カナダが暗号化バックドアを法制化しようとしている―Bill C-22の全貌
カナダ政府がメッセージアプリやクラウドサービスに暗号化バックドアの構築を義務付ける法案C-22を提出。法案の中身と世界への影響を解説
ニュース
kkm
Backend Engineer / AWS / Django
「あなたのメッセージアプリに裏口を作れ」
2026年3月13日、カナダ連邦政府がBill C-22(Lawful Access Act)を議会に提出しました。
この法案が求めていることを一言でまとめると、こうなります。WhatsApp、Signal、iMessageなどの暗号化メッセージアプリに対し、法執行機関がメッセージを読めるようにする仕組みを組み込め。
さらに、その命令は秘密裏に出され、サービス提供者はユーザーに通知することもできません。カナダの公安大臣が密かに命令を出し、企業は黙って従う。それがこの法案の骨格です。
オタワ大学の法学教授マイケル・ガイスト氏をはじめ、プライバシー・デジタル権利の専門家たちは強い懸念を表明しています。一方でカナダ政府は「法執行機関のニーズと市民の自由のバランスを取った」としています。
暗号化と「バックドア」とは何か
まず、この問題の土台となる「暗号化」と「バックドア」という概念を整理します。
エンドツーエンド暗号化(E2EE)とは、メッセージの送信者と受信者だけが内容を読める仕組みです。途中でメッセージを運ぶサーバー(WhatsAppやSignalのサーバー)ですら、内容を見ることができません。手紙に例えれば、配達員が中身を読めないだけでなく、郵便局長でも読めない状態です。
| 暗号化あり(現状) | バックドアあり(法案が求めるもの) | |
|---|---|---|
| 送信者 | 読める | 読める |
| 受信者 | 読める | 読める |
| サービス提供者 | 読めない | 読めない |
| 法執行機関 | 読めない | 読める(令状あり) |
| ハッカー・外国政府 | 読めない | 読める可能性がある |
バックドアとは、正規のアクセス方法とは別に設けられた「裏口」のことです。政府は「法執行機関だけがアクセスできる安全なバックドア」を求めています。しかし、暗号技術の専門家たちが繰り返し指摘しているのは、「善人だけが使える裏口」は技術的に不可能だということです。
裏口が存在すれば、それは犯罪者や外国の情報機関にとっても攻撃対象になります。これは理論の話ではなく、Chamber of Progressが指摘するように、一度プラットフォームのインフラに監視機能が組み込まれれば、それはカナダの法執行機関だけでなく、外国の情報機関や犯罪的ハッカーが悪用できる恒久的な構造的特徴になるのです。
Bill C-22は何を求めているのか
この法案は2部構成になっています。マイケル・ガイスト教授の分析によれば、Part 1は「大幅な改善」、Part 2は「依然として深刻なリスク」という評価です。
| Part 1:合法的アクセス | Part 2:SAAIA(監視能力) | |
|---|---|---|
| 概要 | 法執行機関が通信事業者から加入者情報を取得する手続き | サービス提供者に監視・傍受能力の構築を義務付け |
| 令状 | 詳細情報は判事の承認が必要(改善) | 大臣の秘密命令で実施可能 |
| 対象 | 通信事業者(ISP・携帯キャリア)のみ | 全ての「電子サービス提供者」(Google、Meta、WhatsApp等を含む) |
| 評価 | 前法案(C-2)から大幅改善 | C-2からほぼ変更なし |
Part 1の改善は評価されています。前回の法案Bill C-2では、法執行機関が令状なしで広範な個人情報を取得できる条項がありましたが、Bill C-22ではこの範囲が大幅に縮小されました。令状なしで確認できるのは「特定の個人にサービスを提供しているかどうか」のみで、それ以上の詳細情報は判事の承認が必要です。
問題はPart 2です。OpenMediaのMatt Hatfield事務局長は「政府はBill C-22をカナダにとって安全にするための作業を完了していない」と述べ、Part 2の完全削除を求めています。
「システミック脆弱性」という抜け穴
カナダ政府は批判に対し、一つの安全装置を用意しました。法案には「システミック脆弱性(systemic vulnerability)の導入を強制してはならない」という条項が含まれています。
「コアプロバイダーは、遵守することにより、権限のない者がセキュアな情報にアクセスできる実質的なリスクを生じさせるようなシステミック脆弱性を導入することを求められない」
― Bill C-22 法案条文より
一見すると安心できる条項に見えます。しかしガイスト教授やOpenMediaは、いくつかの重大な問題を指摘しています。
- 1. 「システミック脆弱性」の定義を政府が秘密裏に変更できる。法案成立後に実質的な保護が骨抜きにされるリスク
- 2. 大臣の命令には独立した司法審査がない。情報コミッショナーの承認は必要だが、裁判所の審査ではない
- 3. 命令を受けた企業には口止め義務(gag order)が課される。ユーザーに通知できない
- 4. メタデータの最大1年保持義務が新たに追加。全ユーザーの位置データ、デバイス情報、通信記録を犯罪の嫌疑に関係なく保存
特にメタデータ保持については、ガイスト教授が別の記事で詳細に分析しています。Reclaim The Netの報道によれば、保存対象には「どこで眠り、どこで礼拝し、どの医師を訪ね、どのデモに参加したか」が含まれうるとされています。
世界に広がる暗号化 vs 政府の戦い
暗号化のバックドアを求めているのはカナダだけではありません。これは世界中の政府とテック企業の間で繰り返されてきた戦いです。
Hacker Newsでの議論で指摘されているように、カナダはファイブアイズ(Five Eyes)同盟の中で、このような法執行機関向けのアクセス権限を持たない唯一の国でした。ファイブアイズとは、米国・英国・カナダ・オーストラリア・ニュージーランドの情報機関同盟で、2020年には日本を含む7カ国で暗号化通信へのアクセスを求める共同声明を発表しています。
| 国 | 動向 |
|---|---|
| オーストラリア | 2018年にAssistance and Access Actを成立。企業に暗号化通信への技術的支援を義務付けた世界初の法律 |
| 英国 | Investigatory Powers Act(2016年)により、企業に通信傍受への技術的協力を義務付け。2025年にはAppleがiCloud暗号化機能を英国で無効化 |
| 米国 | 2016年のApple vs FBI事件でiPhoneのロック解除を巡り対立。法制化には至っていないが、複数の上院議員が法規制を主張 |
| EU | 児童性的虐待対策として暗号化メッセージのスキャンを義務付ける「チャット規制法」を提案。プライバシー団体が強く反対 |
| カナダ | Bill C-22で参戦。ファイブアイズ最後の1国 |
ネット上で広がる懸念―事実確認できているものとそうでないもの
Bill C-22はHacker Newsで989ポイントを獲得し、技術コミュニティで大きな反響を呼びました。ここでは、ネット上で広がっている懸念を「一次ソースで事実確認済み」と「真偽未確認」に分けて整理します。
事実確認済み(法案条文・公式声明で確認)
- ✓ 公安大臣がサービス提供者に秘密命令を出せる(法案条文)
- ✓ 命令を受けた企業はユーザーに通知できない(OpenMedia・ガイスト教授が条文を引用して確認)
- ✓ メタデータの最大1年保持義務がある(カナダ政府公式が明記)
- ✓ 「システミック脆弱性」の導入は禁止されている(法案条文に明記)
- ✓ Part 2はBill C-2からほぼ変更なし(National Magazine・ガイスト教授が確認)
ネット上の懸念(真偽未確認・解釈が分かれるもの)
- ? 「SignalやWhatsAppがカナダから撤退する可能性」― SNSで広がっている懸念ですが、各社からの公式声明は出ていません。ただしAppleが英国でiCloud暗号化を無効化した前例はあります
- ? 「カナダ政府は実質的にエンドツーエンド暗号化の禁止を狙っている」― iPhone in Canadaなどが報じていますが、法案条文上は「システミック脆弱性の禁止」も含まれており、政府の意図について解釈が分かれています
- ? 「判事が主観的判断で令状の提示を免除できる条項がある」― HNで最も支持されたコメントが指摘。法案条文に該当する記述はあるものの、実務上どの程度の影響があるかは法律専門家の間でも見解が分かれています
- ? 「外国の情報機関がバックドアを悪用するのは時間の問題」― 技術的には根拠のある懸念ですが、「Bill C-22固有の」リスクとして実証されたものではなく、暗号化バックドア全般に対する普遍的な批判です
重要なのは、「事実確認済み」の項目だけでも十分に深刻な内容を含んでいるということです。真偽未確認の懸念を誇張する必要はなく、法案の条文そのものが多くの問いを投げかけています。
鍵は一つだけ渡せない
映画『ダークナイト』で、バットマンはゴッサムシティ全市民の携帯電話を盗聴できるシステムを作りました。犯罪者ジョーカーを追い詰めるためです。目的は正しい。しかしそのシステムの存在を知ったルシアス・フォックスは、「こんなものが存在する限り、私はここにいられない」と辞意を示しました。
バットマンの答えは「使い終わったら壊す」でした。しかし現実の法律には、そのような自動消滅装置はありません。
Bill C-22が求めているのは、まさにこのシステムです。犯罪者を追い詰めるという正当な目的のために、全カナダ国民の通信インフラにアクセスポイントを設ける。ある技術者がHacker Newsで指摘したように、法律を設計するときに考えるべきは「今の政府がそれをどう使うか」ではなく、「将来、最悪の政府がそれをどう悪用できるか」です。
暗号化の「鍵」は、善人だけに一つだけ渡すことができません。鍵穴が存在する限り、それは全員に開かれています。この事実が変わらない限り、暗号化バックドアの議論は何度でも同じ結論にたどり着くでしょう。
Bill C-22はまだ第一読会を通過したばかりです。委員会審議、修正、採決と、長い道のりが残っています。しかしこの法案がカナダ国内だけの問題ではないことは明らかです。カナダで成立すれば、ファイブアイズ全5カ国が足並みを揃えることになります。その影響は、私たちが毎日使っているメッセージアプリにまで及ぶかもしれません。
参照元
- • Bill C-22 (45-1) First Reading - Parliament of Canada(法案全文)
- • Backgrounder – Securing Access to Information - Canada.ca(カナダ政府公式)
- • A Tale of Two Bills - Michael Geist(オタワ大学法学教授)
- • The Lawful Access Privacy Risks: Unpacking Bill C-22's Metadata Retention - Michael Geist
- • Ottawa Repackages Its Surveillance Backdoor - OpenMedia
- • Small Tweaks Won't Fix Canada's Controversial Surveillance Powers - Chamber of Progress
- • New lawful access bill would give police, CSIS more powers - CBC News
- • Police will get new powers for online data - Global News
- • Canada's Bill C-22 Mandates Mass Metadata Surveillance - Reclaim The Net
- • Canada Alert: Feds Try Again to Build Backdoors - iPhone in Canada
- • New lawful access bill still lacking - National Magazine