Howdy! How can we help you?
(EFF) DEFCONでコーダーの権利を脅かす国連サイバー犯罪条約を解剖する
カティッツァ・ロドリゲス
2023年8月12日
これは、国連サイバー犯罪条約案に関するEFFの進行中のシリーズのパート4である。パート1ではゼロ・ドラフトの概要について、パート2では国内の監視権限に関する第IV章について、パート3では国際協力に関する第V章(歴史的背景、ゼロ・ドラフトのアプローチ、協力の範囲、あなたの個人データの保護)について詳しく解説している。
提案されている国連サイバー犯罪条約は、セキュリティを破壊し、今後何十年もの間、政治家や社会活動家、ジャーナリスト、セキュリティ研究者、内部告発者、そして世界中の何百万もの人々に危害を加える可能性があると、私たちは木曜日にラスベガスで開催されたDEFCONで満員の聴衆に語った。
加盟国の代表団と市民社会からのオブザーバーが8月21日、ニューヨークの国連本部に集まり、条約の「ゼロ・ドラフト」に関する2週間の交渉セッションに臨む。ゼロドラフトは、2022年2月に開始された国主導の交渉の結果である最初の全文である。EFFは今月も加盟国に働きかけ、専門家の意見を提供し、皆さんの権利の保護を確保する。 加盟国が全文の合意に達しない場合、採択には3分の2以上の賛成が必要となる加盟国政府による投票に持ち込まれる可能性がある。最終会合は来年初めにニューヨークで予定されている。
DEFCONでは、ゼロドラフトがもたらす最大の危険性と、交渉の方向性を強調した。提案されている条約は5つの章から成っている。犯罪化、あるいはこの条約の下で犯罪とみなされる行為の分類、国内および国境を越えたスパイ権限、例えば、国境内および国際的な境界を越えて監視を行う権限と制限、そして技術協力と先を見越した対策proactive measuresに関する2つの追加章である。
私たちのDEFCONでの講演は、セキュリティ研究者–最先端技術の探求に従事するプログラマーや開発者–に影響を及ぼす可能性のあるコンピュータ犯罪に焦点を当てた。セキュリティや暗号の研究者は、デジタル技術を利用する私たち全員にとって、より安全な未来を築く手助けをしているが、非常に多くの合法的な研究者が、彼らの仕事を阻害したり、完全に阻止したりする深刻な法的課題に直面している。EFFは、法廷や議会、世界的な政策の場で、コーダーの権利のために長い間闘ってきた。それは私たちが最も大切にしていることである。
例えば、犯罪化に関するセクションは非常に憂慮すべきものだ。欠陥だらけのブダペスト条約から言葉を拝借して、具体的な犯罪のリストを参照している。最終的な文書がコンセンサスで承認されれば、194の加盟国がこれらの犯罪を国内法に組み込む義務を負うことになる。これにより、各国がこれらの中核的サイバー犯罪を世界中で整合を図り、これらの犯罪に関連する標的の監視において他国を容易に支援できる道が開かれることになる。これらの中核的サイバー犯罪は米国で長年議論され、大きな進展をもたらしたが、これらの進展が自動的に全世界に適用されるわけではない。EFFのような組織は、こうした法改正を何年もかけて提唱してきたが、国の法制度に影響を与える力は、国によって大きく異なる: 不可能な国もあれば、訴訟の方がリスクが高かったり、コストが高かったりする国もある。このため私たちの目的は、これらのセーフガードを条約草案に盛り込み、条約を遵守するすべての国が国内法に盛り込まなければならないようにすることである。
EFFやその他の団体は、この条約の適用範囲を、コンピュータ、デバイス、通信システムに対する特定の技術的攻撃など、「中核的サイバー犯罪」のみに限定するよう加盟国に求めてきた。しかし、ゼロドラフトはまさに抜け穴だらけのスイスチーズのようなもので、テクノロジーを使って行われ、その国がこれまで加盟してきた他の条約(例えば麻薬密売など)の対象となる犯罪はすべてサイバー犯罪とされてしまう。これは、さらに曖昧な条約や将来採択される条約にも適用される可能性がある。基本的に、第17条は国家に対し、従来の犯罪をサイバー犯罪として再構成するよう強制することができる。物理的な世界の法的枠組みをデジタルの行為に適用することは、善よりも害を生み出す可能性のある悪しき立法慣行である。国家は、デジタル犯罪と現実世界の犯罪を区別するために必要なニュアンスを見逃してしまうかもしれない。Article19などとともに、私たちは条約案から第17条を削除するために闘っている。
ゼロ草案の第22条(裁判管轄権)も懸念される。自国の領土内、あるいは自国の船舶や航空機内で発生した場合だけでなく、その犯罪が自国民を加害者あるいは被害者として巻き込んだ場合、あるいは国家そのものに対して行われた場合にも、国家はこれらの中核的サイバー犯罪に対する権限を主張できることになる。ひとたびセキュリティ研究者に対して主張されれば、非民主的な政府による抑圧的な政治的目的のために容易に捻じ曲げられたり、不釣り合いで恣意的な国内法の法人への適用を余儀なくされかねない、管轄権に関する悪夢である。私たちは、提案されている条約は司法権を扱う場ではないと考える。
もうひとつの問題は、第6条である。第6条は、コンピュータシステムまたは情報通信技術のいずれか(どちらの用語が採用されるにせよ)に対する不正アクセス(または権利のないアクセス)が、意図的に行われた場合には犯罪行為となることを確実にする措置を法制化し、実施することを各国に義務づけている。この条文では、セキュリティ対策が破られた場合や不正な意図があった場合など、どのような場合に不正アクセスを犯罪とするかについて、各国に柔軟性を認めているが、こうした特定の条件は、各国の判断や定義に大きく委ねられている。この条文では、第6条および第10条に基づくサイバー犯罪行為が、この条約に基づく措置の対象となるためには、深刻な被害や損害をもたらすものでなければならないとは規定されていない。 また、侵害されたセキュリティ対策が実効的でなければならないという規定もない。私たちは、効果的なセキュリティ手段の侵害のみを犯罪化の必須基準とすべきであると強く主張する。この要請は、コンピュータ不正使用防止法に関するEFFの国内での主張-例えばIPブロックを迂回することが不正アクセスであるという議論を回避すること-や、ウィーンでの交渉中にEFFと私たちの仲間が口頭や書面による介入で行ったいくつかの申し立てと一致している。 この条文には、内部告発者、ジャーナリスト、セキュリティ研究者を保護するための公益例外規定も欠けている。
また、「権利なしに」物事を行うという曖昧な概念は、立法府ではなくプロバイダーによって書かれた規則や条件に基づく私的なビジネス紛争を犯罪行為に昇格させる恐れがある。繰り返しになるが、この懸念はEFFの国内での主張とも一貫している。例えば、最高裁のヴァン・ビューレン事件では、司法省は、法執行機関のデータベースを不正な目的で利用した警察官は、彼の利用が適用される利用ポリシーで許可されていなかったため、許可されたアクセスに関与したと主張した。これは、議論の余地はあるかもしれないが「権利のない」ものであることは間違いない。たとえば、明らかに非公開であるはずのウェブサイトのある領域を保護せず、逆に一般にアクセス可能にしてしまった場合など、コンピュータの所有者がユーザーの利用が無断であることを「知っていたはずである」と主張するようなケースも同様である。私たちの主張と一致するように、裁判所はそのような仮定を否定し、「ゲートアップかダウンか」というアプローチを採用した: 情報にアクセスする権利があるか、ないかのどちらかである、ということだ。この最初の仮定は、曖昧だがオンラインで公に入手可能な情報を利用するジャーナリズムを犯罪化する可能性がある。条約には、このような事態を防ぐセーフガードを盛り込む必要がある。
草案はまた、安全保障上の研究や、その他の非犯罪的で日常的な目的で使用されるツールやデータの扱いについても、混乱を招いている。例えば、ゼロ草案の第10条は「セキュリティツールの悪用」について論じているが、これはあなたの母親がネットフリックスのパスワードをあなたと共有する場合に適用される可能性がある: これは利用規約違反であり、権利のないアクセスである。つまり、この条約は、私的な紛争を刑事責任に転化する可能性があるのだ。
しかし、ゼロ草案のもっと悪い点は、セキュリティに対する脅威だ。
この条約の第28条は曖昧な書き方をしており、ブダペスト条約の強制共助に関する規定を拡大したもので、セキュリティ・システムを破る知識や技術を持つ人々に、法執行機関がそれらのシステムを破るのを支援するよう命じていると解釈されかねない。脆弱性や秘密鍵の開示の強制までこの権限に含まれると解釈されることのないよう、この条項は削除されなければならない。セキュリティーは十分に難しい。セキュリティーを破る手助けをすることを政府が義務づけたところで、事態は好転しないだろう。
正直なところ、世界中の多くの人々は、国連が何をしようとしているのか心配することに多くの時間を費やすことはない。しかし、この場合は間違いなくそうすべきだ: 条約は調印国を拘束し、調印国はそれに従う義務を負う。条約は調印国を拘束し、調印国はそれに従う義務を負う。条約は国際法の一部となり、米国では連邦法と同じ効力を持つ。悪い条約は、思慮深く民主的な国内政治プロセスを回避するものだ。
私たちは、何千人ものDEFCON参加者が、ハッキング、サイバーセキュリティ、そして人権の未来が危機に瀕しているというメッセージを受け取ったことを嬉しく思う。あと数日で交渉が再開される中、この条約案が人権と技術法を数十年後退させることのないよう、皆が声を上げることが極めて重要だ。