- 英国議会の Online Safety Bill は House of Lords 通過前の最終段階にあり、メッセージングサービスにバックドアを強制できる可能性があり、世界中の利用者のプライバシーに影響しうる
- 法案の中核的な対立点は、児童虐待・テロ関連コンテンツ検出のための メッセージスキャン要求 がエンドツーエンド暗号化と両立しにくいことにある
- WhatsApp、Signal、Element などは2023年4月の公開書簡で、個人メッセージに対する 日常的・一般的・無差別な監視 につながりうると警告し、Apple も6月に反対へ加わった
- 英国政府は クライアントサイドスキャン によって安全とプライバシーを両立できると主張するが、EFF は暗号化バックドアは善意の目的にだけ使えるものではないと反論している
- エンドツーエンド暗号化を守る修正案がなければ、敵対的な環境で活動する人権活動家、ジャーナリスト、LGBTQ+ 利用者のように非公開メッセージングに依存する人々が直接的な危険を負うことになる
Online Safety Bill が暗号化に与える圧力
- 英国議会は広範なインターネット規制法案である Online Safety Bill を進めており、現在 House of Lords 通過前の最終段階にある
- この法案は英国政府に、メッセージングサービスへ バックドア を強制できる権限を与え、エンドツーエンド暗号化を崩すおそれがある
- 法案の最も危険な要素を緩和する修正案は、まだ受け入れられていない
- EFF は、この法案が英国にとどまらず、世界全体のプライバシーと民主主義に後退をもたらしうると警告している
インターネット規制の範囲と主要な争点
- Online Safety Bill は4年以上前の「online harms」白書に端を発し、非常に広範なインターネット規制として扱われている
- 要件には コンテンツフィルタリング、成人向けコンテンツへのアクセスのための 年齢確認、政府に提出するオンライン活動の詳細報告が含まれる
- 中でも、エンドツーエンド暗号化を破りうるメッセージスキャン権限が最も重大な争点とされている
メッセージスキャンはエンドツーエンド暗号化と衝突する
- 私的な会話は基本的人権であり、デジタル環境でそれを実現する最も強力な技術的手段が エンドツーエンド暗号化 である
- 政府承認のメッセージスキャン技術を強制すれば、送受信者だけがメッセージを読めるようにする暗号化モデルと衝突する
- 暗号化バックドアを「善良な人」だけに使わせる方法はない、というのが EFF の中核的な反論である
- 暗号化を禁止する方法
- 企業に暗号化から後退するよう圧力をかける方法
- クライアントサイドスキャン を要求する方法のいずれも、悪意ある行為者や権威主義国家を利する可能性がある
企業・市民社会からの警告
- 英国政府は、児童虐待やテロ関連コンテンツを見つけるためにすべてのオンラインメッセージをスキャンする権限を望みながらも、利用者のプライバシーは保護できると述べている
- EFF は、両方の目標を同時に満たす方法は不可能だと反論している
- 英国の市民社会団体、技術専門家、世界中の人権団体もこの法案を批判している
- WhatsApp、Signal、英国拠点の Element など暗号化メッセージング提供者は、2023年4月の 公開書簡 で OSB の危険性を警告した
- 法案がエンドツーエンド暗号化を破壊しかねないこと
- 友人、家族、従業員、経営幹部、ジャーナリスト、人権活動家、政治家の私的メッセージまでもが、日常的・一般的・無差別な監視対象になりうること
- Apple は2023年6月に反対の流れへ加わり、法案が暗号化を脅かし、英国市民をより大きな危険にさらしかねないと公に表明した
英国政府が掲げる技術的論理
- 英国の文化・メディア・スポーツ相は House of Lords への回答で、エンドツーエンド暗号化プラットフォームでもメッセージをスキャンしつつプライバシーを維持できるという立場を繰り返した
- 回答では、企業が以前にもエンドツーエンド暗号化プラットフォーム向けソリューションを開発したことがあり、Ofcom はそのような技術の使用を要求できるべきだと述べている
- 直ちに使えるソリューションがない場合には、政府が技術探索を主導するのが正しいという立場も示されている
-
Safety Tech Challenge Fund
- 英国政府が、利用者のプライバシーを保護しながらファイルをスキャンすると主張されるソフトウェア開発のために少額助成を行ったプログラムである
- 受賞プロトタイプの説明には、暗号化チャネルでファイルを送る前に AI でファイルを調べる複数形態の クライアントサイドスキャン が含まれている
- EFF は、技術企業が利用者を守る「魔法のようなバックドア」を作れないなら、もっと技術開発に励めという誤りが繰り返されていると見ている
なお可能な修正案と影響を受ける人々
- 英国の議員たちは、大規模監視につながりうる決定を止める機会をまだ持っている
- House of Lords の委員会段階や報告段階で エンドツーエンド暗号化 は十分に検討も採決もされていない
- Lords は、プライベートメッセージングを保護し、エンドツーエンド暗号化が弱体化または除去されないことを明記する単純な修正案を追加できる
- EFF は英国の市民社会団体とともに、2023年7月に House of Lords へ ブリーフィング を送付した
- 現行法案の暗号化に関する問題を説明している
- エンドツーエンド暗号化を保護する修正案の採択を提案している
- 修正案が採択されなければ、敵対的な環境で活動するために非公開メッセージングに依存する人権活動家やジャーナリスト、自由な表現のためにプライバシーに依存する LGBTQ+ 利用者などが代償を払うことになる
世論と参考文書
- EFF は、普遍的なスキャンと監視は英国市民が望む方向ではないため、議会はこの法案を退けるべきだと考えている
- 最近の英国市民対象の調査では、83% が Signal、WhatsApp、Element のようなメッセージングアプリで可能な最高水準のセキュリティとプライバシーを望むと回答した
- 関連文書:
- U.K. Online Safety Bill に関する EFF 情報ページ
- OSB が表現の自由と暗号化を攻撃する方法 — 2022年8月 EFF Deeplinks
- 英国 Online Safety Bill 草案の表現の自由に関する深刻な懸念 — 2021年7月 EFF Deeplinks
- Online Safety Bill に関する市民社会の公開書簡 — 2022年11月
- 暗号化メッセージング提供者の公開書簡 — 2023年4月
- EFF と協力 NGO による House of Lords ブリーフィング — 2023年7月
1件のコメント
Hacker Newsの意見
英国政府は、インターネットには国境がなく、全体主義政権レベルの極端な制限なしには国境を作れないという点を、何度も理解し損ねている
幅広い国際協調なしに措置を押し通せば、膨大な数の人々をインターネットのより暗い片隅へ追いやり、目的を完全に台無しにするだけでなく、問題をさらに悪化させるだろう
Metaだけでも、この法律を悲惨な失敗に終わらせる力がある。人々はWhatsAppを使いたがっており、政府自身も広く使っている。Metaが拒否すれば、政府にできることはほとんどない。Facebookは英国に従業員が1人もいなくても運営を続けられるし、事業に多少の打撃はあるだろうが、十分に可能だ
政府がAppleとGoogleに圧力をかけ、英国のアプリストアからWhatsAppを削除させることはできるかもしれないが、こうした地域制限は簡単に回避されるし、WhatsAppは人々が試してみるほど十分に人気がある。そうなると、サイドローディング、脱獄、地域制限の回避といった行為が当たり前になり、サイバー犯罪者は好機と見て手ぐすねを引き、止めようとしていた小児性愛者やテロリストもその流れに乗るだろう
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
英国でこの法律に反対している企業は、市場撤退をちらつかせている。それは英国ユーザーが法律を破る方法を見つけるのを助けるという意味ではなく、自社サービスから英国ユーザーを遮断するという意味だ
もし自分がエンドツーエンド暗号化メッセンジャーアプリを作るなら、英国の言うことを聞く必要はまったくない。中国が自分に命令できないのと同じように、英国も同じだ。中国が望めば自分のアプリをブロックすることはできるが、ブロックは彼らの仕事であって自分の仕事ではない。英国も望むならファイアウォールを築けばいい。だが、自分が英国に足を踏み入れないなら、アプリを変える必要はない
広い国際協調がないことを心配する必要もない。他の政府も同じくらいひどく、同じたわ言を求めている
暗号化禁止も同じように回避が「難しい」ものになりそうだ。実際に何かを成し遂げるというより、有権者に立派に見せるための目的に近いように見える
英国に住んでいるなら、英国政府と議会のWebサイトでこの請願に署名してほしい: https://petition.parliament.uk/petitions/634725
現在の署名は6,327人で、政府の回答を得るにはあと3,673人が必要で、討論の検討まで進むにはその後さらに90,000人が必要だ
下院議員への手紙もほぼ常に定型的な返答で終わるが、それでも少なくとも気には留める。ごくまれに、テンプレートではない返答を受け取ることもある
今の英国政府が本当に嫌いだ
現実が最後にバットを振るうということを裁判所が確認したうえで、このずさんな法案群が法廷で崩れてほしい
おそらくその中には、今後円周率を4と定めるという条項も入っていそうだ
うちの政府も嫌いだが、彼らを支えるうえでメディアもとてつもなく大きな役割を果たしている
すべてのテック企業が一緒に立ち上がり、サービスへのアクセス遮断まで準備すべきだ。英国でiMessageどころかWhatsAppが1つ使えなくなるだけで何が起きるか、想像してみればいい。無責任でも危険でもない。政府が完全に管理できるSMSは常に残っている
こうした企業が競合を恐れる必要もないと思う。これらのサービスはあまりに深く根付いていて、数週間、長くても数カ月の抗議では何も変わらない。政府が最終的に屈すれば復旧は簡単で、数値もすぐ通常に戻るだろう
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
これは本当に途方もなく愚か。はるかに分断されたインターネットを作り、すべての国がさらに分かれ始め、西側/英国/米国製品への信頼も失われることになる
そうなれば、世界の残りの地域がなぜ引き続き iPhone、MacBook、Google、Amazon などを使うのか。大企業のすべてが失う売上という面で、莫大なコストを払うことになる
一方で、必要なことをしつつプライバシーを尊重し、企業に不要な経済的損害を与えない、もっと賢い方法はいくつもある。ただし政府に賢い人たちがいてこそ可能なのだが、政府はそうでない人たちでいっぱいだ
もう一つの側面は、大多数の個人に対して執行が不可能だということ。回避方法はいくらでもあり、多くの企業は影響を受けない地域やオフショア地域に会社を設立して、Viber、Skype、Google などの代替を提供し始めるだろう。すでに存在するものもある
こうしたことが起きている一方で、英国はすべての家庭に光ファイバーを敷設している。かなり辺鄙な田舎道に住む多くの人が、36x fibre COF215 の引き込みケーブルが木々の間に張られたり、ぬかるんだ道の脇に埋設されたりするのを目にしている
EE は2010年代後半、Tier 1・Tier 2都市で LTE Cat16 を先導し、iPhone X がギガビット級トラフィック対応とともに発売された時期と重なっていた。じきにあなたの近くの野原でも可能になるだろう。低遅延で帯域に余裕のある環境が、すべての人に広がろうとしている
こうした接続性があれば、誰が伝送を提供し、誰が IP 接続性を提供するのかを、はるかに創造的に分担できる。VPN はすでに主流になりつつある。前向きな方向に聞こえる。インターネットは障害を回避してルーティングするものであり、何ができて何ができないかを制限する法律も、トラフィックを Dublin や Amsterdam で終端させれば「回避ルーティング」できる
問題は、英国民がトラフィックを国外へ出すことが普通になるほど、英国政府の政策の行き着く先は、結局また暗号化との全面戦争以外に見えなくなるという点だ
約12人が使う暗号化された XMPP サーバーを運用している。サーバーがメッセージを保存しないという意味で完全に一時的なものだ。オフラインならメッセージを取り逃すので IRC に近い
この法律は自分にも適用されるのだろうか? 自分のサーバーに英国ユーザーがいないよう確認しなければならないのだろうか?
サーバーを作ったときは、こんなことはまったく想定していなかった。強いセキュリティとプライバシー対策を実装することは、真剣に受け止めるべき責任だと思っていた
人々のプライバシーを損なわなければならないのなら、サーバーを運営する気はない。プライバシーがないなら、巨大企業のサービスにいるのと何も変わらない
政権交代が助けになると言っているコメントをいくつか見かけるが、以前の Labour 政権(1997〜2010年)は Regulation of Investigatory Powers Act 2000 を導入した: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
その中には鍵開示規則も含まれている: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki...。鍵開示では立証責任が逆転し、被告人が鍵を持っていない、または復号できないことを証明しなければならず、当時関心のある人々の間ではかなり物議を醸した。RIPA III 条項の実際の使用は2007年に始まった
同じ Labour 政権は Interception Modernisation Programme も推進した: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P...。Snowden リークに出てきた “mastering the internet” として覚えている人もいるかもしれないが、IMP 自体は秘密ではなかった。その一部を法制化しようとする法案も提出した: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200...。これは法律にはならなかった
Labour もこの方向性に同意していると思う。そして大臣と直接仕事をする、あるいは近い上級官僚層は、米国の政権のようには入れ替わらない。この法案が現議会で時間切れになって廃案となり、次の政府が引き継がない可能性はあるが、同じ政党が政権を続けてもそういうことは起こり得る。しかしこの発想は何らかの形で戻ってくるだろうし、最終的には法律になる気がする
これを完全に実装するには、VPN、SSL/TLS、SSH、WebRTC を含む膨大な量のソフトウェアとプロトコルを解体しなければならない
他の国々は英国のためだけにこうしたプロトコルが弱体化されることを望まないだろう。結局、英国は「巨大なファイアウォール」を持ち、事実上自分たちだけの小さなインターネットを作ることになり、技術に詳しい人たちは中国でのように穴をくぐり抜けていくことになる
https://despair.com/products/mistakes
どれだけ多くの会社が法律に従うよりも英国をブロックするのか気になる。間違いなくゼロではないだろう
https://www.politico.eu/article/uk-ministers-lock-horns-with...
潜在的な法的問題から逃れるために、英国国内の事業拠点だけをなくせばよいのではないか?