以下の文章は、EDRiに掲載されたBits of Freedomの「European Commission wants to eliminate online confidentiality」という記事を翻訳したものである。
大げさに言っているように聞こえるかもしれないが、我々は本気で懸念している。どうも欧州委員会は本気で暗号化を終わらせようとしているようだ。
不可能を可能にせよ
もちろん、その言葉通りのことが法案に書かれているわけではない。この法案は5月11日に公表され、欧州委員会のウェブサイトで閲覧できる。この法案は、市民がWhatsAppなどのチャットアプリや、Instagramなどのプラットフォームを通じて何を共有しているのかを監視するよう企業に義務づけている。必要とあれば、プラットフォームは情報の削除や当局への通報も義務づけられる。インターネットサービスプロバイダも、加入者のインターネット・トラフィックを監視するよう命じられるかもしれない。だが、欧州委員会は狡猾にも、どのように監視すべきかを示してはいない。ようするに、欧州委員会は企業にこう言いたいのだ。「不可能を可能にしろ、その方法はお前が決めろ」と。
欧州委員会が望むような方法で、インターネット接続をフィルタリングすることは技術的には不可能である。
政府によるスパイウェアの強制
たとえばメッセージング・プラットフォームは、この提案に基づいて、児童性虐待資料(CSAM)を検知するよう義務づけられるかもしれない。そのCSAMは既知のものかもしれないし、「未知」のものかもしれないし、グルーミングのような行為であるかもしれない。ここでは仮に、MetaのWhatsAppに命令がくだされたとしよう。ご承知のように、WhatsAppはエンドツーエンド暗号化で保護されたプラットフォームである。この暗号化により、Metaは誰と誰が通信しているかは把握できるが、その通信内容を読み取ることはできない。であれば、Metaはアクセスできないはずの会話の内容から何をどうやって検知できるというのだろうか。便宜上、欧州委員会はその判断(「その実現方法」)をプラットフォームに委ねている。おそらく、あるサービスの利用者のスマートフォンに、ある種の(それも政府が義務づけた)スパイウェアをインストールすることでしか実現はできないだろう。結局、チャットの内容を盗み見られるのはそこだけなのだ。
約束された間違い
そうそう、この提案にはいくつかのセーフガードが盛り込まれている。たとえば、「合理的なリスク軽減策」が不十分であることが証明された場合にのみ、あるいは、命令の理由が「利害関係者の権利と正当な利益に対する悪影響を上回る」場合にのみ限定されてもいる。これを踏まえると、特定のデバイスから特定の情報を検知・除去するためにすべてのスマートフォンにスパイウェアをインストールするなんて、悲観的に考えすぎだと思われるかもしれない。だがこの提案では、「この法律の要件を満たす限り、技術の選択は企業に委ねられる」とも述べられている。残念ながら、我々は長年の経験から、提案された法律は最も悲観的な視点から解釈せざるをえない。間違いかねないことは、遅かれ早かれ間違うのである。
技術的に不可能なこと
どれほど考えても、楽観視すべき理由はない。たとえばこの提案では、当局が特定のURLへのアクセスをブロッキングできるようにしている。「https://www.bitsoffreedom.nl/doneren」のような特定のページ、あるいはそのページ上の特定の画像など、ありとあらゆるものがその対象になる。現在、ほぼすべてのウェブサイトは、セキュアなTLS接続(”https://”の “s”)を通じてのみアクセス可能になっている。我々のサイトも(訳注:この翻訳を掲載しているブログも)そうだ。あなたがこのウェブページにアクセスする際も、あなたのブラウザとウェブサイトを「保存」するサーバとの接続は暗号化されている。この暗号化により、プロバイダにわかることはあなたが我々のページにアクセスしていることだけで、どのページなのか、それがどんな内容なのかまではわからない。プロバイダが完全なURLを把握することはできないのである。つまり、欧州委員会がプロバイダに求めているインターネットのフィルタリングは技術的に不可能なのだ。さもなくば、単純に暗号化を禁止してしまうか、プロバイダがインターネット・トラフィックを操作することを期待するより他ないのである。
激しく感情的な政治的議論
我々は、激しく感情的な政治的議論になることを覚悟しなければならない。提案されている措置は、我々のコミュニケーションの機密性を著しく損なうものでありながら、性的虐待から子どもたちを守るという非常に重要かつセンシティブなテーマに関連して提案されている。普段にも増して、理性的な理屈が通用しない議論になるだろう。
すでにもたらされた被害
未来に何が起こりうるかは別として、この提案はすでに、企業が暗号化を開発・実装し、自社サービスをセキュアにする意欲を失わせるという被害を生み出している。つまりこの提案は、セキュリティを向上させようとすることが、意図的に子どもたちを危険に晒すことに加担したとみなされうる、児童性虐待との戦いを妨害するものだと言外に伝えているのである。もちろん、そのように認識されたい企業など存在しない。企業が既存のサービスにエンドツーエンド暗号化を導入する計画を進めていたとしても、その計画は間違いなく頓挫してしまっただろう。たとえ欧州委員会の提案が最終的に失敗に終わったとしても、すでに大きな被害が生み出されているのである。
誰にとっても不可欠なもの
もちろん、誰もが児童性虐待との戦いを支持していることは言うまでもない。だからこそ、効果的で持続可能な対策でなければならないのだ。だが、今回の提案はその基準を満たしてはいない。誰にとっても、もちろん子どもたちや性的虐待の被害者とっても、コミュニケーションの機密性は不可欠なものだ。他の誰にも知られないことを確信できるからこそ、信頼できる友人、カウンセラー、ソーシャルワーカー、警察に安心して相談できるのである。欧州の立法者は、国境を越えた犯罪捜査の合理化、異なるサービス間の連携の強化、警察・風俗取締班が抱える膨大な未処理事件の解消など、一般監視に頼らない別の対策に焦点を当てるべきだ。
この記事は、最初にこちらで公開された。
(寄稿:レジョ・ゼンガー、EDRiメンバー Bits of Freedomポリシーアドバイザー)
European Commission wants to eliminate online confidentiality – European Digital Rights (EDRi)
Author: Rejo Zenger (Bits of Freedom) / EDRi (CC BY-SA 4.0)
Publication Date: May 25, 2022
Translation: heatwave_p2p
Header Image: Thalia Ruiz