EUによる「プライベートな会話の大規模な盗聴」を許してはならない

Electronic Frontier Foundation

プライベートな会話の保障は基本的人権である。他の権利と同じように、オンラインだからといって損なわれて良いはずはない。だが欧州連合の新たな提案は、我々のプライバシーの権利を窓から投げ捨てるものとなる。

欧州連合の執行機関（訳注：欧州委員会）は、すべてのプライベートメッセージ、写真、ビデオのスキャンを義務づける提案を進めている。欧州委員会は、我々のデジタルライフのプライベートなデータを政府公認のスキャンソフトウェアに審査させ、児童虐待画像データベースと照合させようとしている。

この技術はうまく機能しない。そして、「ポケットの中のスパイ」システムの構築は、たとえ子どもたちを守るという名のもとに行われようと許されるものではない。

AI、ボットであろうと、生きている警官であろうと、プライベートな会話を監視する政府の監視者は必要ない。大人にも必要ないし、子どもにも必要ない。

EU27加盟国のいずれかにお住まいなら、この機会に欧州議会議員に連絡し、この危険な提案に反対であることを伝えてほしい。本日、我々のパートナー団体であるEuropean Digital Rights（EDRi）は、この提案とその問題点を詳細に記したウェブサイト「Stop Scanning Me」を開設した。サイトにはこの規制の詳細や法的分析、この提案に反対する118のNGOが署名する書簡が掲載されている。ドイツ語圏にお住まいなら、ドイツの市民団体が運営する「Chatkontrolle Stoppen!」の閲覧・共有をおすすめしたい。

EU域外にお住まいでも、この規制とは無縁ではいられない。大規模メッセージング・プラットフォームは、たとえこの規制がユーザとのプライバシーとセキュリティの約束を反故にすることになったとしても、EUという巨大市場から撤退することはないだろう。つまり、EU域内の居住者と定期的に連絡を取り合っているわけではなくても、世界中のユーザに影響がおよぶのである。

プライベートな会話を盗聴する「検知命令」

EUが提案する「児童性虐待規制（CSAR）」は、残念な後退である。これまでEUは一般データ保護規則（GDPR）やeプライバシー指令など、完璧ではないものの、プライバシーを減じるのではなく、増進する方向にプライバシー法制を先導してきた。だが、CSA規則は逆コースを突き進むものだ。EU基本権憲章を尊重するものではなく、最近採択されたデジタルサービス法（すでに違法コンテンツを削除する権限を当局に与えている）を弱体化させるものでもある。

この提案は、オンラインプラットフォームやメッセージングサービスプロバイダに、虐待コンテンツの抑制を求め、ユーザコミュニケーションの一般監視を奨励する。だが、そうした抑制策を講じてもなおオンライン上の性的児童虐待の「重大な」リスクが残る場合（これが厳密に何を意味するのかはまったく不明）、法執行機関はテックプラットフォームに「検知命令」を出すことができる。検知命令が出されると、プラットフォームの運営企業は、法執行機関が承認したソフトウェアを使用して、ユーザのメッセージ、写真、ビデオ、その他のデータをスキャンしなければならなくなる。

この検知命令が出されると、プラットフォームは真にプライベートな会話をホストできなくなってしまう。CSA規則は、その実装がメッセージを中央サーバでスキャンするものであろうと、ユーザ自身のデバイスでスキャンするものであろうと、エンドツーエンド暗号化を無意味化する。

だが提案者は、我々のデータを精査したり、政府の児童虐待コンテンツデータベースと照合するだけでは飽き足らず、さらに踏み込んだ措置を求めている。CSARはアルゴリズムを用いて虐待の可能性のある画像を推定することまで提案しているのだ。さらに、AIを使って人々のテキストメッセージを審査し、会話から将来起こりうる児童虐待を推測することで、「グルーミング」の疑いを検出することすら計画している。

大手ソーシャルメディア企業は、自社のコンテンツモデレーションポリシーの約束事すらほとんど遵守できていない。にも関わらず、EUの政治家たちは、その企業の壊れた監視アルゴリズムを使って自社ユーザを最悪な犯罪者として告発するよう強制しようとしているのだから、まったくもって信じがたい。

機能しない犯罪検知AIを推進する欧州委員会

児童性虐待資料（CSAM）の検知に、一般に使用されているソフトウェアの制度を監査するのは難しい。だが、先日発表されたデータは、議員にGOサインを出させるようなものではない。むしろ警告を発するものだ。

• Facebookの調査によると、児童虐待資料を検出するスキャンシステムにフラグをたてられたメッセージの75％が「悪意」のない、くだらないジョークやミームだった。
• 2021年にLinkedInがEU当局にCSAMの疑いがある75件の事例を報告したが、目視で確認した結果、CSAMと確認されたものに関与していたのは31件（41％）に過ぎなかった。
• パートナー団体のEDRiのレポート（34ページ参照）に記されたアイルランドの事例は、それよりも不正確であることを示している。2020年、アイルランド警察は、米国の全米行方不明・被搾取児童センター（NCMEC）から4192件の報告を受けた。実際にCSAMと確認されたのは852件（20.3％）で、そのうち、409件（9.7％）が「対処可能」と判断され、アイルランド警察が「完了」したのは265件（6.3％）だった。

熱烈な支援者や法執行機関はスキャンソフトが極めて高精度だと主張しているが、複数の独立したソースが、広範囲のスキャンは相当数の冤罪を生み出すことを明らかにしている。EU域内の数十億ものメッセージがスキャンされることを考えれば、この規則は数百万の冤罪を引き起こすことになるだろう。こうした冤罪は、法執行機関に送られることになる。そうなれば、良くて徒労、悪ければ現実の苦しみをもたらすことにもなる。

誤検知（偽陽性）は実害をもたらす。先日のニューヨーク・タイムズの記事では、GoogleのCSAMスキャナの欠陥により、2人の幼児の父親が誤って児童虐待者であると認識されたことが取り上げられている。2人は小児科医の指示に従って、感染症にかかった我が子の患部を撮影し送っていただけだった。そして、2人のデータは地元警察に確認され、2人の潔白は証明された。だが、無実であることが明らかになってなお、Googleは彼らのアカウントを永久凍結し、間違ったAIシステムを擁護し、不透明な人力の審査プロセスを弁護した。

また、上述のアイルランドの事例では、アイルランド国家警察がNCMECから転送されたすべての個人データ（ユーザ名、電子メールアドレス、その他のデータ、無実であることが確認されたユーザも含む）を現在も保持していることが確認されている。

積み上がる干し草の山

児童虐待はおぞましい。デジタル技術を用いた児童性的虐待画像の取引は、捜査と訴追の対象となるべき重大犯罪である。

だからこそ、効果がなく、有害でさえある行為に無駄な労力を費やすべきではない。圧倒的多数のネット上のやり取りは犯罪行為ではないのだ。ネット犯罪を捜査する警察は、すでにことわざにあるような「干し草の中の針」を探させられている。写真やメッセージのスキャンを強制したところで、「干し草の山」をさらにうず高く積み上げることにほかならない。

またEUの規制案は、CSAMの拡散を抑止する方策として年齢認証の義務化を提案している。オンラインの年齢認証は、かならず成人の人権に悪影響を及ぼす。年齢認証企業は、生体データを収集（共有）する傾向にあり、年齢認証の手続き自体、成人が匿名で発言する権利を阻害する。こうした権利は、抑圧されていたり、安全が保障されていない反体制派やマイノリティにはとりわけ重要とされている。

EU諸国を始めとする西側諸国が、あらゆるメッセージをスキャンするために暗号化を禁止する最初に国になるかもしれない。しかし、それが最後になることはないだろう。世界中の政府が暗号化されたメッセージを読みたがっているのだ。国民のさらなる監視を受け入れさせるためであれば、政府は喜んでテロや子どもへの犯罪、その他残虐行為をことさらに強調するだろう。そうして規制が確立されれば、すでに監視体制を敷く権威主義国家は、自国の法律に違反する「犯罪」を検知するために、EU型のメッセージスキャンを適用するよう（訳注：プラットフォームに）要求するだろう。反体制派を攻撃し、LGBT+コミュニティを取り締まるために。

EU Lawmakers Must Reject This Proposal To Scan Private Chats | Electronic Frontier Foundation