[レポート]国境を越えたデータへの法執行機関のアクセス:提案されたEU e-Evidence規制の国際的な範囲 – CODE BLUE 2020 #codeblue_jp

2020.10.29

こんにちは、崔です。
今回は CODE BLUE 2020 で行われた以下のセッションのレポートです。

セッション情報

国境を越えたデータへの法執行機関のアクセス:提案されたEU e-Evidence規制の国際的な範囲

拡大する高度な犯罪の分野には、デジタルの証拠に関しての課題がある。法廷でそのような証拠を採用するというだけでなく、誰がどのように、あるいは部分的な採用に留めるのか、すべて採用するのか、異なる法的な管轄範囲をどう超えるのか、などである。

証拠へアクセスできることは、犯罪を訴える側にとっても、不当な訴えから自身を守る被告にとっても不可欠なものである。

しかし、サイバー空間の分散的であるという性質上、対象となる証拠が同時に複数の法的管轄区域に散逸することや、時刻に応じて存在する場所を特定することが困難という場合もある(クラウドコンピューティングの場合など)。

このプレゼンテーションでは、法執行機関が刑事共助の枠組みなどの証拠に国境を越えてアクセスできるようにすることを目的とした、さまざまな従来の新しいツールや欧州連合(特にe-エビデンス提案)、欧州評議会(ブダペスト条約)、および米国の先行的取り組みについて説明する。

次に、領土主権などの国際法の関連原則に移り、EUのe-エビデンス提案の他の地域へのグローバルな到達範囲と影響の可能性を検討する。

Presented by : アンナーマリア・オスラ

レポート

  • エストニアのテクノロジー企業のシニアポリシーオフィサー 
    • 国境を越えたデータへの法執行機関のアクセスについて
  • なぜ議論が必要なのか
    • デバイスの数が増えている
    • 悪意あるサイバーインシデントの数も増加している
    • 電子証拠を考慮する必要がある
    • ほとんどの捜査が、国境を越えた電子証拠を必要としている
  • 迅速に証拠にアクセスする必要がある
    • 国外にある場合どうすればいいのか
    • 何十年前に規制された法で、現在の状況を反映していない
  • 様々な証拠アクセスへの手段の前に、2つの事例
    • Yahooの事例
    • Equifax事例
  • 越境アクセスの現在の手段
    • MLATsの取り決め
      • 国家間
      • 様々な国内機関をまとめ、他国の機関と協力をもとめるもの
    • 批判にあたることもある
      • 8年前に、このプロセスは非効率と言われた
    • 現在は、状況が変わった
      • 必要な証拠が国内にあったが、現在では国外にあることが多い
      • どの国のどこにあるのか、分からない
  • MLATsの弱点
    • 時間がかかる
    • 瓶に入れたメッセージである。いつだれがそれを開けるか分からない
      • 回答が来るのか分からない
      • 不確定要素が大きい
    • 全ての国の間で合意できるわけではない
    • 最新のものではない
    • 必要な措置が含まれていない
    • 相手国が協力しない
  • 課題
    • スピード
    • どこの国のどこにあるのか、分からない
    • クラウドコンピューティングが広く使われていて、データの一部が違う場所に同時に存在している
      • どこにあるのかも分からない
    • 適切なデータアクセスのための手段を選ぶのが難しい
    • 手続きに準拠しているのか、分からない
  • 国際法、国内法にもとづくもの
    • 国内法を把握しておく必要がある
      • 国によって、アプローチが違う
      • アメリカにはクラウド法がある
      • 外国政府に的確な手続きを求めていたりする
      • 国家から、サービスプロバイダへのアプローチに変化してきている
      • サービスプロバイダも主体となってきている
    • 国際法
      • 越境アクセスは、国際条約に基づいている
      • 相手国の領土内にあるデータにアクセスが可能になる
      • EUの規制もある
      • 統一したルールを全ての加盟国に適用しようとしている
      • 他国の主権侵害をしてはならない
  • E-Evidenceの提案の基盤となっているもの
    • 提出命令を作ろうとしている
      • EUでサービスを提供しているサービスプロバイダに直接依頼できる
      • EU内に拠点がなくても、サービスを提供していれば対象になる。日本のサービスプロバイダも該当する
      • 10日以内にサービスプロバイダは対応しないといけない
    • データが削除されるのを防ぐ
      • 特定のデータは保存しておいて、後からアクセスできるようにする
      • しっかりした保護措置、救済措置を含める必要がある
      • 日本に拠点を置いて、EUでサービスを提供する場合、法人代表をEU内においておかないといけない
  • 国際協力について
    • 米国とデータに対するアクセスについて合意しようとしている
    • サービスプロバイダに対して、全てのデータを国内で保存することを求めている
    • EUにおける議論は進行中である
  • 最も有名な修正案
    • 提案されている規制の中の弱点について記載されている
    • 現在、草案段階だが、グローバルなリーチができそう
    • サービスプロバイダとしては、法人代表をEUにおかないといけない
    • データにどのようにアクセスするかが重要
    • 日本はGDPRについて、EUと進めてきた。
    • EUの規制が成功すれば、モデルとして今後広まっていく
  • 考慮が必要なこと
    • サービスプロバイダの役割について、どのようになっていくのか
    • 本当にこれが合理的なのかどうか
    • 人権を守る必要
    • 相手国は通知を受けるべきか、事後でいいのか
  • グローバルな傾向
    • 伝統的な国から国へのアプローチは変わってきている
    • どのようにデータにアクセスするのかにシフトしている
  • 結論
    • 犯罪者に対して、刑罰を与えない、ということはありえない
    • 透明性がある解決が大事
    • 時代は変わった。明確性が出てきた。
    • 色々な国が国内の法律を改正している
    • どこから主権侵害となるか、などは大事
    • 国内法へのアクセスに透明性が必要

感想

サイバー犯罪が起きたときの証拠保全について、現在、EUのe-Evidence規制が、提案されているとのことです。
ある国の中に閉じた問題ではないので、なるべく早く納得感のあるものが制定されるとうれしいですね。