出典: helloRuby / Shutterstock
中国、イラン、ロシア、欧州連合が新たなグローバルサイバー犯罪条約に署名する中、米国と少数の他国は、この国際合意が人権に与える影響や、情報通信技術(ICT)によって可能となるあらゆる「重大な」犯罪を対象に含めることについて懸念を表明し続けている。
月曜日、70カ国以上が条約—正式には「国連サイバー犯罪防止条約」—に署名し、「情報通信技術システムを利用して行われたあらゆる『犯罪行為』の捜査および起訴に協力する」と誓約した。文書のコピーによると、署名国は「重大な」犯罪、すなわち最高刑が少なくとも4年以上の懲役となる法律違反について協力することを約束している。
この条約の範囲は重大なサイバー犯罪をはるかに超え、多くの民主主義国家で保護されている活動、例えば異議申し立て、内部告発、さらにはセキュリティ研究まで含まれると、サイバーセキュリティ・テック・アコードの責任者であるニック・アシュトン=ハート氏は述べている。同団体にはCisco、Meta、Microsoft、SAPなどの大手企業が加盟している。
「条約内の特定の犯罪に対する犯罪意図要件は弱く、セキュリティ研究者やペネトレーションテスターに対する刑事責任からの保護がありません」と彼は言う。「実際、ジャーナリストの情報源や内部告発活動も犯罪化される可能性があります。」
条約の文言は、国家を2つのグループに分けている。人権重視で強力な保護を求め、国際協力を重大なサイバー犯罪のみに限定したい国々と、犯罪で起訴されていない人々に対しても広範な捜査を可能にしたい国々だとアシュトン=ハード氏は付け加える。文書の条項には、個人のリアルタイム監視、資産の没収、他国の法執行機関による企業システムの管理などが含まれており、通知の義務もないという。
サイバー犯罪条約に反対するのは米国だけではない
国連は、条約がもたらす新たな能力、すなわち電子証拠の収集、共有、利用や、児童性的虐待画像や同意のない親密画像の拡散の犯罪化に焦点を当てている。
「国連サイバー犯罪条約は、サイバー犯罪に対する我々の集団的防御を強化する強力な法的拘束力のある手段です」と国連事務総長アントニオ・グテーレス氏は文書署名の発表声明で述べた。「これは多国間主義が解決策をもたらす力を持ち続けている証です。そして、どの国も、発展段階に関係なく、サイバー犯罪に対して無防備に置かれることはないという誓いです。」
しかし、条約に署名した多くの国が、そのような称賛に値する目的を持っているとは限らない。2019年、ロシアはその代表団が決議案を提出し、サイバー犯罪対策の枠組みを作るためのプロセスを開始した。他の署名国には、ベラルーシ、カンボジア、中国、イラン、ミャンマー、ニカラグア、シリア、ベネズエラなどの権威主義国家が名を連ねており、スポンサー国の中で最も高い国でもエコノミスト誌の2024年民主主義指数(10点満点)で2.94点だった。比較のために言えば、最も民主的な国ノルウェーは9.81点を獲得している。この北欧の国も国連サイバー犯罪条約には署名していない。
設立国の顔ぶれを見ると、特に中国やロシアから多くのサイバー犯罪活動が発生している現状では、政策ウォッチャーは懐疑的になるべきだと、サイバー脅威インテリジェンス企業Silent Pushの上級脅威アナリスト、ザック・エドワーズ氏は語る。彼は、中国やロシアのサイバー犯罪グループによる莫大な経済的損失を指摘した。
「ロシアや中国が何十年も続けてきたこれらの政策を突然変えると信じるのは…ナイーブです」と彼は言う。「両国にはサイバー犯罪を推進・支援するグループや組織が存在し、政府のAPT(国家支援型高度持続的脅威)にも利用されています。」
一方、米国以外にもカナダ、イスラエル、ニュージーランドなど、署名していない著名な国がある。また、国連サイバー犯罪条約は、現政権と前政権の米国で珍しく共通する政策姿勢でもある。バイデン政権はプロセス中に国連と関与していたが、トランプ政権も同様のアプローチを取っているようだ。
さらに、MicrosoftやGoogleなどのテクノロジー企業や、電子フロンティア財団(EFF)などのデジタル権利団体も、現在のサイバー犯罪条約の形態を批判している。
今月のDark Reading Confidentialポッドキャスト、デジタル権威主義の急速な台頭におけるサイバーの役割では、Citizen Labのロナルド・ディーバート氏とEFFのデビッド・グリーン氏が出演。ゲストによれば、企業のサイバーチームは現在の「監視の黄金時代」に対抗する絶好の立場にあるという。
国連サイバー犯罪条約に人権問題がつきまとう
デジタル権利団体も懸念を示している。10月24日、ヒューマン・ライツ・ウォッチは、約20の団体による共同声明を発表し、条約への懸念を表明した。
「この条約は、同種のグローバル条約としては初めて、サイバー犯罪—コンピュータネットワーク、システム、データへの悪意ある攻撃—への対処をはるかに超えています」と団体は述べた。「条約は、情報通信システムに関係しない犯罪も含め、幅広い犯罪の捜査と協力のために、国家に広範な電子監視権限の確立を義務付けています。それも十分な人権保護策なしにです。」
共同声明の中で、団体は各国に対し、条約に署名しないか、少なくとも強力な人権保護策を設け、保護された活動に関する情報提供要求が増加する中で、公的・民間組織向けの政策を策定するよう求めた。
「条約の欠陥は容易に緩和できません。なぜなら、人権や法の支配を体系的に尊重しない国家の資格停止メカニズムがないからです」と団体は述べた。「また、こうした国家が自国のユーザーを持つ多国籍企業に対して管轄権を主張する手段にもなり得ます。」
グローバル企業や抑圧的な政府を持つ国でビジネスを行う企業は、捜査協力要請の増加を予想すべきだ。現行条約の人権保護が不十分なため、企業は情報提供以外にほとんど選択肢がないかもしれないと、Silent Pushのエドワーズ氏は述べている。
「これは間違いなくユーザーにリスクをもたらします。なぜなら、施行されるとすぐに、大手クラウド企業は権威主義国家からユーザーデータに関する要請で殺到するからです」と彼は言う。「彼らは本当に難しい判断を下し、その対応に多くのリソースを費やさなければならなくなるでしょう。」
この条約は、40カ国が自国の法律としてサイバー犯罪条約を採用するまで発効しない。
今月のDark Reading Confidentialポッドキャスト、デジタル権威主義の急速な台頭におけるサイバーの役割では、Citizen Labのロナルド・ディーバート氏とEFFのデビッド・グリーン氏が出演。ゲストによれば、企業のサイバーチームは現在の「監視の黄金時代」に対抗する絶好の立場にあるという。
翻訳元: https://www.darkreading.com/cybersecurity-operations/us-refuses-sign-un-cybercrime-treaty
