(EFF)国連サイバー犯罪条約草案は、プライバシーやデータ保護に関する強固なセーフガードなしに国家の監視権限を危険なまでに拡大する

Categories
< Back
You are here:
Print

(EFF)国連サイバー犯罪条約草案は、プライバシーやデータ保護に関する強固なセーフガードなしに国家の監視権限を危険なまでに拡大する

BY KATITZA RODRIGUEZ

2024年7月9日

an eye covers a globe in multi-hued background

これは、国連サイバー犯罪条約案の欠陥を強調するシリーズの3番目の投稿です。 第一部のセキュリティ研究活動の犯罪化に関する詳細な分析、第二部の人権保障措置の分析をご覧ください。

国連が提案するサイバー犯罪条約最終交渉セッションが近づくにつれ、各国は条約案の大幅な改善を行うための時間が残り少なくなってきている。7月29日から8月9日まで、ニューヨークの代表団は、グローバルな監視法を劇的に再構築しうる条約の最終案をまとめることを目指している。現行の草案は広範な監視を推奨し、プライバシー保護の安全策は不十分であり、監視に対する保護のほとんどを各国の国内法に委ねている。これは、人権保護のレベルがまちまちな国々によって悪用される可能性のある危険な道筋を作り出すことになる。

リスクは明白である。実際の条約文に強固なプライバシーと人権の保護策が盛り込まれていなければ、政府による行き過ぎた行為、抑制されない監視、機密データへの不正アクセスが増加し、個人は侵害や乱用、国際的な弾圧に対して無防備な状態に置かれることになる。そして、その影響は一国に留まらない。一部の国々における保護策の不備は、広範囲にわたる人権侵害やプライバシーの侵害につながる可能性がある。なぜなら、各国は相互に監視の「成果」を共有する義務を負っているからだ。これは、人権保護における格差を悪化させ、底辺への競争を生み出し、国際協力がそもそも犯罪ですらない犯罪を捜査するための権威主義体制の道具に変貌するだろう。

法の支配を尊重する国々は、立ち上がり、条約を破棄するか、100を超えるNGOが提示した譲歩できない「レッドライン」を遵守して、その適用範囲を大幅に制限しなければならない。異例の連携として、市民社会と産業界は今年初め、共同書簡で政府に条約の重大な欠陥を理由に現行の条約案への支持を差し控えるよう要請した。

国連サイバー犯罪条約交渉の背景と現状

最終文書の草案作成と協議を統括する国連特別委員会は、会期の最初の週に、解釈メモとともに、修正は加えられてはいるものの依然として問題の残るテキスト全体を、まだ合意されていないすべての規定に焦点を当てて検討することが見込まれている。[1] しかし、「すべてが合意されるまでは何も合意されていない」という多国間交渉の原則に従い、すでに合意された草案の規定も今後再検討される可能性がある。

現在の草案では、条約の適用範囲や人権保護といった重要な問題について、各国間で大きな意見の相違があることが明らかになっている。もちろん、草案はさらに改悪される可能性もある。私たちは加盟国が懸念される犯罪の多くを削除するだろうと考えていたが、それらが再び盛り込まれる可能性も残っている。アドホック委員会の議長が国連総会に提出した決議案には、さらなる保護ではなく、より多くの犯罪の追加を交渉するための2回の追加セッションが含まれている。決議では、「条約を補足する議定書草案、特に追加の犯罪行為を扱う」よう求めている。それにもかかわらず、一部の国は最新の草案が採択されることを依然として期待している。

第3回目のこの記事では、現在提案されている国連サイバー犯罪条約の「電子データ」の広範な定義と、不十分なプライバシーおよびデータ保護の安全策の危険性について取り上げる。これらを併せると、深刻な人権侵害、国境を越えた弾圧、そして人権保護における各国間の矛盾を生み出す条件が整うことになる。

電子データの定義を詳しく見る

提案されている国連サイバー犯罪条約は、サイバー犯罪対策という名目で国家による監視権限を大幅に拡大するものである。第4章では、デジタルシステムやデータへの監視やアクセスに関する広範な当局の権限を認め、データを通信データ(加入者データ、トラフィックデータ、コンテンツデータ)に分類している。しかし、この条約では「電子データ」という包括的なカテゴリーも使用している。第2条(b)では、「情報通信テクノロジーシステムで処理するのに適した形式で表現された事実、情報、またはコンセプトの表現」を「電子データ」と定義している。

「電子データ」は、保全命令preservation orders(第25条)、開示命令production orders(第27条)、捜索・押収search and seizure(第28条)という3つの監視権限の対象となる。 他の従来のトラフィックデータ、加入者データ、コンテンツデータのカテゴリーとは異なり、「電子データ」とは、誰かと通信されたかどうかに関わらず、電子的に保存、処理、または送信されたあらゆるデータを指す。これには、パソコンに保存された文書やデジタルデバイスに保存されたメモなども含まれる。つまり、共有されていない個人の考えや情報も安全ではなくなるということだ。当局は、あらゆる電子データの保存、開示、押収を強制することができ、情報が伝達されたかどうかに関わらず、個人のデバイスが監視の対象とされる可能性がある。

これはデリケートな領域であり、慎重に考え、真の保護に値するものであり、私たちの多くは現在、最も親密な考えやアイデアをデバイスに保存しており、また、私たちの多くは、共有目的ではない方法で、保健医療ツールなどのツールを使用している。これには、デバイス内に保存されたデータ、例えば顔スキャンやスマートホームデバイスのデータなどが含まれるが、それらがデバイス内に留まり、送信されていない場合である。別の例としては、誰かがデバイスで撮影したものの、誰とも共有していない写真などが挙げられる。このカテゴリーは、私たちの最もプライベートな思考や行動を、自国および他国の政府によるスパイ行為にさらす危険性がある。

そして、新興テクノロジーを考慮すると、問題はさらに悪化する。スマートデバイス、AI、拡張現実メガネに搭載されたセンサーは、多種多様な極めてセンシティブなデータを収集することができる。これらのセンサーは、刺激に対する不随意の生理的反応、例えば、目の動き、顔の表情、心拍数の変化などを記録することができる。例えば、アイトラッキング技術は、ユーザーの注意が何にどれくらいの時間向けられたかを明らかにすることができ、それによって興味や意図、さらには感情状態を推測することも可能になる。同様に、音声分析では口調や音調に基づいてユーザーの気分に関する洞察が得られる。また、身体装着型センサーは、ユーザー自身が気づいていない微妙な身体反応、例えば心拍数や発汗レベルの変化などを検出できる可能性がある。

この種のデータは通常、電子メールや電話などの従来の通信手段ではやり取りされない(これらはコンテンツデータやトラフィックデータに分類される)。代わりに、これらのデータは、草案で概説されている「電子データ」の幅広い定義に当てはまるように、デバイス上またはシステム内で収集、保存、処理される。

このようなデータは、通信仲介業者やシステムに伝達または保存されていない可能性があるため、入手が困難である可能性が高い。つまり、広義の「電子データ」という用語によって、捜索令状や捜索・押収権限を通じて法執行機関がターゲットとすることができる私たちに関する情報の種類(および機微性)が増えるという例である。こうした新興テクノロジーの使用は独立したカテゴリーであるが、通常は高い保護が与えられる通信監視における「コンテンツ」に類似してはいる。「電子データ」は通信の「コンテンツ」と同等の保護を受けなければならず、また、以下で説明するように、条約案が提供していない鉄壁のデータ保護対策の対象でなければならない。

特定の保護措置の問題

草案の条約における他の権力と同様に、「電子データ」に関する広範な権力には、公正な裁判を受ける権利を保護するための具体的な制限が設けられていない。

欠如している保護策

例えば、多くの国々には、弁護士とクライアント間の守秘特権、配偶者間の守秘特権、司祭と告解者間の守秘特権、医師と患者間の守秘特権、および企業機密や取引上の秘密に関するさまざまな保護など、監視から保護されるべき法律上の「特権」によって保護されるさまざまな種類のデータが存在する。また、多くの国では、ジャーナリストとその情報源にさらなる保護が与えられている。これらのカテゴリー、およびその他のカテゴリーでは、法執行機関が提出命令や捜索・押収権限を使用してアクセスする前に、程度の差こそあれ追加の要件が課せられる。また、訴追や民事訴訟での使用を禁止するなど、事後的なさまざまな保護も設けられている。

同様に、この条約には当局が個人に対して自己に不利な証拠の提出を強制することを防ぐ明確な保護策が欠けている。条約の条文が、人権保護に大きな格差のある多くの国々を巻き込んでいる場合、こうした欠落は、濫用の可能性と基本的人権の侵害について大きな懸念を投げかける。

刑事弁護に対する具体的な保護が欠如していることは特に問題である。多くの法制度では、弁護団には、無罪を証明する証拠へのアクセスや、弁護戦略の監視からの保護など、クライアントを効果的に弁護できることを保証する一定の保護が与えられている。しかし、この草案条約では、これらの権利を明確に保護しておらず、すべての国にこれらの最低限の保護を義務付ける機会を逸しているだけにとどまらず、これらの保護を提供していない国や、保護が確固とした明確なものとなっていない国では、刑事訴訟の公正性と容疑者が有効な弁護を準備する力をさらに損なう可能性がある。

第24条の「保障措置」でさえも著しく不十分である

条約の本文で「保護措置」について言及している場合でも、条約は実際には人々を保護しているわけではない。「保護措置」の条項である第24条には、明白な欠陥がいくつかある。

国内法への依存:第24条(1)は、保護措置を国内法に委ねているが、国内法は国によって大きく異なる可能性がある。そのため、国内法が高水準の人権基準を満たしていない国では、不十分な保護措置しか講じられない可能性がある。第24条は、保障措置を国内法に委ねることによって、国内法が必ずしも必要な保障措置を提供しない可能性があることから、これらの保護を弱体化させてしまう。また、これは条約が侵害的な監視に対する基準を引き上げず、むしろ最も低い保護基準さえも承認してしまっていることを意味する。

任意の保護措置:第24条(2)は「適切である場合」などという曖昧な表現を使用しており、各国が保護措置を恣意的に解釈し適用することを許している。これは、条約における監視権限は各国に義務付けられてはいるものの、保護措置は各国の裁量に委ねられていることを意味する。各国は、それぞれの監視権限に対して「適切である」と判断する内容を決定するわけだが、その結果、保護措置に一貫性がなくなり、全体的な保護措置が弱体化する可能性がある。

必須要件の欠如:事前の司法承認、透明性、ユーザーへの通知、合法性、必要性、非差別性の原則といった重要な保護は、明示的に義務付けられていない。これらの必須要件がなければ、監視権限の悪用や乱用のリスクが高まる。

特定のデータ保護原則の欠如:前述の通り、提案されている条約には、生体情報や機密情報といった極めて機密性の高いデータに対する具体的な保護策が盛り込まれていない。この監督機能の欠如により、こうした情報が悪用されるリスクが高まる。

一貫性のない適用: 保護措置の裁量的な性質は、その適用に一貫性を欠く結果となり、脆弱な人々を潜在的な権利侵害にさらす可能性がある。 各国は、条約が許可する特定の監視方法に対して、特定の保護措置は不要であると決定する可能性があり、その場合、濫用のリスクが高まる。

最後に、第4章の第23条(4)は、国際協力章(第5章)内の特定の権限に第24条の保護措置を適用することを認めている。しかし、第5章の重要な権限、例えば法執行協力(第47条)や24時間365日体制のネットワーク(第41条)に関連する権限は、第4章の対応する権限を特に挙げていないため、第24条の保護措置の対象外となる可能性がある。

保存された電子データの捜索と押収

提案されている国連サイバー犯罪条約は、特に電子データの捜索と押収を扱う第28条を通じて、政府による監視権限を大幅に拡大する。この規定は、明確な義務的なプライバシーおよびデータ保護の安全策を定めることなく、個人データを含むあらゆるコンピューターシステムに保存されたデータの捜索と押収を当局に許可する。これはプライバシーとデータ保護に深刻な脅威をもたらす。

第28条(1)は、当局が情報通信技術(ICT)システムまたはデータ保存媒体内のあらゆる「電子データ」を捜索・押収することを認めている。この条項には具体的な制限がなく、各国の国内法の裁量に委ねられている部分が大きい。このため、当局が容疑者の個人用コンピューター、モバイル機器、またはクラウドストレージアカウント上のすべてのファイルやデータにアクセスする可能性があり、その対象や条件について明確な制限がないため、重大なプライバシー侵害につながる可能性がある。

第28条(2)では、当局は、当初の捜索対象システムから捜索対象データにアクセスできると判断した場合、追加のシステムを捜索できると規定している。このような捜索の必要性と妥当性の評価には司法当局の承認が必要であるべきだが、第24条では、司法当局の承認を明確に規定することなく、「適切な条件と保護措置」のみを義務付けている。これに対し、米国の憲法修正第4条では、捜索令状に捜索対象の場所と押収対象の物品を明記することを義務付け、不当な捜索や押収を防止している。

第28条(3)は、捜査当局に電子データの押収または保全を認めており、これにはコピーの作成と保存、データの完全性の維持、アクセス不能化、システムからの削除などが含まれる。一般にアクセス可能なデータの場合、この削除手続きは表現の自由の権利を侵害する可能性があり、悪用を防ぐために、表現の自由の基準に明確に準拠すべきである。

第28条(4)は、当局が特定のコンピューターやデバイスの仕組みを知る人物に対して、アクセスに必要な情報を提供するよう強制できる法律を各国が整備することを求めている。これには、技術専門家やエンジニアにデバイスのロック解除やセキュリティ機能の情報を提供するよう求めることも含まれる可能性がある。これは、セキュリティを危険にさらしたり、機密情報を開示したりする可能性のある方法で、人々に対して法執行機関への協力を強制する可能性があるため、懸念される。例えば、エンジニアは、修正されていないセキュリティ上の欠陥を開示したり、データを保護する暗号化キーを提供したりすることを要求される可能性がある。この条項の文言は、修正されていない脆弱性を政府に開示するよう人々を強制するような行き過ぎた命令も含まれると解釈する余地がある。また、これは暗号化キー(署名キーなど)の開示を人々に強制することを意味する可能性もある。暗号化キーは、何らかの監視を「可能にするために必要な情報」であるという理由で、開示を強制される可能性がある。

Privacy InternationalとEFFは、第28.4条を完全に削除することを強く提言する。代案として、同条項は審議に付されることで暫定的に合意された。少なくとも、起草者は、技術者に機密情報の開示や、意に反した法執行機関のための作業を強いられることを回避するための制限を明確にするため、条約草案に付属する説明文書にその内容を記載すべきである。繰り返しになるが、法執行機関が人々の私的な機器を押収し、調査することを認める方法についても明確な法的基準を設けることが適切である。

一般的に、テクノロジー企業の機密情報を対象とするために、開示命令や捜索・押収命令が用いられる可能性が考えられる。また、テクノロジー企業や技術者の無償労働を必要とする場合もあるが、それは犯罪の証拠となるからではなく、法執行機関の技術的能力を強化するために使用できるからである。

国内の電子データの迅速な保全命令

すでに合意されている第25条の保全命令は特に問題である。この条項は非常に広範であり、起訴に必要な範囲をはるかに超えて、個人のデータが保全され、起訴に利用されることになる。また、権力の乱用を回避するための必要な保護措置も含まれていない。事実上の根拠なく法執行機関が保全を要求することを認めることで、米国の法律にありがちな欠陥が世界中に広がるリスクがある。

第25条は、当局が特定の電子データを迅速に保全できる法律やその他の措置を各国が制定することを義務づけており、特に、そのようなデータが消失または改ざんされる危険性があると思われる理由がある場合、その義務はより強くなる。

第25条(2)では、保全命令が下された場合、データ保有者は最長90日間そのデータを保持しなければならないと規定しており、当局は合法的な手段でデータを入手するのに十分な時間を確保できる。この期間は更新可能である。命令の更新回数に制限はないため、無期限で再命令される可能性がある。

保全命令は、絶対に必要な場合のみに発令されるべきであるが、第24条には必要性の原則に関する言及がなく、個別の通知や明確な根拠の要件、統計的な透明性の義務も欠けている。

この条項は、無期限のデータ保全要件を防ぐために、保全命令の更新回数を制限しなければならない。保全命令の更新には、継続的な保全の必要性を示す証拠と事実上の根拠の提示が義務付けられなければならない。

第25条(3)は、国家に対して、保全命令に付随する箝口令を可能にする法律を制定することを義務付け、サービスプロバイダーや個人がユーザーに対して、そのデータがそのような命令の対象となったことを通知することを禁止している。このような箝口令の期間は国内法に委ねられている。

他のすべての箝口令と同様に、守秘義務には期限を設け、開示が明らかに捜査やその他の重大な利益を脅かす場合にのみ適用されるべきである。さらに、捜査に支障をきたさない場合に、データの保全対象となった個人に通知を行うべきである。保全申立書の適用は、独立監督機関が監督しなければならない。

実際、著名な法学教授であり、元米国司法省弁護士のオーリン・S・カーなどの学者は、18 U.S.C. § 2703(f)に基づく同様の米国のデータ保全の慣行を批判している。この慣行では、法執行機関が、個人のオンラインアカウントの全内容を、その個人の知るところなく、また事前的な疑いも裁判所の監督なしに保持することをインターネット・サービス・プロバイダーに強制することを認めている。このアプローチは、さらなる法的承認が得られるまでの間、データを確保するための一時的な措置として意図されたものであるが、捜索や押収に通常必要とされる、合衆国憲法修正第4条に基づく法的審査の基礎となるもの、例えば「相当な理由」や「合理的な疑い」が欠けている。

明確な義務的保護措置が欠如していることは、提案されている国連条約の第25条についても同様の懸念を提起する。カーは、米国のこうした慣行は合衆国憲法修正第4条の「押収」に該当すると主張し、こうした行為は「相当の理由」または少なくとも「合理的な疑い」によって正当化されるべきであると指摘している。

カーの分析を踏まえると、明確な警告が見えてくる。すなわち、明確な根拠の提示、事前の司法当局の承認、ユーザーへの明確な通知、透明性など、強固な保護措置がなければ、国連サイバー犯罪条約草案で提案されている電子データの保全命令は、米国の問題のある慣行を世界規模で再現するリスクがある。

電子データの開示命令

第 27 条(a)の開示命令における「電子データ」の扱いは、条約草案の用語の幅広い定義を考慮すると、特に問題がある。

この条項はすでに暫定的に合意されており、電子データの管理者に開示命令を出し、そのデータのコピーを引き渡すよう義務付けることが認められている。企業に顧客記録を要求するのは伝統的な政府権力のありかただが、条約草案ではこの権力が劇的に強化される。

上記で説明したように、電子データの定義が極めて広範であるため、潜在的にセンシティブな情報であっても、当局が即時の監視や事前の司法承認なしにアクセスできるようになり、プライバシーやデータ保護に新たな重大な懸念が生じる。この条約は、そのような情報を保有する企業に情報を要求する前に、事前の司法許可を必要とする。

これは、公平な当局が、実行される前にデータ要求の必要性と比例性を評価することを保証するものである。個人データの処理にデータ保護のセーフガードが義務付けられていなければ、法執行機関が適切な制約なしに個人データを収集・使用する可能性があり、それによって個人情報の暴露や悪用が行われる危険性がある。

条約の条文には、このようなデータ保護に不可欠なセーフガードが盛り込まれていない。人権を保護するために、データはデータ主体との関係において、合法的、公正かつ透明性のある方法で処理されるべきである。データは、特定さ れ、明示され、合法的な目的のために収集されるべきであり、それらの目的と相容れない 方法でさらに取り扱われるべきでない。

収集されたデータは、適切かつ関連性があり、処理目的に必要なものに限定されなけれ ばならない。当局は、捜査に不可欠なデータのみを要求すべきである。提出命令には、データを要求する目的を明記すべきである。データは、データ主体の識別が可能な形式で、データ処理の目的に必要な期間を超えて保存されるべきではない。これらの原則はいずれも第27条(a)には存在しない。

国際協力と電子データ

国連サイバー犯罪条約草案には、国際協力に関する重要な規定が含まれており、ある国家が他の国家のために、国境を越えて国内の監視権限を拡大することが盛り込まれている。このような権限は、適切に保護されなければ、プライバシーとデータ保護に大きなリスクをもたらす。

  • 第42条(1)(「保存された電子データの迅速な保存preservationを目的とする国際協力」)は、ある国が他国に対し、第25条に概説された国内権限に基づく「電子データ」の保存を求めることを認めている。
  • 第44条(1)(「蓄積されたstored電子データへのアクセスにおける相互法的支援」)は、ある国が他国に対し、「電子データの捜索または同様のアクセス、押収または同様の確保、および開示」を求めることを認めるもので、おそらく第28条と同様の権限を使用するものと思われるが、同条は第44条では言及されていない。この具体的な規定はまだ暫定的で合意されていないが、蓄積された電子データにアクセスする際の包括的な国際協力を可能にするものである。例えば、A国が進行中の捜査のためにB国に蓄積された電子メールにアクセスする必要がある場合、B国に必要なデータの捜索と提供を要請することができる。

各国は人権を守るか、条約草案を拒否しなければならない

現行の国連サイバー犯罪条約草案には根本的な欠陥がある。強固なチェック・アンド・バランスなしに監視権限を危険なまでに拡大し、人権を弱体化させ、社会から疎外されたコミュニティに重大なリスクをもたらす。「電子データ」の定義が広範かつ曖昧であり、プライバシーやデータ保護の保護措置が脆弱であることが、これらの懸念を一層深刻にしている。

伝統的な国内監視権限は、国際的な監視協力を支えるものであるため、特に懸念される。これは、ある国が他国の要求に安易に応じることができることを意味し、適切に保護されていなければ、政府の行き過ぎた行為や人権侵害が蔓延しかねない。

厳格なデータ保護原則と強固なプライバシー保護措置がなければ、これらの権限は悪用され、人権擁護者、移民、難民、ジャーナリストを脅かすことになる。私たちは緊急に、法の支配、社会正義、人権にコミットするすべての国々が団結して、この危険な草案に反対するよう呼びかける。大国であろうと小国であろうと、先進国であろうと発展途上国であろうと、すべての国がプライバシーとデータ保護が犠牲にならないようにすることについて利害関係がある。

これらの監視権限が責任を持って行使され、プライバシーとデータ保護の権利が守られるよう、大幅な修正がなされなければならない。もしこのような本質的な変更がなされないのであれば、条約案が人権侵害や国境を越えた抑圧の道具になることを防ぐために、各国は条約案を否決しなければならない。

[1] 条約交渉の文脈において、「暫定的ad referendum」とは、交渉官によって合意に達したが、それぞれの当局または政府による最終的な承認または批准が必要であることを意味する。これは、交渉担当者が文書に合意したことを意味するが、関係者全員が正式に受諾するまで、合意はまだ法的拘束力を持たない。

https://www.eff.org/deeplinks/2024/07/un-cybercrime-draft-convention-dangerously-expands-state-surveillance-powers

Table of Contents