以下の文章は、EDRiの「Paper: Breaking encryption will doom our freedoms and rights」という記事を翻訳したものである。
EDRiの暗号化に関する新たなポリシーペーパーは、暗号化と法執行に関する最近の政策的展開に鑑み、プライバシーとセキュリティが強力に保護されなければならないことを強調する。通信システムへの信頼は、我々の生活や他者とのつながりにとって不可欠なものだ。これによって、我々は安全に働き、社会生活を営み、組織化し、自己表現し、互いに思いやることができるのである。
近年のPegasus、そして#CatalanGateのスキャンダルは、デバイスと通信が正当かつ合法的な理由なく侵害されれば著しいリスクを生じさせることを明らかにした。カタルーニャでは、65人もの直接的な被害者と数千人の付随的な被害者が、過去5年に渡ってイスラエル企業 NSO Groupのスパイウェア「Pegasus」によって監視下に置かれ続けた。このスパイウェアは世界各地で反体制派、表現、組織化、ジャーナリズムを抑圧するために用いられてきたものだ。暗号化に干渉すべきでない事例が数多く存在するにもかかわらず、欧州では近年、暗号化を弱めようとする政治的議論や政策が進展している。そこでEDRiネットワークは、2017年のペーパー「暗号化の回避手法:デジタルライツの観点から(Encryption Workarounds. A digital rights perspective)」の改訂に着手し、現在の政治的文脈を踏まえた最新の解説を加えることにした。
政治的背景
暗号化を弱めようとする議論は、暗号化によって捜査、ひいては法執行が「暗闇の中(Going Dark)」にあるという考え方に突き動かされている。2021年6月、ユーロポールのキャサリン・デ・ボッレ長官とマンハッタン地区のサイラス・R・バンス・ジュニア検事長は「無規制の暗号化」が「あらゆる領域のほぼすべての犯罪捜査の深刻な課題」となっており、「他のプライバシー強化テクノロジーとともに、犯罪捜査をますます妨げる、令状無用(warrant-proof)のテクノロジーを可能にしつつある」と述べている。
だがこの前提は、多くの学者や市民社会団体から繰り返し疑問視されてきた。法執行機関自身も、暗号化が捜査に大きな支障をきたすものではないことを認めている。対人コミュニケーションに限らず、日常生活全般にオンラインサービスが利用されるようになったことで、法執行機関がアクセス可能なデータの量は飛躍的に増加している。つまり実際には監視の黄金時代に突入しているのである。問題は、暗号化によるGoing Dark問題などではなく、捜査当局による個人データへのアクセスが十分に規制されていないこと、EU司法裁判所が定めた高レベルなデータ保護・プライバシー基準の遵守をEU加盟国が未だに拒否していることにこそある。
国家が市民のデータにアクセスし、私生活を詮索することがこれほど容易だった時代はない。過去10年で闇市場が劇的に成長し、政府系アクターに高度に侵入的で権利侵害的な監視を可能にするさまざまなテクノロジーを提供するようになっている。エドワード・スノーデンが「制御不能のインセキュリティ産業」と名付けた多産かつ利益最優先のこの市場は、脆弱性の生産を唯一の目的としている。そして、すでにジャーナリストや人権擁護者らが投獄され、命を落とす結果を引き起こしているのである。
欧州では、スパイウェア・スキャンダルが次々に発覚し、批判が高まっている。欧州データ保護監督機関はPegasusと同等のスパイウェアの禁止を求め、欧州議会は欧州におけるPegasusの使用実態を調査する委員会(PEGA)を発足させている。欧州委員会のマルガリティス・シナス副委員長は、ジャーナリストや市民社会への政治的スパイを目的としたハッキングツールの悪用を防ぐために、EUに対策を呼びかけている。EDRiのペーパーは、将来のEU全域のハッキングに関するルールをめぐる議論に貢献することを目的としている。
つまり、暗号化を破壊しなくても犯罪捜査が可能なのであれば、なぜEUはセキュアでプライベートなコミュニケーションの権利を奪おうとするのか、ということが問われなければならない。
EDRiのポジションペーパー、改訂のポイント
このペーパーでは、各国の暗号化ハッキング手法(我々が以前に「回避手法」と呼んでいたもの)と、それが基本権に及ぼす特異な影響についてレビューしている。たとえば、暗号鍵にアクセスするためのパスフレーズやパスワードの推測を推測することは、一見すると悪くないように聞こえるかもしれないが、そのために用いられるソーシャルエンジニアリングは、手法によっては基本権憲章に抵触する可能性もある。
我々はこのペーパーの中で、人々の基本権への深刻かつ不当な干渉、暗号化システムの完全性およびセキュリティへの広範囲におよぶ影響に鑑み、民主主義社会では受け入れられない暗号化ハッキング手法を特定している。我々は、国家権力が暗号化データにアクセスするために使用しうるハッキング手法を説明し、これらの手法を用いる上での義務や要件を列挙した。
次に、今日の犯罪捜査におけるメタデータの役割、その大規模な収集と保存に対する適切なセーフガードの欠如を指摘し、メタデータが実際の通信内容と同程度にセンシティブであることを強調した。最後に、欧州各国の監視法・政策の早急な改革と、国家による違法なハッキング行為の規制を要請している。
ポリシーペーパーの先に
2022年現在、欧州委員会はネット上の児童性的虐待に関する新規則(CSAR)を提案しているが、この提案は個々人のスマートフォンを盗聴デバイスに変えるおそれがある。これは暗号化への直接的な攻撃にほかならない。暗号化への攻撃やスパイウェアは、悪意あるアクターや権威主義政権に、統制(コントロール)のためのツールを捧げるに等しい。EUにおける暗号化の破壊は、全世界での暗号化を脆弱にする。EUにはもっと適切に対処せねばならない。
このペーパーは、プライベートコミュニケーションを傍受する必要性は皆無であり、傍受した場合の人々の生活への影響は取り返しのつかないものになるという確かな証拠を、意思決定者に提供するものである。この政策分析と提言は、EDRiが主導する欧州全域の運動と行動に反映される。この運動は、EUの共同立法者である欧州議会と理事会に圧力をかけ、CSAR案を拒否し、暗号化を支持させることによって、我々のあらゆる行動をスキャンしようとするEUの試みを阻止するためのものである。
Paper: Breaking encryption will doom our freedoms and rights – European Digital Rights (EDRi)
Author: EDRi (CC BY-SA 4.0)
Publication Date: October 21, 2022
Translation: heatwave_p2p
Material of Header image:
Derek Bruff (CC BY-NC 2.0)