流出した「チャットコントロール」文書。ドイツはプライバシーのために戦うか?

ドイツ政府は、EU委員会に対し、計画中の監視法について厳しい質問をした。

Will Germany take on the fight for privacy for all Europeans?

2021年秋以降、ドイツには新政権が誕生し、この新政権は連立紙で、すべての国民が「暗号化の権利」を持つことに合意しています。さて、ドイツ政府はEU委員会に対し、児童の性的虐待資料の配布やネット上でのグルーミングに対抗するための一般監視措置の導入計画について、非常に難しい質問をしました。これは、ドイツがすべての人の暗号化の権利に真剣であることを意味するのだろうか?


厳しい問題提起

EU委員会の児童虐待の防止と対策に関する規則案は、市民の権利に対する正面からの攻撃である。EU委員会はその法律案の中で、中国以外で展開されている最も高度な集団監視装置の一つについて説明している。すべての人の端末でCSAM(児童性的虐待資料)をスキャンするというものだ。

しかし、ドイツ政府は連立紙で、すべての国民には「暗号化の権利」があることに合意している。EU委員会の草案が法律となった場合、この権利は明らかに損なわれることになる。

EU委員会宛にリークされた内部声明で、ドイツ政府はこの法律案を「私的かつ機密の通信の保護に関する憲法上の基準」に沿ったものにするよう要求している。声明では、「一般的な監視と私的な通信のスキャン手段」に反対する立場をとっている。

リークによると、ドイツ政府は61の質問を投げかけているが、その一部は非常に厳しく、EU委員会が答えるには深刻な問題を引き起こすと思われる。

例えば、ドイツ政府は、本文中でエンド・ツー・エンドの暗号化の重要性に言及しているのは、性暴力の画像を検出する際にこの暗号化を損なってはならないという意味も含んでいるのかどうかを明確に問うている。さらに、ドイツ政府は、この法律案が一般データ保護規則(GDPR)の特定の条項とどのように互換性があるか、あるいは、虐待のない状況(例えば、海岸)にいる子どもと虐待のある状況にいる子どもを区別できるようなソフトウェアを構築することができるかを質問しています。

もうひとつの重要な問題は、すべてのヨーロッパ市民のセキュリティの問題に触れています。ドイツ政府は、技術が悪用されないかどうか、また、悪用をどのように判断するのかを法律で定めることができるのか、と質問している。

欧州委員会はどのように答えるのだろうか。

全体として、ドイツ政府は、欧州委員会の草案の弱点をすべて明るみに出すような重大な質問をしているのだ。草案で提案されているような一般的な大規模監視は、欧州市民や企業の安全保障を弱め、プライバシーの権利を損ねることになる。

EU委員会がこれらの質問に満足に答えることができないのは予想されることである。ドイツ政府による質問の豊富さと深さ、そして提案された法律による基本的権利の大規模な侵害を考えると、データ保護の専門家が満足するような形で回答することは不可能に近いのである。

プライバシーのための戦い

今問われるべきは、満足のいく回答が得られなかった場合、ドイツ政府はどのように対応するかということです。連立紙で述べられているように、「暗号化の権利」を推し進めるのでしょうか?すべての欧州市民のプライバシーの権利を守るのでしょうか?

流出した質問は非常に良い兆候ですが、私たちは事態が進展するのをじっと待つべきではありません。

むしろ、今すぐ行動を起こし、政治家たちに私たちのプライバシーの権利が重要であることを伝える必要があるのです。

  1. **ドイツにお住まいの方は、ヨーロッパで前例のない大規模な監視をもたらすEU委員会の草案に対抗するため、Campactによる請願書に署名**してください。
  2. オーストリアにお住まいの方は、#aufstehnによる、ヨーロッパにおける前例のない大規模な監視につながるEU委員会の草案に反対するための請願書に署名してください。
  3. **欧州委員会に意見を**述べ、この法律案に対する懸念を共有してください。
  4. **抗議行動に参加する方法と、代表者に電話やメールを送る方法はこちらを**ご覧ください。

私たちは共に、大規模な監視に対抗しなければなりません


リークされた文書

日付:2022年6月10日 From:ドイツ政府 文書:206/2022

児童の性的虐待を防止し撲滅するための規則を定めた欧州議会および理事会の規則に関するCOM提案に対するドイツの質問

GERは、COMのイニシアチブに感謝し、児童の性的虐待を防止し撲滅するためのCOMの努力を歓迎する。これは、連合条約の目的でもある。CSAの規則案は、デジタル空間における児童の性的虐待を欧州レベルで撲滅し、児童の保護を強化するための重要な一歩となります。

リスク評価、リスク軽減、リスク報告、明確な法的根拠、新しい欧州センターを含む共通の法律は、コンテンツ報告サービスの既存の構造を認識しながら、EU全域で児童性的虐待の予防と訴追を強化するのに役立つだろう。

通信の秘密は、自由主義社会における重要な資産であり、保護されなければならない。基本権憲章に基づき、すべての人は私生活や家族、家庭、通信を尊重される権利を有している。すべての規制措置は比例的でなければならず、デジタル空間における児童の性的虐待を防ぐために必要な範囲を越えてはならず、一方では児童を虐待から守り、他方ではプライバシーを守るという相反する利益のバランスを効果的にとらなければならない。

GERは、EU全域で児童の性的虐待の予防と訴追の強化に役立つ措置について、明確で適切かつ恒久的な方法を見出すことに貢献するつもりである。GERの連合条約によれば、通信の秘密、高水準のデータ保護、高水準のサイバーセキュリティ、そして普遍的なエンド・ツー・エンドの暗号化がGERにとって不可欠です。GER連合条約は、一般的な監視手段や私的通信のスキャンに反対しています。GERは連合条約に照らして草案を再検討している。GERにとって、児童の性的虐待の資料と戦い、その拡散を防止するための規制が、私的で機密性の高いコミュニケーションの保護に関する我々の憲法上の基準に合致していることは重要なことなのです。

EUセンターの設立に関して、EUの戦略では、オンラインとオフラインの両方の予防に取り組む、かなり包括的なアプローチを念頭に置いていた。今回の提案は、主に法執行活動を支援するものであり、オフラインの防止策については明示的な委任がないように思われる。私たちの考えでは、EUセンターはさらに、意識向上策とネットワーク(児童性的虐待の生存者のネットワークを含む)の支援の拠点となるべきでしょう。私たちは、EUセンターが特にオンラインCSAの防止に焦点を当てるべきであると確信しています。しかし、その権限の範囲内で、オンライン犯罪がオフラインの暴力と関連している場合、オフラインのCSAにも焦点を当てるべきである。さらにGERは、EUセンターの設計において、CSAの影響を受ける人々が最初から積極的に参加する平等な構造を導入するよう助言している。EUセンターは、CSAの影響を受けている人々への支援を提供することを目的としている。しかし、今回の提案では、EU センターへの CSA 関係者の参画に関する情報は提供されていない。

このような実質的なコメントにもかかわらず、我々は EU センターを独立した機関として設立する現提案を検討中である。

私たちの精査の留保には、新しい欧州センターの組織設計、第4条、そしてごく一般的に言えば、特に通信の秘密とエンドツーエンドの暗号化に関する基本的権利の間のバランスも含まれますが、それだけではありません。

GERは、LEWPと並行して技術専門家ワークショップを開催する可能性を大いに歓迎する。技術ワークショップは、MSに、検出命令に関して問題となる技術についてより多くを学ぶ機会を与え、MS内の共通理解を向上させるのに役立つだろう。

我々は規制案を集中的に検討しており、さらにコメントする予定である。現時点では、GERには多くの質問がある。我々の質問と最初の見解を提出する機会を与えてくださった議長国およびCOMに感謝申し上げる。

GERは以下の質問について明確にするようお願いしたい。現時点では、GER の優先事項は以下の質問である。

  1. EU CSA は、オフラインの児童性的虐待の防止をどのようにサポートするのか?情報提供の権利やCSAMの削除のほかに、児童の性的虐待の被害者や生存者に対してどのような支援措置が計画されていますか?
  2. CSAM の普及およびグルーミングに関して、発見命令を防ぐのに適した緩和措置の例を挙げて いただけないでしょうか。
  3. App Store におけるプロバイダの年齢認証について、どのように設計されるかを 説明してください。ユーザーから提供されるべき情報はどのようなものですか。グルーミングに関して、提案は、特に児童ユーザーとのコミュニケーションを目的としている。児童ユーザーの識別は、年齢認証のみで行うのでしょうか?リスクが検出された場合、プロバイダはユーザ登録と年齢確認を行う義務があるのでしょうか。児童向けアプリを悪用する成人ユーザーを特定するための検証も行うのでしょうか。
  4. エンド・ツー・エンドの暗号化技術の利用が、利用者の通信の安全性と機密性を保証する重要な手段であることを示す説明26は、児童虐待を検知するための技術がエンド・ツー・エンドの暗号化を損なってはならないことを意味するという見解を、COMは共有していますか。
  5. エンド・ツー・エンドの暗号化を破壊せず、端末機器を保護し、なおかつ CSAM を検出できる技術について、COM は詳しく説明してください。オンライン児童性的虐待を検出する技術を使用するための技術的または法的な境界線(現 在または将来)はありますか?
  6. COM は、ホスティングサービス提供者や対人コミュニケーション提供者がリスク評価を行う際に、どのような(技術的)な対策が必要だと考えているのか。特に、プロバイダは、第7条及び第10条に言及された技術を適用せずに、どのようにリスク評価を行うことができるのか。サービスがエンドツーエンドで暗号化されている場合、これらのプロバイダーはどのようにして義務を果たすことができるのか。
  7. 誤検出を回避するための最新技術はどの程度成熟しているのか。グルーミングを検出するために技術を使用した場合、どの程度の割合で誤検出が発生することが予想されるか?誤検出を減らすために、あるパラメータ(例えば、問題のコンテンツが適切であることを示すヒット確率が99.9%)を満たす方法のみを開示することを規定する必要があるとCOMは考えるか。
  8. 本提案は、GDPR第6条の意味における検出命令の文脈で、プロバイダの個人データの処理に法的根拠を確立していますか?提案は、規則2018/1725の意味における検出命令の文脈で、EU-Centreのための個人データの処理のための法的根拠を確立していますか?

さらに、我々はすでに以下のような疑問を呈したいと思います。

リスクアセスメントとリスク軽減。

  1. COMは、関連する「データサンプル」とリスク評価義務の実際的な範囲について詳述することができますか?特に、ホスティングサービスのプロバイダーと対人通信サービスのプロバイダーを区別すること。

  2. プロバイダーが自主的に CSAM を検索することが(法律上)可能であることを確認できま すか。プロバイダがCSAMを検索できる暫定規則を拡張する予定はありますか。

  3. Art.3 par.2 (e) ii では、ソーシャルメディア・プラットフォームに典型的な機能が説明されています。これらのプラットフォームにおいて、リスク分析が肯定的な結果をもたらさないシナリオを説明してもらえますか。

検出命令について。

  1. 説明 23 によると、検出命令は、可能であれば、サービスの特定できる部分(例:特定のユーザーまたはユーザーグループ)に限定される必要があるとのことです。どのように特定のユーザー/ユーザーグループを特定するのか、また、どのようなシナリオで特定のユーザー/ユーザーグループに対してのみ検出命令が出されるべきなのか、COM は明確にすることができますか。

  2. 第 7 条第 5 項/第 6 項/第 7 項に規定された要件は、累積的に理解されるのでしょうか。

  3. COM は、「重大なリスクの証拠」を明確にすることができますか。プラットフォーム上に多くの児童ユーザーが存在し、彼らが第 3 条に記載された程度に通信していることで 十分か。

  4. 検出命令は、プロバイダに要求される技術的措置をどの程度詳細に規定するのか。

  5. COM は、パラグラフ 5b、6a、7b の要件について、どの審査基準が適用されるのか、明確にすること ができますか。第7条7項(b)の尤度はどのように測定することができますか。7 par 7 (b)にある可能性はどのように測定されますか。dubio pro reo の原則は、ホスティングサービスに有利に働くか。

  6. 識別命令を発する理由は、第7条第4項(b)に基づく関係者全員の権利と正当な利益に対してどのように衡量されるか。これは具体的な方策に基づくものか、抽象的なものか。

  7. COM は、特に第 7 条に関して、プロバイダからのフィードバックをまだ受けていないのですか。もしそうなら、一般的なフィードバックを詳しく説明していただけませんか。

  8. 識別情報は、プロバイダに要求される措置をどのように具体的に特定するのか。この点に関して、第7条8項(「(検知命令を)対象とし、特定するものとする」)、第10条2項(「提供者は特定の技術を使用することを要求されないものとする」)から何が導かれますか?

  9. 提案の10ページには、「オンライン児童性的虐待を検知する義務は、プロバイダーの自主的な行動に依存するよりも望ましい。これらの自主的な選択肢が不十分であることを証明するCOMの根拠は何ですか?

  10. この規則案は、GDPの第12条と第22条のデータ主体の権利にどのように関係しますか?GDPRの12条以降、特にGDPRの22条に基づくデータ主体の権利にどのように関連するか?

  11. データ保護監督当局は、GDPRおよび他の既存または現在交渉中の欧州法(DSAなど)に基づく既存の任務について、識別命令の効果的な管理をどのように達成することができますか?

  12. 第9条の「影響を受けるすべての者」には、CSを広めたユーザーが含まれるか。9条の「影響を受けるすべての者」には、CSAMを流布したり、児童を勧誘したりしたが、それでもチェックされたユーザーが含まれるか?

技術

  1. 原則的にどのような技術を使用することができますか?Microsoft Photo IDは要件を満たしていますか?

  2. クラウドサービスに関連して使用される技術は、暗号化されたコンテンツへのアクセスも可能にすべきですか?

  3. 技術の品質はどのように保証され、検証されるのか。CSA の提案は AI-Act のドラフトとどのように関連するか?

  4. プロバイダの独自技術の同等性は、第10条第2項に基づいてどのように評価されるのか、また、プロバイダが営業秘密を行使する能力とどのように関連するのか。

  5. 虐待ではない通常の環境(例:海辺)での子どもの写真と CSAM を区別するような技術を設計することは可能か。

  6. テキスト分析ソフトウェアは、大人(両親、親戚、教師、スポーツコーチ、友人など)と子どもの間の正当な会話と、グルーミング状況を区別することができますか。

  7. プロバイダーが検出命令を実行するための技術(特にEUセンターが提供する技術)を単独で使用することをどのように保証したいですか?

  8. エラーが発生した場合、どのように対処するか?最終的に悪用されたケースはどのように検出すべきでしょうか。

  9. 人間の監視と、それがどのように使用される技術によるエラーを防ぐことができるかについて、詳しく説明してください。

  10. 利用者の通信の秘密への影響」について、プロバイダはどのように利用者に知らせることを期待しますか?検出命令の発令による義務なのでしょうか。それとも、利用規約の一部とすることができるのか?

  11. 保存しているコンテンツにアクセスできないファイル/画像ホスティングのプロバイダは、本規則の適用範囲に含まれるか?

その他のプロバイダの義務

  1. 本提案における報告義務は、現行の NCMEC 報告とどのように関連するか。この2つのプロセスをどのように効率化すればよいか。報告書の重複や紛失がないことをどのように保証するか。

  2. 報告義務に関して、調整機関はどのような役割を果たすべきですか。

  3. EU全域でのCSAMの廃止について、刑事法に関する各国の違いにどのように対処するのか。

  4. COMは、EUのCSAへの報告について、どの程度の件数を想定しているのか。各国の法執行機関や欧州警察に転送されるケースは何件か?

  5. 効果的な救済を受ける権利は、第14条に基づく24時間以内の退去命令執行の義務によって影響を受けますか?24時間以内に削除命令を実行する14条の義務によって、効果的な救済を受ける権利は影響を受けるのか?

  6. コンテンツに関する知識は、どの時点でプロバイダが得たと見なすことができるのか、人知が必要なのか。

  7. 命令発行のプロセスにおいて、情報連鎖の様々な「関係者」に関して、COM はどのような審査基準を想定しているか。これには、それぞれのケースにおける人間の評価・監査の要件が含まれますか。

  8. なぜ欧州警察がすべてのケースに関与する必要があるのか、つまり、MSの責任が不明確なケースだけでなく、欧州警察が関与する必要があるのか?

  9. ブロッキング命令は、実際にはどのようにサービスの特定のコンテンツや領域に限定することができるのか、あるいは、サービス全体へのアクセスのみをブロックすることができるのか。

  10. クラウドサービスは、特定のユーザーに関する疑わしい活動の報告を受けた場合、暗号化されたコンテンツへのアクセスをブロックしなければならないか?

罰則について

  1. 罰則について判断の幅を持たせたのはなぜか?

  2. 第35条は、不正利用の場合に適用されるのか。35条は、技術の不正利用や、そのような不正利用を防止するための効果的な措置の確立を怠った場合にも適用されますか(10条4項)?

  3. なぜ提案はTCO規則で定められた制裁に従わないのですか?

  4. 第35条2項を中央の義務又は少数の中央の義務に対する違反に限定することは可能か。

情報共有システム

  1. 第39条2項は、各国の法執行機関が情報交換システムに直接接続されることを規定していない。どのような方法で各国の LEA に報告が渡されるのか。

  2. 情報共有システムには何が含まれるのか。有効性とデータ保護のバランスをどうとるか?

  3. EU CSA と欧州警察機構のみが指標データベースに直接アクセスできる(Art 46(5))が、各国 LEA/各国調整当局はどのようにしてその情報に最もよく参加できるのか?COM は、さらなる情報が入手可能であることを各国当局に知らせるために、新たなイン ターフェースが必要であると考えるか。

EU CSA と欧州警察機構(Europol

  1. 提案されているEUセンターと欧州警察機構の協力について、努力の重複を確実に避けるために、欧州委員会は両者間の任務分担を具体的にどのように想定しているのか。

  2. 欧州委員会の影響評価では、新たな組織を設立する代わりに、予防と被害者支援の業務をFRAに、法執行に関連する業務を欧州警察に統合する可能性について、それ以上の検討がなされていないことに我々は注目した。むしろ、この可能性は予備的な検討の後に破棄されたようである。なぜ、この選択肢が最初に検討されなかったのか、その理由を知りたいと思います。さらに、FRA とユーロポールに組み合わせて業務を割り当てるのではなく、新しい組織を設立することで、COM が期待する利点について説明していただきたい。

  3. 立法案は、欧州警察が EU の CSA に一定の「支援サービス」を提供することを予見している。EU CSA がユーロポールに求める具体的な手段やサービスとはどのようなものか。また、そのような支援業務は、EU CSA の業務とどのように区別することができるのでしょうか?この文脈で、我々は、もしそうであれば、欧州警察のためにどれだけの追加的な資源が見積もられ ているのか、質問したいと思います。

  4. また、このような支援がユーロポールの他の任務を犠牲にすることがないよう、COM はどのように確認するのか。

  5. EU CSAのガバナンス構造案は、欧州委員会と加盟国の間で不均衡が生じないようにするために、どのようにユーロポールのガバナンス構造との合理化を図ることができますか?

  6. 草案の53条2項は、ユーロポールに関連する情報および情報システムへの相互アクセスについて述べている。この規定は、関連する規定(「そのようなアクセスを規制する連邦法の法律に従って」)に言及されているため、情報へのアクセスそのものを規制するものではないと考えるのが正しいか?では、この規定の具体的な規制内容はどのようなものか。説明してください。

  7. COM は、EU CSA が(まだ完全には稼働していないかもしれないが)どの程度の期間、作業を開始で きると推定しているか。

  8. 提案によると、画像はどの段階で削除されるのか。

  9. 64 条 4 項 h によれば、設立される EU CSA の Executive Director は、EU の財源に有害な犯罪行為があった場合、金銭的な罰則を科すことができる。これはEPPOの手続きにどう関係するのか?

  10. EU CSAの権限がユーロジャストの権限と衝突しないようにするために、提案はどのようにしたらよいか。