2024年7月 7日 (日)

第499回:暗号化技術に対するバックドアの強制の様な技術的検閲は基本的な権利に抵触するものであって認められないとする2024年2月13日の欧州人権裁判決

 2024年2月13日と少し前の事になるが、基本的な権利に基づき暗号化技術に対するバックドアの強制の様な技術的検閲の禁止を述べるという、昨今の世界の動向に照らして非常に重要な内容を含む判決を欧州人権裁判所が出しているので、ここで紹介しておきたいと思う。

 この判決の第36段落で以下の様に書かれている通り、ロシア当局がインターネット通信事業者にあらゆる通信データの蓄積と暗号化通信に対する復号化のための情報すなわちバックドア情報を求める事ができるという法令をロシアが制定した事に対し、欧州人権条約違反として訴えが提起されたというのが事件の概要である。(以下、いつも通り、翻訳は全て拙訳。)

36. The applicant complained about the statutory requirement for ICOs to store the content of all Internet communications and related communications data, and to submit those data to law-enforcement authorities or security services at their request together with information necessary to decrypt electronic messages if they were encrypted. He relied on Article 8 of the Convention, which reads as follows:

"1. Everyone has the right to respect for his private and family life, his home and his correspondence.

2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others."

36.請求人は、インターネット通信事業者(ICO)がインターネットの全通信及び関係する通信データの内容を蓄積し、このデータを法執行当局又はセキュリティサービスに、その請求に応じ、もしそれが暗号化されていた場合には電子的メッセージを復号するために必要な情報とともに引き渡すという法定の求めに対して訴えを提起した。彼は欧州人権条約の第8条に依拠しており、それは以下の様に書かれている:

「1.あらゆる者はその私的な及び家族の生活、その家及び通信を尊重される権利を有する。

2.その法に合致し、国家の安全保障、公衆の安全又は国の経済の健全の利益における、混乱又は犯罪の予防のため、健康又は道徳の保護のため他の権利及び自由を保護するため、社民主主義社会において必要なものである場合を除き、公的な当局によるこの権利の行使への介入はあってはならない。」

 過去の判例を引きながら通信データの蓄積が条約違反であるとしている部分も興味深いが、この欧州人権裁の判決で私が最も重要であると思っているのは、表現の自由なども踏まえ、バックドアの導入を強制して暗号化通信に対する政府のアクセスを可能とする法令は通信の秘密を含むプライバシー保護を規定する欧州人権条約第8条違反と明確に述べている以下の部分である。

(γ) Statutory requirement to decrypt communications

76. Lastly, as regards the requirement to submit to the security services information necessary to decrypt electronic communications if they are encrypted, the Court observes that international bodies have argued that encryption provides strong technical safeguards against unlawful access to the content of communications and has therefore been widely used as a means of protecting the right to respect for private life and for the privacy of correspondence online. In the digital age, technical solutions for securing and protecting the privacy of electronic communications, including measures for encryption, contribute to ensuring the enjoyment of other fundamental rights, such as freedom of expression (see paragraphs 28 and 34 above). Encryption, moreover, appears to help citizens and businesses to defend themselves against abuses of information technologies, such as hacking, identity and personal data theft, fraud and the improper disclosure of confidential information. This should be given due consideration when assessing measures which may weaken encryption.

77. As noted above (see paragraph 57 above), it appears that in order to enable decryption of communications protected by end-to-end encryption, such as communications through Telegram's "secret chats", it would be necessary to weaken encryption for all users. These measures allegedly cannot be limited to specific individuals and would affect everyone indiscriminately, including individuals who pose no threat to a legitimate government interest. Weakening encryption by creating backdoors would apparently make it technically possible to perform routine, general and indiscriminate surveillance of personal electronic communications. Backdoors may also be exploited by criminal networks and would seriously compromise the security of all users' electronic communications. The Court takes note of the dangers of restricting encryption described by many experts in the field (see, in particular, paragraphs 28 and 34 above).

78. The Court accepts that encryption can also be used by criminals, which may complicate criminal investigations (see Yuksel Yalcinkaya v. Turkiye [GC], no. 15669/20, § 312, 26 September 2023). However, it takes note in this connection of the calls for alternative "solutions to decryption without weakening the protective mechanisms, both in legislation and through continuous technical evolution" (see, on the possibilities of alternative methods of investigation, the Joint Statement by Europol and the European Union Agency for Cybersecurity, cited in paragraph 33 above, and paragraph 24 of the Report on the right to privacy in the digital age by the Office of the United Nations High Commissioner for Human Rights, cited in paragraph 28 above; see also the explanation by third-party interveners in paragraph 47 above).

79. The Court concludes that in the present case the ICO's statutory obligation to decrypt end-to-end encrypted communications risks amounting to a requirement that providers of such services weaken the encryption mechanism for all users; it is accordingly not proportionate to the legitimate aims pursued.

(δ) Conclusion

80. The Court concludes from the foregoing that the contested legislation providing for the retention of all Internet communications of all users, the security services' direct access to the data stored without adequate safeguards against abuse and the requirement to decrypt encrypted communications, as applied to end-to-end encrypted communications, cannot be regarded as necessary in a democratic society. In so far as this legislation permits the public authorities to have access, on a generalised basis and without sufficient safeguards, to the content of electronic communications, it impairs the very essence of the right to respect for private life under Article 8 of the Convention. The respondent State has therefore overstepped any acceptable margin of appreciation in this regard.

81. There has accordingly been a violation of Article 8 of the Convention.

(γ)通信の暗号を復号する法定の求め

76.最後に、もし暗号化されている場合に電気通信の暗号を復号するのに必要な情報をセキュリティサービスに提供する求めについてであるが、当裁判所は、暗号化が通信の内容に対する違法なアクセスに対する強い技術的保障を提供し、したがって、私的生活及びオンライン通信のプライバシーに関する権利を保護する手段として広く用いられている事を国際機関が主張している事を把握している。デジタル時代において、暗号化措置を含む電気通信のプライバシーを保証し、保護するための技術的ソリューションは、表現の自由の様な他の基本的な権利の享受の保証に寄与するものである(上記段落28及び34参照)。さらに、暗号化は、市民と企業がハッキング、個人情報詐取、詐欺及び機微情報の不適切な開示の様な情報技術の濫用から自身を守る助けになるものと思われる。この事は暗号化を弱め得る措置を評価する際に当然考慮されるべきものである。

77.上で述べた通り(上記段落57参照)、テレグラムの「秘密チャット」を通じた通信の様なエンド・ツー・エンドの暗号化によって保護される通信の暗号化を可能とするためには、全利用者の暗号化を弱める必要があるであろう。この措置は主張されている様に特定の個人に限定され得るものではなく、政府の正当な利益に何ら脅威をもたらすものではない個人も含め無差別に全ての者に影響する。バックドアを作る事によって暗号化を弱める事は明らかに個人の電気通信の日常的、一般的かつ無差別の監視を技術的に可能とするであろう。バックドアはまた犯罪ネットワークによっても用いられ得るものであり、全利用者の電気通信のセキュリティを著しく危うくするであろう。当裁判所は本分野における多くの専門家によって述べられた暗号化の制限の危険に留意する(特に上記段落28及び34参照)。

78.当裁判所は暗号化は犯罪者によっても暗号化は使われ得るものであり、これは犯罪捜査を複雑化するものであるという事を認める(2023年9月26日、ユクセル・ヤルチンカヤ対トルコ政府事件判決、段落312参照)。しかしながら、この点では代替となる「立法におけるものとともに継続的な技術発展を通じて保護機構を弱める事なく暗号の復号を行うソリューション」の呼び掛けがなされている事に留意する(捜査のための代替手法の可能性について、上記段落33で引用したユーロポール及び欧州連合サイバーセキュリティ庁の共同声明、及び、上記段落28で引用した国際連合人権高等弁務官事務所によるデジタル時代のプライバシー権に関する報告書の段落24参照;上記段落47の第三者参加人による説明も参照)。

79.当裁判所は、本事件においてICOのエンド・ツー・エンド暗号化通信の暗号を復号する法定義務はその様なサービスの提供者が全利用者の暗号化機構を弱める求めに該当する危険があると結論する;したがって、それは追求される正当な目的に対してバランスの取れたものではない。

(δ)結論

80.当裁判所は、前述の事から、全利用者の全インターネット通信の保存、濫用に対する適切な保障のないセキュリティサービスによる蓄積されたデータへの直接アクセス及びエンド・ツー・エンドの暗号化通信に適用される暗号化通信を復号する求めを規定する、訴えの対象である立法は民主主義社会において必要なものと見る事はできないと結論する。公的な当局が、一般的な基礎として十分な保障なく、通信の内容にアクセスする事をこの立法が許す限り、それは欧州人権条約の第8条の私的生活を尊重される権利の実に本質的な部分を侵害する。したがって、相手方の政府はこの点であらゆる受け入れ可能な判断の余地を踏み越えている。

したがって、ここには条約第9条違反がある。

 ウクライナ侵攻の影響でロシアが実質的に欧州人権条約から脱退しているため(欧州人権条約のWikipedia参照)、ロシアに対する直接的な影響はないに等しいが、この判決は欧州人権条約に基づく国際裁判所の判決としてヨーロッパで間接的に大きな意味を持って行くだろうと私は考えている。

 その観点で、この欧州司法裁が関連するものとして2つの国際機関の報告書を取り上げている事も重要である。

 1つは、判決の第28段落で以下の様に引用されている、2022年8月4日の国連人権高等弁務官事務所によるデジタル時代のプライバシー権に関する報告書である。(国連人権高等弁務官事務所の報告書掲載ページ参照。)

28. The Report on the right to privacy in the digital age by the Office of the United Nations High Commissioner for Human Rights, published on 4 August 2022 (A/HRC/51/17), reads as follows, in so far as relevant (footnotes omitted):

"B. Restrictions on encryption

...

21. Encryption is a key enabler of privacy and security online and is essential for safeguarding rights, including the rights to freedom of opinion and expression, freedom of association and peaceful assembly, security, health and non-discrimination. Encryption ensures that people can share information freely, without fear that their information may become known to others, be they State authorities or cybercriminals. Encryption is essential if people are to feel secure in freely exchanging information with others on a range of experiences, thoughts and identities, including sensitive health or financial information, knowledge about gender identities and sexual orientation, artistic expression and information in connection with minority status. In environments of prevalent censorship, encryption enables individuals to maintain a space for holding, expressing and exchanging opinions with others. In specific instances, journalists and human rights defenders cannot do their work without the protection of robust encryption, shielding their sources and sheltering them from the powerful actors under investigation. Encryption provides women, who face particular threats of surveillance, harassment and violence online, an important level of protection against involuntary disclosure of information. In armed conflicts, encrypted messaging is indispensable to ensuring secure communication among civilians. It is notable that in the two months after the beginning of the armed conflict in Ukraine on 24 February 2022, the number of downloads in Ukraine of the encrypted messaging app Signal went up by over 1,000 per cent compared with preceding months.

...

23. In spite of its benefits, Governments sometimes restrict the use of encryption, for example for the protection of national security and combating crime, in particular to detect child sexual abuse material. Restrictions include bans on encrypted communications and criminalization for offering or using encryption tools or mandatory registration and licensing of encryption tools. Similarly, in some instances, encryption providers have been required to ensure that law enforcement or other government agencies have access to all communications upon request, which can effectively amount to a blanket restriction of encryption that could require, or at least encourage, the creation of some sort of back door (a built-in path to bypass encryption, allowing for covert access to data in plain text). Another form of interference with encryption is the requirement that key escrow systems be created and maintained, and all private keys needed to decrypt data be handed over to the Government or a designated third party. The imposition of traceability requirements, according to which providers need to be able to trace any message back to its supposed originator, could also require the weakening of encryption standards. Recently, various States have started imposing or considering general monitoring obligations for providers of digital communications, including those offering encrypted communications services. Such duties could effectively force those providers to abandon strong end-to-end encryption or to identify highly problematic workarounds (see paras. 27-28 below).

24. There is no doubt that widely used encryption capabilities, capabilities that the public has demanded as a response to mass surveillance and cybercrime, create a dilemma for Governments seeking to protect populations, in particular their most vulnerable members, against serious crime and security threats. However, as pointed out by the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, regulation of encryption risks undermining human rights. Governments seeking to limit encryption have often failed to show that the restrictions they would impose are necessary to meet a particular legitimate interest, given the availability of various other tools and approaches that provide the information needed for specific law enforcement or other legitimate purposes. Such alternative measures include improved, better-resourced traditional policing, undercover operations, metadata analysis and strengthened international police cooperation.

25. Moreover, the impact of most encryption restrictions on the right to privacy and associated rights are disproportionate, often affecting not only the targeted individuals but the general population. Outright bans by Governments, or the criminalization of encryption in particular, cannot be justified as they would prevent all users within their jurisdictions from having a secure way to communicate. Key escrow systems have significant vulnerabilities, since they depend on the integrity of the storage facility and expose stored keys to cyberattacks. Moreover, mandated back doors in encryption tools create liabilities that go far beyond their usefulness with regard to specific users identified as crime suspects or security threats. They jeopardize the privacy and security of all users and expose them to unlawful interference, not only by States, but also by non-State actors, including criminal networks. Licensing and registration requirements have similar disproportionate effects as they require that encryption software contain exploitable weaknesses. Such adverse effects are not necessarily limited to the jurisdiction imposing the restriction; rather it is likely that back doors, once established in the jurisdiction of one State, will become part of the software used in other parts of the world.

26. ... Since the content of messages, once encrypted, cannot be accessed by anyone except the sender and the recipient, any general monitoring obligation would force service providers to either abandon transport encryption or seek access to messages before they are encrypted ..."

28.2022年8月4日に公表された、国際連合人権高等弁務官事務所によるデジタル時代のプライバシー権に関する報告書には、関係する箇所として、以下の様に書かれている(脚注省略):

「B.暗号化に対する制限

21.暗号化はオンラインのプライバシーとセキュリティを可能とする鍵であり、意見及び表現の自由、結社及び平和的集会の自由、セキュリティ、健康及び差別されない事に関する権利を含む権利を保障するために必須のものである。暗号化は、人々がその情報が国の当局であれ、サイバー犯罪者であれ、他者に知られ得る恐れなく自由に情報を共有する事を保証する。機微な健康や経済的情報、ジェンダーアイデンティティ及び性的指向、芸術的表現及びマイノリティの立場と関係する情報を含む、ある範囲の経験、考え、アイデンティティにおいて他の者と自由に情報を交換する際に人々が安全であると感じるべきであるなら、暗号化は必須である。検閲が蔓延する環境下で、暗号化は個人に他の者と意見を持ち、表し、交換する場を維持する事を可能にする。特別な場合において、ジャーナリスト及び人権保護活動家は捜索を受ける強力な権力者からそのソース及び自身を守る堅牢な暗号化の保護なしにその仕事をする事はできない。暗号化は、オンラインで特定の監視、嫌がらせ及び暴力の脅威に直面する女性に情報の意図しない開示に対して重要なレベルの保護を与える。武力紛争において、暗号化されたメッセージのやりとりは民間人の間での安全なコミュニケーションを保証するために不可欠である。2022年2月24日のウクライナにおける武力紛争の開始後2ヶ月間で暗号化メッセージアプリSignalのダウンロード数はその前の月と比べて1000%以上増えた事は注目すべき事である。

23.その利益にもかかわらず、政府は、例えば国の安全保障及び犯罪対策のため、特に児童の性的虐待マテリアルの検知のために、暗号化の利用を制限する事が間々ある。制限は暗号化通信からの排除及び暗号化ツールの提供又は利用の犯罪化又は暗号化ツールの強制登録又は許諾を含む。同様に、ある場合は、暗号化の提供者は法執行又はその他の政府期間が求めた時あらゆる通信にアクセスできる事を確保する事を求められ、それは効果として、ある種のバックドア(平文のデータへの密かなアクセスを可能とする、暗号化を迂回する組み込み経路)の作成を求めるか、少なくとも推奨する様な、暗号化の包括制限になり得る。暗号化に対する他の形の介入は、キー預託制度が作られ、維持される事を求める事であり、データを復号するために必要なあらゆるプライベートキーが政府又は指定される第三者に渡されるというものである。プロバイダーは想定される元の発信者まであらゆるメッセージを追跡できなければならないとするトレーサビリティ要求もまた暗号化のスタンダードを弱める事を求めるものである。最近、様々な国が暗号化通信サービスの提供者を含むデジタル通信のプロバイダーに一般的な監視義務を課すか、その検討を始めている。この様な義務はこれらのプロバイダーに強いエンド・ツー・エンドの暗号化を捨てるか非常に問題のある次善策を特定する事を効果的に強制し得るものである(下の段落27-28参照)。

24.広く使われている暗号化の能力、大規模な監視及びサイバー犯罪に対応するものとして公衆が求めている能力は、重大な犯罪とセキュリティの脅威に対して大衆を、特にその最も脆弱な構成員を、守ろうとする政府にとってジレンマを作り出している。しかしながら、意見及び表現の自由に関する権利の促進及び保護に関し、特別報告官により指摘されている通り、暗号化の規制は人権の基礎を掘り崩す恐れがある。特別な法執行又はその他の正当な目的に必要な情報を提供する様々な他のツール又はアプローチがある事から、その課そうとする制約が特定の正当な利益に必ず合致するものである事を示すのに暗号化を制限しようとする政府が失敗する事も多い。その様な代替措置は改善され、より良いリソースを与えられた伝統的な警察活動、秘密のオペレーション、メタデータ分析及び強化された国際的警察協力を含む。

25.さらに、ほぼ全ての暗号化の制限のプライバシーに関する権利とそれに付随する権利に対する影響はバランスの取れたものではなく、目標とする個人だけででなく一般大衆にも多く影響する。特に政府による暗号化の全面禁止又は犯罪化は通信する安全な手段を持つ事をその法域内のあらゆる利用者にできなくするものであって正当化され得ない。キー預託制度は蓄積の容易性に依存し、蓄積されたキーをサイバー攻撃に晒すものであるから、重大な脆弱性を持つ。さらに、暗号化における強制バックドアは犯罪被疑者又はセキュリティの脅威として特定される特別な利用者に関する利便性を超える法的責任を作り出す。それは全利用者のプライバシーとセキュリティを脅かし、彼らを政府のみならず犯罪ネットワークを含む政府以外の者による違法な介入に晒す事になる。許諾及び登録を求める事は暗号化ソフトウェアが利用可能な弱さを含む事を求める事であって、同様にその影響はバランスを欠く。この様な悪影響は制約を課す法域に必ずしも閉じない。むしろある国の法域によって一度確立されたバックドアが世界の他の領域で用いられるソフトウエアの一部になると思われる。

26.…一度暗号化されたメッセージの内容は送信者と受信者以外によってアクセスされ得ないものであるから、あらゆる一般的な監視義務はサービスプロバイダーに通信の暗号化を放棄するか暗号化前のメッセージへのアクセスをしようとする事を強いるものである。…」

 もう1つは、第34段落で以下の様に引用されている、2022年7月28日の欧州データ保護委員会及び欧州データ保護監督官の児童の性的虐待を防止するための欧州規制案に対する共同意見である。(欧州データ保護委員会の報告書掲載ページ又は欧州データ保護監督官の報告書掲載ページ参照。)

34. On 28 July 2022 the European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse. It provides as follows (footnotes omitted):

"Executive summary

... measures permitting the public authorities to have access on a generalised basis to the content of a communication in order to detect solicitation of children are more likely to affect the essence of the rights guaranteed in Articles 7 and 8 of the Charter ...

The EDPB and EDPS also express doubts regarding the efficiency of blocking measures and consider that requiring providers of internet services to decrypt online communications in order to block those concerning CSAM [child sexual abuse material] would be disproportionate.

Furthermore, the EDPB and EDPS point out that encryption technologies contribute in a fundamental way to the respect for private life and confidentiality of communications, freedom of expression as well as to innovation and the growth of the digital economy, which relies on the high level of trust and confidence that such technologies provide. Recital 26 of the Proposal places not only the choice of detection technologies, but also of the technical measures to protect confidentiality of communications, such as encryption, under a caveat that this technological choice must meet the requirements of the proposed Regulation, i.e., it must enable detection. This supports the notion gained from Articles 8(3) and 10(2) of the Proposal that a provider cannot refuse execution of a detection order based on technical impossibility. The EDPB and EDPS consider that there should be a better balance between the societal need to have secure and private communication channels and to fight their abuse. It should be clearly stated in the Proposal that nothing in the proposed Regulation should be interpreted as prohibiting or weakening encryption ...

4.10 Impact on encryption

96. European data protection authorities have consistently advocated for the widespread availability of strong encryption tools and against any type of backdoors. This is because encryption is important to ensure the enjoyment of all human rights offline and online. Moreover, encryption technologies contribute in a fundamental way both to the respect for private life and confidentiality of communications ...

97. In the context of interpersonal communications, end-to-end encryption ('E2EE') is a crucial tool for ensuring the confidentiality of electronic communications, as it provides strong technical safeguards against access to the content of the communications by anyone other than the sender and the recipient(s), including by the provider. Preventing or discouraging in any way the use of E2EE, imposing on service providers an obligation to process electronic communication data for purposes other than providing their services, or imposing on them an obligation to proactively forward electronic communications to third parties would entail the risk that providers offer less encrypted services in order to better comply with the obligations, thus weakening the role of encryption in general and undermining the respect for the fundamental rights of European citizens. It should be noted that while E2EE is one of the most commonly used security measures in the context of electronic communications, other technical solutions (e.g., the use of other cryptographic schemes) might be or become equally important to secure and protect the confidentiality of digital communications. Thus, their use should not be prevented or discouraged too.

98. The deployment of tools for the interception and analysis of interpersonal electronic communications is fundamentally at odds with E2EE, as the latter aims to technically guarantee that a communication remains confidential between the sender and the receiver ...

100. The impact of degrading or discouraging the use of E2EE, which may result from the Proposal needs to be assessed properly. Each of the techniques for circumventing the privacy preserving nature of E2EE presented in the Impact Assessment Report that accompanied the Proposal would introduce security loopholes. For example, client-side scanning would likely lead to substantial, untargeted access and processing of unencrypted content on end user's devices ... At the same time, server-side scanning, is also fundamentally incompatible with the E2EE paradigm, since the communication channel, encrypted peer-to-peer, would need to be broken, thus leading to the bulk processing of personal data on the servers of the providers.

101. While the Proposal states that it 'leaves to the provider concerned the choice of the technologies to be operated to comply effectively with detection orders and should not be understood as encouraging or discouraging the use of any given technology', the structural incompatibility of some detection orders with E2EE becomes in effect a strong disincentive to use E2EE.

The inability to access and use services using E2EE (which constitute the current state of the art in terms of technical guarantee of confidentiality) could have a chilling effect on freedom of expression and the legitimate private use of electronic communication services ..."

34.欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPB)は児童の性的虐待を防止するための規制についての欧州議会及び理事会の規則提案に対し共同意見4/2022を採択した。それには次の様に記載されている(脚注省略)。

「要旨

…公的当局が一般的な基礎に基づき児童の勧誘を検知するために通信の内容にアクセスする事を許す措置は欧州人権条約の第7及び8条において保障される権利の本質に影響を与えると思われる…

EDPB及びEDPSはブロッキング措置の有効性に関する疑義を表明し、CSAM(児童の性的虐待マテリアル)に関するものをブロックするためにオンライン通信を復号する事をインターネットサービスのプロバイダーに求める事はバランスを欠くものであろうと考える。

さらに、EDPB及びEDPSは、暗号化技術は私的生活の尊重及び通信の秘密、表現の自由並びにイノベーション及びその様な技術が提供する高水準の信頼と信用に依拠するデジタル経済の成長に基本的なやり方で寄与するものである事を指摘する。提案の前文26は、検知技術の選択のみなら暗号化等の通信の秘密を保護するための技術的手段の選択は、この技術の選択は提案させる規則の求めに合致しなければならない、すなわち、検知を可能としなければならないという要請を受けるとしている。この事は、プロバイダーは技術的な不可能性に基づく検知命令の実行を拒否できないとする、提案の第8条第3項及び第10条第2項から得られる考えを支持するものである。EDPB及びEDPS安全な私的通信チャネルを持つという社会的な必要性とその濫用に立ち向かうというものとの間でより良いバランスが取られるべきであると考える。提案されている規則における如何なるものも暗号化を禁止又は弱めるものと解釈されてはならないと提案に明記されるべきである。…

4.10 暗号化に与える影響

96.欧州データ保護当局は常に強い暗号化を広く入手可能とする事を唱導しながらあらゆる種類のバックドアに反対して来た。これは、暗号化あらゆる人権のオフライン及びオンラインでの享受を保証するために重要だからである。さらに、暗号化技術は私的生活の尊重及び通信の秘密の両方に基本的なやり方で寄与するものである。…

97.個人間の通信の文脈において、エンド・ツー・エンド暗号化(「E2EE」)は、プロバイダーによるものを含め、送信者と受信者以外の者による通信の内容へのアクセスに対する強力な技術的保障を与えるものであるから、電気通信の秘密を保証する上で極めて重要なツールである。如何なる形にせよ、E2EEの使用を抑止する又は妨げる事、サービスプロバイダーにそのサービスの提供以外の目的のために電気通信データを処理する義務を課す事、又は、それらに事前に電気通信を第三者に渡す義務を課す事は、プロバイダーがより良く義務を果たす事ためにより少なく暗号化サービスを提供する事になり、その様にして一般的に暗号化の役割を弱体化し、欧州市民の基本的な権利に対する尊重を蔑ろにする恐れを必然的にもたらす事であろう。E2EEが電気通信の内容に関して最も一般的に使われているセキュリティ手段の一つである一方、他の技術的解決手段(例えば、他の暗号スキームの使用)もデジタル通信の秘密を守り、保護するために等しく重要なものであり得るか、そうあるであろう事も注意されるべきである。この様に、その使用は抑止されたり、妨げられたりされるべきものではない。

98.個人間の電気通信の傍受及び分析のためのツールの発展とE2EEは、後者が送信者と受信者の間で通信が秘密に保たれる事を技術的に保障する事を目的とするだけ、相反するものである。…

100.提案からもたらされ得る、E2EEの使用が低下させられるか妨げられる事の影響は適切に評価される必要がある。提案に付随する影響評価報告書に示された、E2EEのプライバシーを保つ性質を回避するための技術はいずれもセキュリティに穴を開けるものと思われる。例えば、クライアントサイドのスキャニングは実質的にエンドユーザーの機器における非暗号化コンテンツに対する非ターゲット型のアクセス及び処理に至るであろうものである…同時にサーバーサイドのスキャニングも、ピア・ツー・ピアで暗号化された通信チャネルが破壊される必要があり、その様にしてプロバイダーのサーバーにおける個人データバルクの処理に至るであろうものでって、E2EEプログラムと本質的に合致しないものである。

101.提案には、それは『関係するプロバイダーに検知命令に有効に合致するように実施される技術の選択は委ねられており、既存のいずれの技術の使用も推奨するか妨げるかするものと理解されるべきではない』と記載されているが、E2EEとある検知命令が構造的に合致不可能である事は実際にE2EEを使用する事に対する強いディスインセンティブとなるものである。E2EEを利用するサービスにアクセスし、それを使用する事ができない事は表現の自由及び電気通信サービスの合法的な私的使用に対する萎縮効果をもたらし得る…」

 これらの内、前者でも児童ポルノを理由とした暗号化の制限について言及されており、さらに、後者は今現在ヨーロッパで大きな問題とされている、2022年5月11日に欧州委員会から提案された児童の性的虐待対策のための欧州規則案に反対するものとして特に書かれたものである。欧州人権裁が、児童ポルノを理由としたとしても一般的かつ網羅的な通信の監視のために暗号化通信に対するバックドアの導入を強制するといった技術的検閲は基本的な権利に照らして問題があるとする、これらの国際機関の報告書を引用し、同じ論理を用いた事は、ヨーロッパを中心とする昨今の議論において大きな影響を与えずにはおかないだろう。

 ここで児童の性的虐待対策のための欧州規則案の条文の詳細な分析まではしないが、その英語版Wikipediaにも書かれている通り、2022年5月の欧州委員会による提案以降、主として、暗号化通信も含むあらゆる通信に対して適用され得る、児童ポルノ(性的虐待マテリアル)に関するインターネットサービスプロバイダーの検知義務や政府の検知命令について、あらゆるチャットをコントールする実質的な検閲であるとしてヨーロッパで大きな批判が巻き起こっており、この欧州人権裁の判決はそこに一石を投じたのである。

 この欧州規則案に強く反対している欧州海賊党のパトリック・ブレイヤー欧州議会議員が、そのチャットコントロールに関するページでさらに詳しいタイムラインを書いており、最近の6月20日の記事でも、幸いな事に、今現在案を検討している欧州理事会で1つの立場を決定する事に失敗した事を報告している。(なお、同議員が記事の中で触れている、シュピーゲル誌の記事(ドイツ語)でも、アメリカのフェイスブック等から児童の性的虐待に関するものとして当局に通報がされた大量のチャットの多くは関係のないものであったと言われているという事がある。事実の確認はできないが、通報の数の多さからその通りではないかと思えるものであり、この様な事も当然反対の論拠の1つとなるだろう。)

 ブレイヤー議員のページで今後の検討予定について書かれている事からも分かる通り、この規則の導入を支持している側の各国はまだ完全に諦めたものとは見えないが、今回の欧州人権裁の判決を敷衍すれば、何を理由として如何なる形を取るにせよ、あらゆる通信に対する一般的かつ網羅的な監視を行うために暗号化通信に対するバックドアの導入を強制するといった様な技術的検閲は基本的な権利に抵触するものとして認められる余地はないと言っていいのではないかと私も思う。私としても、欧州規則案が最終的に廃案になる事を、また、自由と民主主義を基本とする国であれば共通して通用するものである今回の欧州人権裁の判決で示された考えが世界に広まる事を願ってやまない。

 また、最後に、この欧州人権裁の判決について取り上げ、協力して欧州規則案に対して反対運動を展開している有名な団体として、欧州デジタルライツ(EDRi)や電子フロンティア財団(EFF)などがあるので(EDRiの欧州人権裁判決に関する記事EDRiの欧州規則案に反対する共同宣言に関する2024年7月1日の記事EFFの欧州人権裁判決に関する記事EFFの欧州規則案に反対する共同宣言に関する2024年7月1日の記事参照)、合わせ紹介しておく。

| | コメント (0)

«第498回:知財計画2024の文章の確認、やはり空疎な新クールジャパン戦略他