世界を動かす技術を、日本語で。

ChatControl: EUがすべてのプライベートメッセージをスキャンしたい、暗号化されたアプリでも

2025年9月26日原文(metalhearf.fr)

概要

  • EU の新法案「ChatControl」は、すべてのメッセージアプリやサービスで プライベート通信の監視 を義務化
  • エンドツーエンド暗号化 アプリも対象、 回避やオプトアウト不可
  • 目的は 児童性的虐待資料(CSAM)対策 だが、 大規模監視とプライバシー侵害 を招く
  • 技術的には クライアントサイドスキャニング で、暗号化前に端末内でメッセージを検査
  • 欧州外でも同様の監視強化傾向、専門家・科学者から 強い反対意見

EU「ChatControl」規制案の全貌

  • 欧州連合(EU) が進める新規制「ChatControl」は、すべての メッセージングサービス にユーザーの プライベートメッセージや画像の自動スキャン を義務付け
  • Signal、WhatsApp、Telegram などのエンドツーエンド暗号化アプリも例外なし
  • オプトアウト不可、全加盟国に強制適用、各国独自の解釈や憲法による例外も認めず
  • 建前上の目的は「 児童性的虐待資料(CSAM)対策」だが、 4億5000万人のプライバシー消失前例なき監視社会 の到来
  • 同様の監視強化は スイスのメタデータ保持義務化英国の年齢認証義務化 など、欧州外にも拡大

ChatControlとは何か

  • ChatControlは正式名称「 児童性的虐待防止規則(CSAR)」の通称
  • 既存の Meta(Facebook Messenger、WhatsApp)Apple(iCloud) による自主的スキャンを、 政府命令で義務化
  • 2021年のEU暫定規制(自主スキャン許可)は2024年に失効、CSARは 法的義務化 への転換
  • さらに「 データへの合法的アクセスのロードマップ」で、すべてのデジタルデータを当局が読める状態にする構想

対象範囲

  • 全ての対人コミュニケーションサービス が対象
    • メッセージアプリ(Signal、WhatsApp、Telegram)
    • メールサービス
    • 出会い系アプリ
    • チャット機能付きゲーム
    • SNS
    • ファイル共有サービス(Google Drive、iCloud、DropBox等)
    • アプリストア
    • 小規模なコミュニティサービス
  • 「メッセージアプリ」だけでなく、ほぼ全てのデジタルサービス が監視対象

仕組みと技術的実装

  • クライアントサイドスキャニング 方式
    • 端末内で 送信前(暗号化前) に自動スキャン
    • 監視対象は3種類
      • 既知の違法コンテンツ: CSAMデータベースとのハッシュ照合
      • 未知の疑わしいコンテンツ: AIによる画像解析
      • 「グルーミング」行為: AIによるテキスト分析
    • フラグが立った場合は即通報、人間による事前確認なし

暗号化の意味喪失

  • ChatControlは 暗号化を破るのではなく、暗号化前に通信内容を検査
  • エンドツーエンド暗号化(E2EE)の根本原則 「送信者と受信者以外は読めない」を完全否定
  • Proton 等のプライバシー重視企業も、「 暗号化の裏口より悪質」と批判
  • 「ローカルスキャンだからプライバシーは守られる」という主張は 根拠薄弱

ガバナンスと例外規定

  • EU児童性的虐待対策センター を新設し、全通報を一元管理
  • サービス提供者には リスク評価義務、ユーザー属性やコンテンツの詳細な収集
  • 年齢認証義務化 も推進、 オンライン匿名性の消滅
  • 政府・軍・治安機関アカウントは監視免除 という抜け道

実社会への影響

  • 暗号化技術に対する 政治的圧力の強化
    • すべてのデジタルデータの当局アクセス」を目指すEUロードマップ
    • Edward Snowden の告発以降、暗号化の権利が支持されてきたが、再び 監視強化の流れ
    • デンマーク、フランス など各国閣僚も「 暗号化通信は市民の権利ではない」と明言

誤検知(False Positives)の問題

  • 80%が誤検知 という調査結果(アイルランド警察の統計)
  • 膨大な誤検知で 警察リソースの浪費、本来の犯罪捜査が停滞
  • 家族写真、医療相談、教育資料 なども頻繁に誤検知
  • 実例: Google のAIが父親の医療相談写真を児童虐待と誤判定し、アカウント永久停止

科学者・専門家の反対

  • 35ヶ国600名超の専門家 が「技術的に不可能」「民主主義の危機」「全市民の安全とプライバシー崩壊」と公開書簡
  • クライアントサイドスキャニング は暗号化の根幹を壊し、悪用リスクも増大
  • 有効性や信頼性の実証なし、産業界の主張が優先

簡単に回避できる現実

  • 犯罪者は容易に回避可能
    • 標準暗号ツール(GPG等)で事前暗号化→スキャン回避
    • 外部ストレージ(Dropbox等)にアップロード→URL共有で検知不能
    • オープンソースプロトコル(XMPP、Matrix)で独自クライアント開発
    • ステガノグラフィ で画像にデータ隠蔽

まとめ

  • ChatControl は、名目上の児童保護政策を超えた 大規模監視社会化 の危険性
  • 暗号化通信・プライバシー権の根本的侵害
  • 誤検知・技術的限界・専門家の反対 にもかかわらず推進
  • 欧州発の前例が世界全体の監視強化に波及 するリスク

Hackerたちの意見

社会の課題は、こういう試みを単に拒絶することじゃなくて、特定の状況で承認されるまで何度も押し込まれないようにすることだと思う。

その通りだね。この場合、「プライバシー権の法案」みたいなものが必要だよ。こういう法律が通らないようにするための基本的なものが。

受け入れられている解決策は、そうじゃないって言ってる憲法を持つことだね。これがちょっと複雑で、EUには実際の憲法がないし、この「法律」(実際には規制)は、通信の秘密を確立した国々の憲法に明らかに違反してる。

こういうことを提案する人たちは、教育が足りないからじゃなくて、彼らの支持者の敵に影響を受けているか、妥協させられていると思う。例えば、この政策はEUの敵にとって最も役立つものだよ。データを取得するコストを下げて、中国やロシアが通信中のデータを大量に取得できるようにするからね。政策立案者のシステムは、世界で最もハッキングしやすいんだ。

それに対する解決策は、ちょっと馬鹿げて聞こえるものしかないけど… もし馬鹿げたことを乗り越えられたら、政治家は選挙に負けたら処刑されることに同意すべきだよ。命をかける覚悟のある人だけが立法できるべきだね。これによって、有権者は次の選挙で厳しい法律を通した人を罰する選択肢も持てるし。さらに刺激が欲しいなら、リコール選挙にも適用されるから、早めに罰せられることもできる。

こういうことがどう間違っていくかを見せられたらいいのに。例えば、彼らが問題を抱えている国のリーダーが、似たようなデータへのアクセスを悪用するケースとか。でも、彼らは多分、他の人が自分たちに対してそれをやるときだけ悪いと思うんだろうね。

俺が考えるに、こういうことがあるたびに、議会や委員会が何かを発表したら、そのメンバーのプライベートなコミュニケーションが全部漏れちゃうのが一番の対策だと思う。WhatsAppから銀行の明細まで、みんなが自由に見れるようにね。人々のプライバシーを侵害したいなら、まずは自分たちがどうなるか試してみればいい。

本当にできる選択肢は、自国がEUを離れることだけだよ。選挙で選ばれてない人たちが、無数の加盟国のために大きな決定を下すのは民主的じゃないから、できるうちにやっちゃえ。

政府の仕事や活動に関わっている官僚から特権を剥奪すべきだよ。免責もセキュリティもなし。もし公のために仕えたいなら、ちゃんとその役割を果たせばいい。

各国の憲法に明示的なデジタルプライバシー権があるの?プライバシー権はほとんどの国の憲法にすでにあるけど、デジタルの部分を追加することで反発が難しくなるかもね。

プライバシーの権利を保証する確実な方法は、政治家や政府に対して絶対的な透明性の法律を推進し続けることだと思う。もし彼らがすべての市民の記録を常に公開することを求めるなら、政府も同じようにすべきだよ。セキュリティクリアランスも、修正も、「国家安全保障」の言い訳もなしで。明らかに不合理?そうだけど、「腐敗と戦う」って言い訳に隠れてるから、こういう非常に党派的な社会では効果的なんだよね。彼らの「子供たちのことはどうするの?」みたいな言い訳が、グローバルな監視を求める要求を支えてるのと同じように。

Slackみたいなプラットフォームはこの状況でどうなるんだろう?人々が自分の暗号化(例えば、未暗号化のチャンネルでのPGP)を使うのをどう防ぐんだろう?公開鍵暗号は重要じゃないほど弱いのかな?

Hacker Newsで議論の続きを見る