(EDRi)公開書簡:暗号化を擁護し、サイバー犯罪関連ポリシーの中核に人権を据える

Categories
< Back
You are here:
Print

(EDRi)公開書簡:暗号化を擁護し、サイバー犯罪関連ポリシーの中核に人権を据える

公開書簡 暗号化を擁護し、サイバー犯罪関連ポリシーの中核に人権を据える: 3月16日および17日に行われたEU・米国司法・内務上級実務者会議のリークされたメモに対する市民社会からの応答
President von der Leyen, Prime Minister Ulf Kristersson,
Executive Vice-President Margrethe Vestager,
cc Commissioner Thierry Breton,
cc Commissioner Didier Reynders,
以下に署名した団体は、デジタル時代の人権擁護のために活動しています。
私たちは、3月16日および17日にストックホルムで開催されたEU・米国司法・内務上級関係者会議のリーク文書に見られる国際人権基準の無視と暗号化に対する計画的な攻撃を深く懸念して、この共同書簡を作成しました。

まず、通信のプライバシーと機密性、特に暗号化の使用に対する明白な攻撃を懸念しています。この文書によれば、EUと米国の代表団は、暗号化された通信を「法執行機関が捜査する正当性」を広く議論することを促進する必要性と、「プライバシー・バイ・デザイン(訳注1)がデザインによる合法的アクセスを正確に反映する必要性」について共同合意したといいます。米国や欧州に住む民衆、企業、政府は、データや資源を保護するために暗号化に依存しています。国連人権高等弁務官が述べているように、暗号化はオンラインにおけるプライバシーとセキュリティを実現する重要な手段であり、意見と表現の自由、結社と平和的集会の自由、安全、健康、非差別などの権利を保護するために不可欠である。この分野における私たちの長年にわたる関与からすれば、「デザインによる合法的なアクセス」が、世界中の暗号化の制度的な弱体化をもたらし、違法なアクセスに対してすべての人を安全でなく脆弱な状況にさらしてしまうだけであることを示しています。この文書が提起したその他の懸念は、米国代表団が「データ保持data retentionとデータ処理(…)を焦点分野として認識している」という点です。EUには、一般的で無差別なデータ保持に対する明確な制限と、公的機関による個人データへのアクセスに対する厳格な要件を示する豊富な判例があります。これらの法的義務を回避しようとする試みは、民衆の基本的権利を侵害するものです。

第二に、私たちは、データ保護が、国境を越えたデータへのアクセスや情報共有に関するEUと米国の協力枠組みにおける重要な考慮事項であることに注目しています。しかし、この約束に反して、この分野の国際協定は、しばしば悪い人権慣行を受け入れ、データ保護要件の点で底辺への競争になってしっていることを私たちは強調します。例えば、米国とEUがブダペスト条約とその第2追加議定書を「ゴールドスタンダード」と称賛する一方で、世界中の市民社会、データ保護当局、弁護士会は、適切な基本的権利保護の欠如を繰り返し批判しています[1]。したがって、国連のサイバー犯罪条約の文脈において、この手段がベンチマークとして用いられる可能性があり、これは、適切な人権実績はもちろんのこと、必ずしも強固なデータ保護の枠組みを持たない諸国によって署名、批准されてしまうことが危惧されます。

第三に、EUと米国の間で、犯罪捜査やビザ・亡命申請などの移民手続きで使用する「戦場」の証拠または軍が作成した証拠の共有に関するいくつかのイニシアチブが実施されていることに懸念を持って注目しています。ユーロポールが、EU法の下では合法的に収集できないような機密性の高い生体情報のデータロンダリングサービス(訳注2)になるリスクがあります。米国による不透明なデータ収集とその後のEUへの移転は、特に亡命希望者や未登録滞在者などの弱者から、重要な基本的権利の保護と効果的な救済へのアクセスを奪う可能性があります。また、私たちは、EUと米国間のデータ交換協定が完成し、欧州議会や各国議会の民主的な精査を受ける前に、強化された国境警備パートナーシップ(EBSP)の下で生体情報が転送されようとしていることを深く懸念しています。これは、EUと米国の法執行協力に関する既存のデータ保護の枠組み(Umbrella Agreement)が、Schrems事件とSchrems II事件で適用された欧州連合司法裁判所の精査を確実に通らないであろうことから、より一層重要です[3]。現在、EBSPについて公開されている情報はほとんどなく、そのほとんどはリークされた文書によるもので、生体情報が大規模に共有される可能性を示唆する極めて憂慮すべきものです。[4]

以下に署名する団体は、米国政府、EU加盟国、欧州委員会に対し、以下を要請します。

– 暗号化、プライバシー、通信の機密性を擁護し、促進し、デジタル時代の民主主義国家の基盤であり、クライアントサイドスキャン、キーエスクロー、その他の違法または大量な個人通信傍受やその他の形態の推進によって暗号化を弱体化させ、基本権憲章に違反する干渉を行ういかなる試みも放棄すること。
– 現在および将来の法律および国際協定において、デザインによるプライバシーおよびデフォルトによるプライバシーが、国際人権法が要求する必要かつ適切な干渉によってのみ制限される法的義務であることを保証し、他方で、現在、個人やサービスプロバイダーに大きな法的不安を与えているEUと米国における国境を越えたデータへのアクセスに関する一方的な措置に起因する法律の矛盾の問題に取り組む。要するに、どの国も、対象国の理解と同意なしに、また対象国の法律(該当する場合、EU法を含む)に違反して、他の国のデータにアクセスすべきではないということ。
– 国連サイバー犯罪条約の犯罪化範囲がサイバーに依存する狭い範囲の犯罪に限定されること、法的支援における強力な手続き上のセーフガードを含むこと、暗号化されたシステムの破壊を義務付けないことを確認すること。

1 Electronic Frontier Foundation, ‘EFF to Council of Europe: Flawed Cross Border Police Surveillance Treaty Needs Fixing—Here Are Our Recommendations to Strengthen Privacy and Data Protections Across the World’ (20 August 2021) https://www.eff.org/deeplinks/2021/08/eff-council-europe-flawed-cross-border-police-surveillance-treaty-needs-fixing
EDRi and al., ‘6th round of consultation on the Cybercrime Protocol and civil society participation’ (2 May 2021)
https://edri.org/wp-content/uploads/2021/05/20210420_LetterCoECyberCrimeProtocol_6thRound.pdf
European Data Protection Board (EDPB), ‘EDPB contribution to the 6th round of consultations on the draft Second Additional Protocol to the Council of Europe Budapest Convention on Cybercrime’ (4 May 2021) https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-contribution-6th-round-consultations-draft-second_en
Council of Bars and Law Societies of Europe (CCBE), ‘CCBE comments on the Draft 2nd Additional Protocol to the Convention on Cybercrime on enhanced cooperation and disclosure of electronic evidence’ (12 April 2021) https://rm.coe.int/0900001680a25786
2 EDRi, ‘Ratification by EU Member States of the Second Additional Protocol of the Council of Europe Cybercrime Convention Why is the opinion of the Court of Justice of the European Union necessary?’ (13 April 2022) https://edri.org/wp-content/uploads/2022/04/EDRi-Position-Ratification-EU-Member-States-Cybercrime-Second-Additional-Protocol.pdf
3 Laura Drechsler, ‘The Achilles Heel of EU Data Protection in a Law Enforcement Context: International Transfers Under Appropriate Safeguards in the Law Enforcement Directive’ (31 January 2020). Huygens Editorial 2020, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3664125
4 Statewatch, ‘USA offers foreign states access to 1.1 billion biometric “encounters” in return for reciprocal database access’ (22 July 2022) https://www.statewatch.org/news/2022/july/usa-offers-foreign-states-access-to-1-1-billion-biometric-encounters-in-return-for-reciprocal-database-access/

Signed by:
European Digital Rights (EDRi)
ApTi (Romania)
Bits of Freedom (Netherlands)
Centre for Democracy and Technology Europe (CDT Europe) (Europe)
Chaos Computer Club (Germany)
Digitalcourage (Germany)
Digitale Gesellschaft (Germany)
Homo Digitalis (Greece)
Statewatch (international)

出典:https://edri.org/wp-content/uploads/2023/04/Civil-society-Open-letter-to-protect-encryption.pdf

訳注1

プライバシーバイザインPrivacy by Design 製品やサービス、情報システムなどで利用者のプライバシーを保護する施策を、その企画・設計の段階から組み入れていく設計原則。(IT用語辞典)他方、「デザインによる合法的アクセスlawful access by design」は暗号の設計段階から捜査機関が合法的にアクセスできる技術仕様を組み込むことを意味する。

訳注2

データロンダリング 違法に入手したデータを合法的な目的で使用するために、その出所を隠蔽、除去、捏造すること(ZDネット)

Table of Contents