欧州人権裁判所：暗号化の弱体化は人権侵害のおそれがある

EDRi

Telegram Messengerがユーザメッセージの復号化を拒否

「すべての人は、私生活、家族生活、住居および通信の尊重を受ける権利を有する」。この重要な基本的権利は、欧州人権条約第8条に具体化されているが、ロシアの法令で「インターネット通信の運営者」に義務づけられているすべてのインターネット通信の内容を保存し、要求に応じてそれらのデータと、ユーザメッセージを復号化するために必要な情報を法執行機関とセキュリティサービスに提出することの根底にはなかったのは明らかである。

その後、FSB（ロシア連邦保安庁）は、Telegram Messenger LLPに対し、テロ関連活動に従事していると疑われる特定のユーザの通信の復号化を支援するよう命令した。Telegramは、そのような要求は必然的に暗号化のバックドアにつながると主張し、拒否したことで、ロシアの裁判所から罰金を科され、国内でのアプリのブロッキングも命じられた。

Telegramユーザが欧州人権裁判所に訴える

暗号化は、すべてのインターネットユーザ、特にジャーナリストと人権擁護者にとって不可欠である。例えば、ウクライナで活動するジャーナリストやロシアの活動家は、自分やその家族の身元がロシア当局に開示された場合、重大な結果に直面する可能性がある。

その結果、この論争はTelegramを超えて拡大した。EDRiのメンバーである電子フロンティア財団（EFF）は、欧州人権裁判所に並行して提訴し、ロシアの裁判所で開示命令に異議を唱えた多数のユーザを巻き込んだ。

欧州人権裁判所（ECtHR）の最近の事件で、ロシア国民のポドチャソフ氏は、ユーザ通信の強制的な復号化が、欧州人権条約に基づくプライバシーの権利を侵害すると主張した。

裁判所の同意：暗号化は基本的権利を守るために重要である

EFFは常に、政府によるユーザのプライバシー侵入に反対してきた。暗号化は、ユーザのプライバシーを保護するだけでなく、国際人権法で保護されている表現の自由の権利も保護する。

プライバシー擁護派にとって大きな勝利として、ECtHRはこれに同意した。裁判官は、無差別なデータ保存がユーザのプライバシー権を侵害することを確認した。

重要なことに、裁判所は、サービスプロバイダーがセキュリティサービスに復号化キーを提出するよう義務づけることについて、いくつかの重要な見解を示した。第一に、ECtHRは、ユーザのプライバシーや表現の自由などの他の基本的権利の行使を保護するための暗号化技術の重要性を強調した。

また、裁判所は、不正アクセスに対する強力な防御を提供する上で暗号化が果たす役割を強調した。暗号化は、市民と企業の両方が情報技術の乱用から身を守るのに役立つ。

Telegramの「シークレットチャット」を復号化する義務について、ECtHRは、この措置がすべてのユーザの暗号化を弱体化させることを要求すると判断した。裁判所は、バックドアが犯罪ネットワークに悪用され、ユーザの通信のセキュリティを深刻に損なう可能性があることを強調した。ECtHRは、押収したデバイスのフォレンジックやより優れた警察活動など、保護メカニズムを弱体化させない復号化の代替ソリューションがあることに言及した。

これらの所見に照らして、裁判所は、エンドツーエンド暗号化された通信を復号化する義務は、すべてのユーザの暗号化メカニズムを弱体化させるリスクがあり、それは過剰な措置であると主張した。裁判所は、復号化要件と相まって、インターネット通信データの保持と制限のない国家によるアクセスは、民主社会において必要とは見なすことができないと結論づけた。したがって、それらは違法である。

現在の政策の今後に影響を与えるECtHR判決

裁判官の厳格な審議は、ヨーロッパにおける暗号化を弱体化させ、私たちのプライベートなメッセージや写真へのアクセスとスキャンを可能にしようとする継続的な取り組みに直接異議を唱えるものである。英国では、EFFや他のグループが、オンラインプラットフォームが違法なコンテンツを検出するためにすべてのユーザの写真、ファイル、メッセージを検索するソフトウェアを展開するリスクがある物議を醸す英国オンライン安全法（OSA）に反対している。OSAは、インターネットを使用する「最も安全な場所」にするのではなく、プライバシーと言論を損なうさまざまな方法を概説している。EFFは最近、この法律が運用されたときに暗号化が弱体化しないように、関連する英国の規制当局（Ofcom）にコメントを提出した。

EUでは、欧州委員会のメッセージスキャン提案（CSAR）がオンラインプライバシーの災害になるのではないかと懸念している。それにより、EU当局はオンラインサービスに、ユーザのプライベートメッセージをスキャンし、写真を法執行機関のデータベースと比較したり、エラーが発生しやすいAIアルゴリズムを使用して犯罪行為を検出したりすることを強制できるようになる。このような検出手段は、必然的に危険で信頼できないクライアント・サイド・スキャン慣行につながり、エンドツーエンド暗号化の本質を損なう。

ECtHRは一般ユーザのスキャンを不釣り合いとみなし、既存のプライバシー基準を弱体化させる措置を特に批判しているため、WhatsAppやSignalなどのプラットフォームに、メッセージスキャンのために全ユーザのデバイスを脆弱化させるよう強制することは、違法と見なされなければならない。

CSAR提案に続いて、暗号化されたデータと通信への法執行機関のアクセスを許可する他の提案が行われる可能性が高い。EUの「効果的な法執行のためのデータアクセスに関するハイレベル専門家グループ」は、2024年半ばの次のEU委員会で政策提言するものとみられている。

EDRiとともに、EFFは議員に対し、欧州人権裁判所の判決を真剣に受け止めるよう呼びかけている。ユーザ通信の包括的かつ無差別なスキャンと、ユーザのための暗号化の一般的な弱体化は、容認できず、違法である。

Contribution by: Christoph Schmon, PhD, International Policy Director, EDRi member, Electronic Frontier Foundation (EFF)