暗号化は譲れない:プライバシーを損なわないようEUに公開書簡を送る

本日、55の専門家団体、メディア、人権団体、労働組合、ハイテク企業の連合は、EU閣僚に対し、基本的権利を促進し、安全なデジタル・エコシステムを支援するデジタル・セキュリティ・アジェンダを採択するよう求める共同書簡を発表した。書簡では、個人データへの法執行機関のアクセス拡大に関するハイレベル・グループ（HLG）の勧告に懸念を表明し、これらが大規模な監視につながり、プライバシーを損なうことを懸念している。

Tuta社のCEOであるMatthias Pfau氏は、EUがこの道を歩み続ければ、プライバシーを重視する革新的な企業や市民の信頼を失う危険性があると警告している:

「EUが暗号化を弱体化させる道を歩み続ければ、Tuta Mailのような企業がEU域内で活動することは不可能になるでしょう。EUがこのまま暗号化を弱体化させる道を歩み続ければ、Tuta Mailのような企業は国境内で活動することが不可能になるでしょう！もしEUが私たちを止めようとするなら、私たちは量子的安全性を持つ暗号化を損なうくらいなら、移転することを選びます。EUは、プライバシーを重視する革新的な企業を失い、市民の信頼を失う危険性があります」と、Tuta MailのCEOであるMatthias Pfau氏は言う。

暗号化を弱めることは、デジタル・セキュリティに深刻なリスクをもたらす。中国の国家を後ろ盾とする攻撃者による米国の通信プロバイダーへの最近のサイバー攻撃が示しているように。今回の米国でのセキュリティ侵害は、強固な暗号化の重要性を浮き彫りにしている。なぜなら、暗号化を弱めることは単なる政策的選択ではなく、すべての人の安全に対する脅威だからだ。 暗号化は、安全で信頼できるデジタル通信の基盤です。この基盤を損なうことは、悪意ある行為者に門戸を開き、市民、企業、政府の安全を脅かすことになる。

中国による米国のデジタル・インフラへの攻撃を受けて、米国当局者がエンド・ツー・エンドの暗号化通信ツールの使用を推奨するようになっている一方で、EUは暗号化を弱め、すべての人のデジタル・プライバシーを否定するような政策を議論し、反対の方向に進んでいる。強力な暗号化は、さまざまなオンラインの脅威から守るために不可欠であり、EUは、システム的な脆弱性を生み出す政策よりも、強固なセキュリティとプライバシーを優先しなければならない。

暗号化に対するバックドアという選択肢は決してない。なぜなら、悪意ある行為者はそれを悪用するからだ。

公開書簡のポイント

• 基本的権利の尊重: この書簡は、暗号化やデジタル・セキュリティ・システムを弱体化させ、個人データや通信を危険にさらす可能性のある「設計による合法的アクセス」のような措置に反対している。プライバシーの権利を守り、個人の安全と自由を守るために重要な暗号化を損なわないようにする必要性を強調している。

• プライバシーと職業上の秘密 この書簡は、法執行機関による無制限のアクセスを可能にする措置が、医師と患者、ジャーナリストと情報源、弁護士と依頼人の間など、職業上の秘密によって保護されている通信を含む、通信の秘密を損なう可能性があることを強調している。これらの保護は、言論の自由や表現の自由のような他の基本的権利を守るために不可欠である。

• デジタル・エコシステムのセキュリティ 書簡は、HLGの提案がGDPRのようなEUの強固なデジタル・セキュリティの枠組みを弱体化させ、デジタル・エコシステムの弱体化につながりかねないと警告している。不必要なデータの収集や傍受をサービス・プロバイダーに義務付けることは、セキュリティ・システムを劣化させ、脆弱性を生み出すことになると警告している。法執行のためのバックドアの実装は、悪意ある行為者による悪用にシステムをさらすことになると懸念している。

• EU企業への影響 書簡は、厳格な執行措置や制裁措置が小規模で安全なサービス・プロバイダーに損害を与え、市場から追い出される可能性があると指摘している。これは、EUのサイバーセキュリティの野心と安全なサービスを提供する能力に悪影響を及ぼすだろう。

政策立案者が、すべての人のプライバシーを損なうことなく、法執行のニーズと基本的権利の保護のバランスをどのようにとる必要があるかを理解するために、書簡の全文をお読みください。

---

公開書簡

基本的権利を促進し、安全なデジタル・エコシステムを支援するためのEUデジタル・セキュリティ・アジェンダを求める共同書簡

閣僚各位

私たち、以下に署名する専門家団体、メディア、人権団体、労働組合、テクノロジー企業は、正義、説明責任、基本的権利の尊重を確保し、安全なデジタル・エコシステムの発展を支援するEUデジタル・セキュリティ・アジェンダの必要性を強調するため、貴殿に書簡を送ります。

この文脈において、我々は、効果的な法執行のためのデータへのアクセスに関するハイレベル・グループ（HLG）が提示した勧告と報告書に関する懸念を共有したいと思います。法執行当局に個人データへの最大限のアクセスを認めるというHLGの全体的な目的に照らして、これらの勧告が将来のEUの政策および法律の基礎として採用された場合、私たちは、大規模な監視の重要なリスクと、セキュリティおよびプライバシーの実質的な脅威を認識する。 したがって我々は、この政策分野におけるEUの優先事項を定める際に、以下の勧告を考慮するよう強く要請する。

基本的権利を尊重し、デジタル空間の安全性と機密性を確保する。

私たちは、大量監視や基本的権利の侵害につながりかねない、法執行機関への自由な権限の付与に対して警告を発したいと思います。

特に、HLGが支持する**「設計による合法的アクセス」というコンセプトは** 、あらゆる技術の開発においてデータへの法執行機関のアクセスを主流化することを目的としており、私たちはこれを非常に懸念しています。実際には、暗号化に限らず、あらゆるデジタル・セキュリティ・システムをシステム的に弱体化させる必要がある。その結果、電子データと通信のセキュリティと機密性が損なわれ、すべての人の安全が危険にさらされ、人々の基本的権利が著しく侵害されることになる。 この考え方は、人権団体、データ保護、サイバーセキュリティの専門家、そして欧州人権裁判所（ECtHR）の法理が長年提唱してきた勧告に反するものである。

暗号化によって与えられる保護を迂回したり、弱めたりするような措置は、何百万人もの人々や公的機関にセキュリティとプライバシーの脅威をもたらし、より広範なデジタル情報のエコシステムに損害を与えることは必至だからだ。

さらに、データの保持とアクセスに関するEUの将来の調和された制度は、EU法に定められた必要性と比例性という法的要件、および集団監視に対する基本的権利の保護に関するEU司法裁判所（CJEU）とECtHRの確立された判例法を尊重しなければならないことを想起したい。この点で、モノのインターネットやインターネットベースのサービスを含む、事実上すべての情報社会サービスにデータ保持義務を拡大する提案は、個人データの対象を絞らない無差別な保持を要求することになるため、特に懸念される。このような広範かつ一般的な監視は、私生活が常に監視されているという感覚を人々の心に植え付けることになり、前述の要件に適合しているとは考えられない。

プライバシーの権利と保護された情報の不可侵性の堅持

プライバシーおよび通信の秘密に対する権利は絶対的なものではないが、基本的権利に対するいかなる干渉も、合法性、厳格な必要性、および比例性の原則に準拠していなければならない。 個人の詳細なプロファイルを作成することを可能にする個人データの一般的かつ無差別的な保持や、すべての私的通信のセキュリティを損なう措置は、これらの原則を満たしていません。

こうした一般的かつ無差別的な措置は、医師とその患者、ジャーナリストとその情報源、弁護士やソーシャルワーカーとその依頼人など、通信が職業上の秘密の対象となる人にも影響を及ぼす。これらの通信に認められる法的保護は、公正な裁判と弁護の権利、メディアと報道の自由を含む表現と情報の自由、思想と信教の自由、集会と結社の自由、社会扶助と医療を受ける権利など、その他の基本的権利を人々が効果的に行使するための不可欠の保証である。

我々は、法執行機関がデータにアクセスするために想定される広範な権限が、保護された通信の秘密および関連する基本的権利を妨害することを懸念する。これらの措置は、ジャーナリスト、人権擁護者、弁護士、活動家、政治的反体制派を標的にするために悪用される危険性がある。極めて重要なことは、EUは、法律専門家の特権または職業上の秘密の原則に該当するデータやその他の証拠の不可侵性を保証しなければならないということである。

安全で信頼できる多様なデジタル・エコシステムを支援する。

責任ある機器メーカーとサービスプロバイダーは、機器のセキュリティとサービスの信頼性向上に多大な資源を投入してきた。こうした技術革新は、プライバシー意識の高まるユーザーの要求に応えるだけでなく、サイバーセキュリティとデータ保護の分野でより高い基準の実施を担当する規制当局の要求にも応えている。プライバシーが絶え間なく攻撃されている世界において、人々の基本的権利と自由を保護するための高い法的基準を設定するデータ保護の枠組みのおかげで、EUは独自の優位性を保持している。

残念ながら、HLGのビジョンは、将来的に欧州の人々が信頼できるデジタルツールを選択する能力を損なう可能性がある。HLGは、事業者に広範で、時には矛盾した義務を課すことを推奨している。これには、サービス提供に必要な以上のユーザーデータを収集・保持すること、リアルタイムの傍受を可能にすること、法執行機関に復号化されたデータを提供すること、その一方でシステムの安全性を損なうことを避けることなどが含まれる。HLGはデジタル・セキュリティを損なわないことを意図しているが、実際には、通信システムのセキュリティを弱めることなく、エンド・ツー・エンドの暗号化の約束を破る技術的な方法はない。法執行のために意図されたバックドア、あるいはその他の迂回メカニズムは、数多くの例が示すように、常に他のアクターに悪用される可能性がある。

最後に、HLGはまた、EUの義務や法執行命令への不遵守を抑止し処罰するための厳しい制裁（行政制裁、商業禁止、禁固刑）を含む、憂慮すべき執行の枠組みを概説している。ここには、セキュアなサービスを提供する信頼できる事業者をEU市場から追い出すか、小規模または非営利の事業者であれば廃業に追い込むか、EUで設立された事業者であればセキュアなソリューションの開発を妨げるリスクがある。 言うまでもなく、これはEUのサイバーセキュリティへの取り組みと野心にとって非常に有害である。

法執行機関が利用できる捜査手段は、デジタル時代に適したものでなければならず、国境を越えたオンラインサービスによって生じる特有の課題に効果的に対処できるものでなければならないことは理解している。しかし、基本的権利、法的保護、欧州経済を弱めることを犠牲にして、効率性を達成すべきではありません。私たちは、一般的な関心事であるこれらの目的は、大規模な監視や本質的な安全保障の体系的な弱体化よりも、より侵入的でない手段で達成できると確信しています。

ご質問等ございましたら、遠慮なくお申し付けください。

敬具

アクセス・ナウ

ARTICLE 19, 国際

欧州ジャーナリスト協会（AEJベルギー）

ビッツ・オブ・フリーダム（オランダ

ボロ・ビー（パキスタン

ヨーロッパ民主主義技術センター（CDTヨーロッパ）

カオス・コンピュータ・クラブ（CCC）（ドイツ

欧州市民的自由連盟（リバティーズ）

ジャーナリスト保護委員会（CPJ）

コミュニティ・メディア・フォーラム・ヨーロッパ（CMFE）

欧州法曹協会評議会（CCBE）

クリプティー（エストニア

D3 - Defesa dos DIreitos Digitais（ポルトガル

Danes je nov dan（スロベニア

Datenpunks, ドイツ

Deutsche Vereinigung für Datenschutz e.V. (DVD), ドイツ

Deutscher Anwaltverein（ドイツ弁護士協会）

デジタル・ライツ・アイルランド（Digital Rights Ireland

デジタル・ゲゼルシャフト（ドイツ

Digitale Gesellschaft（スイス

eco - Verband der Internetwirtschaft e.V. (ドイツ)

電子フロンティア財団（EFF）（国際

電子プライバシー情報センター（EPIC）、アメリカ合衆国

エレメント

Epicenter.works（エピセンター・ワークス） - デジタル著作権のために（オーストリア

ユーロカドル

EuroISPA - 欧州インターネットサービスプロバイダー協会

欧州放送連合（EBU）

欧州デジタル著作権協会（EDRi）

欧州ジャーナリスト連盟（EFJ）

欧州雑誌メディア協会（EMMA）

欧州新聞協会（ENPA）

欧州出版者協議会（EPC）

メディア開発のためのグローバル・フォーラム（GFMD）

グローバル・ネットワーク・イニシアティブ（GNI）

ハートランド・イニシアティブ

IFEX

ネット自由イニシアチブ（オーストリア

IT-Pol（デンマーク

La Quadrature du Net（フランス

Ligue des droits humains（ベルギー

Mailfence, ベルギー

マルタ情報技術法協会（MITLA）

ニュース・メディア・ヨーロッパ（NME）

Nextcloud GmbH（ドイツ

Panoptykon Foundation（ポーランド

ポリティスコープ（クロアチア

プライバシー・インターナショナル

プロトン（スイス

シェア財団（セルビア

南東欧メディア機構（SEEMO）

ステートウォッチ（国際

テック・グローバル・インスティテュート

ツタ・メール（ドイツ

ウィキメディア財団