2021年7月、欧州議会とEU理事会は、ウェブメールやメッセンジャーサービスがすべての人のオンライン上の私的な通信をスキャンできるようにする暫定的な規則に合意した。2022年には、欧州委員会がこのルールの長期版を提案する予定だ。オンラインでの「CSAM」検知に関するEDRiのブログシリーズの第1回目として、この問題の歴史と、なぜそれがすべての人のデジタルの権利に関係するのかを探る。

by EDRi – 2021年12月15日

内容の警告：児童の性的虐待と搾取についての議論
2021年7月、欧州連合（EU）加盟国の閣僚は、2002年のePrivacy指令の特定の部分に一時的な例外（derogation）を設け、新たな法律を成立させることで欧州議会と合意した。この例外規定により、チャットやウェブメールサービスなどの電子通信サービスは、監視対象を真正な容疑者に限定したり、デュープロセスに沿って監視するのではなく、すべての人の私的な通信を常時、自動スキャンすることが可能になる。このような一般的なスキャン行為は、集団監視の一形態となる可能性がある。これは、私たち一人ひとりを容疑者として扱うため、すべての人の基本的人権に深刻なリスクをもたらす。

この緩和措置は2024年8月に期限切れとなり、欧州委員会は2022年に提出される長期バージョンへの置き換えが意図されている。これらの緩和措置の目的は、企業がオンラインの「CSAM」（児童性的虐待資料）を検知できるようにすることだと言われている。しかし、一時的な適用除外では、企業は、合理的かつ合法的な疑いがある人に監視を限定するのではなく、すべての人のプライベートメッセージやチャットを大量にスキャンすることが可能である。さらに悪いことに、欧州委員会は、長期的な法律によって、すべての人の個人的な通信の一般的なスキャンを義務化する可能性を示唆している。もし可決されれば、このような広範囲で不釣り合いなまでに侵略的な手段は、利益よりもはるかに大きな損害をもたらすだろう。

児童虐待の経験者であり、プライバシー擁護者でもあるアレクサンダー・ハンフが指摘するように、この問題は、企業が儲かる技術を推し進めたり、政治家が「おざなりな反応」をしたりすることに利用されてきた。ハンフは、政治家たちは、保護すべきサバイバーに対する深刻なリスクや、より広い社会への悪影響を考慮することなく、過度に広範な対策を提案していると述ベている。

そこでEDRiは、オンラインCSAMを検知するためのあらゆる提案が、EUの基本的権利の義務に沿ったものであるかどうかを確認することを目的としている。具体的には、措置が合法的であり、対象が絞られており、明確かつ客観的にその目的に比例していることを確認する。今日の状況をよりよく理解するために、関連するEUの法律をいくつか振り返ってよう。

2002年：eプライバシー指令（The ePrivacy Directive)

ePrivacy指令は、EU基本権憲章第7条に規定されている、すべての人の私生活の権利と通信の秘密に対する具体的な保護を含むEUの唯一の法律である。2017年には、一般データ保護規則（GDPR）に対応するものとして、新たなeプライバシー規則に更新されるはずだった。しかし、(皮肉なことに、この例外規定がいかに早かく可決されたかを考えると) ePrivacyは2017年以降、今日のデジタル環境に合わせて規則を更新する最善の方法について、議員たちが合意できないまま、宙に浮いた状態となっている。

2002年にePrivacy指令が採択されたことは、正当で合法的な理由と適切な保護措置なしに、私たちのすべてのプライベートな通信が監視されることを防ぐための重要な節目だった。この指令は、私たちのプライバシーを保護することが極めて重要であるという認識のもと、EUの議員によって可決された。国連人権高等弁務官のミシェル・バチェレは次のように述べている。

「プライバシーの権利は、国家と個人の間のパワーバランスにおいて極めて重要な役割を果たしており、民主主義社会の基盤となる権利である」

ePrivacy指令が非常に重要なのは、プライバシーや通信の機密性が抽象的な価値観ではないことを認識しているからだ。むしろ、プライバシーは、私たち一人ひとりが選挙で自由に投票したり、汚職や権力の濫用を暴露したり、医療を受けたり、友人や家族と自由に話したりすることを支える権利なのだ。また、ジャーナリスト、医師、弁護士、人権擁護者が仕事をする上で必要なのも、機密性の確保があってのことだ。

2011年：CSEA指令

2011年12月、EUの共同立法機関は、別の政策の流れの中で、Child Sexual Exploitation and Abuse (CSEA) Directive（児童の性的搾取と虐待に関する指令）を正式に採択した。CSAMのオンラインでの保存、普及、増幅に対処することは、複雑な社会的・犯罪的問題に裏打ちされた深刻で憂慮すべきテーマである。欧州委員会と欧州評議会は、EUには若者を虐待から守る法的義務があることを強調している。しかし、欧州評議会が委託した最近の独立報告書で指摘されているように、オンラインCSAMに取り組むためのEU初の主要な法的取り組みであるCSEA指令は成功たとはいえない。

EU加盟国のうち、CSAMを含むか、あるいはこれを広めているウェブページが速やかに削除されることを確実にするための重要な措置を採用しているのは、半数に過ぎない（CSEA指令第25条）。さらに、最近ドイツで行われた調査では、当局がCSAMの存在を警告した後でも、CSAMを削除するための措置がとられていないという恐ろしい例が示されている。ジャーナリストが明らかにしたのは、通報されてから何年も経った膨大な数の児童虐待の写真やビデオがネット上に残されていることだった。ドイツの警察には、こうした違法コンテンツを削除する「人的資源」がないからだ。

もしヨーロッパの警察が、すでに出回っているトラウマになるようなCSAMを削除する基本的なリソースを持っていないとしたら、そしてINHOPEのようなホットラインが、サバイバーを再び犠牲にすることを避けるために最優先で迅速に削除しなければならないと訴えているとすると、スキャンを拡大した結果、検出されるオンラインCSAMの量が急激に増加した場合、どうやって対処するつもりなのだろうか。さらに、CSEA指令の問題点を踏まえた上で、欧州委員会が、当局に通知された場合でもCSAMの削除を強制することを優先せず、その代わりに、例外規定を利用して、すべての人の個人的な通信を監視することに重点を置くことにした理由を問わなければならない。

2018年～2020年：欧州電子通信規約の新たな範囲

2018年に入り、別の法律である欧州電子通信コード（EECC）の「再修正」により、「電子通信サービス」の定義が拡大された。この拡大により、2020年12月以降、ePrivacy指令の特定のルールが、FacebookのメッセンジャーやWhatsAppなどのサービス、ウェブベースの電子メールサービス、さらには出会い系アプリのチャットにも適用されるようになった。

EECCの変更により、電子通信サービスを提供する民間企業が、すべての人のプライベートな会話を盗み見ることができなくなったのだからよいことではあるだろう。警察が私たちの携帯電話をすべて盗聴したり、メールを開封したりできないのと同様に、企業もすべての人のメッセージを常時盗聴することは許されない。

2020-21年：eプライバシーに関する一時的な例外規定

しかし、2020年12月のEECCの拡大適用が近づくにつれ、欧州委員会は、自動スキャンツールの販売で利益を得ている企業から、ePrivacy指令の規則に例外を設けるよう大きな圧力を受けることになった。欧州委員会は、企業が2020年末までにすべての人の私的な通信を自主的にスキャンし続けることを認める一時的な例外措置を押し通そうとしていた。大量のスヌーピングに対するePrivacy指令の保護からのより長期的な逸脱が生じることになろう。アシュトン・カッチャーやデミ・ムーアなどの著名人も、欧州委員会に急ぐよう忠告したと報じられています。

しかし、EUの自己データ保護監督官が警告しているように、欧州委員会の提案は、EUの人権制度の基礎となる証拠、比例性、合法性への適切な関与を著しく欠いている。この提案は、欧州評議会、EDRiのようなデジタル権利団体、欧州議会議員からも批判され、欧州委員会の提案に含まれるセーフガードを強化するための時間が必要だとされた。

欧州委員会は、企業が人々のプライベートメッセージをスキャンしてCSAMを探すことができなくなったため、ePrivacyが緊急事態が生み出したと言うことによって、自分たちが急いでいることを正当化した。これは、私たちにとって大きな驚きだった。この時点まで、私たちのすべてのプライベートメッセージ（そう、あなたのメッセージも含めて）のスキャンが行われているという公的な情報はなかった。2021年7月に可決され、同年8月に発効した一時的な例外規定の（多くの）問題点については、EDRiの分析を参照してほしい。欧州議会議員は、このプロセスを「道徳的脅迫」に例え、一時的緩和措置で説明されている慣行はGDPRの下では合法的ではない可能性があり、裁判に持ち込まれると無効になる可能性が高いことを指摘している。

2022年：長期的なePrivacyの適用除外を待つ

以上、EU法におけるオンラインCSAM対策の歴史を見てきたが、次回の連載にご期待ください。次回は、現在2022年3月8日に予定されている長期的なePrivacyの適用除外をめぐる主要な問題と、オンラインCSAMに取り組むためのすべてのEUの措置が基本的人権の規則に準拠していることを保証するあり方について検討する。

用語解説

チャットコントロール： チャットコントロールとは、EUのCSAMとePrivacyの例外規定に対するアプローチを指す言葉。この言葉は、オンラインでのCSAMに取り組むためと称して、EUはすべての人のプライベートと思われるチャットを監視できる法律を採択したことによって用いられている。欧州議会議員のパトリック・ブレイヤー氏による記事はこちら。

CSAM：「CSAM」とは「Child Sexual Abuse Material」の略。18歳未満の子どもに対する性的勧誘、虐待、搾取を描写したビデオ、写真、時には文章や音声のコンテンツを指す言葉。一般的にCSAMは、メッセージやクラウドサーバーにアップロードされた資料など、そのような資料をオンラインで共有することを意味する。そのため、CSAMを扱うEUの法律や政策は、この問題のオンライン上の側面に取り組むことに重点を置いている。

逸脱（Derogation）：立法手続きを経て、他の法律の条項を除外すること。逸脱が適用される特定の状況下では適用されなくなる例外規定。

再修正(Recast)： 欧州委員会によれば、再修正とは「立法行為とそれに加えられたすべての修正を一つの新しい法律にまとめること。新法は完全な立法プロセスを経て、再修正されたすべての法律を廃止する。[中略] 再修正には、再修正法の準備中に元の法律に修正が加えられるため、新たな実質的変更を伴う」。詳しくは、欧州委員会のサイトを参照。

更に読む

• EDRi’s blog in response to the official agreement of the temporary ePrivacy derogation
• MEP Patrick Breyer’s dossier on the file
• The European Parliament’s summary of the legislative progress of the temporary ePrivacy derogation
• The final text of the ePrivacy temporary derogation

(寄稿：)

エラ・ヤクボフスカ
ポリシーアドバイザー
ツイッター @ellajakubowska1

出典： https://edri.org/our-work/a-beginners-guide-to-eu-rules-on-scanning-private-communications-part-1/