Cloudflareは12年前に創立されました。現在では、世界100か国を超える275都市以上にネットワークを展開するまでに成長しました。中小企業や個人開発者からフォーチュン500社の約30パーセントに至るまで、何百万ものお客様を抱えています。現在では、Webの20%以上がCloudflareのサービスに直接依存しています。
サービスの立ち上げ以来、時間の経過とともに当社のサービスははるかに複雑なものになりました。このような複雑さの中で、私たちはCloudflareのさまざまな機能が不正使用された場合の扱いについてポリシーを策定しました。Googleのような広範なプラットフォームが、検索、Gmail、YouTube、Bloggerに対して異なる不正利用ポリシーを設けているように、Cloudflareも新製品の導入に伴い、それぞれに不正利用に対するポリシーを策定してきました。
昨年、当社では不正利用に対する最新のアプローチを以下のサイトで公開しました:
https://www.cloudflare.com/trust-hub/abuse-approach/
しかし、質問があがったため、ここでその方針をより詳しく説明することに意味があると考えました。
当社が構築したポリシーには、人権の専門家、活動家、学者、規制当局の考えや提言が反映されています。当社の指針では、不正利用に対するポリシーは利用対象となるサービスに特化したものであることが求められています。これは、私たちが取る行動が、被害への対処能力を反映し、意図しない結果を最小限に抑えるものであることを保証するためです。私たちは、不正利用に関する苦情を持つ人物が、その苦情に最も効果的かつ厳密に対処できる人物に(必要に応じて匿名で)連絡できるような、不正利用に対応するプロセスを利用できなければならないと考えています。また私たちは、私たちのポリシーと私たちの取る行動が常に透明性を保つように努めています。
Cloudflareの製品
ホスティング製品(Cloudflare Pages、Cloudflare Stream、Workers KV、Custom Error Pagesなど)、セキュリティサービス(DDoS軽減、Webアプリケーションファイアウォール、Cloudflare Access、レート制限など)、中核的なITサービス(権威DNS、再帰DNS/1.1.1.1、WARPなど)の3つに分類される幅広い製品群を提供しています。当社の製品の完全なリストと、それらがどのようにこれらのカテゴリにマッピングされるかについては、Abuse Hub をご覧ください。
後述するように、当社のポリシーは、これらのカテゴリー内の製品ごとに異なるアプローチをとっています。
ホスティング製品
ホスティング製品とは、Cloudflareがコンテンツの最終的なホストとなる製品です。これは、単にセキュリティや一時的なキャッシュサービスを提供し、コンテンツが別の場所でホストされるような製品とは異なります。セキュリティ製品とホスティングサービスを混同される方が多いのですが、当社はそれぞれに対して明確に異なるポリシーを持っています。Cloudflareのお客様の大多数はまだ当社のホスティング製品を使用していないため、これらの製品に関する不正利用の苦情や措置は現在のところ比較的まれです。
ホスティング製品内のコンテンツへのアクセスを無効にするという私たちの決定は、少なくとも他の場所で再公開されるまでは、基本的にそのコンテンツをオフラインにすることになります。ホスティング製品は当社の ホスティング利用規定の対象となります。このポリシーのもと、これらの製品について、当社は当社が以下のように考えるコンテンツへのアクセスを削除または無効にすることができます。
児童性的虐待の素材を含む、表示する、配布する、または作成を奨励する、その他未成年者の搾取を行う、または促進している。
知的財産権を侵害している。
適切な法的手続きにより、名誉毀損または誹謗中傷行為があると判断された。
規制薬物の違法な流通に従事している。
法に違反する人身売買や売春を助長する。
アクティブなマルウェアを含む、インストールする、配布する、またはエクスプロイトを配信するために当社のプラットフォームを使用している(コマンド&コントロールシステムの一部など)。
その他の違法、有害、または他者の権利を侵害している(機密性の高い個人情報を開示、人や動物に対する暴力を扇動または利用するもの、公衆を欺こうとするものなど)。
当社は、ホスティング利用規約をどのように実施するかについて裁量権を保持しており、一般に、コンテンツに課される制限を可能な限り狭い範囲にとどめるように努めています。例えば、数百万人のお客様が利用するショッピングカートプラットフォームでCloudflare Workers KVを使用しており、そのお客様の1人が当社の「ホスティング利用規約」に違反した場合、当社がプラットフォーム全体のCloudflare Workers KVの使用を自動的に停止することはありません。
コンテンツに最も近い組織が、コンテンツが不正であるかどうかを判断するのに最適な存在であるというのが私たちの方針です。また、行き過ぎたテイクダウンは、オンライン上のコンテンツへのアクセスに意図しない重大な影響を与える可能性があることも認識しています。
セキュリティサービス
Cloudflareの数百万人のお客様のうち、当社のセキュリティサービスのみをご利用いただいているお客様が圧倒的多数を占めています。Cloudflareは、設立当初から「セキュリティツールをできるだけ広く普及させたい」と考えていました。この考えのもと、当社はさまざまなサイバー攻撃の影響や効果を最大限抑えるために、多くのツールを無料または最小限のコストで提供してきました。ほとんどのお客さまは、当社に対する支払いはありません。
また、誰もがオンラインから当社のサービスに登録できるようにしているのは、サイバー攻撃によって立場の弱い団体の口を封じるようなことがあってはならないというだけでなく、サイバー攻撃がオンライン上の問題あるコンテンツに対処する適切なメカニズムであってもならないという当社の見解を反映したものです。私たちは、どのような形であれ、サイバー攻撃は歴史のゴミ箱に追いやられるべきだと考えています。
セキュリティツールを広く提供するということは、そのサービスへのアクセスをいつ、あるいはどのような場合に停止させるかを慎重に考えなければならないことを意味します。停止した場合にどのような影響があるのか、また、人権の原則に則り、公正、透明かつ非差別な方法で適用される基準を設定する方法はないのかについて熟慮する必要があると認識しました。
これは、苦情が寄せられる可能性のあるコンテンツだけでなく、テイクダウンがもたらす先例にも当てはまります。私たちがこれまで行ってきた多くの議論や、より広範なコミュニティでの思慮深い議論から得た私たちの結論は、サイバー攻撃から保護するサービスへのアクセスを自発的に停止させることは正しいアプローチではないということです。
権力の濫用を避ける
中には、当社が発見した避難されるべきコンテンツには攻撃を仕掛けてサービスを停止させ、オフラインにできるようにすべきだと主張する人もいます。それは、物理的な世界に置き換えた場合、十分なモラルを持たない人の家の火事には消防署が対処すべきではないという議論に相当します。物理的な世界でもオンラインでも、これは危険な前例であり、長期的には社会的弱者や疎外されたコミュニティに不当に損害を与える可能性が最も高いものです。
現在では、Webの20%以上がCloudflareのセキュリティサービスを利用しています。当社のポリシーについて検討する場合、当社がインターネット全体に与える影響と前例に留意する必要があります。私たちのチームが個人的に嫌悪感や不道徳さを感じるコンテンツのセキュリティサービスを停止することは一般的な選択でしょう。しかし、長期的に見た場合、このような選択は、抑圧され疎外された声を支援するコンテンツを攻撃から守ることをより困難にしてしまいます。
学んだことをもとにポリシーを洗練させる
これは仮定の話ではありません。誰かが不快だと報告した内容に基づいて、セキュリティサービスを停止させる趣旨の電話を、私たちは1日に何千回も受けているのです。これらのほとんどは報道されません。ほとんどの場合、こうした判断は私たちの道徳観と相反するものではありません。しかし、過去に2回、私たちが非難されるべきと判断し、セキュリティサービスからコンテンツを停止する判断を下したことがあります。2017年、私たちはネオナチのトロールサイト The Daily Stormerを停止させました。そして2019年、私たちは陰謀論フォーラム8chanを停止しました。
非常に厄介な対応として、この2つの措置の後、権威主義的な政権が人権団体のセキュリティサービスを打ち切ろうとするケースが劇的に増え、その際、当社が私たち自身の正当性を示すために出した文言を引用されることがしばしばありました。
この決定以来、私たちは世界中の政策立案者と重要な議論を行ってきました。これらの議論の結果、サイトのセキュリティサービスを停止する権限は、Cloudflareが持つべきものではないという結論に達しました。それは、これらのサイトの内容が嫌悪の対象となるようなものでなかったからではなく、セキュリティサービスがインターネット上の公益事業と最もよく似ていることが理由です。
仮にあなたが酷いことや、人種差別的、偏見的なことを言っても電話会社が回線を切断することが無いのと同様に、私たちは政治家、政策立案者、専門家と協議して、公開された内容が卑劣だと考えてもセキュリティサービスを停止するのは間違った政策であるという結論に達しました。誤解のないように言うと、以前は限られたケースでやっていたからといって、その時のやり方が正しかったとは言えません。また、二度とやらないということにもなりません。
しかし、これはCloudflareがインターネット上で他者から標的となった対象を保護する重要な役割を果たせないというわけではありません。私たちは長い間、プロジェクト・ガリレオを通じて、人権団体、ジャーナリスト、その他オンライン上で特異な弱者とされる団体を支援してきました。プロジェクト・ガリレオは、コミュニティの強化に貢献する非営利団体や支援団体に、無料のサイバーセキュリティ・サービスを提供しています。
Athenian Projectを通じて、米国内外の選挙システムを保護する役割も担っています。選挙は、それを管理するシステムが根本的に信頼でき、中立であることが必要な分野の一つです。どのようなコンテンツがセキュリティサービスに値するか否か、特にどのような形であれ政治的と解釈されかねない選択をすることは、選挙インフラの信頼できる保護を提供する我々の能力を損ねることになります。
規制の現実
また、当社のポリシーは「規制の現実」に対応した政策も行っています。過去5年間に世界中で可決されたインターネットコンテンツ規制法は、コンテンツをホストするサービスと、セキュリティとコンジットサービスを提供するサービスの間に、大きく線引きを行っています。これらの規制は、プラットフォームやホストにコンテンツをモデレートする義務を課す場合でも、セキュリティやコンジットサービスが法的手続きを経ずにモデレーターの役割を果たすことを免除しています。これは、徹底した規制のプロセスから生まれた、賢明な規制です。
当社のポリシーは、この十分に考慮された規制の指針に従っています。当社では、制裁を受けた組織や個人によるセキュリティサービスの利用を防止します。また、Cloudflareの本社がある米国で違法とされるコンテンツについてもセキュリティサービスを停止しています。これには、児童性的虐待資料(CSAM)やオンライン性的人身売買撲滅法(FOSTA)の対象となるコンテンツが含まれます。しかし、それ以外では、サイバー攻撃とは誰もが無縁でいられるべきものだと考えています。たとえ、その内容に根本的に同意できないとしても。
法の支配と適正手続きの尊重のもと、私たちは法的手続きに従ってセキュリティサービスを管理しています。私たちは、法的な命令を受けた地域では、コンテンツを制限します。例えば、ある国の裁判所が特定のコンテンツへのアクセスを禁止した場合、その裁判所の命令に従って、当社は通常、その国でのそのコンテンツへのアクセスを制限します。そのため、多くの場合、その国でアクセスできるコンテンツが制限されることになります。ただし、私たちはある法域で違法なコンテンツだからといって、他の法域でも違法とはなるわけではないことを認識しているため、これらの制限には裁判所や法的機関の管轄に合わせた狭義の制限を設けています。
私たちは法的な手続きに従う一方で、透明性を確保することが非常に重要であると考えています。そのため、コンテンツに制限が課せられる場合は、その制限を要求する特定の法的命令と結び付けられるようにしています。このような透明性は、人々が法律や立法過程に参加するために必要なものです。ISPが裁判所の命令に従う際に、目に見えない形でコンテンツをブラックホール化し、アクセスしようとする人々ににどのような法体系によって禁止されているのかを全く知らせないのは、非常に問題だと考えます。言論は法律で制限することができますが、法の支配を適切に適用するためには、言論を制限する者はその理由を明らかにするべきです。
中核となるITサービス
当社ではセキュリティやコンジットサービスを制限する法的命令には概ね従いますが、権威DNS、再帰DNS/1.1.1.1、WARPなどのITの中核となるサービスについては、より高いハードルを設けています。これらのサービスの課題は、サービスに対する制限が本質的にグローバルであることです。簡単に1つの法域だけを制限することはできないため、最も制限の厳しい法律によって世界的に適用されることになります。
当社は、これらの中核的なITサービスへのアクセスを制限しようとする法的命令に、たとえ適用対象が当社の無料顧客のみであったとしても、一般的に異議を唱えたり、上訴を行ってきました。そうすることで、規制当局や裁判所が懸念しているコンテンツを制限する、その目的により合った方法を提案することができるのです。
残念ながら、主に著作権者がある管轄区域で判決を得て、中核となるITサービスを終了させ、そのコンテンツを事実上オフラインにするために全世界に適用させるような試みが、ますます一般的になってきています。繰り返しになりますが、私たちは、どのようなコンテンツがオンラインで許可されるかの管理を、最も制限的であろうとする司法権の手に委ねることは、危険な前例であると考えています。
これまでのところ、私たちは、これはインターネットを規制する正しい方法ではないことを主張し、これらの事例を覆すことにほぼ成功しています。この路線を維持することが、グローバルなインターネットの健全な運用の基本だと考えています。しかし、当社のセキュリティや中核的なインターネット技術サービス全体の裁量を示すたびに、これらの重要なケースにおける私たちの主張は弱くなります。
有料vs無料
Cloudflareは、上記のすべてのカテゴリーにおいて、無料と有料の両方のサービスを提供しています。繰り返しになりますが、大半のお客様は無料サービスを利用し、当社に対する支払いは一切ありません。
不正利用のプロセスで見られる懸念のほとんどは無料のお客様に関連していますが、当社ではお客様が無料か有料かによって調整された異なるポリシーを設けておりません。しかし、当社の価値がお金を払ってくれるお客様と正反対を向いている場合には、お客様から利益を得ないだけでなく、その収益を私たちの会社の価値を高め、お客様の価値感に対抗するために使うという、さらなる措置を講じるべきだと考えています。
例えば、LGBTQ+の権利に反対するサイトからDDoS軽減サービスの有料版を契約いただいた際、私たちはProudflareの社員リソースグループと協力してLGBTQ+の権利を支援する団体を特定し、いただいたサービス料金の100%をその団体に寄付しています。なぜなら、私たちはこのような取り組みをマーケティングのために行っているのではなく、私たちが道徳的に正しいと信じることに沿った取り組みを行っているからです。
法の支配
私たちは、自分たちがホストするコンテンツを制限する義務があるとは考えていますが、何をオンラインにして、何をオンラインにしないかを一般的に決定し、セキュリティや中核的なインターネットサービスを制限する政治的正当性を持っているとは考えていません。もしそのコンテンツが有害である場合、それを制限する正しい場所は法律上です。
また、サイバー攻撃によってネット上の情報が黙殺されるようなインターネットは、その目的がいくら共感できるものであったとしても、インターネットの荒廃であると考えています。そのため、当社のセキュリティサービスや中核的なITサービスを停止するタイミングの決定については、一般的な意見ではなく、法的手続きに基づいて判断します。
一部の人が主張するかもしれませんが、私たちは言論の自由を絶対視しているわけではありません。しかし、私たちは「法の支配」を信じています。世界中のさまざまな国や管轄区域が、それぞれの規範や法律に基づいて、どのようなコンテンツが許され、どのようなコンテンツが許されないかを決定します。私たちの義務を評価する際、私たちは、それらの法律が管轄区域に限定されていること、 「ビジネスと人権に関する国連指導原則」に基づく人権尊重の義務と一致しているかどうかに注目します。
世界には権利を侵害するものが多く存在し、残念ながらネット上には非難されるべきコンテンツが多く存在します。私たちは、これらの権利の侵害の一部を解決することはできますが、すべてを解決することはできません。しかし、インターネットのセキュリティと機能を向上に取り組む過程で、インターネットが長期的な損害を引き起こさないようにする必要があるのです。
私たちは、これらの課題について、またサイバー攻撃からグローバルなインターネットを保護するための最善の方法について、引き続き話し合いを行っていきます。また、犯罪捜査のために合法的な法執行機関と協力し、その他私たちが信じる平等、人権、活動を支援するための資金やサービスを寄付し、自由で開かれたインターネットを守るために世界中の政策決定の場への参加を継続します。