以下は、欧州の人権団体、EDRiが2022年5月11日に出したプレスリリースです。反監視情報内の関連情報は「CASM」「チャットコントロール」などで検索するか、トップページから海外動向→EUのフォルダーに収録されているデータをごらんください。(小倉利丸)

---

本日5月11日は、チャットや写真などの個人情報を民間企業や政府にさらさずに個人的にメッセージを送りたいと願うEU内のすべての人々にとって、懸念すべき日である。欧州委員会は、安全な通信の重要な完全性を危険にさらす措置を含む、オンライン上の「子どもの性的虐待を防止し、これに対処するための規則」文書を採択した。イルヴァ・ヨハンソン委員が率先して提案したこの規則は、私たちのデジタルデバイスを潜在的なスパイウェアに変えることを企業に強要し、権威主義的な監視戦術の扉を大きく開く可能性があるものだ。安全策を講じようとする試みはいくつかあるものの、この提案の主なリスクは依然として残っており、ジャーナリスト、内部告発者、公民権擁護者、弁護士、医師、その他通信の機密性を維持する必要のある人々を危険にさらす。

強制的なスキャン義務

この法律案は、最低限、人々の私的な通信を広範囲にスキャンすることを可能にし（EDRiは違法な一般化された監視を構成する可能性があると注意した）、場合によっては、さらに強制的にスキャンして削除するような手段を含んでいる。

これは、検証済みの違法な子どもの性的虐待資料（CSAM）だけでなく、新しい写真やビデオ、テキストベースの「グルーミング」の証拠を探すために行われるもので、いずれも私たちの最も親密な会話に対して、悪名高いAIベースのスキャンツールを使用することが不可避となるものだ。

さらに、この提案は、エンドツーエンドの暗号化の使用を抑制し、法的な影響を回避するために、プロバイダーが最も立ち入った手段を取るように強く促すことになる。

「欧州委員会は、企業に法的措置を取ると脅すことで、危険でプライバシーを侵害する手段の責任を回避しようとする一方で、こうした手段を法律で事実上奨励している」。- EDRiのポリシーアドバイザーであるElla Jakubowskaはこう警告している。

この提案は、表面的にはバランスのとれた適切なアプローチを含んでいるように見えるかもしれない。特に、プロバイダーは、司法当局から求められた場合にのみ、そのプラットフォームやサービス上でスキャンを強制され、一連のセーフガードに従うことになる。Contexteによれば、これらの保護措置の多くはここ数日で導入されたもので、EDRiネットワークと私たちのサポーターからの圧力が良い効果を生んだことを示しているとのことだ。

しかし、このような保護措置が主に見かけ上のものであり、実際には、私的なデジタル通信にとって最悪のシナリオに遭遇するかもしれないことを示すいくつかの条項がある。例えば、サービスやプラットフォームのプロバイダーは、そのプラットフォームによって悪用が促進されるリスクを軽減するための措置を講じなければならない。しかし、悪用されるリスクがまったく残っていないことをリスク評価で証明しない限り、さらなる対策を導入するよう命じる検出命令が出される可能性がある。

これは達成不可能な基準であり、つまり、この法律はプロバイダーに対して、できるだけ多くの「緩和策」を自分たちの主導で導入するよう強制する効果を持つ可能性が高いということだ。さらに、個人通信のスキャンを余儀なくされるプロバイダーにとって、新EUセンターが提供する技術的手法は、大幅なセキュリティリスクをもたらすと思われる。

エンド・ツー・エンドの暗号化の終焉？

EDRiが繰り返し主張しているように、このような検知手段は、必然的に危険で信頼性の低いクライアントサイド・スキャニングの実施につながり、エンドツーエンド暗号化の本質を損ねることになる。世界中のサイバーセキュリティの専門家や技術者は、このような方法で暗号化を安全かつ効果的に回避することはできないと警告している。また、このような暗号化プロセスへの干渉は、すべての人の携帯電話を悪意ある行為者からの攻撃に対して脆弱にすることになる。あるいは、この提案は、プロバイダーが暗号化を完全に放棄する動機付けになるだけかもしれない。

「欧州委員会は、広範な権威主義的監視戦術への扉を開こうとしている。今日、企業は私たちのプライベートメッセージをスキャンして、CSAMコンテンツを探すでしょう。しかし、これらの方法が世に出回れば、政府が明日にでも、反体制や政治的反対の証拠をスキャンするよう企業に強制することを止められるでしょうか」。 – EDRiポリシーアドバイザー Ella Jakubowska

テクノロジーによるアプローチの限界

この提案は、デジタル時代における子どもの権利を、的を射た適切な方法で守る方法を政策立案者に助言するEDRiの10原則を尊重できていない。この提案の核心は、複雑な制度的・社会的問題に対して、テクノロジーによる迅速な解決を見出そうとしていることにある。

欧州議会が報告しているように、各国は子どもの性的虐待や搾取の問題に対処するための既存の措置を長い間制定することができなかった。そのため、プライバシーや通信の安全性という社会の最も重要な基盤を壊しかねない方法で、組織的危害に取り組むために安全でないテクノロジーの使用を強制する可能性を急ぐことは、この提案の深刻なリスクである。ヨハンソン委員がデジタル権利団体との面会を拒み続けていることを考えると、この法案がテクノロジーに内在する限界と社会全体への深刻な影響に対する認識を欠いていることに、私たちは失望しているが、驚きはしていない。

「本提案には、国家当局の命令に基づいて、インターネット・サービス・プロバイダーがウェブサイト上の特定のコンテンツへのアクセスをブロックすることを義務付ける内容が含まれている。しかし、このようなブロッキングは、現在ほとんどすべてのウェブサイトで使用されている HTTPS では技術的に不可能でしょう。」- EDRiメンバーであるIT-Polデンマークの会長、Jesper Lund

私たちは、欧州議会が介入し、一般化されたスキャンを明確に拒否し、特に暗号化されたサービスを完全に保護し、独立した司法当局から要求された場合に既知の画像や写真以外のものを検索する義務をすべて排除することを早急に必要としている。EDRiは、私たちの通信を安全に保つための法律を要求しているが、この提案はそのようなものではない。

関連文書

EDRi: Open letter: Protecting digital rights and freedoms in the Legislation to effectively tackle child abuse (2022) EDRi: Internal documents revealed the worst for private communications in the EU; how will the Commissioners respond? (2022) EDRi: Chat control: 10 principles to defend children in the digital age (2022)