以下の文章は、EDRiの「European Commission’s online CSAM proposal fails to find right solutions to tackle child sexual abuse」という記事を翻訳したものである。
EDRi
本日5月11日は、チャットや写真などの個人情報を民間企業や政府の目にさらされることなくプライベート・メッセージを送りたいと考えるEU市民にとって、懸念を掻き立てる1日となった。欧州委員会は、安全なコミュニケーションの完全性を危険に晒す措置を含む、オンライン上の「児童性虐待を防止・撲滅するためのルールを定める規則」を採択した。イルヴァ・ヨハンソン委員が主導したこの規則案は、我々のデジタルデバイスをスパイウェアに変えるよう企業に強制し、権威主義的な監視戦術の扉を大きく開く可能性がある。いくつかのセーフガードが盛り込まれているものの、ジャーナリスト、内部告発者、市民権擁護者、弁護士、医師など通信の秘密が守られなければならない人々が危険にさらされることになるだろう。
強制的なスキャン義務
この規則案は最低でも、市民のプライベート・コミュニケーションを広範囲にスキャンすることを可能にし(EDRiは違法な一般監視に該当すると警告している)、場合によってはスキャンと削除を強制するような手段を含んでいる。
これは既知の違法な児童性虐待資料(CSAM: child sexual abuse material)だけでなく、新規の写真やビデオ、テキストベースの「グルーミング」の証拠を探索するために行われ、いずれも親密で私的な会話に、悪名高いAIベースのスキャンツールを使用することが必然的に求められることになる。
更にこの提案は、エンドツーエンド暗号化の使用を抑制し、法的責任を回避するために、プロバイダが極めて侵入的な監視手段を採用することを強く動機づけるものとなる。
「欧州委員会は企業を法的措置で脅すことで、危険でプライバシー侵害的な措置を事実上推奨しつつ、その責任を回避しようとしている」とEDRiのポリシーアドバイザー、エラ・ヤクボフスカは警告する。
この提案は、一見するとバランスの取れた適切なアプローチに見えるかもしれない。プロバイダは司法当局から要請された場合にのみ、プラットフォームやサービス上でのスキャンを強制され、一連のセーフガードに従うことになる。Contexteによれば、こうしたセーフガードの多くはこの数日中に導入されたもので、EDRiネットワークや支援者からの圧力が功を奏したと言える。
だが、こうしたセーフガードは表面的なものでしかなく、実際には我々のデジタルコミュニケーションを最悪のシナリオに直面させるような条項も複数存在している。たとえば、サービスやプラットフォームのプロバイダは、そのプラットフォームが悪用されうるリスクを軽減する措置を講じなければならない。だがリスク評価で悪用リスクが完全に払拭されたことを証明できない限り、追加対策を強制する検出命令が出される可能性がある。
これは実現不可能なスタンダードである。つまり、この法律はプロバイダに対し、可能な限りたくさんの「改善策」を自主的に導入するよう強制する効果を伴う可能性が高いということである。さらに、プライベートなコミュニケーションのスキャンを余儀なくされるプロバイダに、新たに設置されるEU機関が推奨する技術的手段は、根本的なセキュリティ・リスクをもたらす可能性が高い。
エンドツーエンド暗号化の終焉?
EDRiが繰り返し主張してきたように、このような検出手法は必然的に、危険で信頼性の低いクライアントサイドスキャンの導入に繋がり、エンドツーエンド暗号化の本質を損ねることにもつながる。世界中のサイバーセキュリティの専門家・技術者たちは、このような方法で暗号化のセキュリティを損ねてはならないと警告している。また、このような暗号化プロセスへの介入は、すべてのユーザのスマートフォンを悪意ある攻撃者からの攻撃に脆弱にすることにもなる。あるいは、この提案がそもそもプロバイダが暗号化を完全に放棄するためのインセンティブを与えるためのものなのかもしれない。
「欧州委員会は、大規模な権威主義的監視戦術への扉を開こうとしている。今日、企業は我々のプライベート・メッセージをスキャンし、CSAMコンテンツを探索するようになるだろう。しかし、一度このような方法が広く是認されてしまえば、政府が明日にでも反体制派や政治的抗議の証拠をスキャンするよう企業に強制することを阻止できるだろうか」――エラ・ヤクボフスカ EDRiポリシー・アドバイザー
技術的アプローチの限界
この提案は、デジタル時代における子どもの権利を、限定的かつバランスの取れた手段で守るよう政策立案者に助言したEDRiの10の原則を尊重できていない。この提案の核心は、複雑な制度的・社会的問題に拙速な技術的解決策を見出そうとしているところにある。
欧州議会が報告するように、各国は長年、児童の性虐待や搾取の問題に十分に対処できずにいた。したがって、プライバシーやコミュニケーションのセキュリティという社会の最重要基盤を破壊しかねない手法を採用し、システム的被害への対処に危険なテクノロジーを持ち込みうるという点で、この提案は極めて深刻なリスクをはらんでいる。ヨハンソン議員がデジタルライツ団体との面談を拒否し続けていることを考えれば、この法案が技術に内在する限界と社会全体にもたらす深刻な影響を考慮していないことに、我々は失望しているものの、驚きはない。
「本提案には、国家当局の命令に基づいて、インターネットサービスプロバイダがウェブサイト上の特定コンテンツへのアクセスをブロッキングすることを義務づける内容が含まれている。だが、このようなブロッキングは、現在ほぼすべてのウェブサイトが導入するHTTPSでは技術的に不可能だろう」――EDRiメンバー IT-Polデンマーク代表 ジェスパー・ランド
我々は議会が介入し、スキャンニングの一般化を明確に否定し、とりわけ暗号化サービスを完全に保護し、独立した司法当局から要求された場合に吉の画像や写真以外のものを検索する義務をすべて取り除くことを緊急に必要としている。EDRiは、我々のコミュニケーションをセキュアに保つための法律を要求している。だが、この提案はそうではない。
この規則案に関するEDRiの最初の分析はこちら。
European Commission’s online CSAM proposal fails to find right solutions to tackle child sexual abuse – European Digital Rights (EDRi)
Author: EDRi (CC BY-SA 4.0)
Publication Date: May 11, 2022
Translation: heatwave_p2p
