エンドツーエンド暗号化規制のその後

2020年12月のブログ記事でエンドツーエンド暗号化について触れましたが、その後2022年5月にEUでエンドツーエンド暗号化を規制すると解釈できる可能性のある内容の規則案^[1]が欧州委員会より提案されましたので、内容を追ってみたいと思います。

1. 背景

オンラインでの児童の性的虐待がパンデミックで増えていることもあり、その脅威に包括的に対応するため、欧州委員会が2020年7月24日、「児童性的虐待に対するより効果的な闘いのためのEU戦略」^[2]を打ち出しました。次いで2021年3月24日、欧州委員会は「子どもの権利に関する包括的なEU戦略」^[3]を採択し、ネット上の虐待を含むあらゆる形態の暴力から子どもを保護するための対策強化を提案しました。他にも「デジタルの権利と原則に関する欧州宣言」案では、すべての子どもをオンライン上の違法コンテンツ、搾取、操作、虐待から保護し、デジタル空間が犯罪の実行や助長に利用されないようにするという約束が含まれています。

すでに一部のプロバイダーは、自社のサービス上でオンライン児童性的虐待を検知、報告、削除する技術を自主的に使用しているものの、プロバイダー間でばらつきがあり、対策を取っていないところもあるとしています。よって、いくつかの加盟国は、オンライン児童性的虐待に対抗するための国内規則の準備と採択に着手しており、これはデジタル単一市場の断片化を増大させることにつながるとしています。そのため、デジタルサービス法を補完しオンライン児童性的虐待の検出、報告、除去に関する統一的な連合規則が必要である、との立場を欧州委員会は取っています。

こういった背景より、児童虐待防止規則案（以下、「本規則案」とする）が策定されました。本規則案は、オンライン児童性的虐待の防止と対策に関する明確で調和のとれた法的枠組みの確立を目指すものであり、本提案は、プロバイダーが、憲章に規定された基本的権利およびEU法の一般原則と矛盾しない形で、リスクを評価・軽減し、必要に応じて、サービス上の虐待を検知・報告・除去する責任について、法的確実性を提供しようとするものである、としています。

2. 内容

本規則案は「欧州議会及び欧州理事会規則」、つまりいわゆるEU規則で、各加盟国における立法を必要としません。本規則案は主に次の要素から構成されています。

• プロバイダーに対して、既知および新規の児童性的虐待資料の検出、報告、削除、ブロック、および児童への勧誘に関する義務を、オンライン交換に使用される技術に関係なく課す
• 規則の実施を可能にする機関として、「児童性的虐待に関するEUセンター」（以下、「EUセンター」）を設立

本規則案では、性的虐待の被害者である児童とその基本的権利を保護し、それによって一般社会の利益となる重要な目的を達成するための措置と、他の利用者やプロバイダーの基本的権利との間に公正なバランスを確立するために、強固な条件と保護措置に従った、的確な措置を定めているとしています。プロバイダーがその責任を果たせるようにするため、EUセンターを設立し^[4]、この規則の実施を促進・支援するとしています。具体的には、この規則に基づくプロバイダーのオンライン児童性的虐待の検出、報告、児童性的虐待素材の除去の支援に役立てようとするものです。EUセンターは特に、プロバイダーが検出義務を果たすために利用することが求められる、オンライン児童性的虐待の指標に関するデータベースを作成し、維持・運営する予定です。EUセンターは、欧州刑事警察機構(Europol)との緊密な協力が必要、と書かれており、Europolの代表者はEUセンターの運営委員会(Management Board)のメンバーになり、EUセンターの代表者はEuropolの運営委員会メンバーとなることになっています^[5]。

各章の概略は以下の通りです。

• 第1章：本規則の主題と範囲（第1条）および本規則で使用される重要な用語の定義（第2条）を含む一般的な規定
  • プロバイダーに関連する定義：対人通信サービス、ソフトウェアアプリケーション、ソフトウェアアプリケーションストア、ホスティングサービス、インターネット接続サービス
• 第2章：既知または新規の児童性的虐待資料の流布や児童への勧誘（合わせて「オンライン児童性的虐待」と定義）のために、そのサービスが悪用されるリスクの評価を行う統一義務を規定。特定のプロバイダーに対して、こうした虐待を検知し、EUセンターを通じて報告し、命令があった場合には、オンライン児童性的虐待素材へのアクセスを削除、無効化、あるいはブロッキングする義務を課すことも含む。（第3条～第24条）
• 第3章：本規則の実施と執行に関する規定、特にこの規則を一貫して適用するために加盟国が指定する主要な国家機関である管轄当局(competent authority)と調整機関(coordinating authority)を中心に、各国の所轄官庁に関する規定（第25条～第39条）
• 第4章：EUセンターに関する法的地位、所在地（オランダ、ハーグ）、任務、権限、予算、職員などについて（第40条～第82条）
• 第5章：データ収集と透明性の報告義務（第83条・第84条）
• 第6章：本規則の最終規定（5年おきの規則の評価義務、委任の行使、委員会の手続き、撤回される規則、発効日）（第85条～第89条）

3. エンドツーエンド暗号化との関係

規則案中の説明(Whereas)条項には以下のようにあり、エンドツーエンド暗号化技術を含む技術に対しては中立、ということのようです。

従って、本規則は、検出命令を効果的に遵守するために運用する技術の選択を当該プロバイダに委ね、技術および付随する措置が本規則の要件を満たす限り、特定の技術の使用を奨励または抑制するものと理解されるべきではない。これには、児童を含む利用者の通信の安全性と機密性を保証する重要な手段であるエンドツーエンドの暗号化技術の利用が含まれる^[6]。

第2章第2項「検出の義務」（第7条から第10条まで）によれば、各プロバイダーが対象となるコンテンツを検出する際にどのような方法を使うかは、プロバイダーに任されることになります。検出後、児童性的虐待の可能性を示す情報をEUセンターに報告することになります。

対象となるサービスがエンドツーエンド暗号化技術を使っている場合は、プロバイダーがバックドア、クライアントサイドスキャン、安全な孤立領域(secure enclave)などの方法^[7]を使って利用者の手元で復号化後のコンテンツを取り出す必要が出てくることは確実です。特にパーソナルコンピューター、スマートフォン、およびタブレットのオペレーティングシステムは寡占化が進んでいるため、数社が同意して対応すれば多くの場合クライアントサイドスキャンにより内容を取り出せる、ということになる可能性が高そうです。

なお、クライアントサイドスキャンとは、利用者側でメッセージのコンテンツ（テキスト、画像、動画、ファイル）をスキャンし、意図した受信者にメッセージが送信される前に、不愉快なコンテンツのデータベースとの一致を確認するシステムです^[8]。

Internet Society (ISOC)によるクライアントサイドスキャンの問題点は次の通りです^[9]。

• 犯罪者に利用されやすい脆弱性ができてしまう
• 技術的・プロセス的な新たな課題を生み出す
• 別の用途（政敵などの通信遮断など）に使われる可能性がある
• 犯罪者が別のサービスに移る可能性が発生する

2021年にApple社が児童性的虐待素材(Child Sexual Abuse Materials, CSAM)のクライアントサイドスキャンを行うと発表した際は、反対が多いため凍結されたと報道されました^[10]が、2019年よりApple社のクラウドメールサービスではクライアントサイドスキャンが行われていると報道されており^[11]、本稿執筆時点では、米国、英国、カナダ、豪州、ニュージーランドでは標準搭載チャットアプリ、検索アプリなどでクライアントサイドスキャンが行われていると読める記載があります^[12]。

なお、規則案は本稿執筆時点では欧州議会とEU理事会は通過しておらず、まだ法律にはなっていませんが、EUセンターはすでに構築に向けて準備が進められているという報道^[13]もあります。

4. 規制案への反応

2022年5月22日には、ISOCをはじめとする団体および個人が共同で声明を出しました^[14]。内容は、次の通りです。

児童の性的虐待は、加盟国および世界の他の国々によって対処されなければならない重大な犯罪である。しかし、欧州委員会がこの規則案で採用したアプローチが、通信のセキュリティとユーザーのプライバシーに壊滅的な影響を与えることを懸念する。

欧州委員会の法案は、加盟国に対し、エンドツーエンドの暗号化メッセージを提供するものを含むオンラインプラットフォームに対し、ユーザーのコンテンツおよびメタデータから児童性的虐待(CSA)画像をスキャンし、「グルーミング」^[15]関連の会話や行動を確認し、適切な場合には、公的機関に報告し、プラットフォームから削除するよう強制することを可能にするものである。このような要件は、エンドツーエンド暗号化メッセージングと根本的に相容れない。なぜなら、そのようなサービスを提供するプラットフォームは、通信コンテンツにアクセスすることができないからである。このことは、世界中の専門家によって確認されており、特にクライアント側のスキャンが「失敗し、回避され、悪用される」複数の方法に関する詳細な報告書に加え、あらゆる形態のスキャンがエンドツーエンド暗号化システムをいかに破壊するかを分析する報告書が作成されている。

規制当局は、エンドツーエンドの暗号化と矛盾し、すべての人のセキュリティを低下させるような対策を義務付けるのではなく、CSAに対処し、通信セキュリティを保護する対策を奨励する必要がある。こうした措置の中には、CSA資料の利用者による報告を促進するものがある。

5. 考察

この後想定されるプロセスは、通常立法手続きであれば、欧州議会での審議およびEU理事会での決定ということになります^[16]。上記の反対声明などがどの程度取り入れられるのか、ロビイングがなされているのか、今後法律が成立または却下ということになるのかはまったく分かりませんが、注目すべきものと思われます。また、「エンドツーエンド暗号化及び公共の安全に関する国際声明」に署名した日本を含む他の国々で、今後どのような法案が提出されるのかについても注視すべきと思われます。

^[1] REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down rules to prevent and combat child sexual abuse, Brussels, 2022年5月11日, COM (2022) 209 final, 2022/0155 (COD) https://eur-lex.europa.eu/resource.html?uri=cellar:13e33abf-d209-11ec-a95f-01aa75ed71a1.0001.02/DOC_1&format=PDF

^[2] EU strategy for a more effective fight against child sexual abuse, Brussels, 2020年7月24日, COM(2020) 607 final, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020DC0607&from=EN

^[3] EU strategy on the rights of the child, Brussels, 2021年3月24日, COM(2021) 142 final, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52021DC0142&from=en

^[4] 規則案第4章（40条、43条）に記載 p.75

^[5] 規則案 p.4

^[6] 規則案(26), p.27

^[7] Breaking Encryption Myths, Internet Society, 2020年11月19日, https://www.internetsociety.org/resources/doc/2020/breaking-the-myths-on-encryption/

^[8] Fact Sheet: Client-Side Scanning, Internet Society, 2020年3月24日,  https://www.internetsociety.org/resources/doc/2020/fact-sheet-client-side-scanning/

^[9] 同上

^[10] Apple Client-Side Scanning Takes A Pause; Rosenzweig, Paul; Lawfare; 2021年9月4日; https://www.lawfareblog.com/apple-client-side-scanning-takes-pause

^[11] Apple already scans iCloud Mail for CSAM, but not iCloud Photos;  Lovejoy, Ben; 9to5Mac; 2021年8月23日, https://9to5mac.com/2021/08/23/apple-scans-icloud-mail-for-csam/

^[12] Expanded Protections for Children, Apple, 出版日不明、閲覧日2022年6月9日 https://www.apple.com/child-safety/

^[13] EU-weites Überwachungsnetz schon in der Aufbauphase; Moechel, Erich; 2022年5月22日, https://fm4.orf.at/stories/3024478/

^[14] Joint statement on the dangers of the EU’s proposed regulation for fighting child sexual abuse online. https://www.globalencryption.org/2022/05/joint-statement-on-the-dangers-of-the-eus-proposed-regulation-for-fighting-child-sexual-abuse-online/

^[15] 性犯罪目的で未成年者に近づき手なずける行為

^[16] EUの法律はどのように決められていますか？ EU MAG Vol. 19 (2013年8月号), 2013年8月29日 https://eumag.jp/questions/f0813/