今週末から批准が始まるこの条約はサイバー犯罪への対応強化を目指すが、反対派は曖昧な文言がサイバー防御を妨げる可能性があると指摘している。
批判者によれば、今週末にベトナム・ハノイで始まる批准プロセスで国連サイバー犯罪防止条約が批准されれば、サイバーセキュリティ研究者が正当な業務を行っただけで刑事責任を問われる可能性があるという。
テック業界団体Cybersecurity Tech Accordは本日、1年以上前に国連サイバー犯罪防止条約に対する詳細な批判を提出して以来、ほとんど何も変わっていないと述べた。
Arm、Cisco、Cloudflare、Dell、Meta、Microsoft、Salesforce、SAPなど100社以上が加盟する同団体は、この条約が正当なオンライン活動の犯罪化への道を開き、サイバー犯罪対策をより困難にすると警告している。
同団体は、条約の適用範囲が不明確かつ過度に広く、犯罪化の規定が曖昧で、サイバーセキュリティ研究者への保護が欠如し、データアクセス規定が不必要に広範であり、個人やサイバー犯罪被害者を恣意的な行政権力の乱用から守る実質的なセーフガードのない侵襲的な監視権限を含んでいると指摘した。「その結果」と同団体は述べ、「最新の草案はサイバー犯罪対策というよりも国連によるデジタル監視条約のように見える。」
そのため、批准プロセスが始まる今週末、国連加盟国に対し条約を批准しないよう呼びかけている。
リスクに晒されるセキュリティ研究者
世界中の人権侵害を調査・報告する団体ヒューマン・ライツ・ウォッチもこの条約に反対している。国連が条約を採択した直後の投稿で、同団体はこの条約がサイバー犯罪をはるかに超え、「広範な電子監視権限」を各国に課すものであり、十分な人権保護策がないと述べている。
「この条約は、各国政府に電子的証拠を収集し、国内法で少なくとも4年以上の懲役刑が科される『重大犯罪』について外国当局と共有することを義務付ける」と、テクノロジー・権利・調査担当副ディレクターのデボラ・ブラウン氏は記し、多くの政府が調査報道やセキュリティ研究者の日常的活動を犯罪とみなしていると指摘した。
ヒューマン・ライツ・リサーチ・センターも条約に警鐘を鳴らす多くの団体の一つだ。「国連サイバー犯罪条約の不十分な起草は、サイバー犯罪を構成する活動の最低基準が確立されていないことを示しており、加盟国が国内外の正義を守る上で問題のある線引きを強いられていることを浮き彫りにしている」と、2025年3月の投稿で警告している。
一方、Info-Tech Research Groupのアドバイザリーフェローであるヴァレンス・ハウデン氏は、起草過程で特にサイバー犯罪を構成する行為の定義に関して条約が改善されたと述べている。
「現行の合意文書は、悪意を持って行動がなされたかどうかを重視しているので、今後の進展に大きな価値があると考えている」と彼は述べた。「完璧だとは思わないし、悪意のない個人に対するもう少し明確な保護が必要かもしれない。しかし、あまりに細かく規定しすぎると、揚げ足取りが横行し、条約自体の進展が妨げられるだろう。そのアプローチは大企業に有利に働き、AIのためのデータアクセスや活用における潜在的な犯罪行為を保護することになりかねない。」
しかし彼はさらに、「署名国を見極め、どのように実施するかを理解する必要がある。条約には柔軟性(曖昧さとも読める)があるからだ。グローバルスタンダードと同様、各国・地域の多様なアプローチに対応できる柔軟性が求められる。この議論自体も有益だと考えている。」と付け加えた。
デビッド・シプリー氏(Beauceron Security CEO)も条約の側面を評価している。
「ここでの朗報は、5年に及ぶ交渉の末、署名・批准する国々が様々なデジタル犯罪に一貫して刑事法を整備することが基本事項として盛り込まれたことだ」と彼は述べ、同意なく親密な画像を配布した加害者が犯罪とみなされない地域に逃亡した事件を支援した経験を振り返った。
「このケースでこの条約が発効していれば、容疑者が逃亡した国が署名していれば、その行為を犯罪として扱い、捜査・訴追に協力した可能性がある。被害者もある程度の正義を得られたかもしれない。だが実際には、被害のトラウマだけが残った」と述べた。
彼は欧州連合がこの条約を支持する決定をしたことを歓迎している。EUはサイバー犯罪を真剣に受け止めつつ、市民の基本的なプライバシーと人権も守っているからだ。しかし彼は「重要なのは、各加盟国が署名するだけでなく、政府で批准し、必要に応じて法律を制定・改正することだ。これはかなり時間がかかるだろう。また、この条約は司法や警察の手続きを損なうものではないので、権威主義体制が条約を悪用しようとしても、法の支配が強固な西側自由民主主義諸国では抑制と均衡が働く」と指摘した。
ハノイよりブダペストの方が良い?
しかし、Cybersecurity Tech Accordのニック・アシュトン=ハート氏(同団体の国連委員会代表)は、サイバー犯罪防止条約の実施よりも、欧州評議会のブダペスト条約を参考にすべきだと述べた。同氏は「ブダペスト条約は既に重要な数の加盟国が締約国となっており、参加を希望する国も増えていて、実績もあり、権利を尊重した形で条約に対処するための豊富なガイダンスもある、はるかに優れた合意だ」と語った。
さらに「民間セクターは今後もブダペスト条約の能力構築や技術支援に注力し、国連条約を優先することはないだろう。ただし、(条約第61条・62条で規定される)議定書交渉で問題が解決されれば別だが」と付け加えた。
これらの問題にもかかわらず、シプリー氏は業界は今や条約の適切な実施に注力すべきだと考えている。
「サイバーセキュリティ業界が懸念を示しているのは理解できる」と彼は述べた。「彼らは犯罪組織の摘発に向けた協力強化自体に反対しているわけではない。問題は無許可アクセスなど条約の曖昧な文言で、倫理的な調査を行うセキュリティ研究者が巻き込まれる可能性がある点だ。しかし、もはやその段階は過ぎた。加盟国が署名する場合、条約の適用にセキュリティ研究への十分な保護が含まれるよう確保する方が有益だろう。」
条約は、40の加盟国または地域経済統合機関が批准してから90日後に発効する。批准プロセスは2026年12月31日まで続く。
