エンドツーエンド暗号化と法規制

エンドツーエンド(E2E)暗号化(E2EE)とは、端末間の全部の通信経路でコンテンツを暗号化することを意味し、通信経路の途中の仲介者がデータを復号化して内容を読むことが事実上不可能となります。Whatsapp、iMessage、Signalなどのチャットサービスで主に使われているようです。利用者にとっては安心ですが、犯罪などに使われた例もあるため、法執行当局からはこれまでテロや児童虐待などの対策の際に問題となるという主張がなされてきました。

2020年秋の動きとして、E2E暗号化に関する7ヶ国共同の声明が公開され、かつEUでの決議案のリークがありました。本稿ではその内容をご紹介したいと思います。

ファイブアイズ諸国とインド・日本による声明

2020年10月11日、英国、米国、オーストラリア、ニュージーランド、カナダ、インドおよび日本が連名で「エンドツーエンド暗号化及び公共の安全に関する国際声明」を公開しました^[1]。声明中、英国からカナダまでのファイブアイズ^[2]諸国からは、政府機関名と署名者が記載されていますが（例：米国はバー司法長官）、インドと日本は国名のみの記載となっています。内容の概要は、次の通りです。

• 個人情報、プライバシー、知的財産、企業秘密、サイバーセキュリティを保護する上で重要な役割を果たす強力な暗号化を支持
• セキュリティを実質的に弱めたり制限したりするような、逆効果で危険なアプローチを支持しない
• 暗号化技術の特定の実装は、公共の安全に重大な課題をもたらす
• テック企業に対し、以下の段階を踏むため政府と協力するよう要求：
  • 安全性を減じることなしに企業が違法なコンテンツと活動を防止することができるよう、また犯罪捜査と訴追を促進するため、システム設計に公共安全性に寄与する仕組みを組み込む
  • 捜査に必要かつ適切である場合に、合法的な認可と強力な保護措置と監督を条件に、法執行機関が可読性が高く利用可能な形式でコンテンツにアクセスできるようにする
  • 政府やその他の利害関係者との協議に参加し、設計決定に実質的かつ真に影響を与える方法で法的アクセスを促進
• E2E暗号化が公共安全にもたらす深刻なリスク：
  • 違法コンテンツや違法活動などの利用規約違反の検知・対応を行う、企業自身の能力を著しく損なう
  • 国家の安全を守るために必要かつ適切な場合に、法執行機関が、合法的な権限があり重大な犯罪を捜査し、コンテンツにアクセスする能力を排除する
  • 子どもたちを保護するための解決策が用意されないままE2E暗号化が実施された場合、米国国立行方不明・搾取児童センター(NCMEC)は、CyberTipline（子どものオンラインでの性的搾取に関する報告システム）報告の半分以上が消滅すると予測
• 各国政府の反応
  • 2019年7月にファイブアイズ諸国は次の内容の声明を発表^[3]：
    • テック企業は、暗号化された製品やサービスの設計に、政府が適切な法的権限を持って行動する場合に政府が読み取り可能で使用可能な形式でデータへのアクセスを得ることができるメカニズムを含めるべき
    • テック企業は、ユーザーの安全性をシステム設計に組み込むことで、違法なコンテンツに対して行動を起こせるようにすべき
  • 2019年10月に欧州連合(EU)理事会は次の内容の意見書を採択^[4]：
    • 暗号化を禁止または弱体化することなく、適用法と整合性のあるプライバシーと公正な裁判の保証を完全に尊重して、暗号化または海外にあるITサーバーでホストされている場合を含めて、法執行機関およびその他の管轄当局がデジタルの証拠に合法的にアクセスできるよう、理事会は業界に対して促す
  • WePROTECTグローバル連合（GAFAをはじめとする企業、市民社会／非営利団体、政府間機関、および日本を含む各国政府からなる連合）およびNCMECをはじめとする世界中の児童保護団体と専門家は、エンドツーエンド暗号化を含むプライバシーを保護するための対策が子どもの安全を犠牲にしないよう、行動を呼びかけ
  • 結論
    • 我々（本声明に署名した各国）は、テクノロジー企業や政府が国民とそのプライバシーを保護し、サイバーセキュリティと人権を守り、技術革新を支援することを可能にする合理的な提案を開発するために、産業界と協力することを約束
    • 本声明ではE2E暗号化がもたらす課題に焦点を当てているが、（声明中の）公約はデバイスの暗号化、カスタム暗号化アプリケーション、統合プラットフォーム全体の暗号化など、複数の利用可能な暗号化サービスの範囲にまたがって適用される
    • 我々はデータ保護、プライバシーの尊重、技術の変化やグローバルなインターネット標準の開発に伴う暗号化の重要性が、各国の法的枠組みの最前線にあることを再確認している
    • 我々はプライバシーやサイバーセキュリティを犠牲にすることなく公共の安全を保護することはできないという主張に異議を唱え、これらの重要な価値観のそれぞれを保護するアプローチが可能であると強く信じており、業界と協力して相互に合意可能な解決策に取り組むよう努力している

EUにおける動き

2020年9月に欧州委員会にて作成された「エンドツーエンド暗号化通信における子どもの性的虐待を検知するための技術的解決策」というリークされたと思われる文書^[5]が報道機関から公開され、それに対しInternet Society (ISOC)が「サイバーセキュリティの専門家のコンセンサスは明快である：守ろうとしている子どもを含む、すべての人をより脆弱にすることなしに暗号を破る方法はない」と主張する内容のブログ記事が11月19日付で公開されました^[6]。

11月8日にオーストリアのラジオ局FM4が、EU理事会がWhatsAppやSignalなどのプラットフォーム事業者に対し、E2E暗号化されたチャットやメッセージを監視するためのマスターキーの作成を義務付ける決議を5日以内に可決すると報道しました^[7]。決議案の内容は一般公開されていないため、FM4がリークした11月6日の版^[8]を見てみたいと思います。

暗号化に関する理事会決議案―暗号化を通じたセキュリティおよび暗号化によらないセキュリティ

1. 前文

EUは強力な暗号化の開発、実装、使用を全面的に支持する。暗号化は基本的権利でありデジタルセキュリティ保護に必要な手段である。

2. 暗号化の利用及び現状

今日の世界では、暗号化技術は公私の生活のあらゆる分野でますます利用されるようになっていて、すべての関係者が高性能な暗号化技術の恩恵を受けることは明らかである。電子機器やアプリケーションでは、保存されたユーザーデータをデフォルトで暗号化するようになる場合が増えているだけでなく、通信チャネルもエンドツーエンド（E2E）暗号化によって保護されるケースが増えている。

3. 公共安全の確保のための課題

• 法執行機関にとって、電子証拠へのアクセスは捜査を成功させ、犯罪者を法の裁きにかけるために不可欠であるだけでなく、被害者を保護しセキュリティを確保するためにも不可欠
• しかし、暗号化によって電子証拠へのアクセスの枠組みの中で通信内容の分析が非常に困難になったり、そのようなデータへのアクセスが合法であるにもかかわらず、実質的に不可能になったりする場合がある
• 従って、今日の技術環境とは独立して、安全保障と刑事司法の分野における当局の権限を、法律で規定され、認可された業務を遂行するための合法的なアクセスを通じて維持することが不可欠

4. よりよいバランスの構築

以下の両者とも極めて重要：

• 暗号化による、通信のプライバシーと安全性の保護
• 安全保障と刑事司法の分野における権限のある当局が、デジタルの世界を含む重大犯罪や組織的犯罪、テロとの戦いにおいて、合法的かつ明確に定義された目的のために、関連データに合法的にアクセスする可能性の保持

5. テック業界との連携

• 当局は、サイバーセキュリティを維持しつつ、基本的権利とデータ保護体制を完全に尊重し、合法的かつ標的を絞った方法でデータにアクセスすることができなければならない。
• 暗号化されたデータへのアクセスを得るための技術的解決策は、合法性、透明性、必要性、比例性の原則を遵守しなければならない。
• 設定された目標を達成するための単一の方法は存在しないため、政府、産業界、研究者、学界が協力して戦略的にこのバランスを構築する必要がある。

6. 法的枠組み

• 管轄当局が業務を効果的に遂行できるであろう、EU 全体で一貫した規制の枠組みをさらに発展させるために、異なる規制の枠組みから生じる影響を吟味する必要があることは明らか
• 技術的解決策は、基本的な権利を守り、暗号化の利点を維持しつつ、当局が国内法の下で調査権限を行使できるようにしなければならない
• 解決策は、通信サービスプロバイダーと協力して透明性のある方法で開発されるべき

続いてFM4が11月29日に報じた内容は、12月2日には決議案がEUの常駐代表委員会(Comite des Representants Permanents: COREPER)^[9]を通過し、14日に正式に理事会で採択されるというものです^[10]。記事にリンクされた、リークされたと思われるEU文書^[11]には、「エンドツーエンド暗号化及び公共の安全に関する国際声明」の署名各国、とりわけ英国と緊密な交流を維持すること、インターネットサービスプロバイダーとソーシャルメディアプラットフォームを議論に参加させ、加盟国とEU機関に対し、IETFの技術標準化プロセスに積極的に参加することを求める、と書かれています。

対応する各国法案

英国ではすでに2016年捜査権限法(Investigatory Powers Act 2016)^[12]が成立しており、米国では2020年7月に暗号化データへの合法アクセス法案(H.R.7891 — 116th Congress; Lawful Access to Encrypted Data Act)^[13]が連邦下院に提出されたものの、審議はまだ始まっていない状況です。上記EU文書によれば、声明署名各国とEUは歩調を合わせるように読めますので、EUでも何らかの法案が提出される可能性はあります。日本では声明に署名したので、米国などに歩調を合わせ、同様の法案が提出される可能性があると思われます。

考察

声明に署名した7ヶ国およびEUが言っていることは、バックドアを作るか鍵を預けなさいということだと考えられます^[14]。ISOCが主張するように、E2EEを破ることは一般の人を脆弱にさらすことになり、声明署名国やEUが主張するような、プライバシーを守りつつ法執行機関が暗号化された通信コンテンツにアクセスできるようにする方法は、両立しないと考えます。とはいえ、犯罪被害者になり、E2EEのため犯人がつかまらない、となった場合、E2EEが絶対といえるか、と考えると難しいものがあります。

今後、本稿で記載した内容が現実になった場合、サービス提供各社がどういった反応を示すのか、E2EEを使ったサービスにバックドアが設けられることになるのか、予断を許しません。非常に難しく落としどころのなさそうな問題なので、今後も動向を注視したいと思います。

2020/12/15追記：上記報道通り、14日にEU理事会で決議が正式に承認されました[決議内容]。決議は法律のように拘束力は持たないと思われますが、決議文中に規制枠組みの策定の必要性について記載されています。

注

^[1] 全文（英文）：https://www.mofa.go.jp/mofaj/files/100102096.pdf

日本外務省による概要：https://www.mofa.go.jp/mofaj/la_c/sa/co/page22_003432.html

^[2] 英国、米国、オーストラリア、ニュージーランド、カナダの5ヶ国は諜報に関する協定（UKUSA協定）を結んでいることからファイブアイズと呼ばれることがあります。

^[3] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/822818/Joint_Meeting_of_FCM_and_Quintet_of_Attorneys_FINAL.pdf

^[4] https://data.consilium.europa.eu/doc/document/ST-12862-2019-INIT/en/pdf

^[5] https://www.politico.eu/wp-content/uploads/2020/09/SKM_C45820090717470-1_new.pdf

^[6] European Union, Use Facts to Make Cybersecurity Decisions – Not Myths https://www.internetsociety.org/blog/2020/11/breaking-encryption-myths/

^[7] Auf den Terroranschlag folgt EU-Verschlusselungsverbot; Moechel, Von Erich; https://fm4.orf.at/stories/3008930/

^[8] https://files.orf.at/vietnam2/files/fm4/202045/783284_fh_st12143-re01en20_783284.pdf

^[9] EU理事会を補佐する機関で、各加盟国から派遣されている常駐代表からなる会議 https://www.mofa.go.jp/mofaj/area/eu/keyword.html#k

^[10] “Five Eyes” hinter den Entschlüsselungsplänen des EU-Ministerrats; Moechel, Von Erich;  https://fm4.orf.at/stories/3009643/

^[11] Recommendations for a way forward on the topic of encryption; https://www.statewatch.org/media/1515/eu-council-encryption-possible-ways-forward-12864-20.pdf

^[12] https://www.legislation.gov.uk/ukpga/2016/25/contents

^[13] https://www.congress.gov/bill/116th-congress/house-bill/7891/text

^[14] Global Encryption Under Threat https://www.internetsociety.org/encryption/global-encryption-under-threat/