児童の性的虐待を防ぐため「暗号化されたプライベートメッセージのスキャン」を求めるEUの計画に専門家から非難殺到

近年ではオンラインにおける児童の性的虐待が大きな問題となっていますが、「一体どのように児童ポルノを検出するのか？」という点については議論があります。2022年5月にEUの政策執行機関である欧州委員会が提案した「サービスプロバイダーは公的な要求に応じて、ユーザーのプライベートなメッセージをスキャンする義務を負う」という新たな規制について、プライバシー専門家からは「恥ずべき一般市民監視法」「これまでに見た中で最も恐ろしい」「エンドツーエンドの暗号化に対する宣戦布告」などと非難する声が上がっています。

New EU rules would require chat apps to scan private messages for child abuse - The Verge
https://www.theverge.com/2022/5/11/23066683/eu-child-abuse-grooming-scanning-messaging-apps-break-encryption-fears

“War upon end-to-end encryption”: EU wants Big Tech to scan private messages | Ars Technica
https://arstechnica.com/tech-policy/2022/05/war-upon-end-to-end-encryption-eu-wants-big-tech-to-scan-private-messages/

The EU Commission is planning automatic CSAM scanning of your private communication – or total surveillance in the name of child protection.
https://tutanota.com/blog/posts/eu-surveillance-csam/

欧州委員会は5月11日、オンラインでの児童性的虐待を防止するために新たなEU法を提案しました。新たな規制では、SNSやメッセージングアプリなどのサービスプロバイダーに対し、公的機関の要求に応じたサービス上の児童性的虐待コンテンツの検出・報告・削除を義務づけており、プロバイダーはコンテンツを検出するテクノロジーを構築する必要があるとされています。

Fighting child sexual abuse
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2976

欧州委員会は声明の中で、2021年だけでも8500万枚もの児童性的虐待に関する写真や動画が報告されており、その被害は新型コロナウイルス感染症(COVID-19)のパンデミックでさらに増加したと指摘。これまで行われてきた企業の自主規制では不十分であり、厳格な条件と保護措置を備えた明確な規則が必要だと訴えています。

もちろん児童の性的虐待を防ぐことは重要な課題ですが、EUが導入を目指す新たな規則については、プライバシー専門家から強い非難の声が上がっています。欧州委員会が公開している法案についてのQ＆Aでは、児童性的虐待コンテンツのやり取りやグルーミング(性犯罪のために未成年者を懐柔する行為)は暗号化された通信でも行われており、サービスプロバイダーは暗号化テクノロジーを使用した通信についても検出義務を負っていることが示されています。海外メディアのArs Technicaは、「(この法案は)本質的に、必要な技術的手段によってエンドツーエンドの暗号を破るよう企業に命令しています」と述べ、欧州委員会はエンドツーエンドの暗号化を無効にすることを求めていると指摘しました。

Facebook Messengerにおけるエンドツーエンドの暗号化を率いたAlec Muffett氏は、EUの法案を「エンドツーエンドの暗号化に対する宣戦布告」と表現し、「子どもを保護するという名目の下で、あらゆるプラットフォームにおけるすべてのプライベートメッセージへのアクセスを要求しています」と非難しています。

海外メディアのThe Vergeは、この規制の下ではWhatsAppやSignal、Facebook Messengerなどの通信サービスがEU諸国から「検出命令」を受け取ると、一部のユーザーのメッセージおよび写真をすべてスキャンし、既知または新しい児童性的虐待コンテンツやグルーミングの証拠を探さなければならないと説明し、これを実現するにはスキャン用のAIシステムが必要だと述べています。2021年には、Appleが「iPhone内の児童ポルノ検出システム」を発表してプライバシーを損なうとの非難を浴びましたが、Appleのシステムではあくまで既知の児童性的虐待コンテンツの検出に焦点を当てていたため、未知のコンテンツやグルーミングを含む欧州委員会の法案はより広範な影響を及ぼすとのこと。

90の人権団体らが「iPhoneの写真やメッセージのスキャン」に抗議する公開書簡を発表、かえって子どもの権利が侵害されるとの懸念 - GIGAZINE

アメリカのジョンズホプキンス大学の暗号研究者であり、コンピューターサイエンスの准教授を務めるマシュー・グリーン氏は、「この文書は私が今まで見た中で最も恐ろしいものです。 CSAM(児童性的虐待コンテンツ)を検出するのではなく、『グルーミング』を検出するために、プライベートテキストメッセージを読み取る新しい大量監視システムを提案しています」とコメント。続くツイートでは、「これは中国とソ連以外で展開されている最も高度な集団監視装置について述べています。誇張ではありません」とまで言っています。

ベルギーに本拠を置く国際的なデジタル擁護団体・European Digital RightsのJan Penfrat氏はリークされた欧州員会の草案に対し、「全員のプライベートなチャットに侵入する法」と呼び、「これは自由な民主主義国家にはまったくふさわしくない、恥ずべき一般市民監視法のようです」と批判しました。

厳しい批判が専門家から寄せられている背景には、「すべてのプライベートメッセージの中から児童性的虐待コンテンツを検出するシステム」が存在する場合、同じシステムを児童性的虐待コンテンツとはまったく別のものに適用することが可能という問題があります。

エンドツーエンドの暗号化電子メールサービス・Tutanotaの共同創設者であるMatthias Pfau氏は、「法律によって通信プロバイダーにクライアント側のスキャンの実装が強制されると、それを行うツールは理論的にはあらゆるものを検出できます」と指摘。つまり、最初は「児童の性的虐待コンテンツやグルーミング」を検出するために導入されたツールを用いて、「テロリスト」「人身売買業者」「麻薬密売人」などを検出することは容易というわけです。加えて、いくつかの強権的な国ではさらに監視する範囲を広げ、「野党政治家」「反体制的なジャーナリスト」なども対象になる危険性があるとPfau氏は警告しています。

そして、Pfau氏が「欧州委員会によって完全に無視されている重要な問題」と指摘するのが、素晴らしい目的のために作られたバックドアであっても、悪意のある攻撃者によって悪用されることがあるという点です。Pfau氏は、何者かがプロバイダーのスキャンシステムをハッキングし、信用を失墜させたい人物のデバイスに児童性的虐待コンテンツやグルーミングに関する文言を挿入したり、スキャンされたデータを盗み取ってサイバー攻撃に悪用したりする可能性があると指摘。「結局のところ、『善良な人々だけのバックドア』は不可能であることが、私たち全員にとって明確でなくてはなりません」と述べました。

また、ソーシャルニュースサイトのHacker Newsでは、児童性的虐待コンテンツの定義が非常に広くて曖昧であり、スキャンシステムが適切な文脈を考慮できないことに対する懸念が表明されています。あるユーザーは、「自分の幼い子どもの写真」に裸の姿が映っている場合、もちろん親は児童性的虐待コンテンツとしてそれを所持しているわけではありませんが、AIシステムがそのような判断を下すのは難しく、一律に児童性的虐待コンテンツとして検出・報告される可能性があると指摘しています。

It's scary, because CSAM (child sexual abuse material) is very, very broad, and ... | Hacker News
https://news.ycombinator.com/item?id=31352691