当社は本日、2019年上半期Cloudflare透明性レポートをリリースいたしました。当社では、レポートを最新の状態に保つことの重要性を認識しておりますが、今回に限りレポートを取りまとめるにあたり若干の時間を要しました。そこにはいくつかの注目すべき最新情報が含まれています。
「令状のカナリア(warrant canary)」の削除
当社では2014年に最初の透明性レポートを発行して以来、法執行機関による特定種類の要請に対してどのように対処し、どのような行動を取るかに関する数多くのコミットメントを堅持してまいりました。これらのコミットメントは、「令状のカナリア(warrant canary)」として知られているものです。当社では今年初めにこれらの初期コミットメントに補足を加え、当社の現行の「令状のカナリア(warrant canary)」が以下の事柄を一切実行していないことを明確に記述いたしました。つまり、当社は過去において一切:
当社の暗号化キーまたは認証キー、および顧客の暗号化キーまたは認証キーを第三者に引き渡したことはありません。
当社のネットワーク上の任意の場所に法執行機関のソフトウェアや機器を設置したことはありません。
政治的圧力*により特定の顧客のサービス契約を終了したり、あるいはそのコンテンツを削除したことはありません。
当社のネットワークを通過する顧客のコンテンツのフィードをいかなる法執行機関に提供したことはありません。
法執行機関または別の第三者からの要請に応じて、顧客のコンテンツを変更したことはありません。
法執行機関または別の第三者からの要請に応じて、DNS応答の予定された送信先を変更したことはありません。
法執行機関または別の第三者からの要請に応じて、その暗号化を弱めたり、侵害したり、破壊したことはありません。
これらのコミットメントは、企業として何が重要であるかを喚起するための価値観の声明として機能しています。その声明により、当社はこれらのコミットメントを堅持するために何を実行すべきか、さらにはいかなる信念に基づいてそれを実行すべきなのかを思い起こすことができます。過去においてこれらコミットメントを堅持したという自信、さらには今後ともこれらを堅持し続けるという自信をもつことが肝要です。
残念なことに、当社ウェブサイト上の「令状のカナリア」の要件を満たさないコミットメントが一つあります。Cloudlfareが2017年にDaily Stormerのサービスを終了した際、Matthew は次のように考察しています:
「政治的圧力を理由に顧客との契約を終了することは決してない、というコミットメントを削除する必要があるか否かを社内でじっくりと議論するつもりです。過去に一切実行していない、と言い切ることができればそれは最強です。そして、本日以降は、間違いなく、不都合なサイトを閉鎖することを迫ってくる政府関係当局に対し異論を唱えることは少々困難になるでしょう。」
当社では、その後の透明性レポートでこの問題の経過を説明してまいりました。その説明に際し、同レポート上でコミットメント文書を保持したまま、そこに注記を附し、Daily Stormer案件に係る議論とそのサービス終了決定をきっかけに受け取った批判を説明しました。当社の目標は、サービス終了という事実を無視することなく、政治的圧力を理由に顧客サービスを終了しないという原則へのコミットを継続する、というメッセージを含ませることにありました。また、当社は、サービス終了という事実およびその決定に至った理由が認知されることを確保すべく、これらを公表することに努めました。
サービス終了という事実は、インフラストラクチャー企業にオンラインから削除あるいは残すべきコンテンツを決定する権限が果たしてあるのか否かについての重要な議論を引き起こしました。しかしながら一方で、政治的責任を負うべき政府当局が、重大な問題を抱えるオンライン上のコンテンツ/行動に対処するための現実的代替案を提示したという事実は未だありません。それ以来、クライストチャーチ、ポウェイ、エルパソでのテロ攻撃に関連した冗長な文書投稿から、これらの攻撃を美化するビデオ投稿まで、これまでに例のない最も辛辣で憎悪にあふれたコンテンツがオンライン上に拡散するという事態を現実世界で引き起こすことになります。実際のところこのような懸念に適切に対処する正規の公共政策主導が不在の現状において、オンライン上に残すべきコンテンツを決定するに際し、Cloudflareのようなインターネットインフラ企業を含めたテクノロジー企業に対するプレッシャーは高まるばかりです。
2019年8月、Cloudflareは、8chanへのサービスを終了しました。その理由は、8chan が殺人行為を誘発する憎悪に満ちたプラットフォームを抑制することができなかったからです。当社ではサイバーセキュリティサービスを削除しサイトのオフラインを強要することは、オンライン上の憎悪行為に対処するための適切な公共政策手段であるとは考えておりません。しかしながらサイト側がそのプラットフォームによって引き起こされる被害を防止または軽減するための責任を果たさない場合、サービスプロバイダー側には選択の余地はほとんどありません。当社では、他者による長期的かつ永続的な無法性に対処するためには、技術的積み重ねのはるか下位にあるものによる行動が要求されることがあると認識するようになりました。当社では、政府がその必要性を認識し、適切なプロセスのためのメカニズムを構築することを望みますが、政府がその行動を取らないのであれば、インフラ企業が被害を防ぐための行動を取る必要が生じる可能性があると考えます。
そして、このことが「令状のカナリア」問題へ引き戻します。もし、たとえその数が限られていたとしても、顧客へのサービスを終了すべき義務があると確信するケースが生じたならば、「政治的圧力により」顧客へのサービスを終了しないというコミットメントを維持することは不可能です。理論的には、8chanのような非合法な顧客へのサービスを終了することは「政治的圧力による」終了には該当しないと主張することは可能です。 しかし、それは間違っていると思われます。コミットメント基準違反ではないと信じる理由をを説明するために、コミットメントの特定の文言を分析し、解釈すべきではありません。
当社は、コンテンツに関係なく、すべての人にサイバーセキュリティーサービスを提供することで、インターネットをより良い場所にするという原則にコミットし続けています。当社は、ウェブサイトから「令状のカナリア」を削除しますが、ユーザーの信頼を獲得し維持するためには、当社が取る行動の透明性を確保することは重要だと考えています。したがい、「政治的圧力による」終了と解釈され得るユーザーサービスの終了に関し、当社が取った行動についてその一切をご報告することをここにお約束いたします。
英国/米国間のCloud行政協定
すでに説明しましたように、政府は昨今、法執行機関による国境を越えてのデジタル証拠へのアクセスを改善しようとする動きを活発化しています。この取り組みにより、米国において新法、Clarifying Lawful Overseas Use of Data (CLOUD) Actが制定されました。この新法は、世界中の法執行機関が法執行による調査をする際に、適切なプロセスを確保するために十分な手続き上の保護手段が確保されている限り、データがどこに保存されていようとも、自国民に関連する電子コンテンツにアクセスする権限を持つべきであるという考えに立脚しています。
2019年10月3日、米国と英国は、この法律に基づく最初の行政協定書に署名いたしました。米国の法律要件によれば、同協定書は米国議会が阻止する行動を取らない限り、署名後180日で(2020年3月に)発効します。現時点、同協定に十分に適切なプロセスとプライバシー保護が含まれているかに係る議論が続けられています。当社ではこれを静観するアプローチを取っています。そして、同協定が発効した後に受け取る要請内容を注意深く監視する意向です。
Cloudflareでは、当面、その要請が米国法および国際的人権基準に抵触しない範囲で、英国の法執行機関によるデータに係る適切な範囲・目的に基づく要請に準拠することとしています。当社では、CLOUD 法に基づき米国政府以外の政府からCloudflare が受け取る法的な要請に関する情報は、今後の透明性レポートに記載する予定です。