EUのCSARがオンラインのプライバシーを破壊する可能性

児童ポルノ対策とプライバシーの権利 / 2022-11-01T00:00:00.000Z

ヨーロッパというものは革命によって政体を変更し自由を勝ち取ってきた歴史があるからか、プライバシー・自由について極めて強く擁護しようとしている印象のある土地です。擁護されているプライバシーは当然ながら日常生活に根差したものであり、これをヨーロッパに住む人々が毀損しようと思うことは考えられないかもしれません。しかしながらこれが現実になりそうになっています。

結論

  1. EUでCSARという児童ポルノ対策の指令案
  2. AIによってコミュニケーションツールの監視が義務に?
  3. 人間だろうがAIだろうが監視はプライバシーの侵害
  4. ポンコツAIに生活を阻害される可能性

Child Sexual Abuse Regulation

今回の主題であるEUのCSARがどのようなものなのかをざっくりと見ていきましょう。CSAR、Child Sexual Abuse Regulationというのは児童に対する性的虐待に関するEUのルールです。児童ポルノの製作であったりその拡散であったりというのは、当たり前ですが到底許されるべきものではありません。EUはこのようなものの取り締まりのためにルールを定めており、その1つがCSARというわけです。

しかし取り締まり方法があまりに問題があることから現在このCSARは批判を受けています。その方法は特に拡散に関係する部分で、コミュニケーションツールを提供する事業者に向けたものなのですが、事業者にユーザーの監視を求める条項が含まれているものです。より具体的に言えば、

  • ユーザーを監視することを推奨し拡散を抑制
  • それでも「重大なリスク(という謎の概念)」が存在する場合は法執行機関が「検知命令」を出す
  • 出されたツールは当局承認付きソフトでユーザーコンテンツをスキャンする義務

が課されるといったものです。これを認めることでEUは児童の性的虐待による被害を抑えることが出来ると考えているようです。しかしながらどう考えてもこれは通信の秘密の侵害であり、オンライン上のプライバシーを私たちから奪い去ることを可能とするものではないでしょうか。

例え当局が承認したソフトウェアでスキャンが行われたとしても、それは何かしらにメッセージを読ませるということを意味します。それはOpenPGPや Bitmessage、Signalといった通信の秘密を守るための努力を無に帰させるスキャンと言えます。これがEU圏内で許可されたのならば、世界中に存在する任意のコミュニケーションツールはユーザーの自由を守る暗号化に穴を開けざるを得なくなるといったことも容易に考えられます。

AIは魔法じゃない

昨今人工知能/AIがやたらと持ち上げられており、時代に取り残されることだけが不安なおじさんたちによって「AIの導入」を第一目的としたプロジェクトが多数生えていることかと思われます。もちろんAIが無用の長物ではないことは明らかであり、適切な場所で使用すれば極めて有用であることが考えられます。しかしながら、だからといってAIはどこでも使える魔法のようなものではありません。

メッセージをAIに読ませ、それが違法なものであるかどうかを診断させるということは、大量の即時性のあるやり取りを阻害せず、他人にメッセージを読ませること無しに違法なコミュニケーションを検知できるとすれば理にかなっていると考えるかもしれません。しかしこの考えは2つの点で誤っているといえます。まず「他人にメッセージを読ませることを許している」という点、次に「違法なコミュニケーションを検知できる」としている点です。

AIがスキャンしているというのは即座に「他人にメッセージを読ませること無し」であること、すなわちプライバシーを維持したままのコミュニケーションを維持していることを意味しません。有名な例として画像のスキャンを行うことを考えてみましょう。ユーザーが投稿した画像を過去に被害が報告されている画像のハッシュリストと照合することで、少なくとも新規ではないものの拡散を防ぐことが出来るといえます。しかしながらハッシュリストとの照合を行うためにはリストをどこからか手に入れる必要があります。そのために本来必要のない通信が行われるだけではなく、ハッシュリストは自分ではない誰かが作成したものであるので、本当に児童ポルノだけのものかどうか分からないものが含まれていることを否定できません。そのため容易に検閲を行うことが可能であり、CSARではそのように検知したのならばそれを当局に通知する機能を付けることも勧めているので、誰が検閲対象となるコンテンツを投稿したのかが明らかとなってしまいます。

この議論はそのままテキストに応用可能(というよりテキストの方が技術的に困難なところが少ない)です。例えばEUで「Osumi Akari」という文字列が不適切なものとされているとして、誰かに向かって「Osumi Akariはものすごく良質なコンテンツを供給していて紙がっている」と送信したとします。送られたコンテンツは相手に送られる前に、直接もしくはハッシュされたものがスキャンされるのですが、細切れにした中に「Osumi Akari」という文字列が含まれているため、「児童ポルノを防止するためのハッシュリスト」に「5cb5ed29fffad75510d2dab74916c88a8be4a55702ffa6552efad8bde215a836(SHA-256)」というものが入っていれば、「Osumi Akariはものすごく良質なコンテンツを供給していて紙がっている」と送信した人は不適切な人扱いされてしまいます。児童ポルノを防止するためのハッシュリストにスキャンされたらば、です。

パターンマッチングではない異なる方法を取るとしても、事前に児童ポルノとは何かを学習させる必要がありますが、そこに偏りが発生したらばその偏りに従って精度に大きな問題が生まれるといえます。また誤判定が起きた際になぜAIがその画像を問題あるものとしたのかが(明示的なルールを人間が指定したAIでない限り)不明瞭になってしまうため、問題を解決することは人間に判断させるよりも難しくなってしまうと考えられます。詳しい話はEFFの「Why Adding Client-Side Scanning Breaks End-To-End Encryption」という記事を参照してください。

また「AIが違法なコミュニケーションを感知できる」というのも必ずしも正しくはないといえます。というよりYouTubeのAIがちょくちょく誤BANを起こしていることからこっちの方が想像つきやすいかと思います。もちろん偽陰性が一番の問題であることは言うまでもありませんが、偽陽性によって大きな影響を与える場合もあります。特に偽陽性の割合が多い場合は弊害も大きくなるといえます。いくつか事例がありますが、ここでは2つの事例を挙げておきましょう。

iCloudに写真をアップロードしたらスキャンされる

MacbookやiPhoneを作り出している企業であるところのAppleは、iCloudというクラウドサービスを運営しています。Appleは2019年に「iCloudにアップロードした画像は児童ポルノ拡散防止のためスキャンされる」と発表しました。この発表に対して、ユーザーからはプールで遊ぶ自分の子供の写真をアップロードしたら、iCloudから締め出されるのではないかといった心配の声が上がりました。。この疑念に対してAppleの技術者はWSJのインタビューに応え、単純にiCloudにアップロードされた画像を既存の被害者と合うかどうかをスキャンするだけのものであるとしました。

この件自体はAppleが適切な説明を行ったことで収まりましたが、全ての企業がこのような適切な対応を行っているとも限りません。また説明通りの対応を行っているかを確かめることは(少なくともユーザーからしたら)極めて困難であると言わざるを得ません。

医者へ病気の息子の写真を送ったので凍結!

2022年8月21日、ニューヨークタイムズに「A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal.Internet Archive)」という記事が掲載されました。医者に対して自分の子供を診せている父親が、医者の求めに応じて子供の画像をチャットで送信したところ、AIによって「児童ポルノをやり取りした」とされてしまったという話です。警察によって父親の容疑は晴れましたが、Googleアカウントは凍結されてしまった上、Googleはその凍結を解くつもりは無いとしていることが記事で示されています。

もちろんこの出来事の責任の一端は、Googleが適切な処理をする人間を配置していないことに起因します。しかしながら現状でさえこのように適切な処理が出来ていないのに、そのようないわば「冤罪」を作り出してしまうAIを全てのコミュニケーションの監視に用いることを強制させようとするCSARは、より多くの人々をこのような理不尽なアカウント凍結に巻き込んでしまうことが考えられます。

関連リンク

最後に

GDPR対応がどうだとかで2年くらい前に大騒ぎしていた印象があるのですが、この件はあまり話題になっていないみたい気がしています。「EU CSAR」で検索すると中国の化粧品規制(Cosmetic Supervision and Administration Regulation)ばっかりでてきてしまうんですよね。

ヨーロッパ圏の出来事なので日本ではあまり話題になっておらず、日本語文献も関連リンクに挙げさせていただいたもの以外見つかりませんでした。しかしながら場合によっては私たちが使用しているツールの自由が狭められてしまう可能性があります。個人的にはもう少し議論の対象になっていいのではないかと思っています。

最後になったので私の見解を前面に出しておくと、CSARは「児童の陵辱を防ぐかどうか分からない物のために、自由を陵辱するようなもの」であると思っています。児童ポルノの被害を防ぐためにある程度の自由の侵犯を許すかそうではないかといった次元の話ではなく、現状ではよく分からない物のために自由を侵犯を許すか否かといったものすごく低レベルの話だとも思っています。このような議論するまでもない提案を否定すると同時に、児童ポルノを防ぐ適切な方策を探し続けるべきであると考えます。