EU Chat Control可決 令状なしデータスキャン許可
EU議会でChat Control 1.0が可決。企業が令状なしにユーザーデータをスキャン可能に。暗号化通信は免除、9月に2.0議論へ。
2026年7月9日、EU議会においてChat Control 1.0が可決された。Tom’s HardwareのBruno Ferreiraの報道によれば、同法案は過去に複数回否決されていたが、今回の採決では絶対過半数(50%+1)による能動的拒否を必要とする議事戦術が用いられた。その結果、同法は成立に至った。EU官報への掲載後、この法律は2028年まで有効となる。
企業は令状なしにユーザーデータを一斉スキャンできるようになる。ただし、その対象は児童の性的虐待資料(CSAM)の探索という名目に限定されている。スキャン自体は義務ではなく、企業の裁量に委ねられる。しかしFerreira氏は、大規模テック企業がユーザーデータを探索する法的メカニズムが正式に開かれたと指摘する。
対象となるのは「対人通信サービス」と定義されるプラットフォームだ。Gmail、iCloud、Hotmail、Discord、Instagram、Slack、Teams、Snapchat、Xbox、Google Chatなどが含まれる。1対1のチャットに限らずグループチャットも対象となる。一方、公開または無方向性の通信は含まれない。またGoogle Driveのようにファイル共有リンクを送る行為が法律の範囲に入るかはグレーゾーンとされている。
エンドツーエンド暗号化(E2EE)通信は免除される。昨日の投票で2つの修正案が可決されたためだ。WhatsAppなどのE2EEサービスは現時点ではスキャンの対象外である。暗号化の解除を求める動きは世界中の立法者によって繰り返し提案されてきたが、Chat Control 1.0はその要求を含んでいない。
EUの法執行機関は引き続き令状要件に従う必要があり、Chat Control 1.0が当局に無制限の一斉スキャンを許可するものではない点も重要だ。
今回の可決は、9月に予定されているChat Control 2.0の議論に向けた布石とも見られている。Chat Control 2.0はより広範な監視権限を想定しており、1.0の成立によって議論の前提が変わると分析する向きもある。欧州のデジタルプライバシーを巡る長年の戦いにおける最新の局面だ。GDPR(一般データ保護規則)が強力なプライバシー保護を謳う一方で、CSAM対策という名目で監視の拡大が進む構図は、プライバシーと安全のバランスを再び問いかけている。
EU域内のテクノロジー企業は、即座に法的リスク評価とコンプライアンス対応を迫られる。特にプライバシー重視を標榜する欧州のスタートアップや通信サービスは、ユーザーからの信頼を維持しながら新たなスキャン機構を導入するかどうかの判断を迫られる。暗号化通信が当面免除されているとはいえ、多くの企業が透明性レポートやデータ管理方針の見直しを余儀なくされるだろう。
日本のテクノロジー企業がEU市場でサービスを提供する場合、同法の対象となる可能性もある。従来、日本のプラットフォーム事業者は欧州のプライバシー規制に対して比較的消極的な対応を取ってきたが、Chat Control 1.0が求める監視メカニズムを実装するかどうかは、ビジネス上の重大な判断となる。例えば、ユーザーデータのスキャンを拒否した場合、CSAM対策への協力を怠っているというネガティブな印象を与えかねない。一方でスキャンを導入すれば、日本のユーザーからもプライバシー侵害の懸念が噴出するリスクがある。
また、Chat Control 2.0の議論がE2EEの免除を取り除く方向に進めば、暗号化を基盤とするサービス全体のビジネスモデルに影響が及ぶ。これまで暗号化通信を売りにしてきたメッセージングアプリは存続の危機に直面する可能性もある。
この法律を巡っては、立法プロセスの透明性にも批判が集まっている。従来の審議では否決された法案が、議会最終盤での議事戦術によって可決されたことは、民主的な手続きとして疑問が残る。欧州の市民団体やデジタル権利団体からは、早急な再審議を求める声が上がっている。
加えて、監視がCSAM対策という目的に実際に資するかどうかは検証されていない。大規模なデータスキャンは多くの誤検出を生むことが知られており、無実のユーザーの通信が検査される可能性が高い。プライバシー侵害のリスクと社会的便益のバランスは、今後も議論の的となる。
テクノロジー企業の間では、今回の法成立を受け、EU域外へのサーバー移転やサービス停止を検討する動きも出始めている。特に中小のスタートアップにとって、スキャン機構の導入コストは大きな負担となる。結果として、EU域内の競争環境が変化し、大規模プラットフォームに一層の寡占化をもたらす可能性がある。
編集部の見解
短期的には、EU域内のテクノロジー企業はスキャン機構の導入判断とコンプライアンス対応を迫られる。暗号化通信が免除されたとはいえ、非暗号化サービスを提供する企業は直ちに対応を迫られる。特にプライバシー重視の欧州スタートアップにとって、ユーザー離れを招くリスクと法的リスクの板挟みとなる。透明性レポートの公開やデータ管理方針の見直しが不可避となるだろう。この混乱は少なくとも6カ月程度は続くと見られる。 長期的には、9月のChat Control 2.0議論でE2EEの免除が維持されるかが焦点となる。仮に免除が撤廃されれば、WhatsAppやSignalといった暗号化基盤のサービス全体に影響が及ぶ。日本のプラットフォーム企業もEU市場でサービスを提供する場合、同法の対象となる可能性がある。日本国内における同様の監視法制の議論を促す先例としても機能し得る。1年から2年のスパンで、グローバルなプライバシー基準の分断が進む可能性がある。 編集部としては、今回の法成立における議事戦術の正当性に疑問を呈したい。
参考
- 「 Chat Control 1.0 sneaks through the EU Parliament, letting companies scan user data without warrants — legal tactic used to force a majority-required re-vote on eve of Parliament break 」, by Bruno Ferreira — Tom’s Hardware, 2026-07-10T11:00:00.000Z (ARR)
- 元記事URL: https://www.tomshardware.com/tech-industry/cyber-security/chat-control-1-0-sneaks-through-the-eu-parliament-letting-companies-scan-user-data-without-warrants-legal-tactic-used-to-force-a-majority-required-re-vote-on-eve-of-parliament-break
よくある質問
- Chat Control 1.0はどのサービスに影響を与えるのか
- Gmail、iCloud、Hotmail、Discord、Instagram、Slack、Teams、Snapchat、Xbox、Google Chatなど、対人通信サービスを提供するプラットフォームが対象となる。グループチャットも含むが、公開通信は除外される。Google Driveのようなファイル共有サービスはグレーゾーンとされる。
- エンドツーエンド暗号化(E2EE)は保護されるのか
- 現時点では保護される。今回の投票で2つの修正案が可決され、WhatsAppなどのE2EEサービスはスキャン対象外となった。ただし9月に予定されるChat Control 2.0の議論で免除が維持されるかは不透明である。
- 日本の企業やユーザーへの影響はあるか
- 日本企業がEU市場でサービスを提供する場合、同法の対象となる可能性がある。また、日本政府が同様の監視法制を検討する際の先例として参照される可能性もある。現時点で日本の法律に直接の影響はないが、国際的なプライバシー基準の変化として注視すべきである。
コメント