個々のEU加盟国政府を代表する組織である欧州理事会は、データの暗号化に関する議案(欧州理事会リリース)を可決した。これは同理事会が「security through encryption and security despite encryption」(暗号化によるセキュリティと暗号化に対するセキュリティ)と称するものだ。
「管轄権を有する公共機関は、基本的人権およびそれに関連するデータ保護法に完全に準拠し、サイバーセキュリティを保持しながら、合法的に明確な目的のもとでデータにアクセスできなければならない」と同理事会は書いている。
2020年11月、理事会決議案の草案に関して、ヨーロッパの一部メディアは、EUの政治指導者たちはエンド・ツー・エンドの暗号化の禁止を推し進めていると報じたが、草案にも最終的な決議案(12月14日に公表)にも、そのようなことは明示されていない。反対に、どちらも「強力な暗号化方式の開発、実装、利用」の推奨を表明している。
可決(欧州理事会リリース)されたばかりのこの(法的拘束力のない)決議書では、EUの政策議題を決定する責任を負う同理事会の強固な暗号化を支持すると同時に、電子的証拠が収集できるよう暗号化されたデータの目標を明確にした合法的なアクセス権も求めている(テロ、組織犯罪、児童の性的虐待、その他のサイバー犯罪とサーバー空間を悪用した犯罪などの犯罪活動に「効果的」に対抗するため)。
決議書には、その2つの側面の「適切なバランス」が必須だが、EUの主要な法的原則(必要性や均衡など)を考慮すべきと書かれている。決議書がそうしなければならないと書いているように、「暗号化によるセキュリティと暗号化に対するセキュリティの原則を完全に擁護する」ためだ。
欧州理事会はまたこの決議を、通信のプライバシーとセキュリティが暗号化によって守られ、同時に「デジタル世界における重大犯罪、組織犯罪、テロと戦うという合法で明確な目的のため、セキュリティおよび刑事司法が適法に関連データーにアクセスできる権限を有する」という点で「非常に重要」と位置づけている。
「いかなる行動も必要性、均衡、実権配分との利害のバランスを慎重に保たなければならない」と、ここでも政治的優先度が、強力な暗号化の難しい二元論と再び衝突(未訳記事)する中で、理事会は謳っている。
理事会は、この不可能な課題をEU議会がどのような政策で解決するかは明確にしていない(要は、他のすべての人の暗号はそのままに、どうやって犯罪者の暗号だけを解除するかだ)。
だが彼らは、暗号化を、簡単にかたちが変えられる矛盾撞着に作り変える、この最新の無益な努力にテック業界を巻き込みたいと考えている。議定書には「テック業界の力を加え」と明示されているからだ。とはいえ、不確かなセキュリティ(確かな危うさともいえるが)の神聖な(不浄な)バランスを探すというほかに、具体的にどのようなかたちで「援助」を求めるかは明らかではない。
「暗号化されたデータにアクセスするための技術的ソリューションは、最初から個人データ保護対策が組み込まれ、それが初期設定で有効になっていることを含め、合法性、透明性、必要性、均衡性の原則に準拠していなければならない」と理事会は続け、この文脈の中に「適法」なアクセスの意味を定義している(こう明言することで、バックドアの強制はできないことが十分に明らかにされている。なぜなら、バックドアは不均衡で不必要で卑劣で不法になりかねないからだ)。
議定書の後半で理事会は、その監視下で暗号を解除するための技術的ソリューションは、EU全体で通用する単一の汎用な方法を強制するものではないと明言している。正確にはこうある。「暗号化されたデータへのアクセスを可能にする単一の技術的ソリューションを規定するべきではない」。
「定められた目標を達成する方法は1つではない。政府、産業界、研究機関、学界は、透明な協力関係において戦略的にこのバランスを生み出す必要がある」とも書かれている。議員と業界との秘密の会合が持てる安全な場所は、もう存在しないといっているようなものだ(そうしなければ「いやそれでも法的に怪しいものだけに目標を定めたバックドアなら作れるんじゃない?」といった本性を抑えることができない)。
「有望なソリューションは、国内外の通信サービスプロバイダーとその他の利害関係者との透明なかたちの協力関係の下で開発されるべき」だと理事会はいっている。ここでもまた、「目標を明確にした適法な」アクセスの期待に応えるために政治家と技術提供者が秘密の取り決めをすることを明らかに禁じている。ただし、彼らが政治家と業界の利害関係者(さらに関連する学術研究者も含まれる可能性がある)のための、しかし公共および通信サービスのユーザー自身のためでは決してない透明化のために、なぜだか協力したいと考えた場合は除外される。議定書の条文そのものには書かれていないまでも、それでは「透明にやる」精神に反してしまうためだ。
暗号化戦争における今回の一斉砲撃も、EU議員たちがテック業界と手を組んでバックドアを強制し暗号を解除する方向へ突き進むという、大きな懸念を払拭するものではない。
だが、そうでもなければイライラするほど一挙両得主義的な理事会の決議が、その(不可能ではあるが)目標の達成のために、単一の技術的ソリューションの導入を拒絶したことは注目に値する。(「有望」な、そして運用可能な複数の技術的ソリューションを探すための手引きを単にいくつか提示しただけだが)。
従ってこの決議は、(政治的)取り組みめいたものを、頑張っているように見せるためのものであり、せいぜい関係機関の長をテーブルの周りに集めて利害関係者に事情を説明して、みんなが仲間であることを確認し合うためだけのものだ。ただこれにより理事会は、EU全域の研究機関に新技術の審査と分析のための協調と共同作業(および「専用の高度なトレーニング」の提供)を呼びかけ、同時に研究機関および大学に「強力な暗号化技術の実装と使用を確実に継続させる」ことで、同じ研究が重複する無駄を省くことはできる。
理事会はまたEU域内のあらゆる法執行機関が陥りがちな、自分たちを愚か者に見せるだけのエンド・ツー・エンドの暗号化への玉砕攻撃という落とし穴を避ける方法も模索している。その代わりとして彼らは、ここで一致団結して「暗号化によるセキュリティと暗号化に対するセキュリティ」という愚かなスローガンの背後やてっぺんにしがみ付いた。暗号化への愚行がこれで終わることを願って。
先週(未訳記事)、EU議員たちは、幅広いテロ対策の一環として「適法」なデータアクセスに取り組むとも話していた。これに欧州理事会は「加盟国と協力し、通信のプライバシーとセキュリティを確保しつつ、暗号化されたデータに適法にアクセスできる合法的で運用可能な有望な技術的ソリューションの特定と、通信のプライバシーとセキュリティを保つ上での効率的な暗号化方式と、犯罪やテロへの効果的な対処法の提供を両立させるアプローチを推進する」ことを約束している。
それでもやはり、この話には暗号化されたデータへの適法なアクセスを行うための「有望なソリューション」を探すという議論を超えるものがない。しかも、暗号化の実効性は保持すると、EU議員たちは同じ口でいっている。いつまでも堂々巡り(未訳記事)だ……。
カテゴリー:セキュリティ
タグ:EU、暗号化、バックドア
画像クレジット:Bob Peters / Flickr under a CC BY 2.0 license.
[原文へ]
(翻訳:金井哲夫)
