関連し、SNSの公開画像や施設に設置された防犯カメラから「顔特徴データ」を抽出し、AIによる照合・分析を行う行為についても規制が明確化されている。現行法では、カメラ等により自らの個人情報が取得されていることを本人において容易に認識可能な状態にすればよいとされていたが、改正により外観上明らかでない場合を含め、「利用目的の掲示（通知または公表）」が実質的に義務化される方向へと規定が強化されている ²⁸。

さらに、OSINT調査会社を名乗る悪質な業者や、ダークウェブ上のデータブローカーから情報を購入するリスクへの対応も強化されている。オプトアウト（事後的な同意撤回を前提とした第三者へのデータ提供）事業者に対する規律が強化され、不正な手段で収集された名簿や個人情報を購入・利用することは、執行権限および罰則の厳格化により、企業にとって回復不可能な法的・社会的ダメージをもたらす ¹⁶。例外的に、16歳未満の子供向けサービスの法定代理人確認や、医療機関等の学術研究機関としての例外規定なども整備されつつあるが、総じて企業はOSINTで収集する情報が「個人情報」の定義に触れる瞬間に備え、適法な利用目的の特定と公表を徹底しなければならない ²⁸。

著作権法第30条の4とスクレイピングの法的境界

大量のウェブサイトを自動的に巡回し、テキストや画像を収集するOSINTのプロセスは、日本の著作権法に基づく複製権や翻案権の問題を必然的に惹起する。日本は世界的にも珍しく、機械学習やデータマイニングを目的とした著作物の利用に対して寛容な法制を持っており、著作権法第30条の4（情報解析のための複製等）により、原則として権利者の許諾なしに著作物を収集・解析することが認められている。

しかし、この権利制限規定は万能ではない。同条の適用は、その利用目的が「当該著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的としない場合」に限定される。OSINTにおいて、例えばサイバー脅威のトレンドを統計的に分析するための言語モデル学習用データの収集であればこの要件を満たす可能性が高い。しかし、特定の競合他社の公開レポートを収集してその内容（思想や感情）そのものを自社の意思決定のために直接的に「享受・解釈」する場合や、特定の個人のブログ記事をスクレイピングしてその個人の思想信条をプロファイリングするような行為は、情報解析の枠を超え、著作権侵害を構成するリスクが高い。加えて、利用行為が「著作権者の利益を不当に害することとなる場合」は例外として同条の適用が除外されるため、情報源となるサイトの利用規約（スクレイピング禁止条項など）との関係も含め、OSINTアナリストは極めて精緻な法的判断を迫られるのである。

国家情報戦略としてのOSINT展開と地政学的力学

膨大な公開情報が、戦術的なサイバー防御から地政学的な軍事作戦に至るまで、あらゆるレベルの意思決定に直接的な影響を与える中、各国のインテリジェンス・コミュニティ（情報機関）はOSINTの扱いを根本的に見直している。かつてはヒューミント（HUMINT：人的情報）やシギント（SIGINT：信号・通信傍受情報）の「補助的・補完的な情報」とみなされていたOSINTは、今やそれ自体が独立した強力な情報源であり、インテリジェンス活動の「主軸」として国家戦略の中枢に組み込まれている ²。

米国務省のOSINT戦略（2024-2026）

このパラダイムシフトを最も象徴的に示しているのが、米国の動きである。米国務省の情報調査局（INR）は、インテリジェンス・コミュニティ（IC）全体のOSINT戦略と歩調を合わせ、米国の外交官や政策立案者に戦略的洞察と圧倒的な情報優位性を提供するための「オープンソース・インテリジェンス（OSINT）戦略（2024-2026）」を正式に策定・公開した ²。この戦略文書は、以下の4つの主要な柱から構成されている。

1. ガバナンスとポリシーの確立: OSINTの収集と利用が、行政命令12333号をはじめとする法的要件に準拠し、プライバシーと市民の自由を厳格に保護することを保証するための標準作業手順書（SOP）を策定する。「INR OSINTワーキンググループ」を設立し、プロセスを制度化する ²。特筆すべきは、OSINT「のみ」に依存する非機密製品の生産を推進している点であり、これにより情報の過剰な機密指定を防ぐ狙いがある ²。
2. OSINT能力とテクノロジーへの投資: 国家オープンソース委員会（NOSC）と連携してリソースを最適化し、最先端の商用データ、分析ツール、AIプラットフォームの取得プロセスを合理化する。また、アナリストが機密ネットワークのファイアウォールに阻害されることなく外部情報にシームレスにアクセスできるよう、非エンタープライズ・ネットワーク（NEN）機器を配備する ²。
3. トレーニングとトレードクラフトの強化: ツールの操作方法にとどまらず、偽情報（ディスインフォメーション）を見抜くための分析眼や、法理的・倫理的な限界を理解するための持続的なカリキュラムを構築する。専門家相談メカニズムを維持し、組織全体の分析能力の底上げを図る ²。
4. パートナーシップと情報共有の深化: 収集されたOSINTが非機密であるという最大の利点を活かし、他の政府機関（省庁間協力）はもとより、同盟国、学術界、そしてテクノロジーを牽引する民間セクターとの連携を劇的に強化する。NOSCを通じた分析官の共同任務や、最先端技術の交換を推進する ²。

この米国務省の戦略が示唆するのは、「インテリジェンス外交（Intelligence Diplomacy）」という新たなアプローチである。機密指定されたヒューミントやシギントは同盟国であっても共有のハードルが高いが、OSINTに基づくインテリジェンスであれば、外交交渉のテーブルでパートナー国に証拠として提示しやすく、国際世論を形成する上でも極めて有効なツールとなるのである ²。

日本のインテリジェンス政策と同盟国間の圧力

米国のような情報大国がOSINT能力の高度化と共有体制の構築を急ぐ中、日本やオーストラリアといった同盟国も、インテリジェンス保護要件や運用能力の足並みを揃えるよう強い地政学的圧力を受けている。日本における近年のインテリジェンス政策の歴史を紐解くと、例えば「特定秘密保護法（SDS Act）」の制定は、米国やオーストラリア等の同盟国とのインテリジェンス共有（リエゾン）を円滑化し、共有された情報の漏洩を防ぐという強い要請が背景にあった ²⁹。

しかし、同盟関係の強固な安全保障を最優先するあまり、日本のインテリジェンス・コミュニティ内部における法制度の整備には歪みも生じている。特定秘密保護法の制定プロセスにおいては、秘密指定の妥当性を監視する強力で独立した第三者機関の設置が不十分であったり、インテリジェンス業務に従事する職員が直面する倫理的あるいは法的な苦情を適切に処理・救済するための内部体制の構築が後回しにされたという批判的分析も存在する ²⁹。

OSINTがもたらす情報の広範な流通と、機密情報と公開情報の境界線の曖昧化は、こうした国家間の情報共有プロトコルと国内法整備のあり方に根本的な見直しを迫っている。日本が国際的なインテリジェンス・コミュニティにおいて信頼されるパートナーであり続けるためには、OSINTの高度な収集・分析能力を育成すると同時に、情報の民主的統制と個人の権利保護を両立させる、より洗練された独自の法的・倫理的フレームワークの確立が急務となっているのである。

結論：次世代のインテリジェンス環境に向けた展望

オープンソース・インテリジェンス（OSINT）は、かつての国家情報機関による厚いベールに包まれた独占的な情報収集の枠組みを完全に打ち破り、サイバーセキュリティの防御戦術、企業におけるコンプライアンスとリスク管理、ジャーナリズムによる権力の監視、そして国際法廷における戦争犯罪の立証に至るまで、現代社会のあらゆる意思決定プロセスを根本から再構築する技術的および社会的な推進力となった。Bellingcatの歴史的調査が証明したように、デジタル世界に偏在する断片的な情報を繋ぎ合わせることで、巨大な国家の嘘をも暴くことが可能な時代が到来している。

しかし、この強力な能力は諸刃の剣である。AIによるパターンの自動認識、顔認識技術、膨大なデータのスクレイピングツールの普及は、調査の高速化と精度向上をもたらす一方で、調査対象となる個人のプライバシーに対する不可逆的な脅威を生み出している。さらに、OSINTが武力紛争に直接介入することで生じる「新たな危害の理論」が示す通り、情報の分析と公開が人命に直結するリスクを常に内包している。

このジレンマを乗り越えるため、OSINTアナリストには卓越した技術的スキルと同等以上に、強固な倫理観と法的知識が求められる。調査の各段階においてJAPAN原則（正当性、権限、均衡性、監査可能性、必要性）を厳格に適用し、日本国内においては改正個人情報保護法や著作権法の精緻な解釈に基づき、合法性の境界線を遵守しなければならない。同時に、収集されたデータが真実としての重みを持つよう、バークレー・プロトコルが要求する証拠の完全性と検証プロセスを徹底することが不可欠である。

今後のインテリジェンス環境において最大の課題となるのは、生成AI（Generative AI）によって量産される精巧なディープフェイクや高度な偽情報（ディスインフォメーション）に対抗し得る、より堅牢な「検証メカニズム」をOSINTのライフサイクル内部にどう組み込むかである。情報が文字通り権力と兵器になる現代において、OSINTの技術的革新、厳密な法的コンプライアンス、そして揺るぎない倫理的実践を高度に統合することこそが、自由で安全、かつ説明責任が機能するデジタル社会を維持するための唯一の道筋である。

引用文献

1. Top 15 Free OSINT Tools To Collect Data From Open Sources, 2月 26, 2026にアクセス、 https://www.recordedfuture.com/threat-intelligence-101/tools-and-technologies/osint-tools
2. Open Source Intelligence Strategy – United States Department of State, 2月 26, 2026にアクセス、 https://2021-2025.state.gov/open-source-intelligence-strategy/
3. Open-Source Intelligence (OSINT) | Techniques & Tools – Imperva, 2月 26, 2026にアクセス、 https://www.imperva.com/learn/application-security/open-source-intelligence-osint/
4. OSINTとは？活用例やテクニック、ツール、注意すべき点を解説 | Codebook｜Security News, 2月 26, 2026にアクセス、 https://codebook.machinarecord.com/cyber-intelligence/osint/15117/
5. Solving the MH17 and the Skripal Case: How Bellingcat Demonstrates the Power of OSINT, 2月 26, 2026にアクセス、 https://www.leidensecurityandglobalaffairs.nl/articles/solving-the-mh17-and-the-skripal-case-how-bellingcat-demonstrates-the-power
6. OSINTとは？活用時の注意点と具体的プロセスを詳しく解説 – GMOインターネットグループ, 2月 26, 2026にアクセス、 https://group.gmo/security/cybersecurity/penetration-testing/blog/osint/
7. 脅威インテリジェンスとは？活用メリットや種類を解説 – wiz …, 2月 26, 2026にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cp_blog/20240930_22786/
8. 1月 1, 1970にアクセス、 https://www.recordedfuture.com/threat-intelligence-101/concepts/intelligence-cycle
9. 13 Best OSINT (Open Source Intelligence) Tools for 2025 [UPDATED] – Talkwalker, 2月 26, 2026にアクセス、 https://www.talkwalker.com/blog/best-osint-tools
10. The Ultimate OSINT Toolkit: 15 Free Tools to Become a Digital Detective in 2025 – Reddit, 2月 26, 2026にアクセス、 https://www.reddit.com/r/PrivatePackets/comments/1m3s2ih/the_ultimate_osint_toolkit_15_free_tools_to/
11. OSINT（Open Source Intelligence）と代表的なツールとは？ – ワンビ株式会社, 2月 26, 2026にアクセス、 https://www.onebe.co.jp/column/osint%EF%BC%88open-source-intelligence%EF%BC%89%E3%81%A8%E4%BB%A3%E8%A1%A8%E7%9A%84%E3%81%AA%E3%83%84%E3%83%BC%E3%83%AB%E3%81%A8%E3%81%AF%EF%BC%9F/
12. OSINT Framework, 2月 26, 2026にアクセス、 https://osintframework.com/
13. OSINT（オシント）とは？ 意味やサイバーセキュリティ向けのツール例を解説｜トレンドマイクロ, 2月 26, 2026にアクセス、 https://www.trendmicro.com/ja_jp/what-is/threat-detection/open-source-intelligence-osint.html
14. OSINT Journalism: Our Guide to OSINT for Journalists, 2月 26, 2026にアクセス、 https://www.osint.industries/post/osint-journalism-our-guide-to-osint-for-journalists
15. 第29回：ダークウェブとDeep Webの違い – Shikata Ga Nai, 2月 26, 2026にアクセス、 https://cysec148.hatenablog.com/entry/2025/06/21/162610
16. OSINT（Open Source Intelligence）とは？一般的なプロセス・注意点や代表的なツール等紹介 – デジタルデータフォレンジック, 2月 26, 2026にアクセス、 https://digitaldata-forensics.com/column/security/8873/
17. Bellingcat: An Intelligence Agency for the People with Eliot Higgins – Apple Podcasts, 2月 26, 2026にアクセス、 https://podcasts.apple.com/us/podcast/bellingcat-an-intelligence-agency-for-the-people/id201680433?i=1000674852704
18. Open source intelligence, with Bellingcat’s Giancarlo Fiorella – YouTube, 2月 26, 2026にアクセス、 https://www.youtube.com/watch?v=dVWyNUmUvMA
19. Tracking Truth from the Sky – Inside Bellingcat’s OSINT Training – Goethe-Institut, 2月 26, 2026にアクセス、 https://www.goethe.de/ins/gr/de/kul/eup/imm/success-stories-/ktt.html
20. Deploying OSINT in armed conflict settings: law, ethics, and the need for a new theory of harm – Blogs | International Committee of the Red Cross, 2月 26, 2026にアクセス、 https://blogs.icrc.org/law-and-policy/2023/12/05/deploying-osint-in-armed-conflict-settings-law-ethics-theory-of-harm/
21. Berkeley Protocol on Digital Open Source Investigations – Leigh Day, 2月 26, 2026にアクセス、 https://www.leighday.co.uk/news/blog/2020-blogs/berkeley-protocol-on-digital-open-source-investigations/
22. Berkeley Protocol on Digital Open Source Investigations, 2月 26, 2026にアクセス、 https://humanrights.berkeley.edu/publications/berkeley-protocol-on-digital-open-source-investigations/
23. Berkeley Protocol on Digital Open Source Investigations: A Practical Guide on the Effective Use of Digital Open Source Information in Investigating Violations of International Criminal, Human Rights and Humanitarian Law | OHCHR, 2月 26, 2026にアクセス、 https://www.ohchr.org/en/publications/policy-and-methodological-publications/berkeley-protocol-digital-open-source
24. Developing the Berkeley Protocol – Berkeley Human Rights Center, 2月 26, 2026にアクセス、 https://humanrights.berkeley.edu/berkeley-protocol-digital-open-source-investigations
25. The Berkeley Protocol – AFCEA International, 2月 26, 2026にアクセス、 https://www.afcea.org/signal-media/intelligence/berkeley-protocol
26. The Importance of OSINT Investigative Strategy, 2月 26, 2026にアクセス、 https://www.osint.uk/content/the-importance-of-osint-investigative-strategy
27. 2024年4月1日施行 個人情報保護法規則・ガイドライン改正のポイント | JPAC BLOG, 2月 26, 2026にアクセス、 https://blog.jpac-privacy.jp/revisionofguidelines_202404/
28. 個人情報保護法 制度改正方針の公表 – 牛島総合法律事務所, 2月 26, 2026にアクセス、 https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20260109appi/
29. The Development of Japan’s Intelligence Policy in the 21st Century, 2月 26, 2026にアクセス、 https://www.isdp.eu/publication/development-of-japans-intelligence-policy/