欧州委員会（EU）・オンラインの子どもの性的虐待の規制に関する新たな規則案概要

〈欧州委員会（EU）、子どもとインターネットに関する新たな戦略を採択〉の末尾で簡単に触れておきましたが、EU（欧州連合）の政策執行機関である欧州委員会は、5月11日、オンラインの子どもの性的虐待の規制に関する新たな規則案を提案しました。

a）European Commission - Fighting child sexual abuse: Commission proposes new rules to protect children
https://digital-strategy.ec.europa.eu/en/news/fighting-child-sexual-abuse-commission-proposes-new-rules-protect-children

b）European Commission (Migration and Home Affairs) - Legislation to prevent and combat child sexual abuse
https://ec.europa.eu/home-affairs/whats-new/campaigns/legislation-prevent-and-combat-child-sexual-abuse_en

注／以下の要約は 1）のリリースからリンクされている Full press release を踏まえたものですが、7月2日午後7時半現在、「一時的に閲覧不能」になっています。

　サービスプロバイダーに課される義務を強化するとともに、新たに「EU子どもの性的虐待センター」（EU Centre on Child Sexual Abuse、以下「EUセンター」）という独立機関を設置して、サービスプロバイダー等による取り組みを支援することが新たな規則案の眼目です。サービスプロバイダーに課すべき義務としては、次のようなものが提案されています。

●　義務的リスク評価およびリスク緩和措置：ホスティングサービスまたは対人通信サービスのプロバイダーは、子どもの性的虐待表現物の流布または子どもの勧誘（グルーミング）を目的として自社のサービスが濫用されるリスクを評価するとともに、リスク緩和措置も提案しなければならない。
●　検出命令に基づく焦点化された検出義務（targeted dection obligations）：加盟国は、プロバイダーによるリスク評価の審査を担当する国内当局を指定しなければならない。当該当局は、依然として相当のリスクが存在すると判断した場合、裁判所または独立の国内機関に対し、既知の／新たな子どもの性的虐待表現物またはグルーミングに関する検出命令を出すよう申し立てることができる。検出命令は特定のサービスにおける特定のタイプのコンテンツを対象としたもので、期限が定められる。
●　検出に関する強力な保障措置：検出命令を受けた企業は、EUセンターが検証・提供する子どもの性的虐待指標を用いたコンテンツ検出以外は行なうことができない。検出技術は、子どもの性的虐待を検出する目的でのみ用いられなければならない。プロバイダーは、プライバシーの侵襲度がもっとも低い業界の最先端技術であって、誤検出率を可能なかぎり抑える技術を採用しなければならない。
●　明確な通報義務：オンラインの子どもの性的虐待を検出したプロバイダーはEUセンターに通報しなければならない。
●　実効的削除：国内当局は、子どもの性的虐待表現物の自発的削除が速やかに行なわれないときは、削除命令を出すことができる。インターネットアクセスプロバイダーも、（たとえばEU外の非協力的な国・地域にホスト先があるなどの理由で）削除することのできない画像・動画にアクセスできないようにすることを要求される。
●　グルーミングを受ける機会の削減：アプリストアは、子どもの勧誘が行なわれるおそれの強いアプリを子どもがダウンロードできないようにすることを要求される。
●　しっかりした監督機構と司法的救済：検出命令は裁判所または独立の国内機関によって出される。誤検出・誤通報のリスクを最小化するため、EUセンターは、オンラインの子どもの性的虐待の可能性があるとしてプロバイダーから寄せられた通報を検証してからでなければ、法執行当局およびユーロポール（欧州刑事警察機構）との通報の共有を行なわない。プロバイダーとユーザーの双方とも、自己に影響を与えるいかなる措置についても、欧州司法裁判所で争う権利を有する。

　提案の詳細と規則案はこちらに掲載されています。

　規則案の概要は、JPNICブログ〈エンドツーエンド暗号化規制のその後〉（6月10日付）でも紹介されています。この記事でも焦点が当てられていますが、欧州委員会の構想のうち、とくにプロバイダーに課される検出義務の範囲については強い懸念が表明されてきました。関連記事をいくつか紹介します。

1）Gigazine：児童の性的虐待を防ぐため「暗号化されたプライベートメッセージのスキャン」を求めるEUの計画に専門家から非難殺到
https://gigazine.net/news/20220516-eu-scan-private-messages-child-abuse/

2）Gigazine：「EUは児童を性的虐待から守る名目で一般市民を監視しようとしている」という批判
https://gigazine.net/news/20220526-eu-csam-scan-is-a-lie/

3）P2Ptk.org：欧州委員会の無責任な「オンライン児童性虐待防止・撲滅規則」案がエンドツーエンド暗号化を破壊する
https://p2ptk.org/privacy/3617

　欧州委員会の提案に対する意見の募集期間（8週間）がそろそろ終了しますが、こうした批判や懸念の声に応えて何らかの修正が図られるかどうかは不明瞭です。

　なお、ヨーロッパを中心に活動している国際的・地域的団体によるキャンペーンサイト Child Safety Shouldn't Stop Online なども参照。