欧州委員会は「AIによるプライベート・コミュニケーションの監視」が何を引き起こすかを理解していない、欧州議会議員は提案を否決せよ

Electronic Frontier Foundation

プライベートな会話は基本的人権である。他の権利と同様に、オンラインだからという理由で失われてはならない。だが欧州連合の新たな提案は、私たちのプライバシーの権利を奪い去ろうとしている。

EUの執行機関、欧州委員会は、あらゆるプライベートメッセージ、写真、動画のスキャンを義務化する提案を進めている。欧州委員会は、私たちのデジタル生活のプライベートなデータを、政府が承認したスキャン・ソフトウェアで監視させ、児童虐待画像のデータベースと照合させようとしている。

このテクノロジーはうまく機能しない。「ポケットの中にスパイ」を送り込むシステムは、たとえそれが子どもの保護という大義名分で行われようと間違いなのである。

AIであれ、ボットであれ、生身の警察官であれ、我々はプライベートな会話を政府に監視させるべきではない。大人だけでなく、子どもであっても監視されるべきではないのだ。

EU27加盟国のいずれかの国にお住まいであれば、欧州議会議員に連絡し、この危険な提案に反対していることを伝える良い機会である。本日、我々のパートナーであるEuropean Digital Rights（EDRi）は、この提案の問題点について詳細な情報を列挙したウェブサイト「Stop Scanning Me」を開設した。この規制に関する詳細な法的分析や、EFFをはじめ、この提案に反対する118のNGOが共同署名したオープンレターが掲載されている。ドイツ語話者の方なら、ドイツ市民自由団体が運営する「Chatkontrolle Stoppen!」をご覧になるといいだろう。

EU域外の居住者であっても、この規制は大きな懸念をはらんでいる。大規模なメッセージングプラットフォームは、たとえユーザとのプライバシーとセキュリティの約束を反故にすることになっても、EUという巨大市場から撤退することはないだろう。このことは、EU域内とのやり取りに限定されず、世界中に影響を及ぼすことになる。

私的な会話を盗聴する「検知命令」

EUが提案する児童性的虐待規則（CSAR）は、残念なことに“後退”である。これまでEUは、一般データ保護規則（GDPR）や電子プライバシー指令など、完全ではないものの、プライバシーを拡大するためのプライバシー法制定に尽力してきた。だが、CSA規則はその流れに逆行する。EU基本権憲章を尊重せず、（先日採択されたばかりの）違法コンテンツの削除権限を当局に与えたデジタルサービス法さえ弱体化させる。

この提案は、オンラインプラットフォームやメッセージングサービスに虐待コンテンツの抑制を求め、ユーザコミュニケーション全体の監視を奨励する。だが、抑制策を講じても性的児童虐待の「重大なリスク」（これが何を意味するのかは全く不明）が残されている場合、法執行機関はプラットフォームに「検知命令」を出すことができる。検知命令が出されると、プラットフォーム企業は、当局が承認したソフトウェアを使って、メッセージ、写真、動画、その他のデータをスキャンしなくてはならなくなる。

そうなれば、プラットフォームは本当の意味でプライベートな会話を提供できなくなるだろう。CSA規則の下では、メッセージが中央サーバでスキャンされるにせよ、自分のデバイスでスキャンされるにせよ、エンドツーエンド暗号化の意味は完全に失われてしまう。

推進者たちは、私たちのデータを嗅ぎまわり、政府の既知の児童虐待データベースと照合するだけでは飽き足らず、さらに踏み込んだ提案を進めている。CSARは、どのような画像が虐待であるかをアルゴリズムを使って推測することを提案している。さらに、AIに個人間のテキストメッセージを読み取らせ、どのようなコミュニケーションが将来の児童虐待の前兆なのかを推測することで、「グルーミング」をあぶりだそうとさえしている。

大手ソーシャルメディア企業は、自社のコンテンツモデレーションポリシーの約束事さえ守れていない。EUの政治家たちは、そうした企業の破綻した監視アルゴリズムを使って、自社のユーザの犯罪行為を告発させようというのだから正気の沙汰ではない。

機能しない犯罪検知AIを推進するEU

児童性的虐待資料（CSAM）の検知に頻繁に使用されているソフトウェアの精度監査は難しい。だが、表に出ているデータを見る限り、政治家はゴーサインではなく、レッドフラッグを上げるべきである。

• Facebookの調査によると、児童虐待素材を検知するスキャンシステムでフラグが立てられたメッセージ75％は「悪意のある」ものではなく、どぎついジョークやミームなどだったことが分かった。
• LinkedInは2021年、CSAMが疑われる75件をEU当局に報告。人の目で確認してみたところ、そのうち31件（約41％）のみがCSAMと確認された。
• EDRiのレポート（34ページ参照）に掲載されたアイルランドのデータで、さらなる不正確さが指摘。2020年、アイルランド警察は米国失踪・児童搾取センター（NCMEC）から4192件の報告を受けているが、実際のCSAMと確認されたのはそのうち852件（20.3％）。さらにそのうち「アクション可能」と判断されたのは409件（9.7％）で、アイルランド警察が「完了」したのは265件（6.3％）だった。

推進者や当局者の、スキャンソフトウェアは魔法のように精度が高いという主張とは裏腹に、広範なスキャンが多数の冤罪を生むことは明らかだ。EUが何十億件ものメッセージをスキャンすることになれば、数百万件の冤罪が生み出され、法執行機関に報告される。これがただの骨折り損で済むだけならよいが、現実世界にさまざまな苦しみをもたらすおそれがある。

誤検知は実害をもたらす。先日のニューヨークタイムズ紙の記事ではGoogleのCSAMスキャナーの欠陥が取り上げられ、米国の2人の父親が誤って児童虐待者として扱われたことを紹介されている。いずれも小児科医に頼まれて、子どもの感染症の写真を送っていたのである。2人のデータは地元警察が確認し、2人の容疑は晴れた。だが、Googleは彼らのアカウントを永久に凍結し、間違ったAIを擁護し、不透明な人間の審査プロセスを擁護した。

最近公表されたアイルランドのデータについて、アイルランド警察は、NCMECから転送されたすべての個人データ（ユーザ名、電子メールアドレス、無実が確認されたユーザのその他のデータを含む）を現在も保持していることを認めている。

大きくなる干し草

児童虐待はおぞましい犯罪だ。デジタル技術を使って児童の性的虐待画像を交換するなど、捜査と訴追に値する重大な犯罪である。

だからこそ、効果がなく、有害ですらある手法に無駄な労力を費やすべきではない。インターネット上のやり取りの圧倒的多数は犯罪行為とは無関係だ。警察のネット犯罪捜査は、すでにことわざどおりの「干し草の中から針を探す」ような状況にある。写真やメッセージのスキャン義務化しても、ターゲットを絞り込む助けにはならず、「干し草の山」をさらに巨大な山に変えるだけにしかならない。

またEUの規則案では、CSAMの拡散を抑制するために年齢認証の義務化も提案している。オンライン年齢認証の義務化は、どのような手法をとったとしても、成人の発言者の人権に悪影響を及ぼす。たとえば、年齢認証企業は生体情報を収集（し第三者と共有）する傾向がある。このプロセスは、成人が匿名で発言する権利、とりわけ抑圧され安全でない可能性のある反体制派やマイノリティにとって不可欠な権利すらも奪うことになる。

EU諸国や西側諸国は、すべてのメッセージをスキャンさせるために暗号化を禁止する最初の国になるかもしれない。だが、それで終わりではない。世界中の政府が、暗号化されたメッセージを読みたがっているのだ。彼らは国民をさらに強力に監視するために、喜んでテロ犯罪や子どもに対する犯罪、その他の残虐な犯罪を口実するだろう。この規制が通れば、すでに強力な監視体制を敷く権威主義国家も動き出すだろう。あらゆる口実で反体制派を攻撃し、LGBT+コミュニティを犯罪化するような国が、自国における「犯罪」についても、EUと同じようにメッセージスキャンで検知してくれと要求してくるのである。