Howdy! How can we help you?
(EFF)国連サイバー犯罪条約交渉は最終段階に入るが、問題のある監視権限はまだ残っている
By Katitza Rodriguez
2023年8月2日
この記事は、国連サイバー犯罪条約のゼロドラフトに関するEFFの分析の後編である。前編はこちら(日本語)。
国連サイバー犯罪条約を最終決定するための最後の交渉会議が近づくにつれ、国際的な協議の結果とその影響は、ウィーンとニューヨークの国連会議室をはるかに超えるものであることを忘れないようにすることが重要である。イラン、ロシア、サウジアラビア、中国、ブラジル、チリ、スイス、ニュージーランド、ケニア、ドイツ、カナダ、米国、ペルー、ウルグアイなど、法執行の慣行が大きく異なる世界140カ国以上の代表が昨年1年間にわたり会合を開き、国境を越えた警察権、個人データへのアクセス、検察実務に対する司法の監督など、茨の道である条約草案の内容について、それぞれの立場を主張してきた。
この投稿の前編で、現在審議中の条約草案のゼロドラフトについて述べたように、最終文書は、加盟国が合意された要件、認可、保護を自国の法的枠組みに組み込むことで、世界中の刑事法や監視法を書き換える結果となる。人権を擁護し、表現の自由を主張することで、しばしば政府の槍玉に挙げられる人々を含め、何百万もの人々が影響を受けることになる。だからこそ私たちや国際的な仲間たちは、条約草案にしっかりとした人権保護が盛り込まれるよう、利用者のために闘ってきたのだ。
8月21日からニューヨークで始まる第6回交渉会議に臨むが、協議の結果は依然として不透明だ。さまざまな問題が未解決のままであり、複雑な文章の最終化には期限が迫っている。交渉の基本原則である「すべてが合意されるまでは何も合意されない」は、この協議の複雑さと微妙な性質を物語っている。条約草案のすべての要素は相互に関連しており、ある側面の解決には、条文の他のすべての領域との整合性が不可欠である。
第1部では、私たちがゼロ草案について最初に感じたことを述べた。いくつかの悪い条項は削除されたが、言論に関連する犯罪を含むあらゆる犯罪を捜査するための、あいまいで広すぎるスパイ権限は残っている。第2部では、この条約で最も懸念される条項のひとつである、国内監視権限について掘り下げていく。
これらの条項は、政府に広範な監視権限を与えるが、法執行の行き過ぎを防ぐためのチェック・アンド・バランスは弱い。国家は、保護された言論をサイバー犯罪と誤認したり、当初の目的を超えてこれらの監視権限の広範な範囲を悪用したりすることで、このような権限を悪用する可能性がある。私たちは、条約草案の犯罪化セクションから、最も問題となる非サイバー犯罪の多くを除外するよう提唱し、成功に導いたが、草案では、これらの権限を中核的なサイバー犯罪に限定するのではなく、コンテンツ関連犯罪を含むあらゆる犯罪の捜査のために、法執行機関がデータを収集・共有することを依然として認めている。第5条の人権義務は、前向きに盛り込まれたものではあるが、十分に強固なものではない。草案固有の曖昧さと相まって、これは、これらの国内監視権限の乱用や不釣り合いな誤用につながる可能性がある。
以下、条約草案の国内スパイに関する章について述べる。
刑事手続上の措置(第4章第23条)
この章の第23条は、監視権限の章の範囲を拡大するものである。特定のサイバー犯罪(第6条から第16条までの犯罪)だけでなく、犯罪の重大性やコンピュータ・システムとの関連性の有無にかかわらず、あらゆる種類の犯罪に関連する電子的証拠の収集に対処するための手続きが記述されている。この拡大は、ハッキングのようなサイバー犯罪から、麻薬密売のような伝統的な非サイバー犯罪、さらには君主への侮辱のような言論犯罪まで、あらゆる犯罪の捜査に、デジタル証拠がある限り、国内スパイ権限を使用できることを意味する。
さらに、第23条は、確立された権限が特定の的を絞った犯罪捜査や訴訟手続きにのみ使用されるべきことを明確に規定していない。条約草案の文言は、サービスプロバイダーが大量監視や漁夫の利を得るために無差別にデータを保持することを明確に強制するものではないが、それを明確に防止するものでもない。
新たな国内でのスパイ権限
刑事手続上の措置に関する草案の章では、人権に甚大な影響を及ぼす6つの国内スパイ権限(保存データの迅速保存、トラフィックデータの迅速保存と部分開示、提出命令、保存データの捜索と押収、トラフィックデータのリアルタイム収集、コンテンツデータの傍受)が導入されている。これらの権限が悪用されたり、過度に広範に適用されたりすると、人々の私生活に深刻な侵害を及ぼす可能性がある。個人データは、連絡先、閲覧履歴、位置情報、デバイスの詳細、行動パターンなど、個人の詳細なプライベート情報を明らかにすることができる。例えば、一連のウェブ検索、訪問、電話によって、その人の病状が明らかになる可能性がある。個人データへのアクセスはプライバシーの権利に対する重大な干渉であり、事前の司法承認、透明性、通知、救済措置、期限、監視など、必要な保護措置を講じて対処しなければならない。
だからこそ、国家は条約草案において、強固で詳細なセーフガードを確保する必要があるのだ。EFFと400以上のNGOは、2014年に「必要かつ十分な原則(Necessary and Proportionate Principles)」を発表し、通信監視に人権法を適用する方法の青写真となるガイドラインを提示した。法廷でのブリーフィングやその他の資料で、私たちは通信データの機密性と、メタデータや加入者データを含むこれらの原則の適用について議論してきた。しかし、現在の形では、条約草案の人権保障措置は、個人データの悪用から保護するのに十分強固とは言えない。いくつかの重要な要件が著しく欠落している。
人権保障措置(第5条と第24条)
条約草案には人権に関する2つの条文がある。条約草案全体に適用される第5条の一般規定と、新たな国内監視権限に適用される条件とセーフガードを記述した第24条である。私たちは、現行版の第24条は、人権を保護し、法執行の行き過ぎを抑制するために必要な強固なセーフガードを提供しておらず、改定されるべきであると考える。
例えば、裁判官による事前の承認を必要とし、期限を定め、対象者が不当に監視された場合の救済を与えるべきである。また、特定の人々の通信傍受を正当化する事実とその理由を具体的に説明することを当局に義務づけるべきである。そして、これらの権限がどれくらいの頻度で使用されたかを公衆に報告することを政府に義務づけるべきである。私たちは、このような強制的なセーフガードのために、例えば、ARTICLE19や Privacy Internationalとの共同アミカスブリーフや、「必要かつ十分な原則(Necessary and Proportionate Principles)」などを通じて、世界中で何年も闘ってきた。
第24条はまた、比例性の原則に言及するだけで、合法性や必要性といった他の同様に重要な原則を省いている。どのような監視が「各スパイ権限の性質に照らして適切か」を決定するのは国家に委ねられているため、国家はある権限については著しい制約や 監督を必要としないと主張する可能性がある。データのリアルタイム収集やコンテンツの傍受を認める最も侵入的な監視条項でさえも、監視の対象者に対する具体的な最低限のセーフガードや最低限の権利がない。
一方、第5条では、新条約案の下での義務の「履行」は、「国際人権法の下での(国家の)義務と一致」しなければならないとしている。これは聞こえはいいが、特定の国家がすでに批准している人権条約にのみ適用されるとも受け取れる。中国、ブータン、ブルネイ、ローマ法王庁、サウジアラビア、オマーン、パラオ、ニウエ、ミャンマー、マレーシア、キリバス、シンガポール、南スーダン、トンガ、アラブ首長国連邦、キューバのように、他の国家が批准している市民的及び政治的権利に関する国際規約(ICCPR)などの主要な人権規則に署名・批准していない国家にとっては、大きな抜け穴となる。
第5条と第24条のセーフガードに対する一部の国の反対、さらには第5条を削除する提案に直面する中で、何が本当に問題なのかを考えることは極めて重要である。重要なのは、これらの条文が重複するものでも包括的なものでもなく、これらの権限に重要な範囲を提供しつつ、条約自体の条項に厳密に適用されることである。条約草案への人権の統合は、国家主権の放棄ではなく、共通の人間としての尊厳を守るために国家が共有する責任を認めるものである。これらの権利は普遍的なものであり、すべての人が不正や迫害から解放されて生きるための基本的な基準を定めるものである。意味論や法的な技術的な問題にとどまらず、これらの条文を盛り込むことは、国連サイバー犯罪条約草案が、そのすべての章を通じて、人権を保護し擁護するという国家のコミットメントを具現化するために極めて重要である。
以前の会議では、第5条を削除するか、保護を1つの条文に統合することを主張する国もあったが、私たちは第5条を強化することが最も重要であると強く信じている。最も憂慮すべきは、すべての国の立場を盛り込んだ先行草案である統合交渉文書(CND)とは異なり、ゼロ草案の第24条が国際協力の章に適用されていないことである。この問題は、「管轄権の搾取」への扉を開くものであり、深く懸念される。ある国家が、このような国内のセーフガード基準のばらつきを利用して、セーフガードの緩い管轄権において、自国では違法とみなされる監視活動を行う可能性があるからだ。第5条と第24条で提案されているように、普遍的な保障措置の基準を強化することによって、そのような潜在的な悪用は効果的に緩和される可能性がある。
現行版の条約案は、強固なセーフガードを欠いており、監視権限の裁量的または偏見に満ちた使用を可能にする危険性がある。来たる第6回交渉会合に向けたPrivacy Internationalとの新たな共同提出文書では、法執行機関に新たな権限が付与される場合には、(第24条の更新版において)明確なセーフガードを提案している。私たちはまた、サービスプロバイダーが人権上の懸念に基づいてデータ要求を拒否する必要性についても確信している。私たちが提案する第24条の変更を取り入れ、第5条を強化する必要性は、いくら強調してもしすぎることはない。これらの修正により、曖昧さが解消され、普遍的に認められた人権が条約草案内でも世界的にも行使されることになる。遺憾なことに、ブダペスト条約には、国連条約草案のすべての章に適用されるゼロ草案の第5条のような規定が欠けている。ほとんどの民主主義国家は、ブダペスト条約自体にすでに存在する文言に基づいて文章を提案し、ほとんど修正を加えていないのが通例であることを考えると、これは問題である。
定義の問題(第2条)
さらなる懸念は、ゼロ草案の至るところに繰り返し出てくる「権限のある当局」という未定義の用語によってもたらされる。注目すべきことに、上記の6つの権限には同様の規定があり、「各締約国は、自国の権限ある当局を実効あるものとするために必要な立法措置その他の措置をとるものとする」と記されている。しかし、この用語は、用語の定義を列挙したゼロ草案の第2条にはまだ含まれていない。ブダペスト条約の文脈では、この用語は広義に定義され、検察官や警察自体など、公平性や独立性を欠くさまざまな主体が含まれている。もし「権限のある当局」という概念がブダペスト条約からそのままコピーペーストされたものであれば、その欠点が再現される危険性がある。これは、公平性も独立性もない当局が、行き過ぎた権限を行使し、悪用する可能性が大きいため、深刻な懸念が生じるからである。
コンテンツデータの傍受(第30条)
この権限は、法執行機関に通信が生じたときにそれを監視する能力を与えるもので、コンテンツデータのリアルタイム傍受を可能にする。第30条は、締約国に対し、「国内法によって決定される重大な犯罪の範囲」(サイバー犯罪に限定されない)について、「権限のある当局」がコンテンツデータをリアルタイムで収集または記録する権限を与える立法措置を採択するよう求めている。国家によっては、「重大な犯罪」の概念に、政治や宗教に関する言論、政府や公務員に対する批判が含まれることもある。また、「(その)既存の技術的能力の範囲内で」データ収集や記録を支援するよう、サービス・プロバイダーに協力を義務付けている。さらに、サービス・プロバイダー(ISP、ソーシャル・ネットワーク、クラウド・プロバイダーなど、あらゆる種類の通信仲介業者)は、傍受の秘密を守るよう命じられる可能性がある。
上述したように、この種の侵入的な監視権限には、裁判官による事前の承認が必要であり、傍受の時間制限を設け、不当にスパイされた場合にはターゲットに効果的な救済を与えるべきである。来たる第6回交渉会合に向けたPrivacy Internationalとの新たな共同提出文書は、これらのセーフガードのいくつかを明示し、これらの権限を条約草案が定義する第6条から第16条にある特定のサイバー犯罪に限定することを求めている。
条約草案が “コンテンツ “と表現しているのは、”テキスト、音声メッセージ、録音、録画、その他の種類の情報 “といった、通信の “実質的なもの、または趣旨 “を指している。私たちは、「その他の種類の情報」には、電子メールに添付された画像やファイルなどが含まれると理解する。私たちは、例えば、ウェブ閲覧の扱いについて、ウィキペディアの記事のように、誰かがウェブサイト上で閲覧したページがコンテンツとみなされるかどうか、もっと明確にしてほしいと考えている。このような情報は、その人の興味や信条さえも明らかにする可能性があり、潜在的にセンシティブなものである。私たちは何年も前から、コンテンツと非コンテンツの区別は、監視の侵入性や個人情報の機密性を評価する上で時代遅れだと主張してきた。プライバシーの問題の多くはこの区別に依存しており、この区別はもはやその重みに耐えられないことが多い。(その一例として、「必要かつ適切な原則」の「変化する技術と定義」を参照のこと)。私たちは、多くの法律がブダペスト条約を踏襲してこれらの概念を使ってきたと理解しており、これらの概念を克服することは依然として困難であるが、あらゆる種類の機微情報の保護を強化するために戦い続けている。
条約草案においてこの機微情報を保護する一つの方法は、第24条を強化し、あらゆる種類の監視権力に一律に原則と保護措置を適用することを明示することである。しかし、それが不可能な場合でも、上記のような強力な保護を提供すべきである。
トラフィックデータのリアルタイム収集も非常に侵入的である(第29条)
リアルタイムでのトラフィックデータの収集は、異なる主体間の通信パターンと接続の理解を提供する。これもまた、非常に侵入的な権力である。リアルタイムのトラフィックデータは、個人の位置情報、人間関係、閲覧習慣、通信パターンを含みうるという機微な性質を持つため、このような措置の採用には細心の注意が必要である。
第2条のトラフィックデータの定義に基づけば、位置情報も含まれると言える。トラフィックデータとは、通信の送信元と宛先を追跡・特定するためのデータ、通信に使用されたデバイスの位置に関するデータ、通信の日時、時間、種類を指す。
この権限は、法執行機関がサイバー犯罪者のネットワークをマッピングするのに役立つ。しかし、この権限が厳しく制限され、データが高度に保護されなければ、プライバシーに大きな影響を及ぼす。物理的な位置情報を含め、罪のない個人のオンライン行動を追跡するために使われる可能性があるからだ。このような情報によって、人々が同じ時間に同じ場所にいたかどうか、特定の状況下で誰と連絡を取っているか、あるいは取っていないかなどが明らかになり、個人的な関係や特定の場所を一定期間マッピングすることができる。
この条文に基づき、締約国は、管轄当局がリアルタイムでトラフィックデータを収集または記録することを認める国内法を制定するか、プロバイダーが可能な場合はサービスプロバイダーにこれを強制しなければならない。私たちは、条約草案の第6条から第16条までに規定されているサイバー犯罪、あるいはせいぜい重大犯罪に限って、このような権限を利用できるようにすることを求めている。いずれにせよ、この権限には、事前に司法の許可を得る必要性など、第24条で提案している保護措置が適用されるべきである。
保存データの捜索と押収(第28条)
この規定によって、当局は、個人的なデバイスを含むコンピュータ・システムに保存されたデータを捜索し、押収することができる。この捜査権の下で、当局は誰かのコンピュータやその他のデジタル機器を調べ、必要なデータを見つけ、押収または確保することができる。
第28.4条は、締約国に対し、管轄当局が、特定のコンピュータやデバイスの仕組みに関する知識を持つ者に対し、そのコンピュータやデバイスを捜索するために必要な情報を提供するよう命じることができる法律またはその他の措置を整備することを求めている。これは、デバイス自体、ネットワーク、データを保護するセキュリティ対策、またはその操作のその他の側面を理解することを含む。これは、ブダペスト条約にすでに盛り込まれている文言に類似しており、技術者たちは長年この文言を懸念してきた。最悪の場合、修正されていない脆弱性を政府に開示させるような不釣り合いな命令が含まれると解釈されるかもしれない。また、何らかの監視を「可能にするために必要な情報」であるとして、署名キーなどの暗号キーの開示を強要することを意味する可能性もある。
PIとEFFは、第28.4条を全面的に削除することを強く勧告する。第28.4条を残すのであれば、起草者は条約草案に付随する説明文書に、技術者に秘密情報を開示させたり、法執行機関のために仕事をさせたりすることへの制約を明確にするための資料を含めるべきである。繰り返しになるが、法執行機関がどのように人々の私的デバイスを押収し、覗き見る権限を与えられるかについて、明確な法的基準を設けることも妥当な方策だろう。ブダペスト条約の文言にやや似ているが、第28条3項(d)は、法執行機関がデバイスからデータを削除するための令状を取得することも認めている。
証拠開示命令(第27条)
この権限は2つの部分に分かれている。第27条(a)は、すでに存在する保存データを引き渡すよう誰かに強制するもので、典型的には、ユーザーのメッセージ、電子メール、クラウドデータ、あるいは人々のデバイスのオンラインバックアップなどの保存データである。第27条(b)は、サービス・プロバイダーに対して、特定のユーザーの身元や連絡先などの加入者情報を引き渡すよう強制するものである。
加入者情報は、他の種類のデータよりも機密性が低く、厳重に保護されていないものとして扱われることが多いが、法執行機関が何らかのオンライン活動に関連する人物を特定する最も一般的な手段である。一部の国では、政府はこのデータへの無差別アクセス(ひいては個人を特定する能力へのアクセス)を、個別に容疑をかけることなく求めている。また、法的手続きなしに自発的にデータを提供する場合もある。オンライン情報に名前と住所を付加する能力は、ただちに反対意見を威嚇・抑圧する権限と結びつき、人々は、自分の名前が政府に簡単に引き渡されることなく、オンラインで何かすることができるのだろうかと疑念を抱くようになる。こうしたシナリオは、条約草案が、加入者の身元開示を含むあらゆる種類の監視についての法的基準が必要であることを裏付けている。
各地の裁判所は、オンライン上の匿名性の重要性と、人々の身元があまりにも簡単に暴露されることによって生じるオンライン上の言論への悪影響を認めている。条約草案が、オンライン上の発言者を特定するための低い基準を強制したり、裁判所が将来、より高い基準を採用することを妨げないようにすべきである。
結論
国連サイバー犯罪防止条約の最終交渉会合が近づくにつれ、行き過ぎた行為を十分に抑制できない脆弱なセーフガードを有利に傾けるのではなく、権力が説明責任を果たすよう、第5条と第24条の人権セーフガードを強化する必要性を強調することが重要である。
条約草案交渉は、私たちのデジタル上の権利と自由をめぐる控えめな世界的争いを象徴している。この協議の結論は、世界中の何十億もの人々のデジタルライフに深く影響する。従って、各国は、その結果としての協定が私たちの人権を侵害するものではなく、むしろ人権を強化し、増強するものであることを保証するよう努めなければならない。デジタルの権利は人権であり、私たちのデジタルの未来は交渉担当者の決断と行動にかかっている。