概要
ここ1-2週間で、欧米での新しい法律の法案について話題だったので紹介します。
2023-04-18の以下の投稿あたりで認知しました。
EUのオンライン安全法案が暗号化を弱めるとして、反対の書簡を公開しているそうです。 先日のEUのレジリエンス法案と似た感じですかね。
題名に書いた通り、EUサイバーレジリエンス法案、英国オンライン安全法案、国連サイバー犯罪条約について順番に紹介します。
EUサイバーレジリエンス法案
2023-04-17 MonにEUのサイバーレジリエンス法 (Cyber Resilience Act: CRA) が話題でした。
「オープンソースコミュニティの健全性のためにPythonソフトウェア財団がEUの法律に警鐘 – GIGAZINE」
EUの新法案が可決されるとPythonがオープンソースとして維持できなくなる可能性があるのか。。
— KAJI | 梶谷健人 (@kajikent) April 16, 2023
いまPythonがOSSでなくなってしまったらAI領域の発展が一気に遅れてしまうので、なんとかPythonが影響受けないように新法案が実態に即したものに修正されてほしいhttps://t.co/2bNlW8610x
去年草案が発表されてオープンソース業界が騒然となったEUサイバーレジリエンス法だけども以前触れた時は無風だった日本でやっと燃えてる。
— Shuji Sado (佐渡 秀治) (@shujisado) April 17, 2023
CRAはデジタル要素を含む製品に対し、サイバーセキュリティを確保するため設計、開発、製造の全サイクルにおいて脆弱性対応を含むプロセスの明確化を義務とする https://t.co/dhoWf7ROAl
現状の草案では特に有償、無償の区別は曖昧で、金銭が関わる行為があれば非営利団体や個人の活動でもCRAが影響する。そのため多くのプロジェクトにも影響し、さらにそれをホスティングするサービスにも影響するためにエコシステム全体に大幅な変化が求められることになる。
— Shuji Sado (佐渡 秀治) (@shujisado) April 17, 2023
GDPRと同じ論理で世界に影響する可能性があるが、草案のままなら欧州ではオープンソースエコシステムは崩壊する。Eclipse Foundationが現状の懸念点をまとめているが、他にもOSI等幾多の組織が懸念表明し、意見書を既に提出している。まあ、さすがに修正は入るだろうとは思う https://t.co/3ezlNWyp6Y
— Shuji Sado (佐渡 秀治) (@shujisado) April 17, 2023
オープンソース使用の製品の責任をオープンソース開発者にも負わせるという立て付けで炎上中のEUサイバーレジリエンス法だが、一方、先月公表の米国のバイデン政権による「国家サイバーセキュリティ戦略」ではさてどう書いてあるか?https://t.co/Nq3qGs9Li4
— Shuji Sado (佐渡 秀治) (@shujisado) April 18, 2023
煽っておいて何だが、(個別の法案にトンチキがあると思うが)私はEUのオープンソース施策を買っているところも多く、最近の米国の姿勢もコミュニティを尊重する姿勢が見えてよろしいと思っている。それに比べて… と思わざると得ないところがあるのだよな。
— Shuji Sado (佐渡 秀治) (@shujisado) April 18, 2023
内容をざっと見る限り、サイバーセキュリティーを確保するため、ソフトウェアの設計、開発、製造の前サイクルで、脆弱性対応を含むプロセスの明確化を義務とするという、製造物責任に関する法律のようです。
現状の草案だと、優勝、無償の区別が曖昧のため、既存のOSSにも対応が必要になり、大幅な変化が求められる (対応できないプロジェクトの廃止?) がありえるということでした。
現在、関係団体が公益になる公開ソフトウェアは除外すべきだとの公開書簡を提出しているようです。
英国オンライン安全法案
2023-04-18に、SignalyやWhatsAppをはじめとする暗号化チャットアプリが、イギリスの新しいオンライン安全法案 (Online Safety Bill) に伴うプライバシーリスクを警告する書簡に署名しました。
「英国オンラインあ活動から安全法案はプライバシーを侵害する–WhatsAppやSignalが警告 – CNET Japan」「Messaging apps like WhatsApp urge UK to rethink ‘flawed’ legislation – The Verge」
The UK’s online safety bill is an existential threat to safe & private communications
— Meredith Whittaker (@mer__edith) April 18, 2023
We’re proud to stand with other encrypted apps to make it clear: mass surveillance isn’t safety. Signal will never compromise the privacy commitments we make to people in the UK & everywhere♥️ https://t.co/Ry31IyNCx4
EUによる「プライベートな会話の大規模な盗聴」を許してはならない | p2ptk[.]orghttps://t.co/GgCivF1yr5
— heatwave_p2p (@heatwave_p2p) April 18, 2023
「子どもを守る」ためであろうと「すべてのコミュニケーションを監視する」などというソリューションは許されるものではない。
書簡の内容は、この法案は実施鵜的にエンドツーエンド (E2E) の暗号化とセキュアな通信を損なうもので、市民のプライバシー権の保護が疎かになるととのことです。
この法案は、特に子供のユーザーのオンラインでの安全確保んため、ポルノや詐欺など、違法コンテンツからのユーザー保護を企業に義務付けることを目指しており、その中でプライベートなメッセージの監視を要するもののようだったようです。
これを受けての警告書簡の公開だったようです。
国連サイバー犯罪条約案
2023-04-09から19にかけて、国連サイバー犯罪条約案についての話題がありました。
国連サイバー犯罪条約(案)を読み解く:サイバー犯罪を口実にした「検閲、言論統制、監視」の拡張を望む世界各国の思惑 | p2ptk[.]orghttps://t.co/KZ6UuM0j49
— heatwave_p2p (@heatwave_p2p) April 9, 2023
サイバー犯罪対策は「検閲・言論統制・監視」のためのツールとして悪用されてきたが、それが国際スタンダード化されようとしている。
語ることになりました。強権主義国家が激推しするサイバー犯罪条約のお話と、未成年者のアクセスを禁止するための厳格年齢確認義務づけのお話をします。 https://t.co/zeVN46wU9n
— heatwave_p2p (@heatwave_p2p) April 13, 2023
いかにして国連サイバー犯罪条約(案)は形成されているのか:提案から交渉、今後の予定までのタイムライン https://t.co/kmxorj7Ql1
— heatwave_p2p (@heatwave_p2p) April 13, 2023
サイバー犯罪条約の提案から現在の交渉に至るまでのタイムライン。交渉では、捜査の障害となる「人権」を排除・制限・回避しようと数々の提案がなされている。
電子フロンティア財団が、全世界の市民に向けて、表現の自由とプライバシーを根こそぎ破壊する恐れのある「国連サイバー犯罪条約」に共に抵抗するよう呼びかけています。 https://t.co/AUPWXQhFiS
— 荻野幸太郎 / OGINO, Kotaro (@ogi_fuji_npo) April 16, 2023
国際NGO、国連サイバー犯罪条約案の危険性を交渉国に警告 | p2ptk[.]orghttps://t.co/SIJFhscZk3
— heatwave_p2p (@heatwave_p2p) April 18, 2023
サイバー空間をセキュアにするはずのサイバー犯罪条約が、我々のプライバシーや表現の自由を切り下げ、監視を強化するためのツールになろうとしている。
国連サイバー犯罪条約は、プライバシーと表現の自由を損なうばかりか、市民の私生活に侵入し、人権侵害な監視権限を正当化することにつながるということで、注意を喚起していました。
Twitterスペースでのトークで、このサイバー条約についてまとめられていたので一部を以下に掲載します。
このサイバー犯罪条約は元々2017年にロシアが提案。ロシア起源ということで、元々EUなどは警戒していたが、今まで取り締まれなかった自国でサイバー犯罪を取り締まるために交渉を続けているそうです。警察権力の強化が目的になっています。
条約により、児童ポルノのような、国によって異なるものを、共通の犯罪にします。著作権とか、ヘイトスピーチとか、政府批判、活動家批判の取り締まりにも流用できます。
言論の自由支持者は以下の観点で対策を求めています。
- 犯罪の範囲を限定させる。現状はインターネット全般になっている。さらに、 (表現の) 内容に関するものをできるだけ除外する。
- 捜査手法の中で、人権侵害をしないようにする。
例えば、ヘイトスピーチは国によって定義が異なります。プラットフォームに削除要請を出す際に、一種の検閲になります。
元々ロシアはLGBTなどはEUと同じレベルのものであまり弾圧していなかった。ただ、児童ポルノとか、子供へのグルーミングなど、児童への悪影響を理由に、うまく弾圧可能な法案にした (報道: ロシアでのLGBT宣伝禁止法成立 | GNU social JP)。
これをアメリカの右派や左派も取り入れるようになって、サイバー犯罪条約になっている感じとのことです。
結論
欧米の新しい法案の話題でした。たまたまなのか3点の法案の話題が被りました。
現状法案なので、ここからまずい内容について、関係者による意見表明がなされて、実際の法案の中身が詰められていくでしょう。
正直、一般の人々がどうこうできる代物ではなく、決まったものを受け入れるしかないとは思います。GDPRのような世界的に影響のある法案になる可能性もあるので、情報だけ観察する程度でしょう。
分散SNSにも影響ありそうなものなので、大きな動きや話題があったらまた取り上げたいと思います。
詳細プロフィール。SNS: Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
コメント