プライバシーとセキュリティに危機をもたらす米SMART著作権法案

Electronic Frontier Foundation

SMART著作権法（Strengthening Measures to Advance Rights Technologies Copyright Act）案は数多くの問題を抱えているが、とりわけ問題なのはオンラインサービス・プロバイダにフィルタリング技術等への「対応」を義務づけていることである。この義務化は、範囲が広く、まったく煮詰まっておらず、技術的に見当違いなものであるため、必然的にプライバシーとセキュリティのリスクを引き起こすことになる。

1998年に成立したデジタルミレニアム著作権法（DMCA）は、著作権侵害を抑制する「標準的な技術手段」への対応をサービス側に求めている。DMCAの標準的な技術手段（STM）は、オープンかつ公正、産業横断的で、最も重要な点として“自発的なプロセス”にもとづいて、幅広いコンセンサスを得て開発されることが求められている。つまり現行法は、大半の技術は標準として採用されるべきではないという考えに基づいている。標準的な技術的手段の策定にあたっては、幅広い、多種多様な利害関係者の声を反映しなければならないのである。

だが、SMART著作権法案がこうしたDMCAの規定の弱体化を狙っていることは明白だ。標準的な技術手段の定義を変更し、ごく一握りの権利者とテクノロジー企業にのみ支持された技術を標準化できるようにしようとしているのである。

また、「指定技術手段」（DTM）という新たなカテゴリのフィルタを追加し、それへの「対応」もオンラインサービスに義務づけようとしている。「対応」とは、広義には指定技術手段の「採用、実装、統合、調整、適合」を意味する。これを怠れば、DMCAのセーフハーバーを失う。つまり、ユーザの行為に対して責任を負わされ、サービスの存続すら危うくなるのである。

技術手段の指定は、著作権局が担当することになっている。また、この指定は、だれであろうと請願できる。つまり、そのテクノロジーを製造し、その市場を確保したい企業であっても請願できてしまうのだ。

請願件数は多数に上ると思われるが、著作権登録のために存在し、技術的な評価を専門するわけではない著作権局にとって、過大な負担になるのは間違いない。また、独立系クリエイターや技術者、市民社会など、インターネットユーザの権利を第一に考える人々が、こうした請願に反対の声を上げ、その技術によって生み出される危険性の証拠を突きつけることも、著作権局にとっては過大な負担となるだろう。新たな規制がサービスに「対応」を要求する技術の件数を考えれば、それがもたらす危険性は決して仮定の話ではない。

「対応」の義務化はセキュリティを危険に晒す

フィルタリングの義務化によって、著作権局は特定の技術と一般的な技術の両方の「対応」を義務づけることができるようになる。これがセキュリティ上の問題を引き起こすことになる。

標準化が長く困難なプロセスであるのには理由がある。全面的にその標準を要求する前に、潜在的な問題をすべて洗い出さなければならないからだ。証明されていない、監査されていないテクノロジーをユニバーサルに導入するなど、セキュリティにとっては大惨事だ。

アップロードされたコンテンツに著作物がないかをスキャンするために開発されたソフトウェアを例に取ろう。フェアユースの問題は脇に置くとしても、法案は開発者のセキュリティに関する専門性に何ら制限を設けていない。大企業であれば、サードパーティ製のソフトウェアをソフトウェアスタックに追加する前に、社内のセキュリティチームに徹底的に監査されるのが一般的だ。法律、特に著作権局の最小限の承認しか必要としない法律によって、このようなチェックを迂回させてはならない。また、自社でそのようなチェックを行うリソースが十分でない企業に対して、そのテクノロジーの実装を義務づけるべきでないのも言わずもがなである。さらに、ソフトウェアの実装が不適切に行われると、悪意あるハッカーに悪用され、サービス利用者の個人情報を収集されるなど、脆弱性を抱えることにもなる。

セキュリティは、現時点でも無数の問題を抱えている。たとえセキュリティチームが最善を尽くしていても、データベースへの侵入が定期的に発生しているのである。大半のユーザが、あなたの情報が漏れていると通知された経験があるほどには不十分なのだ。この法案は、コンテンツマッチング・テクノロジーを開発する企業にセキュアなソフトウェアを開発させるインセンティブを設けているのか？ 著作権局にバッファオーバーフローのチェックを期待することなどできはしない。また、特定のソフトウェアが承認され、広く実装されたのちに重大な脆弱性が発見された場合はどうなるのだろうか？ 企業がその機能を停止すれば、DMCAの免責を失い、訴訟リスクを抱えることになるし、企業がその機能を停止しなければ、ユーザは脆弱性の餌食になる。企業はいずれかの選択肢を選ばなければならないのだ。このシナリオでは、誰も得をすることはなく、ユーザだけが損をすることになる。

「対応」により侵害されるプライバシー

プライバシーに関しても同様の懸念がある。潜在的なバグが悪用されユーザデータが漏洩するというリスクだけでなく、この法案は、ユーザデータの直接的な収集をも可能にする。DTMには、サービス利用中のユーザの情報を収集し、そのデータを直接外部に送信してチェックして、侵害の可能性を判断するプログラムも含まれる可能性があるためだ。全サービスの全ユーザがその対象となることを考えれば、こうしたデータ収集は、ケンブリッジ・アナリティカのスキャンダルなど霞んでしまうほど規模になりかねない。著作権侵害者を直接追跡して連絡できるのだから、著作権者にとっては夢のようなツールなのだろうが、ユーザのプライバシーにとっては悪夢以外の何物でもない。

サービス上で著作物の使用を検出したときにのみ情報を収集する技術でさえ、プライバシーに破壊的な影響をもたらすだろう。法案は、これらの規定に対象となるコンテンツ共有チャンネルにまったく制限を加えてはいない。一般公開されているコンテンツに限定するならまだしも、プラットフォーム上でやりとりされるすべてのコンテンツをスキャンする技術の実装を強制するかもしれない。さらに悪いことに、この法案は、ユーザ間の暗号化メッセージの内容をプラットフォームにスキャンさせる口実として持ち出される可能性がある。そうなれば、エンドツーエンド暗号化の約束が根底から覆されることになるだろう。誰かが友人に送ったメッセージを、スキャンソフトウェアがサービスやメディア企業に告げ口するようになれば、それはもはやエンドツーエンド暗号化ではない。たとえソフトウェアが意図通りに完全に機能したとしても、ユーザを監視しつつエンドツーエンド暗号化を可能にするなど不可能だ。メッセージの中身に関する情報が漏れる可能性があるのなら、そのメッセージは暗号化されているとはいえないのである。実際には、（訳注：著作権侵害ではない）フェアユースのコンテンツであっても、人間が確認しなければ判断できないことも多々あるため、メッセージ内容の漏洩が頻繁に生じることになるだろう。

著作権局は、指定する技術がプライバシーやデータセキュリティにもたらす影響を「考慮」することになっているが、他に「考慮」しなければならない多数の要素よりも優先する義務を負うわけではない。さらに、プライバシーとセキュリティ上の懸念を評価するには、高レベルの技術的な専門知識が必要となる。だが、著作権局はまったくの門外漢だ。もし、ある企業が自社技術は安全だと主張し、それに反論する中立のテクノロジストが不在であったなら、著作権局はその主張を鵜呑みにしてしまうかもしれない。企業は自社製品に都合がいいように「セキュリティ」や「プライバシー」を定義しがちで、ユーザやセキュリティに専門家の考える「セキュリティ」「プライバシー」の定義とは必ずしも一致しないのである。また、企業は自社技術を売り込むことには熱心だが、その謳い文句が実際どのように実現するのかを正確に語ることに重きをおいてはいない。それがセキュリティやプライバシーの問題の評価をさらに難しくする。ここでも、インターネットを利用する無数のユーザのために、著作権局の手続きを監視し、情報を提供する外部の専門家に頼らざるをえないのである。

この法案が大惨事をもたらすことは疑いない。最終的に、あらゆるオンラインサービスを高額な罰金で脅し、ユーザのプライバシーとセキュリティを危険に晒すよう求めることになるだろう。我々は皆、表現の自由の権利を有している。その権利をオンラインで行使するにあたってプラットフォームを利用したとして、自らのプライバシーとセキュリティを犠牲するようなことがあってはならない。