30
欧州データ保護監督官、バックドアは禁止、エンドツーエンドの暗号化を推奨

米国と欧州連合におけるバックドアとエンドツーエンド暗号化の問題について多くの議論が行われた後、欧州データ保護監督官(EDPS)の ジョバンニ・ブッタレッリ氏は、すべての欧州連合市民がバックドアのないエンドツーエンド暗号化を利用できるようにすべきであると明言した。

eプライバシー指令の改正

ブッタレッリ氏は、EU機関に対し、データ保護法とその適切な実施方法について助言する責任を負っています。ジョヴァンニ氏は最近の文書で、既存のeプライバシー指令(2002年制定)を概説し、EUがeプライバシー指令をどのように改正・改善できるかについて概説しました。

彼はまず、EU が国民の通信のプライバシーを保証できるよう、よりスマートで強力、かつより厳格に施行される新しい法的 ePrivacy フレームワークを要求した。これは、EU の基本権憲章に定められた権利であることに鑑み、EU が国民の通信のプライバシーを保証できるようにするためである。

ブッタレッリ氏はまた、EUにおける一般的なプライバシー法を間もなく統合する一般データ保護規則(GDPR)は、より具体的かつ詳細なeプライバシーの枠組みによって補完されるべきだと考えている。この新たな枠組みは、オンラインにおけるプライバシー保護の強化と、EU加盟国間の法執行機関間の協力のためのより明確なメカニズムをもたらすはずだ。

バックドアの禁止、E2E暗号化の促進

新しい ePrivacy フレームワークが GDPR を拡張する方法の一例として、EU 市民がエンドツーエンドの暗号化を使用して通信を保護できること、およびオンライン サービスと電子製品のバックドアを禁止する必要があることを明確にすることが挙げられます。

「新たな規則は、ユーザーが電子通信を保護するためにエンドツーエンド暗号化(「バックドア」なし)を使用することを明確に認めるべきです。暗号化によって保護された通信の復号、リバースエンジニアリング、または監視は禁止されるべきです」と、欧州データ保護監督官のジョヴァンニ・ブッタレッリ氏は最近公表された文書の中で述べています。

ブッタレッリ氏は、バックドア、強制復号、そして悪質なスパイ行為の禁止を求めるだけでなく、欧州委員会(欧州議会に法案を提出するEUの執行機関)に対し、可能な限りエンドツーエンドの暗号化通信の導入を奨励するよう勧告した。また、欧州委員会に対し、新たな暗号化規格の開発を支援するよう求めている。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

ブッタレッリ氏はさらに、携帯電話会社のネットワークや、病院、大学、その他の行政機関が運営するWi-Fiネットワークなど、公開されているすべてのネットワーク上でユーザーの通信の機密性が保護されるべきだと述べた。  

フレームワークは、IoTデバイス間の通信など、マシン間通信も保護する必要があります。これらの通信にはユーザーデータが含まれることが多いためです。また、HTTPS暗号化やその他の認証プロトコルなどの保護機能により、悪意のある攻撃者がデバイスにマルウェアを感染させることを困難にすることができます。

同意を得た場合のみ追跡

欧州連合(EU)は、個人データの提供における同意を常に重視してきましたが、それに関連する法律(EUクッキー法など)が必ずしも適切に施行されているわけではありませんでした。しかし、欧州データ保護監督機関(EDPPS)は、将来のプライバシー保護の枠組みにおいて、同意がさらに重要な役割を果たすべきだと考えています。

例えば、ブッタレッリ氏は「クッキーの壁」はあってはならないと考えています。つまり、ウェブサイトはクッキーを使って訪問者を追跡することに関して、「受け入れるか拒否するか」というアプローチを提供すべきではないということです。EUが「クッキー法」の施行をうまく行っていないため、多くのウェブサイトは過去にこのアプローチを採用してきました。

その結果、多くの人が、クッキーを受け入れなければサイトにアクセスできないので、この法律は無意味だと信じるようになりました。そのため、善意に基づいて制定されたにもかかわらず、EU域内で運営されているウェブサイトにとって、クッキーの受け入れを求めるメッセージは、せいぜい迷惑なものになってしまいました。

しかし、EDPS は、将来のプライバシー法では、同意なしのファーストパーティ分析のみを許可し、すべてのサードパーティ追跡ツールは、サイトがそれを有効にする前にユーザーからの具体的かつ真の同意を必要とするべきだと考えています。

より厳格な施行が進めば、ユーザーがあらゆる追跡ツールを受け入れた後でなければアクセスできないようなサイトは減るかもしれません。ブッタレッリ氏はまた、ブラウザやオペレーティングシステムにおいて、ユーザーが同意を取り消せるようにすべきだと提言しました。

迷惑通信

現在、eプライバシー指令は「商業目的」の迷惑通信のみを対象としていますが、すべてのスパムがこのカテゴリーに当てはまるわけではありません。例えば、現行法では、フィッシング攻撃、金融詐欺の試み、その他の犯罪行為を目的としたスパムは対象としていません。欧州データ保護監督官は、eプライバシー指令を改訂し、あらゆる種類の迷惑通信を対象とすることを推奨しました。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Ecosystem
Posted by Lorlink