(米司法省国際声明)エンド・ツー・エンドの暗号化と公共の安全

Categories
< Back
You are here:
Print

(米司法省国際声明)エンド・ツー・エンドの暗号化と公共の安全

訳者の解説―やや長い解説の後ろに声明の本文があります

以下の声明では、暗号化への政府による国際的な規制要求がはっきりと示されている。暗号と政府との長い戦争を通じて、政府による暗号規制をはねのけるインターネットの活動家たちの努力によって、現在の暗号化の環境が確立されてきたといっても過言ではない。これに対して、事あるごとに、政府は、暗号化の壁を突破しようとしてきた。この文脈でいえば、下記の声明に新規さはないが、暗号技術との関連でいうと、問題の地平は質的な転換に直面している。第一に、端末間暗号化(エンドツーエンド暗号化)が普及したことによって、捜査機関はコンテンツへのアクセス能力を低下させてきたこと。逆に、端末間暗号化は急速に普及してきている。第二に、スマホのデバイスをはじめとして、パソコンの場合も記憶デバイスの暗号化が普及しつつある。最近では、電源が切られたスマホのデータを捜査機関が解読することが従来ほど容易ではなくなった。クラウドであれオンライン会議であれ端末間暗号化のサービスを提供できるかどうか、あるいはサービス提供企業がゼロナレッジ(顧客のデータの内容を知ることが技術的に不可能であることによって、データの漏洩を防御すること)のポリシーをとることによって、捜査機関のデータ開示請求にそもそも技術的に応じえない環境も普及しつつある。

こうした事態は、5Gになるとますます拡がることが技術的には予想されている。捜査機関や諜報機関にとっては、ビッグデータの宝の山を目の前にして、そのお宝を手に入れられないという事態になっている。こうした状況のなかで登場したのが下記の声明だ。テクノロジー企業に暗号化技術の開発を促しつつも、政府や捜査機関に対しては別枠で暗号を復号化できる余地を残せ、というかなり強圧的な要求になっている。テクノロジー企業は、収益を上げることを最終目標としてサービス内容や投資戦略をたてる。サイバーセキュリティや社会インフラとしてのネットの役割りからすると、政府が重要な顧客でもあり、法規制が企業の収益に大きな影響を与える。私たちのプライバシーの権利を保護することと政府の要求を呑むことのどちらを優先させるのが企業の収益にとって好ましいのかを企業は判断することになるだろう。現状では、エンド・ツー・エンド暗号化を政府であっても解読できない形で提供することにメリットがあるという企業の判断に、私たちのプライバシーの権利が依存している。言い換えれば、企業の好意や投資戦略に私たちのプライバシーの権利が委ねられているにすぎない。

そして、最大の問題(私たちにとってだが)は、この声明に日本が署名しているという点だ。言うまでもなく、日本の企業は米国のテクノロジー企業のような良くも悪くも政府嫌いの(時には反共主義者もいるが)シリコンバレーのリバタリアンの伝統はなく、政府と協調する体質がはっきりしている。デジタル庁の設置も含めて、官民一体となったデジタル化社会を目指そうという日本の状況のなかで、企業が政府の意向にどこまで抵抗できるかは、市民のプライバシーの権利意識とプライバシー運動の力にかかっている。残念なことに、日本には市民的自由を闘うインターネットの運動や文化はほとんどない。下記のような声明は、米国よりも日本で実質的な効果を発揮しかねない。

もし端末間暗号化が規制されるとするとどのようなことが起きるのか。スマホのセキュリティは確実に低下する。SignalやTelegramのような暗号化メッセージアプリの使用規制があるかもしれない。ProtonmailやTutanotaといった暗号化メールへの規制もありえるし、ハードディスクを暗号化するソフトや、政府が暗号の解読ができない暗号化ソフトの使用も犯罪化されかねない。

そうはいっても、犯罪の取り締まりや国家安全保障に必要であるであるなら、暗号解読の手段を捜査機関が持つのは仕方がない、あるいはそうすべきだ、という考え方がある。言論・表現の自由、思想信条の自由を確保する上で通信の秘密は必須の条件だということを日本の場合は憲法で明記している。憲法が私たちに保障している権利を国家権力や私企業が超越できるような力を持っていいのであれば、法の支配は成立しない。むしろ、政府も企業も力ん行使を抑制すべきであり、別の手段を講じるべきだろう。更に、共謀罪のように、コミュニケーションそのものを犯罪化する場合のように、捜査対象の事案が「犯罪」とみなすべき事案なのか、というより根本的な問題、「そもそも犯罪とは何か」という問題も、コミュニケーションが関与する捜査では問われなければならないだろう。

政府や法律は、民主主義国家であっても、アテにならない。将来どのような最悪な独裁政府(今だって最悪だが)になるとも限らないわけだが、私たちの個人情報は一生にかかわるデータであり、その内容を政府に把握されるリスクは非常に大きい。日本政府が以下のような声明に署名したことを深刻に受けとめて具体的な政策や法制度へと向かわないように行動することが必要だ。(小倉利丸 2021年2月24日加筆)

—————————————————————-
「エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント」

出典:日本政府のページ(外務省) 英語原文 外務省による要約(日本語)

———————————————————

米国司法省
広報室
即時リリース
2020年10月11日(日)

国際ステートメント。エンド・ツー・エンドの暗号化と公共の安全

我々は、個人情報、プライバシー、知的財産、企業秘密、サイバーセキュリティを保護する上で重要な役割を果たす強力な暗号化を支持する。 また、国連人権理事会の2017年決議[1]で述べられているように、暗号化は、ジャーナリストや人権擁護者、その他の脆弱な人々を保護するために、抑圧国家においても重要な役割を果たしている。 暗号化は、デジタル世界における信頼の実存的なアンカーであり、我々は、セキュリティシステムを実質的に弱めたり制限したりするような、逆効果で危険なアプローチを支持しない。

しかし、特に暗号化技術の実装は、性的に搾取された子どものような社会の非常に脆弱なメンバーを含め、公共の安全に重大な課題をもたらす。我々は、暗号化がコンテンツへのいかなる法的アクセスも完全に排除する方法で適用される場合についての我々の深刻な懸念に対処するよう業界に強く要求する。 我々は、合理的で、技術的に実現可能な解決策に焦点を当てた以下のステップを取るためにテクノロジー企業が政府と協力することを要求する。

●[テクノロジー企業は]システム設計に公衆の安全性を組み込むことにより、企業が安全性を低下させることなく違法なコンテンツや活動に対して効果的に行動できるようにし、犯罪捜査や起訴を容易にし、脆弱な人々を保護することを可能にすること。

●合法的に発付され、必要かつ適切であり、強力な保護措置と監視の下にある場合に、[テクノロジー企業は]法執行機関が解読、利用することができる形式でコンテンツにアクセスできるようにすること。

●[テクノロジー企業は]政府その他の利害関係者との協議に参加し、設計決定に実質的かつ真に影響を与える方法で法的アクセスを促進する。

公共の安全への影響

法執行機関には、犯罪を調査・起訴し、弱者を保護することで市民を保護する責任がある。テクノロジー企業にも責任があり、市民を保護するように行動する権限が与えられていることを利用規約で明記している。 いかなる状況下でも通信内容への合法的なアクセスを妨げるエンドツーエンドの暗号化は、これらの責任に直接影響を与え、以下の2つの方法で公共の安全に深刻なリスクを生み出す。すなわち、

1. 利用規約違反を特定して対応する企業自身の能力を著しく損なう。これには、児童の性的搾取や虐待、暴力犯罪、テロリストのプロパガンダ、攻撃計画など、プラットフォーム上の最も深刻な違法コンテンツや活動への対応が含まれ、また、
2. 重大な犯罪を捜査し、国家の安全を守るために必要かつ適切な場合に、法執行機関が限られた状況下でコンテンツにアクセスする能力を排除することで、こうしたことを行う合法的な権限がある場合に、法執行機関がコンテンツにアクセスすることができなくなる。

これらのリスクに対する懸念は、主要なメッセージングサービスがエンドツーエンドの暗号化を採用するという提案がなされたことによって、より明確に焦点が当てられるようになった。ユニセフは、インターネットユーザーの 3 人に 1 人が子どもであると推定している。 WePROTECTグローバル・アライアンス(98カ国、グローバル・テクノロジー業界の大企業39社、市民社会の主要組織41社からなる連合体)は、2019年の世界脅威評価において、アクセスできない暗号化サービスがオンライン上の子どもたちにもたらすリスクの深刻さを明確に打ち出している。「公開されたアクセス可能なソーシャルメディアや通信プラットフォームは、オンラインで子どもたちと出会い、警戒心を解く最も一般的な方法であることに変わりはない。2018年には、Facebook Messengerは、CSAM[米国国立行方不明・搾取児童センター(NCMEC)に対する児童性的虐待資料]の世界報告1840万件のうち、1200万件近くを占めていた。エンドツーエンド暗号化がデフォルトで実装された場合、CSAM[児童性的虐待の資料]を検出するために使用されている現在のツールは、エンドツーエンド暗号化された環境では機能しないため、これらの報告がなくなるリスクがある」[2] 2019年10月3日、NCMECはこの問題に関する声明を発表し、次のように述べている。「子どもたちを保護するためのソリューションを導入せずにエンドツーエンド暗号化が実施された場合、NCMECは、サイバーティプリンCyberTipline(訳注1参照)の報告の半分以上が消滅すると予測している」 [3] そして2019年12月11日、米国と欧州連合(EU)は共同声明を発表し、サイバーセキュリティとプライバシーを保護するために暗号化が重要である一方で、次のように明確にしている。「テロリストやその他の犯罪者(オンラインで児童の性的搾取に従事する者を含む)がwarrant-proof暗号化(訳注2参照)を使用することは、法執行機関が被害者や一般市民を保護する能力を危うくする」[4]。

レスポンス

これらの脅威に照らして、政府や国際機関の間では、行動を起こさなければならないというコンセンサスが高まっている。すなわち、暗号化は不可欠であり、プライバシーとサイバーセキュリティは保護されならないが、このことが、法執行機関やテクノロジー業界自体が、オンライン上の最も深刻な違法コンテンツや活動に対して全く対処できないという代償を伴うべきではない。

2019年7月、英国、米国、オーストラリア、ニュージーランド、カナダの政府はコミュニケを発表し、次のように結論づけている。「テクノロジー企業は、暗号化された製品やサービスの設計に、政府が適切な法的権限を持って行動し、読み取り可能で使用可能な形式でデータにアクセスできるメカニズムを含めるべきである。これらの企業はまた、ユーザーの安全性をシステム設計に組み込むべきであり、違法なコンテンツに対して行動を起こせるようにすべきである」[5] 2019年10月8日、EU理事会は児童の性的虐待との闘いに関する結論書を採択し、次のように述べている。「同理事会は、暗号化を禁止または弱体化することなく、適用法と整合性のあるプライバシーと公正な裁判の保証を完全に尊重した上で、暗号化または海外にあるITサーバーでホストされている場合を含め、法執行機関やその他の管轄当局がデジタル証拠への合法的なアクセスを確保することを業界に強く求める」[6]。

WePROTECT Global Alliance、NCMEC、そして世界中の100以上の子ども保護団体と専門家からなる連合は、エンドツーエンド暗号化を含むプライバシー向上の措置が子どもの安全を犠牲にしてはならないことを確実にするための行動を呼びかけている[7]。

結論

我々は、テクノロジー企業や政府が国民とそのプライバシーを保護し、サイバーセキュリティと人権を守り、技術革新を支援することを可能にする合理的な提案を開発するために、産業界と協力することにコミットしている。 この声明では、エンドツーエンドの暗号化がもたらす課題に焦点を当てているが、このコミットメントは、デバイス暗号化、カスタム暗号化アプリケーション、統合プラットフォーム全体の暗号化など、利用可能な暗号化サービスの範囲にも適用される。 我々は、データ保護、プライバシーの尊重、技術の変化やグローバルなインターネット標準の開発に伴う暗号化の重要性が、各州の法的枠組みの最前線にあることを再確認している。 しかし、我々は、プライバシーやサイバーセキュリティを犠牲にすることなく公共の安全を保護することはできないという主張に異議を唱える。 我々は、これらの重要な価値観それぞれを保護するアプローチが可能であると強く信じており、産業界と協力して、相互に合意可能な解決策について協力するよう努力している。

署名

Rt Hon Priti Patel MP, 英国内務省国務長官

児童のオンライン搾取に関する国の集中報告システムウィリアム・P・バーWilliam P. Barr 司法長官

ピーター・ダットンPeter Dutton 国会議員、オーストラリア内務大臣

アンドリュー・リトル Andrew Little 法務大臣、GCSB担当大臣、NZSIS担当大臣

ビル・ブレア Bill Blair 公安・緊急事態対策大臣

インド

日本

2020年10月11日

[1] https://documents-dds-ny.un.org/doc/UNDOC/LTD/G17/073/06/PDF/G1707306.pdf?OpenElement

[2] WePROTECT Global Alliance, 2019 Global Threat Assessment, available at online. https://static1.squarespace.com/static/5630f48de4b00a75476ecf0a/t/5deecb0fc4c5ef23016423cf/1575930642519/FINAL+-+Global+Threat+Assessment.pdf,

[3] http://www.missingkids.org/blog/2019/post-update/end-to-end-encryption

[4] https://www.consilium.europa.eu/en/press/press-releases/2019/12/11/joint-eu-us-statement-following-the-eu-us-justice-and-home-affairs-ministerial-meeting/ (日本語訳)

[5] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/822818/Joint_Meeting_of_FCM_and_Quintet_of_Attorneys_FINAL.pdf

[6] https://data.consilium.europa.eu/doc/document/ST-12862-2019-INIT/en/pdf

[7] http://www2.paconsulting.com/rs/526-HZE-833/images/WePROTECT%202019%20Global%20Threat%20Assessment%20%28FINAL%29.pdf?_ga=2.109176709.1865852339.1591953966-1877278557.1591953966, http://www.missingkids.org/blog/2019/post-update/end-to-end-encryption, https://www.nspcc.org.uk/globalassets/documents/policy/letter-to-mark-zuckerberg-february-2020.pdf

出典:
https://www.justice.gov/opa/pr/international-statement-end-end-encryption-and-public-safety

https://www.mofa.go.jp/mofaj/files/100102096.pdf

訳注1:lNCMECによる児童のオンライン搾取を市民やプロバイダーが報告できるシステム。https://www.missingkids.org/gethelpnow/cybertipline

訳注2:以下の解説は訳者の立場とは異なるが、warrant-proofの説明としてわかりやすいので引用します。「warrant-proof 法執行機関は、warrant-proof 暗号化により、ますます課題に直面している。サービスプロバイダー、デバイスメーカー、アプリケーション開発者は、エンドユーザーや顧客のみが復号できる暗号化を採用した製品やサービスを開発している。warrant-proof 暗号化のため、政府は、令状や裁判所の命令があっても、公共の安全や国家安全に対する脅威を調査し起訴するために必要な電子的証拠や情報を得ることができないことが多い。これは、犯罪者やテロリスト、その他の悪質な行為者が悪用することができる「無法空間」を提供している。」https://internetsafety101.org/Warrant-proof-encryption

付記:下訳にDeepLを使いました。(2021年2月24日改訳)

Table of Contents