欧州委員会の無責任な「オンライン児童性虐待防止・撲滅規則」案がエンドツーエンド暗号化を破壊する

EDRi

注意：本稿は現時点での分析であり、この規則案への理解が進むにつれ更新される可能性がある。更新があった場合には、その旨明記する。本分析に協力いただいたメンバー団体に感謝する。

5月11日、欧州委員会は「児童性虐待を防止・撲滅するためのルールを定める規則」（2022/0155(COD)）案を公表した。この規則は、EDRiが昨年、反対闘争を展開した現行の暫定規則に代わるものとなる。この新たな規則案は、その本質的な構造とアプローチにおいて、現在のそれとは大きく異なるものとなっている。

EDRiは、この規則案がEUのみならず世界中のプライベート・コミュニケーションのプライバシー、セキュリティ、統合性に深刻なリスクをもたらすことを警告した。ここでは規則案の内容について、そしてなぜ我々がこれほどまでに懸念しているのかについて詳しく説明したい。本稿は、この新たな規則案において基本的人権が尊重されることを保証すべく、我々が公開する最初の分析・勧告である。

規則案の範囲と構造

児童性虐待を防止・撲滅するためのルールを定めた本規則の適用範囲は、とりわけ児童性虐待・搾取資料（CSAM）のオンライン拡散と、オンライン・グルーミング（児童への誘惑）を標的としている。この規則は、EUで運営されるほぼすべてのソーシャルメディア、メッセンジャー、チャットサービス、ウェブベースの電子メール、画像・動画ホスティングサイト、さらにはゲームプラットフォームやデートアプリなどのチャット機能を有するサービスにも適用される。また規則案には、アプリストアやインターネットサービスプロバイダが負う、他のプロバイダとは異なる義務についても定められている。

つまり、本規則案のさまざまな要素は、オンライン・コミュニケーションのパブリックな面とプライベートな面の双方にかかることになる。このため、2002年eプライバシー指令の「derogation」（特定ルールの例外）であると同時に、来るべきデジタルサービス法（DSA）における「lex specialis」（要素を特定するための追加法）でもある。

原則的に、この規則は「関連する情報社会サービス」のプロバイダに、普遍的な（共通する）義務と特定の義務の双方を段階的に課すシステムとして機能する。普遍的な義務では、すべてのプロバイダがリスク評価に基づいて行動することが求められ、特定の義務では、さまざまなタイプのプロバイダが（シナリオやサービス／プラットフォームの種別に応じて）コンテンツの検知・削除・通報・ブロッキングを命じられるようになる。規則案は、CSAM対策としての法執行業務を民営化するのみならず、すべての私人間コミュニケーションのスキャンなど、法執行当局であれば使用が禁止されている大規模監視手段の採用をサービスプロバイダに要求する。

欧州委員会は、潜在的に高リスクな行為（暗号化メッセージのスキャンなど）は、検知命令によってのみ求められるとしているが、この規則案のフレームワーク全体を通じて、可能な限り強力な（したがって最も侵入的な）手段を講じることによって、法的な検知命令を回避する、あるいは法的責任を負うよう設計されている。この規則案の影響評価では、スキャンを行わない暗号化コミュニケーションを本質的に危険なものと評価している。規制者がこのような認識に立っていることを考えれば、監視を助長し、プライベートなコミュニケーションを保護する手段が阻害されることは容易に想像される。

プロバイダは、以下の3種の資料（CSAM）について義務を負う。

(1) 既知のコンテンツ（通常、EU法で違法な児童性虐待の資料であることがすでに確認されている画像や写真。多くの場合、技術的マーカーに基づいてコンテンツを識別する「ハッシュ」ないし「ハッシュデータベース」と呼ばれるものを介して検知される）

(2) 「新しい」コンテンツ（これまでに報告されていない写真やビデオで、参照可能なハッシュデータベースが存在しないため、技術的な解釈が必要になるもの。欧州委員会の影響評価によれば、これは米国のスキャン企業Thornが作成した「インジケータ」に基づいて行われる）

(3) 「グルーミング」／「勧誘」（AIベースのツールによってのみ可能な、性的虐待目的の若者への勧誘を示唆するテキストベースまたはその他のインジケータ）

EUで運営される情報社会サービスの義務

本規則案の第3条では、「関連情報社会サービス」と総称されるデジタルコミュニケーションプラットフォームまたはサービスが、児童性虐待資料（既知・新規・グルーミング）の流布に利用されうるリスクを評価することが求められる（インターネット接続プロバイダは例外とする）。規則案では、この流布を「オンライン児童性虐待（OCSA）」と呼んでいる。

リスクアセスメントの要件は簡潔かつ曖昧であり、欧州委員会が将来的にガイダンスを定めることによってのみ明確化されうる（3条8項）。リスクを高める可能性のある要素としては、「プロバイダのサービス設計／運用方法」（3条2d項）が挙げられる。これは欧州委員会の説明文書でも強調されており、高リスクのプラットフォームとサービスは、「主に技術的特徴や典型的なユーザ層の年齢構成を理由として……悪用に脆弱であることが判明している」ものとされている。

規則案の影響評価や欧州委員会の公式声明（たとえばQ&A）などの文脈を加味すると、エンドツーエンド暗号化の実装が、WhatsAppやSignalなどをより危険なサービスと評価させる一因となりうることは明らかである。したがって、エンドツーエンド暗号化サービスには、ユーザのプライベートメッセージをスキャンすることが推奨され、遵守できない場合には強制されることになる。

規則案の第4条では、プロバイダはそのプラットフォームやサービスにおけるOCSAのリスクを「軽減」するために、リスク評価に基づいて行動しなければならないとされている。この箇所は、本規則案の最悪な要素である。欧州委員会は彼らの規則案について、プロバイダに特定の要件を課さず、むしろ特定の目的の達成を求める「技術的に中立な」提案であると主張する。サービス提供者は、リスク評価・軽減の提案を各国当局に提出しなければならず、提案された対策が不十分だと判断された場合にはさらなる対策が要求されることになる。

しかし、リスク軽減という目的を達成するためにプロバイダが実施しなければならない行動・手段は、基本的人権に深刻な影響を及ぼすおそれがある。たとえば、エンドツーエンド暗号化によって（同規則における）サービスのリスクが高まると評価されるとしたら、プロバイダは同規則に基づく義務を遵守するために暗号化の提供をやめるという「選択」はできる。だがそのユーザは、デジタル通信の秘密が保護される権利（EU、欧州、国際法に基づく私生活の権利の一部）を強力かつ有効に保護する数少ない手段である暗号化の保護を剥奪されることになる。暗号化を事実上禁止した場合の悪影響は、グローバルなサービスでは欧州を越えて世界中に及ぶ。EU域内のユーザだけを対象にした暗号化の削除や緩和は、実際には不可能である。

『年齢認証』も、改善以上に多くのリスクを生み出しかねないソリューションであるが、プラットフォーム上で年齢確認するための特定の技術、たとえば生体認証評価が行われるようになった場合に、若者に生じうる深刻な危険性についてはまったく触れられていない。また、そのような技術がオンライン上の匿名性を破壊する可能性についても触れられていない。備考28では、プロバイダがユーザの年齢を確認する際に「自らの意思」でこの手法を用いることを認めており、基本的人権に及ぼす深刻な影響についての認識が完全に欠如していることがうかがえる。

欧州委員会にとって、この戦略は究極の免罪符と言える。この規則案は、「やり方は問わない、結果だけを重視する」と言って悪用への道を大きく広げる一方で、現実には目をつぶり、この規則案がもたらす巻き添え被害に対する一切の責任を放棄しているのだ。

CSS（クライアントサイド・スキャン）：暗号化に対する重大な脅威

本規則では、高リスクと判断されたサービスはさらに重い義務を課されることになる。当初、プロバイダは上述したリスクを最小化するための措置（第4条）を自らの選択で講じることができるとされていた。だが、メッセンジャーやホスティングサービスについては、最終的に悪用の「残存リスク」が皆無であることを示せない限り（これは実現不可能な要件である）、「国家検知命令」（第7条）の脅威にさらされ、最終的にはその送達の対象となる。

この命令は、プロバイダが登録されたEU加盟国の「独立調整機関」が当該国の司法当局・行政当局に要請するもので、プロバイダに暗号化されたユーザのメッセージも含むスキャンを強制する権限を持つ。第7条から第11条のセーフガードは、保護を強化し、スキャンの濫用を最小限に抑えるために設計されているものの、OCSAの検知を求める法律を執行するための機関が、7条4項に基づくバランス調整において、追加的なスキャンの実施を否定するとは考えにくい。さらに、一般監視インフラ（訳注：全体監視インフラ）が構築された場合には、当初の約束よりもさらに広範囲に使用されるおそれもある。

だが、プロバイダが私的なコミュニケーションをスキャンできるのは、（本規則の発表記者会見でのヨハンソン委員の発言とは異なり）国家検知命令だけに限定されない。実際、暗号化通信にクライアントサイドスキャン（CSS）を埋め込むという危険な手法がとられうるが、欧州委員会は影響評価において、プロバイダがプラットフォームの悪用リスクを低減する望ましい方法としてCSSを真っ先に紹介している。したがって、CSSは第4条のもとで（すなわち、検知命令を回避するために）プロバイダが検討すべき手段となる。

驚くべきことに、世界中のサイバーセキュリティの専門家がエビデンスに基づいてはっきりと反対の声を上げてきたにも関わらず、影響評価では、CSSは基本的人権を完全に尊重し、プライバシーやデータ保護に脅威をもたらすことはないとまで主張されている（p.287）。また、2021年夏にAppleが発表したプログラムを「実行可能で成熟した」ソリューションと称賛しているが、Appleはサイバーセキュリティ／プライバシーの専門家からの厳しい批判を受け、これを凍結している。

明らかに、この規則案によってエンドツーエンド暗号化は阻害される。プロバイダは検知命令を受けなくても、暗号化をやめるか、暗号化の本質的な目的を完全に損なうCSS方式を採用し、ユーザのデバイスをスパイウェア化するよう求める圧力にさらされることになる。

このような問題を抱えていることから、ドイツ児童保護協会（Kinderschutzbund）は欧州委員会の規則案を「不釣り合い」であるとし、「暗号化コミュニケーションが虐待描写の流布に果たす役割はほとんどない。したがって、暗号化通信の無作為なスキャンは著しくバランスを欠き、効果的ではないと考える」と説明している。

EUセンターとユーロポールの役割

この規則は、EUセンターの設立にも重点を置いており、公式ではあるが非中央集権化されたEU機関だと説明されている。このセンターは、とりわけ法執行機関からは完全に独立した機関であるとされる。しかし規則案では、EUセンターがEUの法執行機関であるユーロポールと、所在地、IT部門、人事部門、プロセス、その他運営上の要素を共有することを定めている。

EUセンターの役割には、各国当局とプロバイダとのパイプ役、リスク評価の登録、（時には無償の）助言の提供、各国の検知命令を受けた際にプロバイダがスキャンに使用できる技術のリストの策定などがある。

デジタルライツの専門知識の軽視

我々は、この規則の起草において、担当委員であるヨルヴァ・ヨハンソンがデジタルライツ団体ともっと協働すべきだと繰り返し強調してきた。残念ながら、規則案の覚書では、本規則案が暗号化を損ねるとの懸念を表明するパブリックコメント（consultation ）を提出した多数のドイツ市民が痛烈に批判され、見下すように提案を拒絶している。また同文書では、このプロセスにすべての利害関係者が適切に関与したと主張されているが、裏を返せば、欧州委員会はEDRiおよびその加盟団体を利害関係者とはみなしていないということなのだろう（訳注：EDRiはオンラインの権利と自由を擁護する団体、専門家、学者、支援者からなる欧州最大規模のネットワークである。欧州デジタルライツの擁護者として、本来であれば耳を傾けるべき組織なのだが、ヨハンソン委員は協議の申し入れを拒否し続けている）。

その他の問題

• 多数のプロバイダが登録された加盟国（ええと、アイルランド……とか？）は、莫大な行政業務の負担を負うことになるが、この行政・執行の負担にどう対応するのかは、現時点での規則案からは不明である。
• Facebook、Google、Twitterなどの大規模なサービスプロバイダであれば、リスク評価を実施し、軽減策を検討し、国家当局の承認を求めるためにリソースを有しているだろう。だがこの規則案は、規模に関係なく、あらゆるソーシャルメディアとコミュニケーションサービスに適用される。こうした要件は、欧州の中小企業や、EU域内の小規模なボランティア運営サービスにとって非常に不利に働く。
• 上述したカテゴリに該当するとしてEUセンターに報告されたコンテンツは、「明白に根拠がない」（CSAMでないことが明白である）場合を除き、法執行機関に送られることになる（第48条）。これは非常に高いハードルであり、おそらくはCSAMではないコンテンツであっても、念のため法執行機関に通知されることを意味する。実際には、多数の適法かつ親密な（intimate ：性的な意味を含む）画像が警察と共有されることになる。
• 削除命令により、関連プロバイダは24時間以内にコンテンツを削除しなければならなくなる。 -プレスリリースにあるように、ブロッキング命令（第16条）は、インターネット接続プロバイダに技術的に実現不可能なことを要求している。
• 各種技術の正確性と信頼性に関する統計は、独立した検証が行われたものではなく、企業から提供されたものでしかない。
• パトリック・ブライヤー欧州議会議員が指摘するように、この規則では企業に複雑な義務が課せられる一方で、法執行機関がなすべきコンテンツ削除についてはまったく求められていない。法執行機関が本来なすべきCSAMコンテンツの削除を十分に行えていない証拠が示されているにも関わらず、である。

Private and secure communications attacked by European Commission’s latest proposal – European Digital Rights (EDRi)