Tuta社のCEOであるMatthias Pfau氏は、EUがこのような道を歩み続ければ、プライバシーを重視する革新的な企業や市民の信頼を失う危険性があると警告する:
「強力な暗号化は、人権とヨーロッパのデジタル・インフラを守るために不可欠です。法執行機関に例外的なアクセスを認めようとする試みは、危険な脆弱性をもたらすだろう。技術的な “特効薬 “はなく、“善人のみ “のアクセスは不可能です。クライアント・サイド・スキャンのようないわゆる解決策は、暗号化を弱体化させ、犯罪行為者や国家による監視など、すべての人にバックドアを開くことになる。私たちは、暗号化に関する技術ロードマップを策定する際、決してセキュリティを弱めないようEUの指導者に強く求めます」とTuta MailのCEOであるMatthias Pfauは言う。
暗号化はすべての人のセキュリティの基本であり、それを弱めることは壊滅的な結果をもたらす可能性がある。最近の中国のハッカーによる米国の通信プロバイダーへの攻撃で証明されたように。これは米国史上最悪のセキュリティ侵害のひとつであり、こうした時代遅れの通信システムがエンド・ツー・エンドの暗号化を使用していなかったからこそ可能だったのだ。ソルト・タイフーンのハッキングの後、スウェーデン軍とアメリカのサイバーセキュリティ・インフラ・セキュリティ局(CISA)は、機密通信を保護するためにエンド・ツー・エンドで暗号化されたWhatsAppの代替手段であるSignalを推奨した。
Tutaは、暗号化に対するバックドアを許してはならないと主張する。なぜなら、悪意ある行為者はバックドアを悪用するからだ。
ProtectEUに反対する主な理由
-
基本的権利と安全保障への脅威 :暗号化に関する技術ロードマップを策定するというEUの計画には、暗号化されたデータへの法執行機関のアクセスを可能にするという考えが含まれている。
-
技術的に不可能 :暗号の専門家は、暗号化を弱めることなくそのようなアクセスを提供することは不可能だと強調する。「例外的なアクセス」は、悪意のある行為者や権威主義政権が悪用できる脆弱性をもたらす。
-
欠陥のある解決策 :クライアント・サイド・スキャンのような提案はプライバシーを保護するものではなく、一括監視を可能にし、セキュリティ侵害のリスクを増大させる。
-
暗号化はエンド・ツー・エンドでなければならない :強力な暗号化は、ヨーロッパ全域の人権と安全なデジタル・インフラを守るために極めて重要である。
2025年5月26日、EUへの公開書簡
89の市民団体、企業、サイバーセキュリティ専門家がEU委員会に対し、強力な暗号化を支持するよう要請
要約すると、ProtectEUに関する公開書簡は、人権が尊重・維持され、EUがデータ保護が保証されたIT市場として世界的な評価を維持することを望んでいる。我々の公開書簡では、次のことを強調している:
-
強力な暗号化はEUの安全保障の障害ではなく、そのための前提条件であり、エンド・ツー・エンドの暗号化の普及を、現在の地政学的状況におけるサイバーセキュリティとEUのレジリエンスを向上させるツールと位置づける。
-
暗号化はEUとその市民にとって有益であり、EUの既存の安全保障戦略に沿ったサイバー防衛を強化するために必要である。
ヘンナ・ヴィルクネン技術主権・安全保障・民主主義担当副総裁およびマグナス・ブルンナー内務・移民委員会担当副委員長 各位
Global Encryption Coalitionのメンバーを含む、以下に署名した市民社会組織、企業、サイバーセキュリティの専門家は、最近発表された欧州域内安全保障戦略(Protect EU)がエンドツーエンドの暗号化に及ぼす潜在的な影響について、緊急に懸念を表明します。
4月1日、欧州委員会は、急速に進化する地政学的状況の中で、欧州連合(EU)の安全保障上の懸念に対処するための新しい5カ年戦略「ProtectEU」を発表した。この戦略には、欧州委員会が「暗号化に関する技術ロードマップ」を作成し、法執行当局が暗号化されたデータに合法的にアクセスできるようにする技術的解決策を特定・評価するという意図が含まれている。
我々は、地政学的な不安定さが増している時に、セキュリティへの取り組みを強化することの重要性を認識しているが、技術ロードマップの枠組みには懸念を抱いている。世界の他の国々の政府機関は、増大するセキュリティの脅威からサイバースペースの完全性を守るために、エンド・ツー・エンドの暗号化を積極的に奨励している。エンドツーエンドの暗号化を含む強力な暗号化は、サイバー攻撃、ハイブリッド脅威、スパイ活動、重要インフラへの攻撃から欧州連合を守る重要なサイバーセキュリティツールである。
欧州委員会自身も、ネットワークと情報のセキュリティに関する改正指令(NIS2)に反映されているように、サイバースペースの完全性を守るための努力と投資を強化する必要性を認めている。改正指令は、プラットフォームやサービス・プロバイダーに対し、そのシステムやサービスの機密性、完全性、可用性を保護するため、暗号化を含む適切かつ適切なサイバーセキュリティ・リスク管理措置を実施する義務を導入している。欧州データ保護監督機関はこのメッセージに賛同し、「暗号化の制限は経済と社会一般に重大なリスクをもたらす」と述べている。
しかし、このような背景から、欧州委員会が暗号化を弱めたり回避したりする方法を特定することに焦点を当て続けていることに、私たちは深い懸念を抱いている。これは、ProtectEU戦略の下で、より高度なサイバー脅威に直面した場合の回復力と備えの重要性を強調する欧州委員会自身の安全保障目標を損なうものである。暗号化を弱体化させることは、安全な通信やシステムの基盤そのものを弱体化させ、個人、企業、公共機関が攻撃に対してより脆弱になることを意味する。
欧州連合(EU)では、暗号化されたデータへの法執行機関のアクセスを許可するために、過去から現在に至るまで、主にクライアント・サイド・スキャン(暗号化メカニズムが始まる前にユーザー・デバイスをスキャンすることで暗号化を回避する技術)に焦点を当ててきた。スキャニングは、エンド・ツー・エンドの暗号化の約束に違反するだけでなく、犯罪者や敵対的な国家行為者によって悪用される可能性のある脆弱性を生み出す。技術専門家の間では、暗号化回避ツールが国家安全保障を脅かす新たなリスクを生み出すというコンセンサスが広まっており、この懸念は最近、スウェーデンとオランダの加盟国当局によって表明された。欧州人権裁判所と欧州連合基本権庁は、「すべてのユーザーに対して暗号化メカニズムを弱める」法的要件は、EU基本権憲章に照らして不釣り合いであると強調している。
欧州委員会が発表した技術ロードマップは、英国の「セーフティ・テック・チャレンジ」のように、暗号化回避ツールを特定するために他の政府が行った取り組みを反映したものである。英国の取り組みの場合、選ばれた独立した第三者評価機関であるREPHRAINは、結果として得られた概念実証のどれもが、人権、セキュリティ、説明責任、その他の基準に関する評価枠組みを満たしていないことを発見した。私たちは、EUが同様のアプローチをとれば、同じ結果になり、貴重な資源を浪費することになると考える。
我々は欧州委員会に対し、以下のことを求める:
-
強力な暗号化はEUの安全保障の障害ではなく、そのための前提条件であることを認識し、エンド・ツー・エンドの暗号化の普及を、現在の地政学的状況においてサイバーセキュリティとEUのレジリエンスを推進するためのツールと位置づけること。
-
暗号化に関する技術ロードマップを再構築し、暗号化の利点を強調するとともに、EUの既存の安全保障戦略に沿ったサイバー防衛強化のための利用拡大分野を特定する。
-
法執行機関だけでなく、サイバーセキュリティの専門家、市民社会、デジタル著作権擁護団体、民間企業など、幅広い視点から技術ロードマップを作成すること。信頼性が高く、バランスの取れたロードマップを目指す将来のロードマップは、潜在的な技術的能力の実現可能性と、その社会的、技術的、法的影響を考慮しなければならない。
ご回答は、インターネット・ソサエティ(voge@isoc.org)のガバメント・アフェアーズ&アドボカシー担当ディレクター、カラム・ヴォーゲ氏、および民主主義と技術センター・ヨーロッパ(sperez@cdt.org)のセキュリティ・監視・人権プログラム・ディレクター、シルビア・ロレンゾ・ペレス氏宛にお願いいたします。
署名団体
3ステップデータ
ACT|アプリ協会
アフリカ・メディア・情報技術イニシアティブ(AfriMITI)
アフリカ農村インターネット・STEMイニシアチブ(AFRISTEMI)
オルタナティヴ・ビリシム
AMS-IX
ビッグ・ブラザー・ウォッチ
ビッツ・オブ・フリーダム
ブラックナイト
ブロックチェーン協会
組織的ヘイト研究センター(CSOH)
ヨーロッパ民主主義技術センター
ラテンアメリカインターネット研究センター(Centro Latinoamericano de Investigaciones Sobre Internet
カオス・コンピュータ・クラブ
コムニタテア・インターネット協会
サイバーセキュリティ・アドバイザーズ・ネットワーク(CyAN)
デーンズ・ニュー・ダン、インターネット・セキュリティ協会
データパンクス
デジタル協会
デジタル・ライツ・アイルランド
デジタル・ソサエティ
Državljan D / シチズンD
eco - インターネット産業協会
電子フロンティア・フィンランド - Effi ry
電子フロンティア財団
電子フロンティア・ノルウェー
エレメント
エメラルド・オニオン
Epicenter.works
EuroISPA - 欧州インターネット・サービス・プロバイダー協会
ヨーロッパ・デジタル・ライツ(EDRi)
FiCom ry
報道の自由財団
グローバル・パートナーズ・デジタル
ヘルメス・センター
インターネット・アーキテクチャ委員会
インターネット・オーストラリア
インターネット協会
インターネット協会ブラジル支部
インターネット・ソサエティ・カタロニア支部 (ISOC-CAT)
インターネット・ソサエティ・マリ支部
インターネット・ソサエティ・ネパール支部
インターネットソサエティ・ポルトガル支部
IT-Pol デンマーク支部
日本ネットワークインフォメーションセンター
JCA-NET
クラインダテンフェライン
LGBTテック
Matrix.org財団
モジラ
オープンメディア
フェニックスR&D有限会社
ポリティスコープ
カナダプライバシー&アクセス評議会
PrivID, Inc
プロトン
SABOA財団
セキュアクリプト
スカイプラボ
ステートウォッチ
SUPERRR Lab
サーフシャーク
テック・フォー・グッド・アジア
ツタメール
ヴィルコス・テクノロジー
Vrijschrift.org
ウィキメディア・ヨーロッパ
Xnet民主的デジタル化研究所
X-Lab
個人のサイバーセキュリティ専門家
ジョン・カラス、インディアナ大学
ソフィア・セリ、ブレイブ
クラウディア・ディアス、ルーヴェン工科大学
ドナルド・E・イーストレイク3世、無所属
ニコラ・ファビアーノ、ファビアーノ法律事務所
スティーブン・ファレル(トリニティ・カレッジ・ダブリン
八田真行 駿河台大学
マロリー・クノデル、ニューヨーク大学
サッシャ・マインラス(X-Lab
ピーター・ノイマン、ACMリスク・フォーラム・モデレーター
リアナ・フェッファコーン(スタンフォード大学
ジョナサン・ルーデンバーグ、グレース
ブルース・シュナイアー
アダム・ショスタック、『Threat Modeling』著者:セキュリティのための設計
ユージン・H・スパフォード パデュー大学
アスリ・テリ、ケルン大学
ピーター・トマッセン、deSEC
ケン・ホワイト
マシュー・ライト、ロチェスター工科大学
フィリップ・ツィンマーマン(デルフト工科大学サイバーセキュリティ名誉准教授
2025年5月5日EUへの公開書簡
学者、技術者、その他の専門家が、暗号化に関するEU技術ロードマップにおいて重要な役割を果たすよう要請
ヘンナ・ヴィルクネン技術主権・安全保障・民主主義担当副総裁殿
以下に署名した関係者は、人権とテクノロジーに精通した市民社会組織、科学者、研究者、その他の専門家です。欧州委員会は4月1日、新たな国内安全保障戦略(ProtectEU)を発表し、安全保障上の脅威に対する欧州の対応を調整することを目的に、今後5年間の計画を定めた。欧州のすべての人々と地域社会に安全、保護、正義を提供することは、EUの重要な使命の一部である。そのためには、社会問題を根本から解決し、適切な構造的解決策を提供するための、すべての機関による証拠に基づく総合的なアプローチが必要である。
この観点から、私たちは、法執行当局によるデータへのアクセスに関する予見された枠組みが、基本的権利の行使と私たちの集団的サイバーセキュリティを損なう危険性があることを懸念している。特に、「暗号化に関する技術ロードマップを作成し、法執行当局が暗号化されたデータに合法的な方法でアクセスできるようにする技術的解決策を特定し、評価する」という点には、いくつかの疑問がある。
EUレベルでの過去および最近の試みから、私たちは、「特効薬」のような技術的「解決策」は効果がないだけでなく、最も保護を必要とする人々を含め、有害な結果をもたらすことを知っている。悪意ある行為者や抑圧的な政府が悪用できる脆弱性を生み出すことなく、エンド・ツー・エンドで暗号化された通信に法執行機関が例外的にアクセスできるようにすることが技術的に不可能であることについては、広く科学的なコンセンサスが得られている。専門家は、クライアントサイドスキャンのような最新の技術でさえ、安全でプライバシーを保護すると宣伝しているが、実際にはプライバシーを侵害し、一括監視を可能にし、セキュリティ侵害のリスクを増大させていることを発見した。暗号化は、人々の権利と自由、そして活気に満ちた安全なコミュニティ、市民社会、行政、産業の発展にとって極めて重要なツールである。複雑な脅威の状況と、私たちの生活のあらゆる側面におけるデジタル化の進展に直面して、暗号化は贅沢品ではなく、私たちが安全にオンラインを利用するための必須条件です。
私たちは、明らかに害を及ぼしているシステムにさらなる資源と時間を投資するのではなく、すべての利害関係者が協力して、科学的根拠に基づき、すべての基本的権利を尊重した、複雑な社会問題に対する長期的な解決策(技術的、非技術的の両面)を見出す必要があると確信しています。
欧州委員会は、「サイバーセキュリティと基本的権利を保護する」ことを意図しながら、この検討作業を行うとしている:
- 本書簡の署名者の代表者と欧州委員会との会合を持ち、我々の立場と貢献についてさらに議論すること;
- 私たちが有意義に参加できるよう、技術ロードマップのテーブルに、学者、独立技術者、技術・人権弁護士、これらの問題を専門とする市民社会関係者の席を設けること。
私たちはさらに、あなた方、あなた方の内閣およびサービスに専門的な技術ブリーフィングを提供するのに適した立場にあると確信しており、この目的のために私たち自身を喜んで利用できるようにしたいと思います。
敬具 技術および/またはデジタル著作権を専門とする市民社会組織
-
アクセス・ナウ(EU/国際)
-
ACT|アプリ協会
-
ANSOL|Associação Nacional para o Software Livre(ポルトガル)
-
テクノロジー・インターネット協会(Asociația pentru Tehnologie și Internet (ApTI))(ルーマニア
-
バングラデシュ無線通信NGOネットワーク(BNNRC)
-
ビッグ・ブラザー・ウォッチ(イギリス)
-
ビッツ・オブ・フリーダム(オランダ)
-
カオス・コンピュータ・クラブ(ドイツ)
-
ジャーナリスト保護委員会(CPJ)(ベルギー)
-
キプロス・コンピュータ協会 (CCS)
-
D64 - デジタル進歩センター (ドイツ)
-
スロベニア・コンピュータ協会 (DJND) (スロベニア)
-
Dataföreningen i Sverige(スウェーデン)
-
Dataföreningen Väst(西スウェーデン・コンピュータ協会)
-
ディフェンド・デモクラシー(オランダ/ベルギー)
-
Deutscher Anwaltverein (DAV)(ドイツ)
-
デジタル・ライツ・アイルランド(Digital Rights Ireland
-
Digital Gesellschaft e.V.(ドイツ)
-
Državljan D / Citizen D(スロベニア)
-
電子フロンティア財団(EFF)
-
電子プライバシー情報センター(EPIC)(米国)
-
ヨーロッパ・デジタル・ライツ(EDRi)
-
ホモ・デジタリス(ギリシャ)
-
Initiative für Netzfreiheit.(Netzfreiheit / IfNf)(オーストリア)
-
インターネット・ソサエティ(米国/国際)
-
ISOCインド・ハイデラバード支部
-
ISOCインド・ハイデラバード支部 (ISOC Hyderabad)
-
IT-Pol(デンマーク)
-
JCA-NET(日本)
-
パノプティコン財団(ポーランド)
-
Politiscope(クロアチア)
-
プライバシー・ファースト(オランダ)
-
プライバシー・インターナショナル
-
シェア財団(セルビア)
-
スロベニア・ソサエティ・インフォマティカ(SSI)
-
ステートウォッチ(イギリス)
-
ルーマニア情報技術通信協会(ATIC)
-
ヨーロッパ民主主義・技術センター(CDTヨーロッパ)
-
Xnet、民主的デジタル化研究所(スペイン)
テクノロジーおよび/またはデジタル著作権を専門とする個人署名者
-
アシスタントジョヴァンニ・アプルッツェーゼ教授(リヒテンシュタイン大学
-
アシスタントリリ・ネメク・ズラトラス教授(マリボル大学
-
カーステン・バウム助教授(デンマーク工科大学
-
アウレリ・ゴメス・イ・ビダル、クリティカル・インターネット・サービス・エンジニア
-
ドウエ・コルフ名誉教授(ロンドン・メトロポリタン大学
-
ダン・ボグダノフ博士、エストニア科学アカデミー
-
ダヴィッド・ガラディ=エンリケス博士、コルドバ大学
-
エヤル・ローネン博士、テルアビブ大学
-
クラリベイト、ジョルディ・コルティ博士
-
フアンホ・ロレンテ・アルベルト博士(バレンシア大衆大学
-
マリア・イグレシアス・カバジェロ博士、カルロス3世国立衛生研究所
-
スティーブン・ファレル博士、トリニティ・カレッジ・ダブリン
-
Eng.ホルヘ・ピント、独立技術者
-
フィリッポス・フランツォラス修士、ヘレニック・プロフェッショナルズ・インフォマティクス協会(HePIS)
-
ヘンリケ・カリフォルニア・メンデス、アプリケーション・セキュリティ・エンジニア
-
マティアス・プファウ、Tuta.com共同設立者、暗号専門家
-
アンニャ・レーマン教授、ポツダム大学ハッソ・プラットナー研究所
-
オーレリアン・フランシロン教授、EURECOM
-
ルーヴェン大学 バート・プレネル教授
-
MPI-SP&EPFL、カルメラ・トロンコソ教授
-
オーフス大学、ディエゴ・F・アラニャ教授
-
ダニエル・ローベンベルガー教授(情報科学研究機構安全研究部門
-
ヤープ・ヘンク・ホープマン教授(ラドバウド大学/カールスタード大学
-
ヨハネス・ケプラー大学リンツ校 レネ・マイホーファー教授
-
シモーネ・フィッシャー=ヒュブナー教授(カールスタード大学/チャルマース工科大学
-
アイントホーフェン工科大学 タニヤ・ランゲ教授
-
ウォータールー大学 イアン・ゴールドバーグ教授
-
ロンドン大学ロイヤル・ホロウェイ校 キース・マーティン教授
-
ケネス・G・パターソン教授(チューリッヒ工科大学
-
キモ・ハルネン教授(オウル大学
-
Levente Buttyán教授(ブダペスト工科経済大学 暗号・システムセキュリティ研究室長)
-
マヌエル・バルボサ教授(ポルト大学(FCUP)
-
マルコ・ホルブル教授(マリボル大学
-
キングス・カレッジ・ロンドン、マーティン・アルブレヒト教授
-
パノス・パパディミトラトスKTH王立工科大学教授
-
シモーナ・レヴィ教授、バルセロナ大学デジタル時代における技術政治と権利のポストディグリーディレクター
-
スルジャン・チャップクン教授(チューリッヒ工科大学
-
ステファノ・カルザヴァーラ教授(カ・フォスカリ・ヴェネツィア大学
-
マサリク大学、ヴァスラフ・マティアス教授
-
国立政治行政大学(SNSPA)、ヴァシレ・バラタッチ教授
-
シモーネ・アオンゾ博士(EURECOM
-
ウィーン工科大学、マッテオ・マフェイ教授
-
イギット・アイディナルプ(シェフィールド大学