国連サイバー犯罪条約、何が問題なのか

Electronic Frontier Foundation

国連サイバー犯罪条約の草案は、侵入的な国内監視措置を課し、国家間の監視およびデータ共有における国際協力を義務づける広範な監視条約である。この条約案には、サイバー犯罪に関連する捜査や訴追において各国の相互支援を要求する司法共助規定が盛り込まれているが、十分な人権保護措置を設けることなく、あらゆる重罪について電子的証拠の収集、取得、保存、共有を認めている。このような協力は、人権侵害が横行する国々にも及ぶ。2022年にスタートした条約交渉は、ロシア連邦による物議を醸す提案から始まった。

現在の条約草案が採択されれば、世界中の監視法が書き換えられることになる。しばしば政府の標的にされる人権擁護者、ジャーナリスト、権力に真実を語る人々ら無数の人々が深刻な影響を受けるだろう。義務的で拘束力のある、明確な人権保護が盛り込まれなければ、本条約は人権の保護はおろか、国家による濫用、国を越えた弾圧すら許すものとなるだろう。

EFFの主要な懸念事項

ミスリードかつ問題のある条約草案の名称：サイバー犯罪と、ICTを通じて行われる犯罪の同一視は、概念的にも実際的にも有害である。サイバー犯罪は、コンピュータシステム、ネットワーク、データを標的とした行為に限定すべきである。近年、サイバー犯罪の定義拡大を通じて、表現や人権が犯罪化されるようになってきている。最近の定義拡大の試みは、表現と人権の犯罪化につながっている。サイバー犯罪とICTを通じて行われる犯罪を同一視することは、実際に運用において、とりわけ条約の適用が曖昧な領域にで条約の拡大解釈を促すことになる。

不十分な人権保護：第24条では、条件およびセーフガードに言及されており、ここには比例性の原則に含まれているが、それ以外の適法性、必要性、非差別性といった重要な原則を明示的に盛り込んでいない。実効性のある人権保護には、監視に先立つ司法の承認、透明性、ユーザのデータにアクセスした事実の通知が不可欠だ。しかし、新草案ではこれらのセーフガードが省略されており、さらに悪いことに、その不十分な保護措置ですら各国の国内法に委ねられている。こうした法律は国によって大きく異なり、十分な保護を保証できないおそれがある。また、法的に保護された機密情報の保護措置も欠けており、自白強要の防止も不十分である。さらに、刑事弁護人の保護も欠落している。これらの欠如により、人権侵害が引き起こされかねない。本条約は、侵入的な監視を制限するどころか、最低限の保護措置すら十分に規定せず、むしろ既に確立された厳格な基準を弱める恐れがある。

極めて侵入的な秘密監視権限：草案は、十分な保護措置を規定しないままに広範な秘密監視を許すものとなっており、国内においても、国家間においても重大なリスクをもたらす。サイバー犯罪以外の犯罪や、ある国では犯罪化されているが別の国では適法に行える活動に対し、トラフィックデータと内容のリアルタイム傍受を許可している。サービスプロバイダが密かに協力を強要されることになり、一般市民や監督機関が当局の活動を適切にチェックすることが困難になる。こうした権限は国際的な諜報活動や証拠収集の支援にも用いることが可能になり、とりわけ人権状況の悪い国々に悪用されるリスクが極めて高くなる。この協力体制により、国際的には人権として認められている活動であっても、それを犯罪化している一部の国がその活動を標的にし、国境を越えた弾圧や人権侵害のリスクを高めることになる。

国際協力の章の広範な適用範囲、依然として重大な脅威：この条約草案では、ある国が、自国では違法だが他国では合法な活動について、その他国と協力してスパイ行為を行うことを容認している。さらに、人権によって保護されるべき行為を両国が共に犯罪化している場合、この条約は両国間の協調的な人権侵害を正当化してしまうおそれがある。

LGBTQおよびジェンダーの権利にもたらすリスク：条約の広範な適用範囲は、LGBTQやジェンダーに関する権利に重大なリスクをもたらしている。現在の国際協力の章は、LGBTQやジェンダーに関する表現を重罪として犯罪化している一部の国で、ジェンダーや性的指向に基づいて個人を狙い撃ちにする口実に使われかねない。サイバー犯罪法を口実に社会的弱者が不当に取り締まられてきた歴史をを考えると、とりわけ懸念される。

技術支援の義務化：草案は、各国に対し、当局が特定のコンピュータまたはデバイスに関する知識を持つ誰かに、情報へのアクセスに必要な情報（ユーザID、個人データ、位置データを含む）を提供するよう強制できる法律の整備を要求している。こうした法律によって、テクノロジーの専門家やエンジニアにデバイスのロック解除、セキュリティ機能の説明を強要できるようになれば、セキュリティが損ねられたり、機密情報が暴露することにもなりかねない。具体的には、エンジニアが未修正のセキュリティの欠陥を開示させられたり、データを保護する署名付き暗号化キーを提供させられるおそれがある。

範囲の拡大と過剰な犯罪化のリスク：条約草案は引き続き、サイバー犯罪だけでなく、「グルーミング」やCSAMなど広範囲の犯罪を含んでいる。条約交渉を監督する国連のアドホック委員会議長は、議定書を通じてさらに多くの犯罪を含めるための交渉セッションを追加した。このアプローチは、条約草案の範囲を不必要に拡大し続け、表現や集会に関わる正当なオンライン活動を過剰に犯罪化するリスクをもたらしている。

セキュリティ研究や公益活動への保護の欠如：条約草案は、セキュリティ研究、ジャーナリズム、内部告発を犯罪化から除外しておらず、世界中のサイバーセキュリティと報道の自由に重大なリスクをもたらしている。ICTシステムに対する許可されたテストや保護に携わる人々すら標的にされかねない。さらに、草案では不正アクセスや通信傍受、システム干渉の定義において、犯罪意図や実際の被害を要件とはしていない。したがって、正当なセキュリティ研究活動までもが処罰の対象となる危険性がある。

UN Cybercrime Treaty Negotiations Three-Pager | Electronic Frontier Foundation