グローバル暗号化連合(Global Encryption Coalition)の運営委員会を構成するCenter for Democracy & Technology、Global Partners Digital、Internet Freedom Foundation、Internet Society、およびMozillaは、1、法案「Sortir la France du piège du narcotrafic」の第8条の3が、フランスの人々、企業、および機関のセキュリティとプライバシーに及ぼす影響について、深刻な懸念を表明する。
政府はこの法案を通じて、麻薬密売という深刻な社会問題への対処を目指している。しかし、そのために暗号化を弱体化させることは、セキュリティとプライバシーにとって危険な前例を作り出すものであり、他にもより効果的なアプローチが存在する。
企業に対し、暗号化のバックドアによってエンドツーエンド暗号化を弱体化させることを強制することで、この法案はフランスを犯罪者や外国の敵対勢力に対してより脆弱な状態に陥らせるだろう。フランスがサイバー戦争という現実的な脅威に直面している今、フランスの人々、企業、機関がエンドツーエンド暗号化通信を利用できるようにすることは、これまで以上に重要である。フランス情報処理・自由委員会(CNIL)が指摘しているように、いかなる法律条項も、暗号化を禁止または弱体化させるものと解釈されてはならない。2 「フランスを麻薬密売の罠から救う」法案の第8条の3は、エンドツーエンド暗号化を保護するために、法案から削除されなければならない。
第8条の3は、特定のプラットフォームに対し、暗号化のバックドアを構築することを強制している。同条は、技術的に不可能である場合でも、要請から72時間以内に犯罪容疑者の復号済みチャットメッセージを引き渡せるよう求めている。暗号化のバックドアは意図的なセキュリティ上の脆弱性であり、その導入を強制することは、フランス国内だけでなく世界中のすべてのユーザーのセキュリティとプライバシーを危険にさらすことになる。
さらなる懸念はエンドポイントのセキュリティであり、本法案は法執行機関によるインターネット接続デバイスのハッキングを可能にすることで、これを損なうものである。
世界のサイバーセキュリティ専門家の間での合意は極めて明確だ。すべてのユーザーのセキュリティとプライバシーを危険にさらす脆弱性を導入することなく、政府にエンドツーエンド暗号化されたデータへのアクセスを提供する方法はない。3 これには、「ゴースト・プロポーザル」として知られる、暗号化された会話に第三者の盗聴者を密かに追加することも含まれる。4
この法案が可決されれば、エンドツーエンド暗号化サービスを提供するプラットフォームは、選択の余地のない状況に追い込まれる。法案に従いサービスのセキュリティを損なうか、あるいはフランス市場から撤退せざるを得なくなるのだ。どちらのシナリオにおいても、結果として、これらのツールに依存しているフランスの市民、企業、機関にとって、通信の安全性とプライバシーは低下することになる。5 フランスのインターネットユーザーの60%以上が、エンドツーエンド暗号化メッセージングサービスが提供するセキュリティとプライバシーの恩恵を直接受けている。6 エンドツーエンド暗号化サービスの機密性を損なうことは、すでに最も大きなリスクにさらされている人々に対して最も有害な影響を及ぼすだろう。すなわち、家族、ドメスティックバイオレンスの被害者、7 LGBTQ+の人々、8、そしてエンドツーエンド暗号化サービスが提供する安全性とプライバシーに依存しているその他多くの人々である。
国際的な人権機関は、プライバシーの権利を保護し、その他の権利の行使を促進する上で、エンドツーエンド暗号化が重要であることを認めている。これは、安全かつ確実に通信できることが、コミュニケーションを取り、自身の意見を表明するための前提条件となり得るからである。2022年、欧州データ保護委員会(EDPB)と欧州データ保護監督官(EDPS)による共同意見書は、「暗号化技術は、私生活と通信の機密性の尊重、表現の自由、さらにはイノベーションとデジタル経済の成長に根本的な形で寄与している」と指摘した。9 欧州人権裁判所(ECtHR)の判例法は、表現の自由の行使に対する報復から人々を保護することなどを通じて、匿名性が「思想や情報の自由な流通を重要な形で促進する」上で重要であることを認めている。10 2024年2月、ECtHRは、暗号化キーを含む「技術情報」の開示をTelegramに命じたロシアの命令について、その措置が比例原則に反するとして、人権法に違反するとの判断を下した。11
フランスの企業、政府機関、および公的機関はすべて、エンドツーエンド暗号化の恩恵を受けている。最近の調査によると、「フランスの組織は、あらゆる種類のデータを世界平均よりも高い割合で暗号化している」ことが判明した。12 一つの事例でバックドアを提供することは、官民のエコシステム全体において暗号化が弱体化することにもつながりかねない。特に国家安全保障の専門家や政府職員にとって、エンドツーエンド暗号化されたサービスへのアクセスは、彼らの私生活と公的生活の両方を守ることを可能にする。バックドアは、フランスのサイバーセキュリティ機関ANSIIによって認証され、フランスの閣僚や政府職員に公式に推奨されているフランスのメッセージングアプリ「Olvid」を弱体化させることになる。13 政府職員のセキュリティとプライバシーを確保することは、国家安全保障にさらなる損害をもたらす可能性のある恐喝や強要の試みを防ぐ上で極めて重要である。「フランスの外交官やエマニュエル・マクロン大統領が、サイバー攻撃を通じてフランスに対するハイブリッド戦争を仕掛けているとしてロシアを繰り返し非難している」14こと、および「Salt Typhoon」ハッキング事件の余波15を踏まえると、フランス政府、市民、企業が自らの安全とセキュリティを守るためにエンドツーエンド暗号化に依存する度合いは、かつてないほど高まっている。
エンドツーエンド暗号化は、フランスの国益を守るために不可欠である。エンドツーエンド暗号化を保護するため、「フランスを麻薬密売の罠から救う」法案の第8条terは、立法から削除されなければならない。