研究

暗号化法: 暗号化に対して最も厳しい制限を設けているのはどの政府ですか?

世界中の暗号化法



WhatsApp などを介したプライベートな会話から VPN を介した機密の閲覧履歴に至るまで、暗号化は表現の自由とプライバシーにおいて不可欠な役割を果たしています。

しかし、政府が暗号化サービス/製品に「バックドア」を作成しようとする試みが続いているため、多くの国は暗号化を利用するアプリやツールの使用に関して厳しい制限に直面しています。



最も厳しい制限がどこにあるのかを調べるために、当社の研究者チームは 200 か国以上の法律を分析して次のことを確認しました。

  • メーカー/販売者が暗号製品/サービスを製造または販売する前にライセンスを取得する必要がある国はどこですか?
  • 暗号化製品/サービスに対して輸出入制限がある国はどこですか
  • 暗号化されたラップトップを携行して旅行する際の個人使用が免除されていない国はどこですか
  • 法執行の目的でプロバイダーに暗号化キーを引き渡す義務を課している国はどこですか (これには令状が必要かどうかを考慮に入れます)
  • 法執行の目的で暗号化キーを引き渡す義務をエンドユーザーに課している国はどこですか (これには令状が必要かどうかを考慮に入れます)

私たちは何を見つけたのでしょうか?



暗号化に対する制限が最も厳しい国

大多数の国では、輸出入法や暗号化されたデータへの法執行機関のアクセスなど、暗号化テクノロジーに対して何らかの制限が設けられています。ロシアや中国など、予想される地域ではより厳しい制限が設けられていることが注目されていますが、他の多くの国でも厳しい制限が実施されています。そして、ますます多くの法律と調査権限が導入されるにつれ、今後数か月、数年で制限はさらに強化されることになるでしょう。

たとえば、ブラジルは現在の法律により「より自由な」国の一つにランクされていますが、これはさらなる制限を課す試みにもかかわらずです。最近の裁判所命令では、WhatsAppとFacebookもブロックしようとしている 法廷闘争に直面した 犯罪捜査に協力しなかったことが原因だ(その結果、フェイスブックの副社長が逮捕されたこともある)。

つまり、多くの国が国民に言論の自由とプライバシーの権利を認めているにもかかわらず、暗号化に関しては国家安全保障と重大犯罪を理由にこれを阻止しているのかもしれない。

法執行目的で暗号化プロバイダーにデータの復号化を要求している国はどこですか?

暗号化に関する最大の懸念の 1 つは、復号キーによるものであっても、プロバイダーによるデータの復号化の要件によるものであっても、法執行機関に与えられるアクセスです。

以下の地図が示すように、多くの国がプロバイダーの暗号化キーに少なくともある程度アクセスできる可能性があります。

暗号化プロバイダー

中国やロシアを含む少数の国は、復号化されたデータに前例のないアクセス権を持っています。例えばロシアでは、Sistema Operativno-Rozysknykh Meropriyatii (SORM - 作戦捜査活動システム) により、ロシア連邦治安機関である FSB に、司法の許可なしに電子メッセージとそれを解読するための鍵へのアクセスが与えられています。

米国だけでなく、多くのヨーロッパ、アジア、アフリカ諸国には、法執行機関がプロバイダーに暗号化キーの引き渡しやデータの復号化を要求できる法律があります。

英国では、多くの法律が法執行機関に、さまざまな通信における暗号化技術の削除を要求する権利を認めています。 2000 年捜査権限規制法の第 49 条では、保護された情報が法執行機関にある場合、法執行機関は裁判官の書面による許可を得て、データをわかりやすい形式で作成するための開示要件を課すことができると規定しています。法執行機関は、保護された情報の鍵を誰かが所有していること、国家安全保障、犯罪の発見/防止のために開示が必要であること、または英国の経済的利益にかなうものであること、開示が以下に比例することなどの合理的な根拠を持っていなければなりません。何を達成しようとしているのか、そしてその開示は命令を課すことなしには不可能である。

米国では、1994 年の法執行のための通信支援法のセクション 103(a) により、通信プロバイダーは、裁判所命令またはその他の法的許可が発行された場合には傍受機能を確保する必要があると示唆されています。ただし、「電気通信事業者は、暗号化が通信事業者によって提供され、通信事業者が通信の復号化に必要な情報を所有している場合を除き、加入者または顧客によって暗号化された通信を復号化したり、政府が復号化できることを保証したりする責任を負わないものとします。」 」

ほとんどの法律は米国と同じ権限を持っており、プロバイダーに対して、プロバイダー自身が暗号化したデータは復号化するが、他のプロバイダーやユーザー自身が暗号化したデータは復号化しないという要件を課しています。

他の多くの国では、法執行機関が暗号化された情報の開示を要求する可能性をもたらす曖昧な法律を制定しています。あるいは、法律がそのように解釈されています。たとえば、欧州連合では、電気通信の合法的傍受に関する 1995 年 1 月 17 日の理事会決議が、EU 諸国で施行されるべき法律に関する指針を提供しています。

この決議案には、「ネットワーク事業者/サービスプロバイダーが電気通信トラフィックの符号化、圧縮、または暗号化を開始した場合、法執行機関はネットワーク事業者/サービスプロバイダーに対し、傍受された通信を暗号化して提供するよう要求する」と記載されています。 En clair は「平易な言葉で」を意味するため、解読されたことを意味すると解釈できます。

法執行目的で暗号化ユーザーにデータの復号化を要求している国はどこですか?

暗号化されたサービス/製品のユーザーに復号キーや復号されたデータを要求する法執行機関の権限についても、同様の状況になります。

暗号化ユーザー

法律は通信やコンピュータへのアクセスを対象とする傾向があり、キーを所持している者は要求に応じて法執行機関に引き渡すか、復号化プロセスを支援することが義務付けられています。

繰り返しになりますが、特定の法律がなくても、曖昧な法律が制定されている国もあります。他のケースでは、国はデータの引き渡しをサービスプロバイダーに大きく依存する可能性があります。たとえば米国では、ユーザーに復号化されたデータ/キーの引き渡しを要求する権限を法執行機関に明示的に与えている法律はありません。

結局のところ、暗号化プロバイダーのデータに「バックドア」アクセスを取得することが、暗号化されたデータにアクセスする最も簡単な方法であるため、懸念されるほど多くの国がそのような対策を導入しようとしているのです。これも:

暗号化サービス/製品の生産または製造にライセンスが必要なのはどの国ですか?

アフリカ、中東、アジアの多くの国々では、広範なライセンス要件が定められています。これは、暗号化製品の販売者または製造者の大多数が、配布する前にライセンスを取得する必要があることを意味します。フランスにも同様の要件があり、暗号化サービスの提供を希望する者は首相にその旨を宣言する必要があります。

世界中の暗号化ライセンス要件

一部の国、例:トルコ、エチオピア、チュニジア、マリにはいくつかのライセンス要件がありますが、暗号化サービスのすべてのプロバイダーがライセンスを取得する必要はありません。たとえば、チュニジアでは、個人的な使用 (または一時的な使用) を目的として暗号化製品を輸入する企業にはライセンスは必要ありません。

多くの国でも、関連省庁が暗号化サービスのライセンス要件を作成できるようにする法律を制定していますが、現時点では何も整備されていないようです。これにはバハマとバルバドスが含まれます。

暗号化サービス/製品の輸出入制限がある国はどこですか?

はるかに多くの国が、暗号製品 (または暗号を含むが暗号化のみを目的としない製品) の輸入および/または輸出に関して、何らかの制限を設けています。ほとんどの場合、これには企業が自社と製品を輸出入先国の指定代理店に登録する必要があります。これには、いくつかの技術仕様も含まれる場合があります。

世界中の暗号の輸出入制限

暗号化ライセンスに大規模な要件を課しているかなりの国では、これらの製品の輸出入に厳しい制限が課されています。

例えば、ユーラシア経済連合(EAEU)加盟国であるアルメニア、ベラルーシ、カザフスタン、キルギス、ロシアの場合は、輸出入許可、許可、届出登録が必要であり、輸出入リストなども含めてさまざまな分析が行われる。暗号化アルゴリズム、最大キー長、実装プロトコルのリスト、暗号化の使用方法、暗号化されるデータの種類、およびデータの暗号化方法。

関税法のある国の大多数は、暗号製品の輸出を制限したり、指定国からの輸入を制限したりしています。多くはワッセナー協定の一部であり (完全なリストについては、方法論のセクションを参照)、および/または EU 法に準拠しています。ご登録いただいた方は、 ワッセナー協定 :

  • 特定の品目(暗号サービスなど)について国家輸出規制を維持することに同意しました
  • 取り決め外の目的地への特定の管理品目の移転および拒否について報告することに同意している
  • デリケートなデュアルユース商品や技術に関する情報交換

繰り返しになりますが、多くの国では暗号製品の輸出入要件を定めることを可能にする法律を制定していますが、現時点ではまだ何も整備されていないようです。

暗号化されたラップトップを携行して旅行する人に対する「個人使用の免除」がない国はどこですか?

一部の国では、暗号化サービスを提供する企業に輸出入制限を課すだけでなく、暗号化されたラップトップを携行して旅行する人に対しても明確な制限を設けています。対照的に、ワッセナー協定に参加している国の一部では、旅行者に「個人使用の免除」を提供しています。

暗号化されたラップトップを持ってどこに旅行できますか

注意: 上記の国では明確な制限/免除が提供されていますが、他の国への旅行は制限される場合とされない場合があります。協定に参加しているかどうかに関係なく、旅行先の国に事前に確認することが常に最善です。

方法論

各カテゴリーにわたって施行されている法律を決定するために、私たちは各国のさまざまな法律を分析しました。これには、刑事訴訟法、サイバー犯罪に関する法律、通信/電気通信法、傍受/監視法、およびその他の関連する法令、法律、法律、または決議が含まれます。

私たちは、立法権限/命令、および主に通信プロバイダー、インターネット サービス プロバイダー、またはコンピュータに保存されている/コンピュータを介してアクセスされるデータに影響を与える権限/命令のみに焦点を当ててきました。

国によってはそのような法律がなかったり、保護措置が講じられているように見えたりする場合がありますが、実際には状況が異なる場合があります。ただし、結果が主観的になることを避けるために、各国で「法的に」許可されているもののみを使用しました。前述したように、暗号化について具体的に言及されていない場合でも、暗号化をカバーすると解釈できる法律についても検討してきました。このような場合、私たちはデータを「理解できる」ものにする要件などのあいまいな文言を探したり、電気通信プロバイダー、つまりボーダフォンが法執行機関が国内でデータの復号化を要求する可能性があると信じていることを示唆する法律を解釈している例を見つけました。

何も見つからなかった場合は、結果から国を省略しました。法律が存在しないということは、制限や法執行権限がないことを示唆している可能性がありますが、正確を期すため、これらの国は含めていません。

情報源

ソースの完全なリストについては、スプレッドシートをご覧ください。 https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing

^