現在デンマーク議長国が推進している「児童性的虐待（CSA）に関するEU規則案」は、プライバシーを破壊し、欧州企業に深刻な損害を与える恐れがある。暗号化されたものであっても、プロバイダーにすべてのメッセージのスキャンを強制することで、この法律は事実上、安全なコミュニケーションを禁止し、すべての人の私生活に危険なバックドアを開くことになる。このため、Chat Controlは最も批判されている法律の一つです。

Tuta Mailでは、強力なエンドツーエンドの暗号化は交渉の余地がありません。それは、自由で民主的な社会を可能にする、オンラインでの安全なコミュニケーションの基礎です。暗号化を弱めることは、誰も安全にすることはできません。ヨーロッパのビジネスに対する信頼を失い、ヨーロッパのハイテク産業に損害を与えるだけです。

「もしChat Controlが可決されれば、暗号化プロバイダーとして我々には2つの選択肢がある。そして私たちは戦うことに決めました。私たちは決して暗号化を弱めたり、バックドアにしたりしません。

Tutaは、欧州のプライバシー第一主義企業40社以上、および45,000社以上のデジタル中小企業を代表する欧州デジタル中小企業同盟とともに、EU加盟国の閣僚に対し、欧州のデジタル主権を守り、集団監視を常態化させ暗号化を弱めるこの法律案を拒否するよう要請する。

以下の公開書簡の全文を読み、欧州が大量スキャンよりも自由と安全を選択しなければならない理由を学んでください。

---

CSA規制案に関するEU加盟国への公開書簡

EU加盟国の内務大臣、法務大臣、デジタル化担当大臣、経済担当大臣各位、

私たち、以下に署名した欧州の企業、および欧州全域の45,000以上のデジタル中小企業を代表する欧州デジタル中小企業同盟は、児童性的虐待（CSA）に関する規制案について深い懸念を抱いています。子どもたちを保護し、私たちのサービスやインターネット全般において誰もが安全に利用できるようにすることは、プライバシーを重視する企業としての私たちの使命の中核をなすものです。プライバシーは基本的な権利であり、大人にとっても子どもにとっても、オンラインにおける信頼、安全、自由を支えるものです。しかし、デンマーク議長国がとる現在のアプローチは、すべての人にとってインターネットの安全性を低下させるだけでなく、EUの最も重要な戦略目標のひとつである、より高いレベルのデジタル主権への 進展を損なうものであると確信しています。

デジタル主権は欧州の戦略的未来

不安定さを増す世界において、欧州は欧州の価値観に沿った独自の安全なデジタルインフラ、サービス、技術を開発し、管理できる必要がある。こうしたリスクを軽減する唯一の方法は、革新的な欧州の技術プロバイダーに権限を与えることである。

デジタル主権が重要なのは、以下の2つの理由からである:

• 経済的自立 :欧州のデジタルの未来は、自国のビジネスの競争力にかかっている。しかし、欧州のサービスに、暗号化されたメッセージであっても、クライアントサイドスキャンを使用してすべてのメッセージをスキャンすることにより、そのセキュリティ基準を弱めることを強制することは、オンラインにおけるユーザーの安全を損ない、欧州の高いデータ保護基準に反することになる。そのため、欧州のユーザー（個人も企業も同様）やグローバルな顧客は、欧州のサービスに対する信頼を失い、海外のプロバイダーに頼ることになるだろう。これにより、欧州は、現在欧州のルールを尊重していない米国や中国のハイテク企業への依存度をさらに高め、欧州圏の競争力を損なうことになる。
• 国家安全保障 :暗号化は国家安全保障に不可欠である。実質的にバックドアやその他のスキャン技術に相当するものを義務付けることは、敵対的な国家行為者や犯罪者に悪用される可能性のある脆弱性を必然的に生み出すことになる。まさにこの理由から、各国政府は提案されたCSAのスキャン義務から免除されました。とはいえ、CSA規則が前進すれば、企業、政治家、市民の多くの機密情報が危険にさらされることになる。CSA規則は、ヨーロッパの重要インフラ、企業、国民を保護する能力を弱めるだろう。

CSA規則は欧州企業の信頼を損なう。

信頼は欧州の競争優位性である。GDPRと欧州の強力なデータ保護の枠組みのおかげで、欧州企業はデータ保護、セキュリティ、完全性において世界中のユーザーから信頼されるサービスを構築してきた。この評判は苦労して勝ち得たものであり、欧州を拠点とするサービスには、大手ハイテク独占企業には決してかなわない独自のセールスポイントがある。これは、ハイテク分野で欧州が米国や中国に対して持っている数少ない、あるいは唯一の競争上の優位性であるが、CSA規則はこの成功を覆す危険性がある。

この法文は、欧州のビジネスを国際的に差別化するセキュリティ保証そのものを弱めることを強要することによって、欧州の倫理的でプライバシーを最優先するサービスを弱体化させるだろう。これは、たとえEU法で義務付けられたとしても、米国政権が自国の企業が暗号化を弱めることを明確に禁じている状況においては、特に問題である。

結局のところ、CSA規制は米国と中国の企業にとって福音となる。欧州は唯一の競争上の優位性を失い、ビッグテックへの門戸をさらに広げることになるからだ。

矛盾が欧州のデジタルへの野心を弱める

EUは、NIS2、サイバー・レジリエンス法、サイバーセキュリティ法などの施策を通じて、サイバーセキュリティの強化に取り組んできた。これらの政策は、欧州のデジタル独立に暗号化が不可欠であることを認めている。しかし、CSA規則は、システム上の脆弱性を事実上義務付けることによって、これらの成果を損なってはならない。

欧州が片方の手でサイバーセキュリティに投資する一方で、もう片方の手でサイバーセキュリティに反対する法律を制定するのは支離滅裂である。

欧州の中小企業が最も大きな打撃を受ける

クライアントサイド・スキャニングの実施が義務付けられた場合、中小企業が最も大きな打撃を受けるだろう。大手テクノロジー企業とは異なり、中小企業は多くの場合、侵入的な監視メカニズムを開発・維持するための資金的・技術的なリソースを持っていないため、コンプライアンスが法外なコストを課したり、市場からの撤退を余儀なくされたりすることになる。さらに、中小企業の多くは、最高レベルのデータ保護とプライバシーを提供することで、独自の市場ポジションを築いています。特にヨーロッパでは、多くの中小企業が大手テクノロジー企業の製品ではなく、中小企業の製品を選ぶ決定的な要因となっています。クライアントサイド・スキャンを義務化することは、多くの欧州企業のこの核となる価値提案を損なうことになる。

これは、欧州のイノベーションを窒息させ、海外プロバイダーの優位性を確固たるものにするだろう。欧州は、活気に満ちた独立したデジタル・エコシステムを構築する代わりに、自国の企業を市場から締め出す危険を冒すことになる。

以上の理由から、我々は以下のことを求める:

• 現在デンマークで提案されている CSA 規制に関する理事会見解のような、クライアントサイド・スキャン、バックドア、個人通信の大量監視を強要するような措置を拒否すること。
• 欧州のサイバーセキュリティとデジタル主権を強化するため、暗号化を保護する。
• 欧州の企業が国際的に築いてきた信頼を守る。
• EUの規制が欧州の中小企業の競争力を損なうのではなく、むしろ強化するようにする。
• 欧州の戦略的目標であるデジタル主権に適合する、効果的かつ適切な児童保護措置を追求する。

欧州が、暗号化された環境をスキャンするよう設計されたクライアントサイド・スキャンやその他同様のツールや方法論を義務付けることによって、自国のビジネスのセキュリティと完全性を損なうようであれば、デジタル主権を達成することはできない。グローバルなデジタル経済をリードするために、EUはプライバシー、信頼、暗号化を保護しなければならない。

署名者

ブラックナイト（アイルランド）

Commown（フランス）

クリプトパッド（フランス）

エコシア（ドイツ）

エレメント（ドイツ）

E-Foundation（フランス）

欧州デジタル中小企業同盟（EUの中小企業45,000社を代表するEUの業界団体）

ファビアーノ法律事務所（イタリア）

FlokiNET（アイスランド）

FFDN（フランス）

Gentils Nuages（フランス）

Hashbang（フランス）

ハインライン・グループ（ドイツ）

LeBureau.coop（フランス）

ロジラボ（フランス）

メールボックス（ドイツ）

メールフェンス（ベルギー）

Murena（フランス）

ネクストクラウド（ドイツ）

Nord Security（リトアニア）

Nym（フランス／スイス）

Octopuce（フランス）

Olvid（フランス）OpenCloud（ドイツ）

オープントーク（ドイツ）

フェニックスR&D（ドイツ）

プロトン（スイス）

スカイラブ（アイルランド）

ソルウェアAy（フィンランド）

ソベリン（オランダ）

スタートメール（オランダ）

サーフシャーク（オランダ）

TeleCoop（フランス）

グッドクラウド（オランダ）

Tuta Mail (ドイツ)

Volla Systeme GmbH（ドイツ）

WEtell（ドイツ）

ワイヤー（スイス）

XWiki SAS（フランス）

ツァイトカプスル（オーストリア）