オンライン安全規制の重要な二重の推進として、欧州連合機関は水曜日、2つの主要な枠組みを前進させた。エンドツーエンドの暗号化を維持する児童性的虐待物体(CSAM)規制に関する理事会合意と、調和されたデジタル同意年齢16歳を要求する議会の採決である。
数年にわたる膠着状態を打破し、加盟国は物議を醸している暗号化サービスの強制検出命令を削除する「チャット制御」に関する立場を採用した。
EU理事会によって合意されたこの妥協案は、当初の委員会提案からの変更を表しており、自主的なスキャンメカニズムを維持しながらデータを復号化する義務を削除することでプライバシー上の懸念に対処しています。
同時に、欧州議会もプラットフォームへの十代のアクセスに対する広範な取り締まりを示唆した。議員らは、親の同意なしにソーシャルメディアを16歳以上使用することと、無限スクロールなどの「中毒性のあるデザイン」の禁止を求める報告書に圧倒的多数で賛成票を投じた。
ドイツの投票は、CSAMに関する理事会合意のロックを解除する決定的なものとなった。以前はプライバシーと暗号化への懸念から反対派の少数派だったベルリン市は、安全な通信技術を明示的に保護するために条文が修正された後、一転してこの提案を支持した。
投票結果によると、この妥協案は、オランダ、ポーランド、チェコ共和国、スロバキアの反対にもかかわらず、十分な支持を確保しました。
サイバーセキュリティに対する具体的な保護措置
サイバーセキュリティ対策に対する具体的な保護措置は、合意文書に含まれています。新しい立場の下で、規制は暗号化プロトコルの弱体化を回避するように構成されています。
評議会の一般的なアプローチ文書には次のように記載されています。
「本規制は、関連する情報社会サービスまたはユーザーによって実装される、特にエンドツーエンドの暗号化を含む暗号化などのサイバーセキュリティ対策を禁止、不可能にする、弱体化する、回避する、またはその他の方法で弱体化させるものではない。」
「この規制は、ホスティング サービスのプロバイダーまたは個人間通信のプロバイダーに義務を課す義務を課すものではない」データを復号したり、エンドツーエンドの暗号化されたデータへのアクセスを作成したりするための通信サービス、またはプロバイダーがエンドツーエンドの暗号化サービスを提供できなくなる可能性があります。」
この条項は、復号化の義務を明示的に除外することで、「クライアント側のスキャン」やバックドアの義務が事実上エンドツーエンドの暗号化を破ってしまうのではないかと懸念していた批評家を安心させることを目的としています。データを復号化する義務を削除することで、評議会は法執行機関のニーズと基本的なプライバシー権のバランスをとろうとしています。
暗号化されたサービスに対する必須の検出命令が削除されたにもかかわらず、この侵害は物議を醸すメカニズムを無期限に延長します。この合意により、規制 2021/1232 に基づく一時的な免除が恒久化され、現在プラットフォームは電子プライバシー規則に違反することなく自発的に CSAM をスキャンできます。以前は、この免除は 2026 年 4 月 3 日に失効する予定でした。
大統領の妥協案によると:
「児童の性的虐待と闘うことを目的とした指令 2002/58/EC の特定の規定からの逸脱は、規則 (EU) 2021/1232 の修正により恒久化されます。」
「規制に基づく逸脱を利用するプロバイダーの自主的な活動」 (EU) 2021/1232 は、プロバイダーに検出義務を課すことなく、可能な緩和策として含まれています。」
デンマークの法務大臣ピーター フンメルガード氏は、問題の規模を指摘してこの措置の緊急性を正当化しました。
同氏は、「毎年、児童への性的虐待を描いた何百万ものファイルが共有されており、あらゆる画像やビデオの背後には、性的虐待を受けた子どもがいます。
この感情は、現代のデジタル サービスの技術的な複雑さを乗り越えながら、違法コンテンツの拡散に対して行動するよう加盟国に圧力をかけていることを反映しています。
合意された文言の下では、客観的な基準に基づいてプラットフォームに対する新しい「高リスク」の分類が導入されます。高リスクとして分類されたサービスは、責任やリスクの状態を軽減するために、こうした「自主的」措置を採用するよう圧力にさらされる可能性があります。
海賊党を含むプライバシー擁護派は、この構造がスキャンの「事実上の」義務を生み出し、紙上の暗号化保護を事実上バイパスしていると主張しています。
これらの取り組みを支援するために、この規制は次のことを定めています。児童性的虐待に関する新しい EU センター。この機関は、検出に使用される指標のデータベースを管理し、国家当局が規則を施行するのを支援します。センターの場所は未定であり、今後の交渉で決定される予定です。
議会の推進: 16 歳以上の年齢制限と中毒性のあるデザイン
これとは別に、欧州議会は 非立法報告書で、賛成483票、反対92票という決定的な結果となった。この報告書は、GDPR に基づく現在の柔軟性に代えて、ソーシャル メディアへのアクセスについて、EU のデジタル最低年齢を 16 歳とする調和のとれたものにすることを求めています。
16 歳未満の完全禁止を提案しているオーストラリアの 10 代アカウントの取り締まりとは異なり、採択された報告書は、保護者の同意がある場合に 13 ~ 16 歳のアクセスが許可されるモデルの概要を示しています。保護とデジタル著作権のバランスをとることを目的としたこのアプローチは、オンライン スペースからの完全な排除を回避します。
議会の主任報告者であるクリステル シャルデモーゼ氏は、規制のトーンの変化を強調し、次のように述べました。「私たちはついに一線を引きつつあります。私たちはプラットフォームに対して、あなたのサービスは子供向けに設計されていないと明確に伝えています。そして、実験はここで終わります。」
彼女のコメントは、業界の自主的な措置では効果が得られなかったという議員の間でのコンセンサスが高まっていることを反映している。
報告書は、年齢制限を超えて、未成年者向けの「中毒性のあるデザイン」の禁止を求めています。具体的には、議会は無限スクロールや自動再生などの機能をターゲットにしており、これらは若者ユーザーの脆弱性を悪用してエンゲージメントを最大化すると考えられています。
議員らは、これらのデザインの選択は精神衛生上の問題に寄与しており、未成年アカウントにはデフォルトで禁止されるべきだと主張しています。
これらの禁止事項を強制するために、議員らはこれらの禁止事項をデジタル公正法で成文化するよう求めています。この次期法案は、デジタル分野における広範な消費者保護の問題に対処し、これらの特定の子供の安全対策の法的手段を提供することが期待されています。
この提案には、プラットフォーム上での商業的搾取から未成年者を保護することを目的とした「キッドフルエンシング」への対策が含まれています。この報告書は、親が子どものデジタル フットプリントをさらに管理する必要があり、プラットフォームは幼い子どもが生成したコンテンツを厳格な保護策なしに収益化すべきではないと示唆しています。
トリローグの戦場とグローバル コンテキスト
評議会の見解が合意されたため、両機関はテキストを調整するために「トリローグ」交渉に入らなければなりません。議会は以前、2023 年 11 月に E2EE スキャンを完全に削除することを可決し、評議会による自主的なスキャン メカニズムの保持をめぐって衝突の可能性が生じました。
主要な対立点は、「自主的な」スキャン メカニズムです。議会はこれを大規模な監視につながる可能性のある抜け穴とみなしているが、評議会はこれが法執行に必要なツールであるとみなしている。最終的な規制では、暗号化通信の処理方法に関するこれらの対立する意見を橋渡しする必要があります。
世界的に見ると、EU のアプローチは他国の開発とは対照的です。オーストラリアでは、政府が16歳未満のソーシャルメディアへのアクセスの厳格な禁止を進めており、この措置は現在高等裁判所で争われている。オーストラリアは厳格な年齢制限に焦点を当てていますが、EU のアプローチは「設計による安全性」とプロバイダーのリスク軽減義務に大きく依存しています。
米国の状況と類似点が存在し、安全フレームワークと立法提案もプラットフォーム設計を対象としています。しかし、EU は暗号化プライバシーと子供の安全に重点を置いているため、他の法域には見られない独特の法的緊張が生じています。
テクノロジー大手は、断片化されたコンプライアンスの状況に直面しています。地域ごとに年齢確認、コンテンツスキャン、デザイン機能などにさまざまな基準が採用されているため、企業はInstagramやTikTokなどのプラットフォームの異なるバージョンの開発を余儀なくされる可能性がある。この断片化は、国家的なアプローチの相違と、連邦政府による禁止措置と並行した州レベルの訴訟によって引き起こされています。
