以下、前書きの後ろにある記事は、2021年1月27日のhttps://techcrunch.com/の記事の飜訳です。日本語版のTechcrunchには掲載されていなようです。

(訳者前書き)

ネットのプライバシーに関してはGDPRに象徴されるようにEUは世界のリーダー的存在でしたが、もしかすると日本並になる？とすれば、日本は更に後退してしまうでしょう。今EUで起きている中心の争点は私たちのネットのプライバシーの最後の砦、エンドツーエンドの暗号化そのものを骨抜きにしようとする捜査機関などの動きに議会が同調しかねないところにきているという問題です。エンドツーエンド暗号化のメリットはメッセージサービスなどの業者もまた利用者の投稿内容を読むことができない仕組みになる。現在、有力なメッセージアプリやメールサービスなど、あるいは通常のプロバイダーのサービスでは事業者のサーバーでユーザーのデータを読むことが可能で、これを捜査機関が利用して監視したりデータを押収することになるが、エンドツーエンドでは、業者の手元には暗号データしか存在しない。これがプライバシー防衛で非常に有効なために、利用者が急増している。たとえば日本の場合、Lineはエンドツーエンド暗号化ではなく、その利用規約では裁判所の令状すらなくても「当社は、法令または本規約の遵守状況等を確認する必要がある場合、法令に反しない限り、お客様の投稿コンテンツの内容を確認することができます」としている。

下記は、この事態に、エンドツーエンド暗号化の技術的な開発をすすめ、またそのアプリの利用で多くのユーザーを集めてきた主要企業が共同でエンドツーエンド暗号化への規制に厳しい異議を唱える共同声明を出したという記事です。ProtonMail、Threema、Tresorit、Tutanota (lProtonmailとTutanotaは日本語のページあり)は、いずれも日本でもよく知られており、「反監視情報」でもProtonmailやTutanotaについてはすでに紹介してきています。(サイトのトップで、それぞれのアプリの名前で検索してみてください)エンドツーエンド暗号化規制とは、具体的には、ユーザーに知られないように、裏口をつくって、暗号解読できる仕組みを組み込むということをサービス事業者に強制しようというものになると思われます。これが法的拘束力をもつようなことになるとEUのプライバシー技術を開発してきた企業や団体は、もはや意味のある開発を行うことができなくなるかもしれません。

この問題が日本とどのように関係するのかというと、言うまでもなく、上記四つのサービスを利用している多くの日本のユーザーのプライバシーにかかわる。もしバックドアが義務化されれば、日本の捜査機関もまたこのバックドアを利用することは間違いない。こうなったときに、エンドツーエンドのサービスを提供しているEU域外にあって信頼できるサービスを探さなければならない。ますます選択肢は狭められることになる。

そしてまたもうひとつ日本との関わりで深刻な問題がある。日本もまた昨年10月に米国をはじめとする英語圏5ヶ国とインドとともに「エンド・ツー・エンドの暗号化と公共の安全」の声明に署名したことと深く関わります。この声明でも「法執行機関が、合法的に発付され、必要かつ適切であり、強力な保護措置と監視の下にある場合に、解読可能で、利用可能な形式でコンテンツにアクセスできるよう」にすることを求めておりEUの動きとあきらかに連動しているのです。従って、EUの動向は対岸の火事ではなく、世界中至る所でバックラッシュの嵐になっているともいえます。EUの反暗号化が実際に法制度として成立するかどうかは、ひとえに反対運動の力にかかっていますが、極右勢力の台頭の勢いが収まらない欧州でのプライバシーや監視に反対する運動は以前のよりを厳しさを増しているのではと思います。日本国内での日本が署名した国際声明への反対の声はこれから早急にでも作らなければならない課題になっていると思います。(小倉利丸)

 

---

エンドツーエンド暗号化でユーザーデータを保護する欧州の4つのアプリ、ProtonMail、Threema、Tresorit、Tutanotaは、最近のEU機関の動きを受けて共同声明を発表し、立法担当者たちを暗号化のバックドア化への危険な道に引きずり込もうとしているとしていると述べている。

エンドツーエンド暗号化(e2e暗号化)とは、サービスプロバイダがデータを復号化するための鍵を持たない暗号化方式のことで、復号化された形でデータにアクセスする技術力を持つ第三者がループ内にいないため、ユーザーのプライバシーが向上する。

また、e2e暗号化は、人々のデータを取り巻く攻撃領域を減らすことでセキュリティを強化する。

しかし、e2e暗号化サービスへのアクセスが増加していることは、過去10年以上にわたって法執行機関の懸念事項として指摘されてきた。その理由は、復号化されたデータへのアクセスが困難になるからである。e2e暗号化ユーザーデータに対して令状を発行されたサービスプロバイダは、読めない形でしかデータを提供できない。

先月、EU理事会は、「暗号化によるセキュリティと暗号化にもかかわらずセキュリティ」を求めるという矛盾に満ちた暗号化に関する決議を可決したが、これはe2eアプリメーカー4社に対してバックドア暗号化をオブラートに包んだ形で呼びかけていると考えている。

欧州委員会はまた、暗号化された情報への「改善されたアクセス」を求めることについても議論しており、12月に発表された広範なテロ対策議題の中で、「合法的なアクセスのための法的、運用的、技術的な解決策の可能性を特定するために加盟国と協力する」[原文強調]と書いている。

同時に、欧州委員会は、「暗号化の有効性を維持しながら、通信のプライバシーと安全性を保護し、犯罪とテロリズムへの効果的な対応を提供するアプローチを推進する」と述べている。また、e2e暗号化セキュリティの「課題」に関しては、「絶対に確実な方法」は存在しないことを明らかにしている。しかし、このような注意事項は、EU理事会からの提案を確信しているe2e暗号化アプリメーカーの懸念を軽減することにはならない。 (委員会は通常、立法案を作成するが）ブロックの法律の採択に関与し、バックドアに向けたとりまとめに向っていると4 つのアプリメーカーは確信している。

「決議には明記されていないが、この提案はバックドアを介して暗号化されたプラットフォームへの法執行機関のアクセスを認めようとしていると広く理解されている」と4つのアプリメーカーは書いており、このような動きはEUの機関が維持したいと主張するセキュリティを致命的に弱体化させるだろうと警告している。

「この決議は、根本的な誤解を招く。暗号化は絶対的なものであり、データは暗号化されているか、されていないか、ユーザーはプライバシーを持っているか、持っていないかのどちらかである」と彼らは続けて述べている。「法執行機関が犯罪と戦うためのツールを増やしたいという願望は明らかに理解できる。しかし、この提案は、法執行機関にすべての市民の家の鍵を与えることと同等のことのデジタル版であり、個人のプライバシーのより大きな侵害に向かって滑りやすい坂道をころがり始める可能性がある」と彼らは指摘している。

彼らは、ヨーロッパでのe2e暗号化を破る動きは、強固に暗号化されたサービスへの関心が世界的に高まっていることに逆行することになると指摘している。Facebookが所有するWhatsAppにまつわる主流のプライバシーへの懸念の結果として、最近Signalのようなアプリへの登録が急増していることを指摘している。

ヨーロッパはまた、プライバシーとセキュリティを保護するための法制化においても世界的に、その先陣を切ってきた。そのため、EUの議員がe2e暗号化のあら探しをすることは、大きな後退になる。(例えば、EUのデータ保護規制当局は同時に、個人データが危険にさらされている可能性のある第三国への個人データの転送を合法的に安全にするためにe2eを使用することを推奨している）。

反暗号化を推進するEUにはイデオロギー的な矛盾がある、と言うのはきわめて控え目な表現である。このトピックに関するブリュッセルの現在のコミュニケの内容を見ても、まるで本質的に矛盾しているかのように読めるが、実際には、これは円積問題のように解決不可能な問題であって単純な政策提案ではないという認識なのかもしれない。

アプリメーカーもこの点に注目している。「世界中の人々が自分たちのプライバシーを取り戻しつつあり、その手助けをしているのがヨーロッパの企業であることが多い。EUの政策立案者が今、世論を無視して、成長する欧州のテクノロジー部門を弱体化させるような法律を推し進めるのは非論理的だ」と彼らは書いている。

共同声明からの個々の人々の発言を引用すると、スイスのエンドツーエンド暗号化電子メールサービス「ProtonMail」の創設者でCEOのアンディ・イェンは、暗号化に穴を開けるような最近の法的枠組みの推進に直面して、更なる改善を怠らないように警告している。

「ヨーロッパのいくつかの地域から反暗号化のレトリックが発っせられたのは初めてではありませんし、これが最後になるとも思えません。しかし、だからといって、私たちが現状に満足すべきだということではありません。簡単に言えば、今回の決議は、プライバシーを意識した企業、市民社会のメンバー、専門家、欧州議会議員から大きな反発を巻き起こした前回の提案と何ら変わるところはありません。」と彼は言う。

「今回の違いは、理事会がより微妙なアプローチを取り、『禁止』や『バックドア』といった言葉を明示的に使わないようにしたことです。しかし、これが意図していることを誤解してはならない。これらの提案が行き過ぎないように、そして欧州のプライバシーに対する権利をそのまま維持するために、今すぐに対策を講じることが重要です」

また、エンドツーエンドの暗号化インスタントメッセージングアプリThreemaのCEOであるマーティン・ブラッターは、欧州のベンダーにe2e暗号化を迂回させたり、意図的に弱体化させたりすることを強制する法案を推進しようとした場合、EUの議員は国産の新興企業を狙い撃ちにする危険性があると主張している。

「この法案は欧州のIT新興企業の経済を破壊するだけでなく、ほんのわずかな追加のセキュリティも提供できなくなるだろう」「世界で最も悪名高い監視国家の仲間入りをすることになり、ヨーロッパは無謀にも独自の競争優位性を放棄し、プライバシーの荒れ地と化すことになるだろう。」と警告している。

また、e2e暗号化ファイルの同期・共有サービス「Tresorit」の共同設立者でCEOのIstvan Lamは、暗号化を弱めるような動きがあれば、サービスへの信頼を著しく損なうことになると主張し、「データプライバシーに関するEUの現在のスタンスとは矛盾している」と述べている。

「データ保護に関するEUのこれまでの進歩的な見解を考えると、今回の決議は特に憂慮すべきものです。EUが世界的に認めているデータ保護法制のモデルである一般データ保護規則（GDPR）は、市民のプライバシーを確保するための基本的な技術として強力な暗号化を明示的に提唱しています。暗号化されたデータへのあらゆる種類の標的型アクセスを提供しながら、暗号化の完全性を保証することは不可能であるため、現在のアプローチと提案されているアプローチは完全に対立しています。」と述べている。

ドイツのe2e暗号化電子メールプロバイダTutanotaの共同設立者であるArne Möhleは、バックドア暗号化を推進することはセキュリティにとって大惨事になるだろうと述べている。

「EUのすべての市民は、ウェブ上のデータを安全に保ち、悪意ある攻撃者から身を守るために暗号化を必要としています。暗号化をバックドア化しようとする最近の試みでは、政治家たちがテロ攻撃などの犯罪を防ぐための安易な方法を求めているが、暗号化が私たちを他のさまざまな犯罪から守ってくれていることを無視しています。エンドツーエンドの暗号化は、ハッカーや（外国の）政府、テロリストなどの盗聴者から私たちのデータや通信を守ってくれているのです。」

「暗号化のバックドアを要求することで、政治家はセキュリティとプライバシーの選択を求めているのではありません。彼らは私たちにセキュリティを選択しないように求めているのです」と彼は付け加えた。

欧州では、「暗号化によるセキュリティと暗号化にもかかわらずセキュリティ」の確保に関する理事会の矛盾した布告がどのようなものになるのかを巡って争いが起きている。しかし、バックドアを推し進めようとすれば、地域の大きな反対を集めることになるのは明らかである。

欧州委員会は、この複雑さを認識している。欧州委員会のテロ対策アジェンダもまた、非常に広範囲にわたる。欧州委員会が、e2eの暗号化だけが解読されなければならない唯一の難問であると考えているわけではない。EUの機関が多くの分野を横断して活動しているが、特に、基本的な越えてはならない様々な一線が、ターゲットを絞ることのない捜査の余地を制限しているからである。

そのため、理事会の決議では、捜査に関連する分野（デジタル・フォレンジックやメタデータ分析など）での警察のスキルアップに向けた協調的な取り組みが行われる可能性がある。また、恐らくは、地域や州レベルの警察が、より強力なセキュリティサービスの技術的能力を利用して、標的を絞った捜査（例：デバイスハッキング）をさらに進めるための仕組みを作ることだろう。e2e暗号化ベンダーに普遍的なキーエスクロー「ソリューション」（またはそれに類するもの）を義務付けるようなEUレベルの命令を出すことは、むしろすべての人のセキュリティとプライバシーを無差別に危険にさらすことになるだろう。

しっかりと注目しておかなければならないことである。

ProtonMail, Threema, Tresorit and Tutanota warn EU lawmakers over ‘anti-encryption’ push