- はじめに — 矛盾する二つのことを示す採決
- 「チャットコントロール」が実際に指すもの
- 7月9日の採決が実際に行ったこと
- 技術的な緊張:クライアントサイドスキャン対エンドツーエンド暗号化
- おわりに — メッセージング・プライバシー技術を作るなら
- 参考資料
はじめに — 矛盾する二つのことを示す採決
2026年7月9日、欧州議会は議場にいた議員のうち反対が賛成を上回ったにもかかわらず、メッセージスキャンの規則を可決させました。文そのものが壊れているように聞こえますし、オンラインの反応も大きなものでした。しかし「チャットコントロール」は、見出しと実際のメカニズムが食い違う代表的な話題です。人々が恐れているもの(エンドツーエンド暗号化が破られること)と、実際に可決されたもの(自発的スキャンの例外規定)は別の事柄です。
本稿は、その二つを慎重に切り分ける試みです。規則が強制するもの、批判者が懸念するもの、賛成派が掲げるものは異なる層に属するので、最後まで区別して扱います。
「チャットコントロール」が実際に指すもの
「チャットコントロール」は法律の名前ではありません。児童性的虐待コンテンツ(CSAM)を探すためだとして私的通信をスキャンしようとする一連のEU提案に、批判する側が付けたあだ名です。とりわけ、元欧州議会議員のパトリック・ブライヤー(Patrick Breyer)氏とデジタル権利ネットワークのEDRiが用いてきました。この一つのあだ名の下に、性格のまったく異なる二つの文書が隠れています。
- チャットコントロール1.0 は
Regulation (EU) 2021/1232、ePrivacy 指令に対する一時的な例外規定です。ウェブメールやメッセージング事業者が CSAM を自発的にスキャンすることを 許可 するだけで、誰にも何も強制せず、条文上はエンドツーエンド暗号化されたコンテンツには及びません。7月9日に可決されたのはこちらです。 - チャットコントロール2.0 は児童性的虐待規則(CSAR)の提案、
COM(2022) 209 finalです。義務的 な検知命令と新たな EU センターを導入します。まだ三者協議(trilogue)に留まり、採択されていません。
この話題に関する誤解の多くは、1.0 と 2.0 を一つの物語に潰してしまうことから生じます。義務的で暗号化を脅かす版は 2.0 であり、2.0 はまだ法律ではありません。
7月9日の採決が実際に行ったこと
手続きこそがこの出来事の核心なので、順を追って見ます。
- 2026年3月末、議会は 2021 年の例外規定の延長を僅差で否決し、暫定規則は 4 月初めに失効しました。
- その後、理事会(Council)がこの案件を復活させ、7 月 2 日に自らの立場を採択して第二読会へ差し戻しました。
- 通常立法手続き(TFEU 第294条)では、第二読会で議会が理事会の文案を 否決 するには、構成議員の絶対多数、すなわち 720 議席中 361 票が必要です。
- 7月9日、否決動議は否決賛成 314 票、反対 276 票、棄権 17 票を得ました。多数が廃案を望みましたが、314 票は 361 票に 47 票届きません。動議は否決され、規則は採択されて自発的スキャンの例外は 2028 年 4 月 3 日まで続きます。
したがって、広く語られた「多数が反対したのに可決された」という言い回しは手続き上は正確です。第二読会では沈黙と欠席が賛成として数えられます。ブライヤー氏をはじめとする批判者はこれを最大会派(EPP)の裏口的な策略と呼び、賛成派は規則の正常な作動と呼びます。同じ事実に両方の記述が当てはまります。
議会は、エンドツーエンド暗号化サービスへの明示的な適用除外を含む修正案も採択しました。ブライヤー氏は、事業者はどのみち暗号化されたコンテンツをスキャンしていなかったとして、この適用除外を「象徴的」と呼びます。技術的には正しく、そして事柄の核心でもあります。
技術的な緊張:クライアントサイドスキャン対エンドツーエンド暗号化
こうした枠組みの検知は大きく三つの手法を使い、信頼度はそれぞれ異なります。
- 知覚ハッシュマッチング — 既知の CSAM データベースと照合します(PhotoDNA、そしてアップルの頓挫した NeuralHash)。成熟して比較的正確ですが、ハッシュは攻撃対象になります。研究者は NeuralHash をリバースエンジニアリングし、意図的な衝突を作り出しました。
- AI 分類器 — 未知の 画像を判別します。欧州議会自身の調査機関は、現行の技術では新種の CSAM を許容できない誤り率なしに信頼性をもって検知することはできないと結論づけました。
- テキスト/自然言語のグルーミング検知 — 三つの中で最も信頼度が低いものです。
精度が高く聞こえても問題になる理由は、基準率(base rate)の問題です。ある欧州議会の研究は、アイルランドのあるデータセットで、警察に転送された CSAM 通報のうち実際に違法と確認されたのは約 20% にすぎなかったと報告しています。どんな分類器でも 1 日に数十億件のメッセージに掛ければ、ごくわずかな誤検知率でも、無実の人が標識され、その私的メッセージが人手の審査にさらされる絶対件数は膨大になります。
次に暗号化の話です。エンドツーエンド暗号化とは、送信者と受信者だけが鍵を持つという意味です。サーバーは平文を読めないため、サーバー側スキャンは構造上不可能です。暗号化されたコンテンツをスキャンする唯一の道は、暗号化される 前に 端末上で検査すること、すなわちクライアントサイドスキャンです。
サーバー側スキャン(非 E2EE): 平文 ── スキャン ──▶ 保存/転送
クライアント側スキャン(E2EE 到達): 平文 ── スキャン ──▶ 暗号化 ──▶ 送信
二行目こそが論争のすべてです。エイブルソン、アンダーソン、リベスト、シュナイアー、トロンコソ氏ら 14 名の中堅暗号学者は「Bugs in Our Pockets」(2021)で、端末に埋め込まれたスキャンのフックは汎用の監視能力だと主張しました。いったん存在すれば新たな対象へ転用でき、それ自体が攻撃面になるというのです。アップルはこの主張を身をもって経験しました。2021 年 8 月に端末内 CSAM スキャンを発表し、反発と衝突攻撃の後、2022 年 12 月にこれを撤回しました。2024 年 2 月、欧州人権裁判所は暗号化の弱体化は「民主的社会において必要とはみなせない」と判示しました。
おわりに — メッセージング・プライバシー技術を作るなら
正直な要約は劇的ではありません。7月9日に可決されたのは、非暗号化サービスの事業者がスキャンを続けられる自発的な法的根拠であり、2028 年まで延長されました。誰も強制せず、エンドツーエンド暗号化には触れません。修正案がその点を明文化してさえいます。E2EE アプリを運営しているなら、1.0 のどの条文もあなたのビルドにクライアントサイドスキャナを強制しません。
そのアーキテクチャを実際に脅かす戦いは、義務的な検知命令を伴う 2.0、すなわち CSAR です。そしてそれは依然として三者協議で未決です。「検知命令+エンドツーエンド暗号化」には、暗号化の保証を守る技術的な解が存在しないからです。注視すべき文書はこちらです。
二つのことを同時に握っておく価値があります。賛成派は悪意で語っているのではありません。事業者の自発的な通報は実際の捜査照会につながり、法的根拠が失われれば捜査機関が使っていた道具がなくなります。批判者も正しい。全員を対象とする無嫌疑スキャンは、EDRi の言葉で「教科書的な大量監視」であり、クライアントサイドスキャンは、エンドツーエンド暗号化という言葉の定義を変えずにその上へ付け足すことはできません。今回ばかりは、両陣営が同じ壁を別々の側から描いています。この領域で何かを作るなら、設計の境界線は変わりません。端末上でのコンテンツ検査とエンドツーエンド暗号化は両立せず、いかなる採決もその計算を変えません。
参考資料
- Patrick Breyer, "EU Parliament greenlights Chat Control 1.0" — https://www.patrick-breyer.de/en/eu-parliament-greenlights-chat-control-1-0-breyer-our-children-lose-out/
- Euronews, "European Parliament aims to exclude end-to-end chats from message-scanning regime" (2026-07-09) — https://www.euronews.com/my-europe/2026/07/09/european-parliament-aims-to-exclude-end-to-end-chats-from-message-scanning-regime
- EDRi, "Chat Control is in the final stretch" — https://edri.org/our-work/chat-control-is-in-the-final-stretch-but-it-could-be-a-marathon-not-a-sprint/
- Wikipedia, "Chat Control" — https://en.wikipedia.org/wiki/Chat_Control
- H. Abelson, R. Anderson, et al., "Bugs in Our Pockets: The Risks of Client-Side Scanning" (2021) — https://arxiv.org/abs/2110.07450
- CNN, "Apple abandons controversial plan to check iOS devices for child abuse imagery" (2022) — https://www.cnn.com/2022/12/08/tech/apple-csam-tool
현재 단락 (1/31)
2026年7月9日、欧州議会は議場にいた議員のうち反対が賛成を上回ったにもかかわらず、メッセージスキャンの規則を可決させました。文そのものが壊れているように聞こえますし、オンラインの反応も大きなもので...