EU、サイバー監視技術の輸出規制強化へ スパイウェアや顔認識
コネクティビティ

Europe is adopting stricter rules on surveillance tech EU、サイバー監視技術の輸出規制強化へ スパイウェアや顔認識

欧州連合はスパイウェアや顔認識などのサイバー監視技術の輸出の規制強化に動く。欧州だけが対象となる点は弱点だが、デュアルユース技術の取引の透明性を高め、国際協調を呼びかけていく構えだ。 by Patrick Howell O'Neill2020.11.30

欧州連合(EU)は、顔認識やスパイウェアといったサイバー監視技術の販売・輸出に関する規制の厳格化で合意した。何年にもわたる交渉の末にまとまった新たな規制は、11月9日にブリュッセル(EU理事会)で発表された。計画の詳細は先月、ポリティコが報じていた。

新しい規制は企業に対し、軍事転用可能な技術を販売する際に政府のライセンスを取得すること、人権侵害のリスクを評価するデューデリジェンスを強化することを求める。また、各国政府に対して許可するライセンスの詳細を公開することを要求している。軍事転用可能な技術は一般的に秘密裏に取引されており、数十億ドル規模の技術がほとんど公的な監督を受けることなく売買されている。

欧州議会議員で、新たな規制の交渉責任者の1人を務めたマルケタ・グレゴロヴァは、「今日は、世界的な人権の勝利です。我々は、他の民主主義諸国が従うべき重要な前例を作りました」と声明で述べた。「世界の権威主義政府は、欧州のサイバー監視に密かに近づくことがこれ以上に難しくなるでしょう」。

人権擁護団体は欧州に対し、監視技術への規制強化を長らく求めてきた。欧州製の監視ツールは、2011年の「アラブの春」の間にも権威主義政府によって使用され、今日でも世界中の独裁国家や民主主義諸国に販売され続けている。報道や政治的な圧力は、こうした状況に対して目立った影響を与えられていない。

新規制の支持派によると、この新たな規制がもたらす重要な意味は、透明性の向上だという。EU加盟国はサイバー監視技術の輸出に関して、輸出先や品目、金額、ライセンスの決定を公表するか、あるいはそういった詳細を開示しないという決定を公表する必要がある。その目的は、監視ツールを独裁国家に販売している政府に対して、表立った批判をしやすくすることにある。

規制には、「国内の抑圧、あるいは国際人権法・人道法への重大な侵害に関連して、使用のリスクを考慮する」という加盟国に対する指針も含まれているものの、これには拘束力はない。

したがって、この新たな規制がどの程度の効果を生むかはまだ不明だ。人権運動家と独立専門家は懐疑的であり、何年もかかってこの取引をまとめ上げた交渉人の中にさえ疑念を示す者もいる。

規制の実効性は、その執行の多くに責任を負う欧州の各国政府に一任されることになる。ドイツは現在、欧州理事会の議長国の座についており、12月の任期満了前に合意に達するよう動いてきた。ドイツ当局は先月、抑圧的な政府に対して監視ツールを販売した疑いで、スパイウェア・メーカーの「フィンフィッシャー(FinFisher)」のオフィスを家宅捜索しており、合意に先駆けて規制の効果を示した格好だ。

新たな規制は特定の監視ツールにもいくつか言及しているが、欧州の以前の規制や、兵器および軍事・民生の両方に利用可能な技術(デュアルユース技術)の輸出規制に関する重要な国際協定であるワッセナー協定(Wassenaar Arrangement)よりも、柔軟かつ拡張性の高いものになっている。

新たな規制には、各項目が明確に記載されていなかったとしても、サイバー監視品目に関する「キャッチオール」条項が含まれている。例えば、顔認識はこの規制には記載されていないが、ある交渉人によると明らかに規制対象になるという。それでも、規制が実際にどう適用されるかはまだわからない。

新たな規制のもう1つの明らかな弱点は、EU加盟国しか対象とならないということだ。

欧州には実際、英国のガンマグループ(Gamma Group)やイタリアのハッキング・チーム(現メメント・ラボ(Memento Labs))など、有名な監視テック企業がある。しかし、イスラエルや米国といった他の国々でも独自の監視技術産業が成長している。

新たな欧州の規制に取り組んだ議員らによると、彼らが目指しているのは、監視技術の輸出をさらに厳しく規制する意欲のある民主主義諸国の連合を作り出すことだという。今回の法規制の改正が理にかなっているという点では広く意見が一致しており、スパイウェア業界でさえも規制強化を受け入れている。しかし、この規制は始まりに過ぎない。