英国：あなたのポケットにスパイを送る「オンライン安全法案」のCSAM対策

英国政府通信本部（GCHQ）と国家サイバーセキュリティーセンター（NCSC）の技術責任者が先日発表した研究論文に、プライベートメッセージングシステムのクライアントサイドスキャンの導入について記されている。点と点を結ぶと、それはおそらくオンライン安全法案の政治的な動きと繋がり、オンライン監視のパラダイムシフトを予見させるものである。

「コモディティ・プラットフォームにおける子供の安全に関する考察」と題された研究論文では、ソーシャルメディアやメッセージングサービスにおける児童性的虐待資料（CSAM）に対処するための技術について論じられている。この論文では、ユーザのセキュリティやプライバシーにリスクが生じることを認めながらも、クライアントスキャンを支持する結論を出している。

クライアントサイドスキャンは、暗号化メッセージング・サービスでやり取りされるコンテンツを管理する技術である。ユーザのスマートフォンにインストールされたソフトウェアが、アップロードされる画像を禁止コンテンツのデータベースと照合してチェックする。データベースには実際の画像は含まれていないが、その代わりに「ニューラルハッシュ」と呼ばれるデジタル指紋のようなものを保存しており、それを使って2つの画像の比較が可能になる。一致した場合、システムは予めプログラムされた措置――たとえば削除や当局への通報――をとる。

オンライン安全法案にクライアントスキャンの義務化が明示的に含まれていると誤解されているふしもあるが、具体的にそう書かれているわけではない。3つの条項（192条、188条、104条）の「公的または私的に」というフレーズによって密かに内包されているのである。192条では「公的または私的に伝達されるコンテンツ」という文言を用いてることで、幅広い解釈を可能にしている。188条では、コンテンツが「私的」に伝達されているかを判断する際に規制当局のOfcomが考慮すべきことを定義し、104条は民間サービスに監視技術の導入を義務づける権限をOfcomに与えている。規制当局はプロバイダに対し、独自のシステムを開発するか、Ofcomが認定したシステムを導入するよう要請することができる。いずれの場合も、内務省が定めた基準を満たさなければならない。

だが230ページに及ぶ法案の中で、「私的に」が何を意味するのか、直接的に示されることはない。唯一の公式な回答は、暗号化されたメッセージングサービスについて「責任は公開のソーシャルメディアプラットフォームと同じである」という議会での大臣の発言だけである（Damian Hinds 4 November 2021 Q287 を参照）。

論文の著者である国家サイバーセキュリティーセンターのイアン・レヴィーとクリスピン・ロビンソンの両名を引用したガーディアン紙の記事は、この未定義の法律用語の背後にあるであろう考え方について、いくつかの示唆を与えている。記事では、このサイバーセキュリティの責任者たちは、この技術が「子どもとプライバシーを同時に保護する」ことができるとの発言を引用している。彼らはあくまでも個人的な意見だとしているが、彼らの本職を考えれば、その言葉は政府が望むアプローチと一致していると考えるのが妥当であろう。

論文では、児童性的虐待対策としてメリットはリスクを上回るが、そのリスクも克服できると結論している。この結論には、複数の専門家から疑問が呈されている。サービスプロバイダに技術的実装を強制するオンライン安全法案のような立法を正当化できるほど、強度がある主張なのだろうか？

クライアントサイドスキャンは、児童性的虐待資料への対策として、暗号化メッセージングシステムからCSAMを排除するために開発されている。暗号化を解除することなく画像をチェックする方法だと謳われている。画像の照合は、ユーザが画像をアップロードする際、すなわち暗号化の前に行われるから、技術的には問題がないと主張されている。だが、通信に干渉されないという暗号化の前提が崩れることにはなる。

この技術には疑問符が付き、さらに誤検出の可能性もある。論文では「自動検出は誤検出率がゼロではないことを前提としている」こと、「誤検出を生じさせる良性画像の作成は比較的容易である」ことを認めている。たとえばこの記事では、どうすればそれが可能になるのかを示している。Appleは2021年8月にクライアントスキャンを実装したiOSをリリースしたが、その「ニューラルハッシュ」アルゴリズムが誤検出を生じさせているという研究者からの批判を受け、1ヶ月後にシステムの撤回を余儀なくされた。

レヴィー・ロビンソン論文で強調されたリスクの1つは、バッドアクターがシステムを破壊する可能性である。論文では、不正な監視や追跡のために、検出システムが操作される可能性があることが強調されている。また、データベース管理者の重要な役割と、第三者による強制的な禁止コンテンツの追加の可能性についても言及している。この技術は、児童性的虐待資料のスキャンに限定される技術ではなく、あらゆる画像のハッシュがデータベースに追加される可能性があるのだ。

データベースへの介入は、政治的動機にもとづいて行われるおそれがある。オンライン安全法案の議論でもそうだったが、政府は法律を通じて政治的に圧力をかけることができる。この法案は政府に幅広い行政権限を与える。その結果として、未来の政権が議会の監視を受けることなくスキャン要件を追加することも可能になってしまう。

オンライン安全法案は、プロバイダに対し、児童性的虐待資料とマッチした場合に国家犯罪対策庁への通報を義務づける規定を盛り込んでいる。これは技術固有の機能などではなく、英国政府による明示的な命令である。つまり、誤検出であっても通報されることになるのだ。プライバシーの権利について疑問を抱かざるをえない。無辜のユーザが疑惑から自身を守るための手続きも存在せず、法学者からも公正な裁判を受ける権利が侵害されるおそれがあると指摘されている（Ludvigsen、Nagaraja、Daly参照）。

プライバシーの懸念は極めて重要な問題である。レヴィーとロビンソンでさえそのことを認めているが、彼らは「ほとんどの場合には」管理可能なリスクであると控えめに言及している。その規模を考えれば、これは大規模監視ツールである。この国のすべてのスマートフォンに配備され、24時間365日にわたって稼働し、ありとあらゆるコンテンツがデータベースに照合されることになる。これは極めて過剰な措置であり、この技術がはらむ不確実性を考慮すると、政治家は慎重に対処すべきである。

人々と携帯電話の関係は、当然ながらパーソナルなものである。自身のプライベートな、そしておそらく最も親密なコミュニケーションが、政府の目的のために監視されるのは、多くの人にとって忌まわしいことだ。スパイと言えばシャープなスーツを着たジェームズ・ボンドであって、わたしたちのポケットの中のアルゴリズムではない。