(EFF)グローバルな法執行に関する条約がプライバシーと人権を弱める

Categories
< Back
You are here:
Print

(EFF)グローバルな法執行に関する条約がプライバシーと人権を弱める

グローバルな法執行に関する条約がプライバシーと人権を弱める
カティッツァ・ロドリゲス、タミール・イスラエル2021年6月8日

Necessary & Proportionate logo

欧州評議会のサイバー犯罪委員会(T-CY)が、強力なプライバシー保護なしに法執行機関がユーザーデータにアクセスするための新しい国際ルールを承認するという最近の決定は、デジタル時代の世界的な人権にとって打撃となります。5月28日にT-CY起草委員会で承認された、広く採用されている欧州評議会(CoE)のブダペスト・サイバー犯罪条約の第2追加議定書案の最終版は、法執行機関によるデータ収集にほとんど制限を設けていません。そのため、この議定書は、プライバシー保護が不十分な国のテクノロジー・ユーザー、ジャーナリスト、活動家、社会的弱者を危険にさらし、世界中のすべての人のプライバシーと表現の自由に対する権利を弱める可能性があります。

この議定書は現在、CoEの議会委員会(PACE)のメンバーに意見を求めています。PACEの法務・人権委員会は、さらなる修正を勧告することができ、どの修正を常任委員会または本会議で採択するかを決定します。その後、閣僚理事会は、PACEの勧告を最終文書に統合するかどうかを投票で決定します。CoEの計画では、11月までに議定書の採択を最終決定することになっています。議定書が採択されれば、2022年までにブダペスト条約に署名した国であれば、誰でも署名することができます。

各国にとっての次のステップは、署名の段階である。各国は、批准、受諾、承認のいずれかを留保することなく署名を提示することができます。その際、議定書の特定の条項、特に法執行機関とユーザーデータを保有する企業との直接協力に関する第7条に従わない権利を留保することができます。

もし各国が議定書にそのまま署名すれば、警察が他国のインターネット企業のデジタルデータにアクセスする方法は、法執行の要求を優先し、司法の監視を回避し、プライバシー保護のハードルを下げることで、大きく変わることになります。

透明性に対するCoEの歴史的なコミットメントは明らかに欠如している

CoEの条約策定においては、透明性を確保し、外部のステークホルダーとの関わりを重視してきましたが、新議定書の起草プロセスでは、市民社会との強固な関わりが欠けていました。T-CYは、公安や法執行機関の関係者が主導する不透明なプロセスを助長するような内部規則を採用した。T-CYが外部の利害関係者や一般市民と定期的に行う協議は、重要な内容が欠けていたり、回答の期限が短かったり、批判に有意義に対処できなかったりしました。

2018年には、100近い公益団体がCoEに対し、議定書の策定に市民社会の専門家の意見を反映させるよう求めた。2019年には、欧州データ保護委員会(EDPB)が同様にT-CYに対し、草案作成プロセスに「データ保護当局の早期かつより積極的な関与」を確保するよう求め、今年初めにもその必要性を感じていました。T-CYは、最終的なパブリックコメントのために議定書の草案を提示した際、わずか2.5週間しか提供しませんでした。この期間では、利害関係者が「タイムリーで綿密な分析を行うことはできない」とEDPBは指摘しています。また、このバージョンの議定書には、データ保護セーフガードの説明文が含まれておらず、パブリックコンサルテーションを経ずに、5月28日の最終版で発表された。CoEのデータ保護委員会などの他の支部でも、このような状況では意味のある意見を出すことは難しいと考えています。

先週、40以上の市民社会団体が、議定書の最終版にコメントする機会を追加で設けるようCoEに求めました。議定書は、プライバシーや人権に対するコミットメントが大きく異なる国々を対象に、新たなグローバルスタンダードを設定することを目的としています。デジタル人権団体やプライバシー規制当局を含む外部のステークホルダーからの有意義な意見が不可欠です。残念ながら、CoEの回答は親切にも拒否され、最終的には2021年11月に条約を採択することになりそうです。

市民社会からの意見が限定的にしか取り入れられていないため、最終的な議定書が法執行に関する問題を最優先し、人権保護やプライバシー保護がほとんど後回しにされているのは当然のことといえるでしょう。議定書は、グローバルなプライバシー保護を強化するのではなく、十分な保護を受けていない国に対応するために、中心となるセーフガードがほとんど選択制になっています。その結果、議定書は、グローバルな基準を最小公倍数で調和させることを促し、すべての人のプライバシーと表現の自由に対する権利を弱めています。

オンライン上の匿名性に対するグローバルな保護の弱体化

新議定書では、オンライン上の匿名性に対する保護措置がほとんど講じられていないため、活動家、反体制派、ジャーナリストの安全や、オンラインで政治家や政府に意見を述べたり批判したりする一般の人々の表現の自由に対する脅威となっています。インターネット企業が加入者の情報を法執行機関に提供した場合、現実の世界では悲惨結果を招く可能性があります。また、匿名性は、オンラインでの意見や表現を促進する上で重要な役割を果たしており、世界中の活動家や抗議者にとって必要なものです。しかし、新議定書は、プライバシーに関する重要な関心事を認識しておらず、ほとんどの保護措置を任意とすることで、組織的な司法監督なしに警察が機密性の高い個人データにアクセスすることを認めています。

そもそも、新議定書の説明文では、次のように謳っている。”加入者情報は、当該個人の私生活や日常生活に関する正確な結論を導くものではない」とし、他のカテゴリーのデータよりも侵入性が低いとしている。

このような説明は、警察が加入者データにアクセスして、匿名の深いプライベートな通信や活動を特定することが頻繁に行われているという認識と真っ向から対立するものです。実際、欧州連合司法裁判所(CJEU)は最近、加入者データと匿名のデジタル活動との関連付けを国家に行わせることは、プライバシーに対する「重大な」干渉を構成する可能性があるとしています。識別機能を非侵入型とする議定書の試みは、欧州人権裁判所(ECtHR)の見解とも対立している。反対の結論を国際議定書に盛り込むことで、新しい説明文は、将来の裁判所がオンライン上の匿名性の重要性を正しく認識することを妨げることになります。ECtHRは、「個人の関心事、信念、親密なライフスタイルなど、個人のオンライン活動について多くのことを明らかにする可能性のある情報に対して、必要な保護を与えない」としています。

特に、議定書の第7条と第8条は、ほとんど保護措置を必要とせず、侵入的な警察権力を採用しています。第7条では、各国は現地企業と法執行機関との「直接的な協力」を妨げるすべての法的障害を取り除く必要があります。インターネット企業が裁判所の命令なしに外国の警察に自発的に顧客を特定することを妨げるプライバシー法は、第7条と相容れず、改正されなければならない。”直接的な協力」は、加入者データにアクセスするための主要な手段であることが意図されているが、第8条は、協力を拒否する企業からの開示を強制する補助的な権限を提供している。第8条は、警察に対する司法の監督を要求していないが、プライバシー保護がしっかりしている国では、現地のサービスプロバイダーに顧客の特定を迫る際に、引き続き自国の裁判所に頼ることができる。また、第7条と第8条は、国家の本質的利益を脅かす可能性のある加入者データの要求を審査し、拒否することを認めている。しかし、これらの審査メカニズムも任意であり、拒否は「厳密に限定」され、個人情報保護の必要性は「例外的な場合」にのみ適用される。

第7条と第8条は、プライバシーと人権の保護のほとんどを各国家の裁量に委ねることで、ECtHRが「恣意的な干渉からの保護が実質的になく、国家公務員による乱用に対する安全策もない」と評した条件下で、機密性の高いIDデータへのアクセスを認めている。

議定書の起草者は、市民社会やプライバシー規制当局からの、第7条と第8条に何らかの形で司法の監督を求める声に抵抗している。警察機関の中には、司法の監視は結果が遅くなると主張して、裁判所への依存に反対するところもある。しかし、繊細な個人データへのアクセスが危機に瀕している場合、裁判所の組織的な関与は重要な保護手段となります。

カナダのプライバシー・コミッショナー事務所は、これを端的に表現しています。「独立した司法監督には時間がかかるかもしれませんが、法執行機関の捜査という特殊な状況下では必要不可欠です」。

司法監督を国境を越えたアクセスのための最低限度の基準として組み込むことも実現可能である。実際、T-CYが実施した調査では、過半数の国が、それぞれの国内法において、少なくともある種の加入者データに対する事前の司法承認を求めています。

少なくとも、新しい議定書の文書は、匿名のオンライン活動の深い私的性質を認識しておらず、国家公務員が本人確認データへの自由なアクセスを許可された場合に人権にもたらされる深刻な脅威を認識していないという点で、欠陥があります。国家がこのようなアクセスを認めることは、世界の自由を失わせ、表現の自由を著しく脅かすものである。第7条で強調されている、警察とインターネット企業との間の非司法的な「協力」は、特に陰湿なリスクをもたらすものであり、最終的に採択される条約の一部となってはならない。

任意のプライバシー基準の導入

最近初めて公開された第14条は、個人情報に対する詳細な保護措置を提供することを目的としています。これらの保護の多くは重要であり、特にデータ保護法のない国において、センシティブなデータの取り扱い、個人データの保持、自動化された意思決定における個人データの使用に制限を課しています。しかし、詳細な保護措置は複雑であり、市民社会グループはその法的影響の全容を解明する必要があります。とはいえ、いくつかの欠点はすぐに明らかになりました。

例えば、14.2.a項では、署名者が個人データの使用を制限する際に、「一般的なデータ保護条件」を追加で課すことを禁止しています。また、14.1.d項では、法執行機関が主導する個人データの他国への移転をデータ保護法で阻止することを厳しく制限しています。

より一般的には、議定書の合法的アクセス義務とは全く対照的に、第14条に記された詳細なプライバシー保護措置は義務ではなく、各国が他の取り決めをしている場合は無視することができます(第14条1項)。各国は、第14条の保護を回避するために、さまざまな協定に頼ることができる。OECDは現在、第14条の保護を体系的に置き換える可能性のある協定を交渉中であり、米国のCLOUD(Clarifying Lawful Overseas Use of Data)法に基づき、米国の行政機関は法執行機関による移転を促進するために他国と「協定」を締結することができる。14.1.c項では、拘束力もなければ公開もされない非公式な協定も想定されており、各国が14条のセーフガードを秘密裏にかつ組織的に回避できることを意味しています。これらの代替的な取り決めが十分なレベルのプライバシー保護を提供していることを保証するための実際の義務はない。そのため、各国は議定書の法執行力に頼る一方で、サイドアグリーメントを利用してプライバシー保護を回避することができる。

第14条の保護は、CJEUが要求している最低限のデータ保護を下回っているように見えることも問題である。例えば、第14条の保護の全リストは、欧州委員会「プライバシーシールド」協定に挿入したものと類似している。インターネット企業は、欧州連合(EU)から米国への個人データの経済的移転を促進するためにプライバシーシールドに依存していたが、2020年にCJEUがそのプライバシー保護と救済措置が不十分であると判断して、この協定を無効にした。同様に、第14.6条では、関連する個人の利益に著しい悪影響を及ぼすような純粋に自動化された意思決定システムにおける個人データの使用を制限しています。しかし、CJEUは、公共安全の目的のために航空旅客データをカナダに移転する国際協定について、同様の条項が含まれているにもかかわらず、EUのデータ保護保証と矛盾すると判断している。

結論

議定書のこれらの問題やその他の実質的な問題は気になるところです。私たちの生活のあらゆる側面がデジタルの世界へと着実に移行していく中で、日常的な犯罪捜査においても国境を越えたデータアクセスが急速に一般化しています。議定書は、強固な人権およびプライバシー保護を国境を越えた捜査に組み込むのではなく、裁判所の監視を妨げ、セーフガードのほとんどをオプションとし、プライバシーと表現の自由を全般的に弱体化させている。

PDF final_letter_-_council_of_europe-final.pdf
PDF i_2021-662_rodriguez_pereda_eff_04.06.21.pdf

出典:https://www.eff.org/deeplinks/2021/06/global-law-enforcement-convention-weakens-privacy-human-rights

付記:https://www.deepl.com/translatorで下訳を作成しました。

Table of Contents