Claude Fable/Mythos の公開停止の法的問題-2018年輸出管理改革法418条/商務省管理品目リスト(CCL)ほかのエントリで、Claude Fable/Mythos の公開停止の法的根拠について考察してみました。

この問題は、1990年代に暗号の輸出規制が議論された議論を思い出させるわけです。実際に、日本においては、この問題に関して暗号規制を思い出して論じるというコメントは あまりないです。検索したところ「米政府によるミュトス級規制で思い出した暗号の輸出規制と生成AIの蒸留」というブログがありますが、あと、この輸出規制の話と暗号規制を踏まえたコメントというのは、日本語では、見つかりませんでした。

国際的には、90年代の暗号の輸出規制を踏まえた記事が、出ています。

• Katie Moussouris “The Fable 5 Export Controls Harm US Cyber Defense” 
• “Feds freaked over Fable 5 after simple ‘fix this code’ prompt, not jailbreak, says researcher”(The Register)

これらの記事でとりわけインパクトをもっているのは、「コードを直して」と書いてある写真かと思います。これは、Mythosに「コードを直して」とプロンプトをいれると脆弱性を修正してくれるということで、侵入ソフトウエアの技術になりうるということを端的に示したものになります。この写真のインパクトを理解するのには、米国における1990年代の暗号の輸出規制をめぐる話しを理解していることが必須になります。なのでいい機会なので、当時の暗号戦争についての書きかけの原稿をもとにまとめてみたいと思います。私にとっては、30年来の宿題をやっつける作業ということにもなります。

なお、この論点については、岩下直行・宇根正志「キーリカバリー構想を巡る最近の情勢について」(リンク)があります。

---

暗号の法的問題について(1990年代)

序

ネットワークは、匿名性があるといわれ、また、インターネットにおける通信は、パケット通信といわれる手法であり、それゆえに、秘密性が保ちにくいものであり、もともと重要な連絡には適しません。そのメッセージを秘密に保ち、また、誰がそのメッセージを発したか、改竄はなされていないかという点についての証明に用いられるのが暗号技術です。もともと、暗号は、国防目的で開発・研究が行われてきていたが、現在では、インターネットでの電子商取引を支える基盤技術であることはだれも否定できません。そのことから、国家安全保障にかかわる技術として輸出規制の対象とされてきた経緯があり、とりわけ1990年代には、この輸出記載をめぐって激しい議論が闘わされました。

アメリカにおいては、国家安全保障の要請と通信の秘密とのバランスをとるためにいろいろな動きがなされ、そのもっとも顕著な動きが、1990年代になされ、人々の注目を集めました。この動きは、俗に暗号戦争といわれています。

0.1 暗号戦争のタイムライン

暗号戦争は、

• 前史——暗号の国家独占とその崩壊（〜1970年代）
  第二次大戦と冷戦を通じて、強力な暗号は事実上、政府（とりわけ米国家安全保障局NSA）の独占物でした。米国では暗号は武器とみなされ、武器輸出管理法（AECA）とその下のITAR（国際武器取引規則）によって、合衆国軍需品リスト（USML）のカテゴリーXIIIに分類され、輸出が厳しく規制されていました。
• 第一次暗号戦争——1990年代
• 幕間——スノーデン以後（2013年）

• 第二次暗号戦争——2010年代以降

  • Apple対FBI（2016年）：サンバーナーディーノ銃撃事件の犯人のiPhoneのロックを解除させるため、FBIがAppleに解除ツールの作成を求め、Appleが拒否した事件です。クリッパーチップと同じ「裏口（バックドア）」論争が、今度は端末の暗号化をめぐって再燃しました。FBIが第三者の手で端末を解錠したため法廷決着は回避されました。

  • 「going dark」論と各国の動き：法執行機関は、暗号化によって捜査が「暗闇に閉ざされる（going dark）」と主張し続けています。近年では、EUのいわゆる「チャットコントロール」提案（児童保護を名目に暗号化メッセージのスキャンを求める動き）、英国のオンライン安全法やInvestigatory Powers Act、豪州のAssistance and Access Act（2018年）などが、エンドツーエンド暗号化に「裏口」相当の機能を求めるものとして、繰り返し論争を呼んでいます。

という流れで眺めることができますが、ここでは、第一次暗号戦争——1990年代を時系列的に眺めてみたいとおもいます。この暗号戦争については、　日本においては、1998(平成10)年3月に「情報セキュリティビジョン策定委員会報告書〜安全なネットワーク社会を目指して〜」において米国の議論が、紹介されていますが、紹介としては十分あるとはいえませんし、それから、既に30年近く経過した現在では、ほとんど忘れさられていることかもしれません。しかしながら、今回のClaude Fable/Mythos の公開停止を初めとして、

暗号技術が、インターネットでの電子商取引を支える基盤技術である一方で、法執行機関のなす組織犯罪の捜査にとって、通信の傍受というのは、きわめて重要な捜査手段です。わが国でもいわゆる通信傍受法が制定されたのは、そのような要請を重視したものです。暗号を利用した通信が一般化すると通信の傍受自体が非常に困難になります。また、暗号の利用が一般化すると証拠書類として押収の対象になっていたものが、すべて暗号化されて、解読に膨大な手間がかかることになり犯罪捜査にきわめて重要な障害となってしまうことになる。

0.2 暗号と解読の必要性

FBIのDirectorであるLouis J. Freehは、1996年の7月25日の米国 上院の the Committee on Commerce, Science, and TransportationにおいてImpact of Encryption on Law Enforcement and Public Safetyというタイトルのスピーチ(リンク)のなかで、

1992年に、AT&Tが、小さな、携帯の電話機で安だが強固に音声を暗号化するものをうるつもりであると発表して以来暗号に関する公共政策の問題が、段々盛んに議論されるようになった。そのとき以来、人々は、プライバシーについて心配するようになり、産業界、コンピューターセキュリティ、法執行部門、国家安全、そして公共安全部門が暗号に関する議論に参加したのである。

と述べています。 また

世界情報インフラストラクチュァ(GII)が、その約束を果たすのであれば、強い暗号の利用は、重要である。データは、移動と、保存において、ともに保護されなくてはならず、それによって、個人的通信にも、経済的取引、医療、新しい知的財産権の発展、数えきれないその他の応用技術がおこなわれるようになる

のです。

しかしながら、この暗号の利用はもう一つの重大な問題を産んできます。暗号の方法によっては、実質的に警察力によって、解読不能の暗号通信がなされる可能性は十分にあり、しかも、それも誰もが、簡単にそのような暗号を利用しうる日がこないともかぎらないのである。そのような場合に、犯罪対策の観点からみるとき重大な問題が発生するのです。

この点についての、Freeh氏は、

私たちが強固な暗号を支持するのは、プライバシーと商取引を保護するという責務に由来する。しかし、私たちが、毎日日常で、直面する犯罪、テロリスト、諜報活動から、アメリカ人の公共の安全をまもるという主要な責任ある使命にも十分注意しているのである。暗号の便利さは認められているにもかかわらず、解読できない暗号が、国家の法執行機関が、押収したコンピューターのファイルを理解できなくするのではないか、とか、暗号化された犯罪者間の通信を傍受できなくなり、早急に危険な犯罪、テロリスト、諜報活動に対処できなくなるのではないか、と永い間議論してきた。その上に、かれらを十分な証拠により、訴追することもできなくなり、それでは、ひどく,根本から、微妙な、重要な、国民の安全を脅かしてしまうのである。すべての社会的な利益に奉仕する許容しうる回答は、『社会的に責任有る』暗号製品の利用を促進することである。その製品は、強力な暗号を提供するが、適切に、法執行機関および国家安全局により、裁判所の命令ないしは、適切な認証のあるときに、暗号の解読がなされるものである。

この議論は、暗号技術というものは、社会的に許容される、ある意味で「責任有る」ものでなくてはならないとしている点に特長があります。

この暗号技術の発展が、従来の犯罪捜査にどのような影響を与え、また、与えつつあるかという点について、Freeh氏は、さらに

理解していただきたい重要なことは、私が引用した事件からもはっきりしているのですが、従来型暗号は、電子的捜査(これは数からいえば、たくさん行われているのですが、)を妨げるというだけではなく、コンピューターとそのファイルの捜査・押収という警察官の日常の基本的な仕事を妨害しているのです。早急に犯罪者やテロリストの暗号化された通信やコンピューターファイルを解読することができるようにしないと、効果的な捜査や訴追ができなくなってしまいます。もっとも危険な重罪、とりわけ、重要なのは、誘拐やその他の生命に関する犯罪から声明を守ることです。私たちは、アメリカの国民をまもるという私たちの使命を効果的に実行できなくなってしまいます。

と強調しています。

この議論は、アメリカだけの話でもなく、日本でも、オウム真理教の信者のデータが、光ディスクに記録され、それには、暗号処理がされていたため、警察庁内において、普段は、技術的な保守管理を行っていた情報通信局が、この暗号解読に活躍したということは報道されています(オウム、ライブドア、三菱UFJ証券、犯罪捜査における デジタル・フォレンジック運用事例と技術の限界)。そして、この点については、米国でも注目されているのです。この点について詳細にふれるものとしては

Dorothy E. Denning & William E. Baugh, Jr., “Hiding Crimes in Cyberspace”https://faculty.nps.edu/dedennin/publications/HidingCrimes.pdf

があり、National Research Council, Cryptography’s Role in Securing the Information Society（Kenneth W. Dam・Herbert S. Lin編、National Academy Press, 1996年）(CRISIS報告書ともいわれています)(https://nap.nationalacademies.org/catalog/5131/cryptographys-role-in-securing-the-information-society)もあります。

暗号の強度と解読の必要性という二つのバランスをどのようにして取って行くべきかというのが議論のテーマであり、これは、1990年代にわたって熱心に議論されたのですが、その後も、2010年代のApple v.FBI事件で再度、社会の議論を呼び、その上、ソフトウエアと国家・社会の安全保障という論点として、AI時代に、再度注目を浴びているのです。この動きを時系列で負っていくことにします。

1  クリッパーチップ(1)-1993

1.1 発表

クリントン・ゴア政権は、「 FBI のデジタル通信傍受提案」と「政府のいわゆる『クリッパーチップ」提案」という二つの政策をブッシュ政権から引き継いでいくということになりました。そして、1993年の4月16日に、 “Clipper Chip”および「キーエスクロウ」政策が発表されました。 クリントン政権の公式アーカイブ（NARA／米国立公文書館管理)
https://clintonwhitehouse6.archives.gov/1993/04/1993-04-16-press-release-on-clipper-chip-encryption-initiative.html

この計画は、幾つかのコンポーネントからなりたっており、具体的には、

1. 「スキップジャック』とよばれる秘密の暗号化・複合化アルゴリズム」
2.  『クリッパーチップ』とよばれる『スキップジャック』を実装している耐タンパー性のある電子チップ
3.  鍵の生成とチップのプログラミングのためのセキュアな施設

を含んでいます。それぞれのチップは、『部品ごとの一意性のある鍵(以下、装置固有鍵という)』でプログラミングされており、スキップジャックの暗号化された通信を傍受するのには、これが必要になるります。具体的に傍受の方法については、

1. 2つのエスクロウエージェントは、『装置固有鍵』のそれぞれの部分を保有し、
2. 法執行アクセス・フィールド(LEAF)は、装置固有鍵の保有者をメッセージを解読するのに、可能な情報を取得できるようにする。
3. LEAF の解読装置は、装置固有鍵を有するものはだれでも暗号化された通信を途上で、傍受しうるものである。

というシステムが予定されていました。

ようするに”Clipper Chip”というのは、電話の通信内容を暗号化するためのソフトウェアを焼き込んだICチップであり、そのチップを、通信機器にそなえつけることとしようという提案をしました。

そして、このチップについては、その暗号を解く鍵を一定の第三者(この時点の提案においては、鍵を分割して、それぞれ異なった第三者に信託することとしている。)に信託して、特定の場合においては、そのエスクロウされた鍵を一定の手続きによることによって、その通信を傍受しようというものです。そこで、どのような手続きによって、その通信の傍受がなされるかという点についてまで、すぐに提唱されたのです。

この枠組は、俗にクリッパー政策といわれるようになります。このあと、政府の公表する暗号政策は、俗にクリッパーにバージョン名をつけて呼ばれることになります。

1.2 批判

ところが、このような「キーエスクロウ」政策については、いわゆるサイバー人権団体の間だけではなく、コンピューター関係の団体の間でも非常に、評判が悪いものでした。この点についての問題点をまとめると技術的側面、法律的側面、経済的側面にまとめることができます。

前提問題

もっとも、この構想については、その当時、そもそも、これが、すべての利用者にクリッパーチップを義務付けるものであるか、はっきりしませんでした。

例えば、この点については、このクリッパーチップが通信機器に対して義務づけられているのかという点について疑問が投げかけられていました。これについて代表的なものとしてBrock N. Meeks, “Jacking in from Another Brick in the Wall Port,” CyberWire Dispatch（1994年2月22日) リンク：https://diswww.mit.edu/menelaus/com-priv/10423 があります。

時系列的には、1994年2月のFIPS 185（暗号エスクロウ標準、EES)の承認がなされています。これは、「任意の暗号エスクロウ標準（Voluntary Escrowed Encryption Standard)」です。政府機関または民間部門が、機微だが非機密の音声・ファクス・データ通信を電話回線上で保護するために使用しうる任意標準を承認したもので、EESの承認は、連邦政府機関がキーエスクロウ暗号を通信セキュリティ調達文書において要件として指定できる仕組みを提供するものであることが述べられています。

米国政府としては、その仕組みは、任意であるものの、政府が利用する場合においては、それを調達基準として指定できるようにして、その調達による数の論理でもって、事実上の基準としようとする作戦であったということがいえるでしょう。

もっとも、任意の利用にまかせていたのでは、通信の傍受のさいになんら有効な対策とはならないと考えられます。そして、任意の利用であるならば、その鍵を解く際の手続きをくわしく説明する必要はないはずです。その意味で、政府において、このクリッパーチップの利用についてすべての通信機器にかかるチップを義務づけるものと考えていたのではないか、と当時理解されたのでした。

政府においては、利用は、任意ななものと発言している。もっとも、この点については、だれも、クリッパーチップを任意のものと政府が考えているとは思っていませんでした。

この点に関連して、クリッパーチップが、どこまで適用されるのか？という疑問もありました。まず確認すべき事実として、クリッパーチップ(MYK-78)は、設計上あくまで電話(音声)通信用でした。クリッパーチップは電話での使用のために設計されているのです。

ゴア副大統領自身も、クリッパーは電話に用いるものであってコンピュータやファクスには用いない、と明言していました。1993年4月16日の声明も「電話通信(telephone communications)」を対象に語っていました。したがって、政府の建前としては「クリッパー＝電話用、コンピュータ通信は対象外」という整理でした。

この整理が見かけほど限定的ではないと批判されました。論拠は大きく三層に分かれます。

論拠①──同じ「裏口」がコンピュータ通信用にも用意されていた(Capstone／Fortezza)

最も重要な論点です。政府は、クリッパーとは別に、まったく同じSkipjackアルゴリズムとLEAF(キーエスクロウ)機構を、コンピュータ・データ通信用に実装したチップを用意していました。これがCapstoneチップ(MYK-80)です。クリッパーが音声通信の暗号化に用いられる一方、Capstoneとして知られる類似のチップがデータの暗号化に用いられることになっていました。基盤となる暗号アルゴリズムSkipjackはNSAが開発したものです。CapstoneはClipperの上位版で、クリッパーチップが一括暗号化と鍵管理に使える低コストチップであるのに対し、Capstoneチップはデジタル署名とメッセージダイジェスト機能を加えた、より高度な版でした。 そしてCapstoneは、Fortezza(当初の名称はTessera)というPCMCIAカードに搭載され、コンピュータに装着して電子メールやデータ通信を暗号化する用途に向けられました。Fortezzaカードは、Skipjack暗号アルゴリズムを実装したNSA承認のセキュリティ・マイクロプロセッサ「Capstone(MYK-80)」を内蔵しています。
結局、「クリッパーは電話専用」という政府の説明は、額面どおりには受け取れない。なぜなら、コンピュータ通信には同じエスクロウ裏口を持つCapstone／Fortezzaが用意されており、政府が志向しているのは『電話だけ』ではなく、音声からデータまで通信全体を覆うエスクロウ暗号の体系だからだ、という批判がなされました。クリッパー(電話)とCapstone(データ)は、同一の設計思想の二つの現れにすぎなかったのです。実際、特許文献の記述では、クリッパーチップ自体が政府および商用に製造される電話およびコンピュータ機器に組み込めるもので、電話およびデジタル・コンピュータ・データ通信を暗号化すると説明されており、「電話専用」という線引きが技術的には曖昧だったことがうかがえます。

論拠②──「電話通信」の定義自体がデータを含んでいた

第二の論拠は、「電話用」という枠そのものの内実です。前回確認したFIPS 185(暗号エスクロウ標準)の適用範囲は、音声だけではありませんでした。音声・ファクス・そしてモデムによるデータ通信を、電話回線上の通信として対象に含んでいたのです。FIPS 185は回線交換方式で商用モデムを用いてデジタルデータを伝送する電話通信での使用に適する、とされていました。したがって、「クリッパーは電話用だからコンピュータ通信は無関係」という論法は、モデム経由のコンピュータ・データ通信が「電話通信」に含まれる以上、成り立たない、という批判が可能でした。当時、コンピュータ間通信の多くは電話回線とモデムを介していましたから、「電話用」という限定は、実質的にコンピュータ通信の相当部分を包含しうるものだったのです。

論拠③──音声とデータの融合(情報スーパーハイウェイ論)

第三に、より構造的な論拠がありました。1993年4月16日声明自体が予告していた「国家情報基盤(NII)／情報スーパーハイウェイ」構想の下では、音声・映像・データの区別そのものが融合していくと見られていました。声明は、この高速ネットワークが現在の電話網が音声を伝えるように映像・画像・大容量データを伝送する、と述べていました。通信が音声もデータも一つのデジタル基盤に統合されていく時代に、「電話(音声)だけを規制し、コンピュータ通信は別」という区分は、技術の方向性に逆行する人為的な線引きにすぎない。エスクロウ暗号を電話で確立すれば、それは融合するネットワーク全体へ波及せざるをえない、という批判はきわめて論理的なものとして成立します。

(もっとも、すべての通信機器にそのようなチップを導入するということができるものとも思えなかったということがいえます。もし、すべてのコンピューターにそのようなチップを埋め込めたとして、外国からｺﾝﾋﾟｭｰﾀｰを輸入することが禁止されるわけではないと考えられ、また、外国に輸出するのにもﾁｯﾌﾟをうめることを強制したとしたら、だれが、外国で、そのアメリカ産のコンピューターを購入するのであろうか、という批判がなされていました)

技術的問題点

政府は、このクリッパーチップが、最大限のプライバシーの保護を与えてくれるとは明らかにしていません。暗号のアルゴリズムは、試験されないと信用されないが、政府は、チップのアルゴリズムについて、秘密としていました。

最初に、政府は、クリッパーチップのアルゴリズムについて、最大のプライバシーの保護を提供することを明らかにしていない。暗号のアルゴリズムは、テストされることがなければ、信用されないのである。しかしながら、政府は、チップのアルゴリズムを秘密にすることを提案している。国民が自分のキーが安心だとなにをもって自信をもたせるのか。そして、キーエスクロウが、プライバシーと法執行機関の要請とのバランスをとる唯一の方策だとしても、このスキームの詳細は、採用される前に明らかにされなければならない。

政府は、クリッパーチップのアルゴリズムを秘密にしておくことが、キーエスクロウシステムの遵守を確実にする唯一の方法であるとして、正当化しようとしている。

と批判されていたのです。

そして、この懸念については、Matt BlazeのLEAF攻撃(Law Enforcement Access Field、法執行アクセス・フィールド)によって、実際に証明されたということになります。具体的な報告は、

Matt Blaze, “Protocol Failure in the Escrowed Encryption Standard,” AT&T Bell Laboratories（1994年8月20日)。Proceedings of the 2nd ACM Conference on Computer and Communications Security（CCS ’94, Fairfax, VA, 1994年11月)所収。リンク：著者公式PDF：https://www.mattblaze.org/papers/eesproto.pdf になります

法律的問題点

さらにこの政府の提案は、憲法上の問題をも提起する(A government-mandated encryption standard raises profound constitutional questions)と指摘されることがあります。

この立場からは、憲法上の懸念(Constitutional Concerns)としては、

1. 1. 強制的なキーエスクロウシステムは、修正4条の「不合理な捜索・押収の禁止」を侵害する。 (A mandatory key escrow system violates the Fourth Amendment prohibition against “unreasonable search and seizure.)
   2. さらにキーエスクロウシステムは、修正5条の「自己負罪拒否の特権」についてのすべての利用者の不特定な放棄を強制する。(A key escrow system forces a mass waiver of all users’ Fifth Amendment rights against self-incrimination.)
   3. 特定の暗号技術の利用の禁止は、内容についての禁止であって、修正第1条の表現の自由を侵害する。(Prohibition against use of certain cryptographic techniques is a content-based restriction which violates individuals’ right to free speech guaranteed under the First Amendment.)という問題点についても指摘がなされています。法的な問題点についての原稿としてBarlow＝EFF(https://www.eff.org/effector/6/1)やA. Michael Froomkin, “The Metaphor is the Key: Cryptography, the Clipper Chip, and the Constitution,” 143 University of Pennsylvania Law Review 709 (1995)(https://groups.csail.mit.edu/mac/classes/6.805/articles/froomkin-metaphor/)

産業政策としての問題点

1. この政府の政策の実現性についても、かなりの問題があるものと批判されました。 具体的にいえば、また、これらの政策と一体となったものとして、暗号技術の輸出規制(Export Administration Act of 1979)の問題がありました。輸出規制自体が、暗号技術についての米国の国際的競争力を損ない、重大な問題なのではないか、という指摘も非常に強力でした。具体的には、特定の暗号をともなったソフトウェアを海外において、販売等をする場合には、アメリカの企業は、その輸出規制のためにその最先端の技術をもちいることができずに、アメリカの輸出規制により、より弱い暗号しか用いることができないことになるのです。そうだとするとアメリカのソフトウエア業界にとって、その商品の国際競争力の点で見劣りしてしまうということになるのです。
2. この問題については、Maria Cantwell議員の提案は、きわめて参考になるといえるであろう。下院での、彼女の発言は、「活気のあるアメリカの産業は、一方的なアメリカ政府の輸出規制によって直接に脅かされており、その規制は、私たちの会社を世界のユーザーのコンピューターのデータを認証されない開示、盗みなどから防ぐ暗号技術を含むソフトウエアを求める要求に応えることを妨害している。」という言葉で始まる。彼女は、これらの規制があるおかげて、毎年$6 and $9 billion の損失を被っていると話している。 「この政策は暗号の能力のあるソフトの利用を防ごうとするために、馬がでていってから納屋の戸をしめるもので、アメリカのソフトとコンピューターシステムに有害な効果をあたえるにすぎないものである なぜかといえば、アメリカの会社が、売り上げを増やすのは、顧客にハードウェア、ソフトウェア、サービスの統合されたソリューションの一つとして暗号を提供しうる能力にかかっているからである。」と主張する。そして、これらの規制は、冷戦下の構造を前提に作られたものであり、現在のもとでは、それに対応して新しい 「憲章」をもたなければならないのであるという。また、かかる規制自体、なんら実行性をもつものではないと彼女は主張する。具体的にいえば、輸出規制のリストに上がっているものにしても、小売商や通信販売、ソシテ、電子掲示板やネットワークでえることができるのである。そして、それがいったん手に入れられてしまえば、コートのポケットにフロッピーディスクとして入れられて、外国に出ていってしまうのである。.また、モデムのついている二つのコンピューターさえあれば、簡単に外国にあるコンピューターを通信することにより、輸出することができてしまうのである。

4.5反論

これらの批判に対して、Stewart A. Baker( Chief Counsel for the NSA)が、反論しており、かかる反論の内容も興味深いです。クリッパーチップに関する批判について、それぞれ「神話」である、として否定しながら、反論しています(Stewart A. Baker（NSA首席法律顧問）, “Don’t Worry, Be Happy: Why Clipper Is Good For You,” Wired, Issue 2.06（1994年6月号）)。その議論を抜き出していくと、

	反対派の疑問	Baker氏の主張
1	キーエスクロウは、政府がアメリカ人のプライバシーに侵入する新しい勇敢な世界をつくる。	「キーエスクロウは、現在の判例のもとで、認められている通信傍受に関する政府の権利を維持することにある。」
2	「解読できない暗号は、私たちの将来の自由の鍵である。」	実際にPGPを使ったのは、コンピューターの電子掲示板をつかう疑わしい少年たちとの接触を記載した日記を含むファイルをPGPで、暗号化したハイテクずきの pedophile(小児性愛者) なのである。
3	暗号化は、ディジタル社会においてプライバシーをまもるキーである。	この点については、Baker氏も、完全な間違いというわけではないとする。しかし、だからといって、クリッパーチップが悪い訳ではないといっている。そして、彼は、実際のプライバシーに対する侵害の最大のものは、意識的に渡すことであって、それを守ることは、暗号の義務ではないという。
4	キーエスクロウは決して働かないであろう。任意的な利用であるならば、crooksは、使わない。強制する秘密のプランが有るはずである。	政府や銀行、その他の合法的機関がエスクロウ暗号を用いることになれば、犯罪者達は自分たちのシステムを築かなくてはならなくなる。そうだとすれば、かれらのシステムは、他のシステムと双方向の連絡ができなくなるのである。そのように言わば、犯罪者達を囲い込むことが重要なのである。
5	政府は、民間部門に対して、キーエスクロウを強制することによって、自由市場を妨害している。市場において成功するのであれば、暗号が、いかなる形のものであれ、産業界は、開発し、販売すべきである。	「弁護士として、お客が会社に対して従業員に対して解読不可能な暗号を渡したことを理由に訴えることは間違いない」そして、「その会社が、そのような明らかな濫用にたいして安全策をなんらも施さない「セキュリティ」システムをつくったソフトウェアないしはハードウェアの会社を訴えるであろう」という。むしろ、民間企業としては、キーエスクロウのほうが、そのような心配をしないで済む方法なのであると主張するのである。
6	国家安全局は、スパイのエージェントである。国家の暗号政策について心配する事は、関係がない	国家安全局は、合衆国の秘密文書についてのできる限りの暗号化をはかることが主たる任務であり、暗号の解読による諜報活動も、その業務の内容になる。そして、その活動から言って、合衆国内において暗号についてもっともくわしい団体であり、発言は当然のことである
	この政策は、秘密に行われ、産業界および国民の意見を聞かれないで行われた。	1993年の4月の時点については、ある程度妥当することを認めている。しかしながら、4月以降については、十分な意見を聞く機会があったのであり、政府がエスクロウ政策をすすめるのは、責任ある対案が出て来ないからであるとしている。

2 クリッパー2

2.1 クリッパー2

「クリッパー2（Clipper II）」とは、1995年8月から9月にかけて米国政府（クリントン政権・NIST）が打ち出した、第二段階のキーエスクロウ構想を指します。最初のクリッパー（クリッパー1）の構想が、技術者・産業界から猛烈な反発を受け、とりわけ1994年のMatt BlazeによるLEAFの欠陥実証や、ハードウェア方式の硬直性への批判によって、行き詰まったことは上でみたとおりです。こで政府は方針を転換し、1995年に「商用キーエスクロウ（Commercial Key Escrow, CKE)」として知られる新構想を打ち出しました。これが俗にいうクリッパー2です。

クリッパー2の特徴は、(1) 政府独自のハードウェアチップ（スキップジャック)に固執せず、ソフトウェアベースの暗号も許容する方向へ広げたこと、(2) 鍵を預ける先を政府機関に限定せず、民間の「信頼される第三者」(認証された商用エスクロウ機関)に委ねる方式を導入したこと、(3) これと引き換えに、56ビットまでの暗号の輸出を認める、という輸出規制緩和と結びつけたことです。具体的な肉付けは、1995年9月のNISTでの会合などを通じて示されました。詳細に経緯を見ていくと以下のようになります。

2.2  1994年7月のゴア＝キャントウェル書簡

クリッパー2の起点は、1994年7月のゴア副大統領からキャントウェル下院議員への書簡でした(リンク)。クリッパー1(ハードウェアチップ)への批判を受け、政権は、ハードウェアに限らない代替的なキーエスクロウ手法を探ると約束していました。それを示すのが、ゴア副大統領の1994年7月のキャントウェル議員宛て書簡です。その書簡では

• 産業界と協力して、より汎用性が高く、低コストなシステムを設計する機会を歓迎すること
• エスクローシステムは、ソフトウェア、ファームウェア、ハードウェア、あるいはそれらの任意の組み合わせで実装可能であること(機密アルゴリズムに依存せず、任意参加型であり、かつ輸出可能となるものであること)
• 鍵預託暗号化製品のユーザーに対し、彼らが無断の電子的監視の対象となることはないことを保証すること
• 新たな鍵預託暗号化システムにおいては、民間企業の鍵預託代理人の利用を選択肢の一つとして認める必要があることも認識していること
• 企業が自社の製品向けに多層的な鍵預託サービスを確立する可能性もあること

などがふれられています。
ただし、NRC(CRISIS)報告書(前述)は、その間の経緯について、この1995年8〜9月の提案は、政権により1994年7月のゴア＝キャントウェル書簡の後続策と宣伝されたが、産業界との公的なやり取りがほとんどない約1年間の事実上の沈黙の後に現れたものだったと指摘しています。

2.3 NISTの発表と二つのワークショップ（1995年8〜12月）

NISTは1995年8月17日に新たな政府のキーエスクロウ暗号政策を発表するプレスリリース(リンク)を出し、関連論点を扱う二つの公開ワークショップを開催すると告知しました。
その第一回が、1995年9月6〜7日のNIST会合です。NISTの当時の告知によれば、9月6〜7日のワークショップは産業界と政府の関係者を集め、鍵長64ビットまでのキーエスクロウ・ソフトウェア製品について輸出管理手続を緩和する提案を含む、キーエスクロウの諸論点を議論するもので、これは国内外双方で使える安全な暗号製品を作りたいソフトウェア製造者に便益を与えるとされました。

具体的な資料は、

paper1.html [4222 bytes] 1995-08-25 Export of Software Key Escrowed Encryption [HTML]

paper1.txt [4106 bytes] 1995-08-25 Export of Software Key Escrowed Encryption

paper2.html [2184 bytes] 1995-08-25 Desirable Characteristics for Key Escrow Agents [HTML]

paper2.txt [1977 bytes] 1995-08-25 Desirable Characteristics for Key Escrow Agents

paper3.html [5244 bytes] 1995-09-11 64-bit Software Key Escrow Encryption [HTML]

paper3.txt [5263 bytes] 1995-09-11 64-bit Software Key Escrow Encryption

paper4.html [8083 bytes]  1995-09-29 Example Potential Solutions for the Draft Export Criteria for Software Key Escrow Encryption [HTML]

paper4.txt [7861 bytes] 1995-09-29 Example Potential Solutions for the Draft Export Criteria for Software Key Escrow Encryption [ASCII]

ことなっています。クリッパー2の核心は、ハードウェアチップ(スキップジャック)から、ソフトウェア実装のキーエスクロウへの拡張にありました。

第二回ワークショップは同年12月に開かれ、ソフトウェア実装を含む連邦標準(FIPS)の追加策定を産業界とともに進めることが目指されました。

2.4 論点ペーパーと「10の基準」

「論点──ソフトウェア・キーエスクロウ暗号の輸出(Issues — Export of Software Key Escrowed Encryption)」(paper1.html )は、この構想についての論点をピックアップしています。また、「輸出基準討議草案──64ビット・ソフトウェア・キーエスクロウ暗号(Export Criteria Discussion Draft — 64-bit Software Key Escrow Encryption)」は、政府が当初特定したキーエスクロウ製品輸出のための10の基準を記述していました。

• 基準1──鍵長の上限（64ビット)
• 基準2──多重暗号の禁止
• 基準3──エスクロウ機構の組み込みと製造時預託
• 基準4──エスクロウ機関の識別情報の付加
• 基準5──改変・回避への耐性
• 基準6──非エスクロウ製品との相互運用の禁止
• 基準7──送信者・受信者いずれの情報へもアクセス可能
• 基準8──授権期間中、機関の反復的関与を要しないこと
• 基準9──製造コピーごとの固有鍵またはリキー能力
• 基準10──認証されたエスクロウ機関への限定

2.5 産業界・市民社会の反応──冷淡な評価

MIT講義の整理(リンク)が的確に要約しています。このアプローチはクリッパーよりは改善と見られたが、産業界の支持は概して冷たかった。提案された(56〜64ビット級の)鍵長制限は依然として不十分とされ、各種基準は不明確で実装困難、かつ濫用に対する保護措置も不十分だと批判された。
批判の論拠は、

1. 鍵長の弱さ。64ビット(あるいは56ビットDES)という上限は、当時すでに高security用途には不十分とされ、現に1995年8月には40ビットRC4が破られていました。
2. 基準の不明確さと実装困難。とりわけ「エスクロウなし製品と相互運用不可」「多重暗号の防止」といった要件は、技術的にどう実装するか不明で、製品設計を著しく制約するものでした。
3. 濫用への保護不足。エスクロウ機関の信頼性・監督の枠組みが不十分だという、本対話で繰り返し現れてきた「裏口の脆弱性」批判です。

でした。

2.6 NRC(CRISIS)報告書による批判と政権の距離化

決定的だったのは、1996年5月のNRC報告書(CRISIS)です。

同パネルは、米政府がエスクロウ暗号を経験するために実験を始めることは推奨したのですが、キーエスクロウ・システムの急速・広範な展開を促す努力を批判し、技術的論点と潜在リスクが十分に理解されていないと述べました。この批判の結果、政権は報告書から素早く距離を置きました。

3 クリッパー3の発表とそれへの反応

3.1 1996年10月1日のゴア副大統領の発表

鍵管理インフラ政策についての賛否を巡る議論が渦巻くなかに、クリントン政権は、1996年10月1日に、新しい政策(クリッパー3.1) を発表しました。(961001_wh_clipper3.statement EFFアーカイブの登録は10月10日付)

この青写真は、7月から、発表されてきていたものですが、輸出可能製品についての適法とされていた範囲を少しばかり拡大するものであり、また、裁判所の命令があるときに、鍵の「回復(リカバー)」を認める点で特長があります。なお、米国政府は、1996 年 5 月に、

公開鍵暗号の情報インフラ(Key Management Infrastructure、以下、KMI) の構築を唱える“Enabling Privacy, Commerce, Security and Public Safety in the GlobalInformation Infrastructure”と題する論文を発表した（Office of Management and Budget[31]）。この構想も、公開鍵暗号方式における秘密鍵を寄託させ、法律執行における暗号鍵への合法的アクセス
を認めるという意味で、Clipper 1 の流れを汲むものであることから、通称 Clipper 3 と呼ばれています

ということです(この部分は、 岩下直行・宇根正志「キーリカバリー構想を巡る最近の情勢について」(リンク) 10ページ)。

具体的には、ゴア副大統領は

政府の政策は、アメリカ人が、より強い暗号製品を、国内であれ、国外であれ、利用しやすくし、プライバシーを保護司、知的財産権を保護し、他の価値のある情報を保護する。電子商取引の発展をサポートし、地球的情報のセキュリティを増し、そして、鍵管理インフラへの移行のさいの米国の暗号製品の競争力を、維持する。

と述べ、そして、

この政策のもとでは、56ビットの鍵長の暗号製品の輸出は、一度検査の上、一般ライセンスのもとに認められる。そして、将来の製品で、キーリカバリーをサポートする製品を作ろうとする産業界の努力との市場の将来とに依存するのである。

と述べています。そして、キーリカバリーの構造について簡単にふれたあと、

(コンフィデンシャルな)鍵へのアクセスは、輸出対象国の政策および両国間の協 定と調和する形で認められる。鍵長およびアルゴリズムの制限は、輸出されるキーリカバリー製品には、適用されなくなる。

そして、

キーリカバリーの国内的利用は、任意的であり、アメリカ人は、国内的には、どのような暗号を利用しようと自由である

と述べています。この規制策のもとでは、もはや商用の暗号は、「軍需物資」ではなく、そのコントロール権限も、国務省から、商務省へ移管される方向があきらかになり、政府は、鍵の不正流用に対する罰則、適切な鍵の利用についてのキーリカバリーエージェントの保護を含む商用のキーリカバリーの法制化を求めるであろうとしました。また、6カ月のライセンスも発表になった。そして、政府は、各界にたいして、キーリカバリーの将来についてアドハイスする機会を設けることとして、また、このような政策は、NRCの報告書に対しても一致するとしているのである。

3.2 リーヒー議員の批判

このゴア副大統領の発表に対して、Leahy上院議員が、10月1日に批判をなしています(リンク)。

この批判について紹介すると、議員は、議院が休会になろうとするときにこの発表がなされたことを不幸なことだとして、この暗号問題は、政府と議会が共同してコンセンサスを築いて行くべき問題であって、権力者の「指令」で解決するものではないという。議院は、修正4条とプライバシー、そして、バーンズ氏と共同でなした法案に簡単に触れた後に、政府の政策を称して

このプランは、我がハイテク産業の資源に対して破られない暗号の開発よりも破られる暗号の開発を指示している。しかしながら、だれが暗号化されたメッセージの解読を法的に許されるのか、また、どのような状況でそうなのか明らかではない。

と批判しています。そして、これは、インターネットの国際的な性格からも不明確な点が起きるとして、米国政府に対してと同様に、問題があるとしています。

議員は、政府が暗号製品の市場をコントロールしようという雰囲気があるとして、このプランは、政府に対してのビジネスプランを転向させて、キーリカバリー政策をとるDESの製品のみを世界で売ることができる許可をあたえるものであるとし、また、キーリカバリーにおける「DES」の採用について、議員は、コンピューター産業に対して、非常なプレッシャーを与えるものであるとしています(但し、これは、議員の誤解によるものと思われます)。

議員は、カートを馬の前に出して、法執行の利益をなによりも前に置くものであるという。2年後には、DESの利用については、きれるものとしても、すでに日本の企業が、トリプルDESを輸出している以上、不必要な足かせをはめることになる。議員の言葉を借りていえば、

二年間にわたり、DESのプラグが抜かれてしまうというおそれは、この魔神(genie)が、すでにボトルから出ている以上、アメリカの会社が、洗練されたハイテク産業を推進させるものではない。これは、アメリカの会社が、DES暗号をもちいる洗練されたコンピューターシステムを、売っている場合に、顧客に対して、二年間で、供給がなくなりますと警告しなくてはならないとさせることではないのだろうか。国内でも海外でも、顧客は、堅固な供給者を求めるのであって、政府によって、ぐいとひかれるものではない。

ということになるのです。そして、プライバシーと職とハイテク産業の競争力との見地から、議論がな さ れることが望ましいとしているのである。

3.3 ビジネス界のゴアイニシアチブ(クリッパー3.1)に対する対応

 キーリカバリーアライアンスの結成

いままでの政府の対応に対してはどちらかといえば反対の態度をしめしていたビジネス界であったが、キーリカバリー政策に対しては、その発表当時は、歓迎の態度を示した点で、従来の政府の提案とは、異なっていたものでした。IBM、アップル、ディジタルエキップメント、ヒューレットパッカード、RSA、NCRなどの11の会社が、賛同の意を示しました（キーリカバリーアライアンス）https://web.archive.org/web/19980203124104/http://www.kra.org/)。

注 キーリカバリーアライアンス(当初は kra.org に置かれた)は、RSA Security を含む30の国際的企業からなる、キーリカバリーを支持する業界団体だったが、市民権団体の圧力を受けて1999年に解散した。解散に伴い、公式サイトも失われています

とりわけ、IBMは、「The need for a global cryptographic policy framework」という論考を発表し、その考えるキーリカバリーについて分かりやすく説明したという点が注目された(ただし、現時点でのリンクは、消滅しており、特定は困難)。また、従来は、政府の暗号政策に対して批判の急先鋒であったRSAが、(全面的に賛成となったのかは別として)キーリカバリーアライアンスのメンバーになった点も着目された。同社は、10月2日に、

政府が提案した「鍵回復イニシアチブ」は、暗号化技術を利用した製品を購入・使用する個人や組織のニーズに応えるための前向きな一歩である。しかし、この提案では、海外で競争するサプライヤーにとって重大な競争上の課題が未解決のまま残されている。

というコメントを公表している(リンクは不明)。

 IBMの発表

「The need for a global cryptographic policy framework」は、

政府、産業界、消費者グループ、市民自由グループ、そして、世界のメディアは、暗号についての公共政策を形成する時期であることに合意しているように思え、これははじめてのことである

という言葉ではじまる(リンク不明)。そして、「Global Key Recovery Framework」こそが、強い安全な暗号の要請と政府の適切な条件の元手の暗号の解読の保証の要請をともにバランスをとるものであるという立場が述べられるのである。

具体的な内容についてみていくと、「クリントン政権の立場に対するIBMの立場」という章では、10月1日の政策は、政府と産業界とが、ともにGIIのために努力する最初のステップになるものであり、歓迎している。すなわち、IBMは、

• （１）政府が暗号の商業的性格を認識し、管轄を商務省に移転することにした点
• （２）国内での暗号の利用を規制しないという発言がある点
• （３）ビットレベルでの自由化がなされる点
• （４）政府の発言がキーリガバリーについての特定の条件や要件について述べていない点について賛成である

と述べている。とくに最後の点については、産業界のリードする解決をはかるとする点で、おおきな前進であると評価している。そして、暗号を巡る要素についてアメリカや世界の各国で、国民的な合意を得ることが大事であるとするのである。

次に、IBMは、その推奨する「Global Key Recovery Framework」について説明している。ところで、その論考のなかで、付録として、「キーリカバリー」と「キーエスクロウ」との違いなどについて触れている。

この付録Aの「Global Key Recovery Framework(以下、GKRFという)」は、「背景にある種々の暗号概念の一般人のためのガイド」というタイトルで、A4版で、1ページ半にわたるもので、比喩をもちいながら、種々の暗号概念について簡単な説明を行っている。この説明は、「暗号テクノロジーは、本来的に理解が困難である」という文章で始まるが、それに引き続いて、

『キーエスクロー』概念は、それ自体かなり理解がしやすい。というのは、暗号鍵をエスクローしておくことは、家の鍵を、家の主人が、信頼できる隣人に、彼自身が、ついうっかりと家から締め出された時のために預けておくことに例えられるからである。

と説明されている。
以下、このGKRFの概略を説明することにする。このシステムでは、その隣人を買収するなどして鍵を持ち出すことができることになり、その意味で、脆弱性を有することになる。そこで、暗号学者は、この問題を解決するために、種々の方法を考えだすことになる。その一つの方法は、「分割鍵」方式である。例えていえば、家に複数の鍵を付けて、その鍵をそれぞれ別の隣人に預けておく方式ということになる。この方式は、面倒くさくなるが、より安全ということになる。

そして、現在では、「キーエスクロー」に代えて「キーリカバリー」システムアプローチを採用しはじめたとされる。この「キーリカバリー」では、鍵をだれかに預けるものではないとされる。家の主人がなお、かぎは持ったままであり、番号のシリーズを隣人に与えるのである。そのまま、番号を一人にあたえるのであれば、「キーエスクロー」と安全性という見地からはほとんど変わらないであろう。しかしながら、番号をわけて与えることとして、そして、それをより進化させ、それらの分割および連続性をランダムに行うのである。6桁の数字を3桁の数字二つに分けるとして、隣人は、その3桁の数字のコンビネーションをしら ないし、また、どの人が、別の3桁の数字をもっているか知らないのである。また、別のアプローチとしては、3桁の数字の秘密性についてさえも保護シールドをかけようとするのである。これは、家の主人が、3桁の数字を二人の隣人に封をした封筒にいれて渡すのに似ている。実際の暗号は、はるかに複雑であるわけであるが、「リカバリー」システムは、複数のソースにたよるものであり、これは、キーエスクロウシステムに比べてたくさんの有利な点をもつとされる。費用の面や、現実のデータにアクセスできるのがデータのオーナーであることなどの点である。

以上のような説明が「キーリカバリー」システムについて説明がなされている。

IBMは、この枠組に関して、13の推奨策を提案しており、これは、(1)技術標準、(2)各国政府の合意事項、(3)鍵回復サービス事業者(KRSP)の運用ルール、(4)国際協調、の四つの柱に整理できます。

• 技術・市場の標準化（推奨策1・4・11)
  第一に、キーリカバリーを世界標準とすること(推奨1)。第二に、キーリカバリー製品と非キーリカバリー製品との相互運用性を永久に保証すること(推奨4)──キーリカバリーを使いたくない利用者とも通信できる必要がある、という点です。第三に、複数の鍵回復ソースを用いる方式をフレームワーク参加国で認証すること(推奨11)。
• 各国政府への要請（推奨2・3・5・12)
  第一に、主要国とりわけOECD諸国が早期に「世界的キーリカバリーフレームワーク」に合意すべきこと(推奨2)。第二に、国内での暗号の合法的利用は規制しないことに合意すべきこと(推奨3)──利用者の自由な選択を重視する立場で、NRC報告とも整合します。第三に、適切なキーリカバリーがある限り、鍵長やアルゴリズムへの輸出制限を課さないこと(推奨5)。第四に、立法改革・規制改正・調達政策の見直しを直ちに行うこと(推奨12)──非キーリカバリー製品が市場を席巻する前に標準化を急げ、というスピード重視の主張です。
• 鍵回復サービス事業者(KRSP)の運用ルール（推奨6・7・8)
  第一に、KRSPの免許基準は最小限に限定すべきこと(推奨6)──(a)令状等に基づく適切なアクセス能力、(b)鍵情報の追跡メカニズム、(c)要求の秘密保持能力、の三点に限る。利用者自身による自己管理(セルフ・エスクロウ)も、自己承認に基づき認められ、虚偽には政府が罰則を課しうる。規制は重くせず、独立機関に許認可を委ねるか複数の認証局を競わせるのが望ましい、とします。第二に、鍵回復情報へのアクセスは、KRSPと顧客の契約条件、または有効な法的令状に基づく場合のみに限ること(推奨7)──鍵の紛失・失念・災害・従業員の過失や死亡といった商業的な復旧需要も重要だとします。第三に、政府のアクセスは、合法的・合憲的な条件下でのみ認められること(推奨8)──これを政府が守らなければシステム自体が機能しない、と釘を刺します。
• 国際協調と相互認証（推奨9・10)
  第一に、鍵回復情報の国際的交換は政府間ベースでのみ行い、外国駐在のエージェントに直接アクセスさせてはならないこと、そしてフレームワーク参加国間で鍵回復エージェントの**相互認証(Mutual Recognition)**を行い「一度認証されれば国際的に認められる」原則を確立すべきこと(推奨9)。第二に、適切なキーリカバリーをサポートする限り、キーリカバリー製品の国際輸出を認めるべきこと(推奨10)──KRSPは必ずしも輸入国のものである必要はない、とします。
  将来研究（推奨13）
  差分暗号(differential cryptography)的なソリューションの可能性を、政府が引き続き探究すべきこと。

 HPの対応

IBMの発表とならんで、暗号製品の輸出規制に関して、興味深い発表をなしたのは、Hewlett Packerd社(以下、HPという)である。HPは、11月18日に、 どのように強い暗号が輸出しうるのかというルールに対応しうるように柔軟に設計されており、国務省から認可されたというフレームワークを発表した。これは、ICF(Internatinal Cryptography Framework)と呼ばれており、暗号技術を世界各国で安全に流通させるためのフレームワークである。

これは、それ自体としては、フレームワークであり、暗号そのものとは独立した別個のものであり、むしろ、暗号を各国家間のポリシーを前提として安全に流通させるための枠組みである点に注目すべきである。この基本要素は、そのハードウエアの面とアプリケーショッの面とにわけて論じられる。ホストシステムのなかにある、暗号サービスを利用するアプリケーションの稼働に際しては、そのハードウエアとして提供される暗号ユニットは、政府ないしはそれに準ずる機関であるセキュリティドメインオーソリティのコントロールするポリシーに準ずることが必要とされ(そして、これは、ポリシー活性化トークンがダウンロードされる形で利用可能となる)、それに準じているときにかぎって機能することとなっている。

そして、一方で、暗号アプリケーションは、そのアプリケーションの認証がなされてはじめて稼働する形に設計されることとなる。ここで、その暗号ユニットは、ハードウエア的には、暗号アルゴリズムと鍵を有する耐タンパ性のものであって、CPUとは独立して暗 号処理を実行するので、その計算処理の速度をあげることができ、きわめて、現実的なソリューションが提供されることになる。この暗号ユニットは、暗号アプリケーションによる具体的な暗号処理とは別のものとなるので、自由に輸出できるものとなる。また、ポリシー活性化トークンは、暗号の利用規則を伝達するもので、具体的には、ソフトウエアトークンまたはスマートカードでの実装が考えられている。また、ネットワークセキュリティサーバは、セキュリティポリシーを定義し、アプリケーション証明書に権限を与えるものであり、具体的には、アプリケーションの種別分け、強度の分類などを定めるCOSマネージャとポリシー活性化トークンを作り、管理し、署名し、配付するというPATマネージャという機能をもつことになる。このフレームワークの最大のメリットは、当然、このフレームワークのもとでも強度のセキュリティが維持されることを前提として、各国の暗号政策を、暗号アプリケーションの利用の際に反映することができることである。したがって、ソフトウエア開発会社は、世界の各国ごとにバージョンの違うソフトウエアを開発する必要はないし、また、暗号ユニット自体も輸 出 が可能になるので、量産化の効果がでて、コストが低減するのではないかということであろう。

また、このHPのフレームワークの実装面において各社がパートナーシップを発表している点が、注目される。アプリケーションとしては、ネットスケープやSAP、ベリフォンが、提携しており、また、技術的には、RSAやTISの技術ももちいられている。1996年11月20日には、ジェムプラスが、スマートカード面での採用を発表しているし、また、スマートカードでは、インフォミックスも提携を発表している。

4 1996年末にかけての動きについて

4.1 11月15日の発表

キーリカバリーシステムに対しての産業界の動きのなかで、クリントン政権は、1996年の11月15日付けに、具体的な発表を相次いでなしています。

(1) 大統領令（Executive Order 13026)

Executive Order 13026 — Administration of Export Controls on Encryption Products（1996年11月15日)クリントン政権公式アーカイブ(全文)：https://clintonwhitehouse6.archives.gov/1996/11/1996-11-15-executive-order-13026-on-crypto-export-controls.html

合衆国Munitions ListのカテゴリーXiiiに指定され、国務省により武器輸出コントロール法(22 U.S.C. 2778 et seq.) により、規制されていた暗号製品は、 商業コントロールリストに移転し、商務省によりコントロールされる。

(2) 両院議長への手紙

Text of a Letter from the President to the Speaker of the House of Representatives and the President of the Senate（1996年11月15日)

• クリントン政権公式アーカイブ(全文)：https://clintonwhitehouse6.archives.gov/1996/11/1996-11-15-president-letter-on-change-in-crypto-export-control.html

下院議長および上院議長(President of the Senate)宛てで、輸出管理法(EAA)の1994年8月20日の失効に伴う国家緊急事態に関して、IEEPA第204条(b)(50 U.S.C.)に基づき議会に報告するという、緊急事態権限の議会報告の体裁をとっています。原稿が「両院議長への手紙」と記すとおり、宛先は下院議長と上院議長(副大統領が兼ねる)です。

• 「The Final Regulations」によることが必要であるが、この 「The Final Regulations」は、商務省によって管理される商品コントロールリストに掲げられる。
•  「The Final Regulations 」は、従前の輸出管理法、執行命令により改められる規制を満たす限りで、輸出許可が、与えられるものである。
• 「 Final Regulations」は、暗号のソースコードを暗号製品として取り扱う。
• 輸出の概念の問題についても、政府は、ソースコードを暗号製品とされる。

などの点で特徴を有するものです。

4.2 商務省の緩和策のルールの公表と対応

12月30日には、クリントン政権は、輸出規制緩和についての暫定規則を明らかにした(https://www.govinfo.gov/content/pkg/FR-1996-12-30/pdf/96-33030.pdf)。11月15日の大統領の純粋な軍事目的以外の暗号製品を武器リストから、商業コントロールリストへ移行するというメモランダムに基づき、商務省の追加条件により規制されることになったが、その規制の内容を示すものである。

このイニシアチブのもと、56ビットのDESないしは同等の暗号製品については、商務省の一度の検査により、将来のキーリカバリーへの以降および鍵管理インフラへの支持のもと、輸出および再輸出が認められることになる。そして、この中間的ルールのもとで、暗号製品の輸出をコントロールすることになる。この中間的ルールは、軍用以外の情報セキュリティシステム、暗号用用品、部品、ソフトウエア、コンポーネントを(“EI” for Encryption Items)として、国家安全と外交政策のコントロールを課そうとするものである。

そして、この許可の方針は、以下の通りとなる。

1. 特定のマス・マーケット暗号ソフトウエア
   11月15日の執行命令 (E.O. 13026 of November 15, 1996 (61 FR 58767))により、軍事リストから商業コントロールリストに移行したある暗号製品については、 “EI” コントロールリストから外され、そして、一度、BXAコントロールをへれば、大衆マーケット適合品となる。その適合性を決定するために、輸出者は、BXAに分類要求書を提出しなければならない。40-bitの大衆市場適合品は、7日間の審査で、適合するとされるであろうし、会社のソフトウエアであれば、15日の審査がある。
2.  Recovery encryption software and commodities.
   暗号アイテムの理由のもとにECCN 5D002 or under ECCN 5A002でコントロールされている暗号製品および装置で、リカバリー暗号を用いる暗号は、rse以外は、一度のbxaの検査のみで、輸出ライセンスを得て、EIコントロールリストから開放される。そして、詳細な基準に従うことが、述べられている。
3. 56ビットDES相当までのノン・リカバリー暗号製品は、リカバリーアイテムについての2年以内の開発について支持のある場合について輸出が可能となる。
4. その余の暗号アイテム である(i)暗号ライセンス(ii)その他の申請 についての規制についても、述べられている。
5.  暗号製品に対する申請の項目では、輸出および再輸出に対する申請は、ケースバイケースで、審査されるとされる。

4.3 注目すべき裁判動向

4.3.1 Karn 事件判決

1996年3月22日には、Bruce Schneierの教科書『Applied Cryptography』は書籍として自由に輸出できたのに、同一のソースコードを収めたフロッピーディスクは軍需品として規制対象とされたのに対して、原告Philip R. Karn, Jr.による二つの品目該当性照会(commodity jurisdiction request)の対して防衛品目に指定されるという判断についての判決がなされしました。

この判決は、Administrative Procedure Act(連邦行政手続法)上の主張については、①AECA §2778(h)により品目指定のAPA審査は不可、②憲法上の主張は審理しうるが、ソースコードを言論と仮定してもO’Brienの内容中立規制として合憲、③書籍とディスケットの区別も合理的(機会可読性の有無という違いがある)でデュープロセス違反なしというもけのでした。

ちなみに、1996年12月30日のITAR→EAR移管(E.O. 13026)を受けて、控訴審のコロンビア特別区巡回区は、1997年1月21日、新たな商務省規則の下でのAPA審査可能性を再考させるため、事件を地裁へ差し戻しました(107 F.3d 923)。結局、その後の2000年の規制大幅緩和により、争訟としての実益が失われて、実体的な最終判断なきまま終結した、ということです。

4.3.2 Bernstein事件判決

1996年12月6日には、カリフォルニア大学バークレー校の数学の大学院生で、自作の暗号アルゴリズム「Snuffle」のソースコード・学術論文・会議発表を公表しようとした原告Daniel J. Bernsteinの上記の輸出規制が、言論に対する事前抑制(prior restraint)として文面上無効(facially invalid)と判示したという判決が出ています。この事件をclaudeの助けを借りて論じると以下のとおりです。

—

---

4.3.3 Zimmerman 事件

プログラムは、表現であり、憲法第一修正によって保護されるとすれば、書籍はどうなるのか？という問題があります。この点について、1993年から続いていた大きな事件が、Zimmerman 事件です。Cludeにブログを書いてもらいました。

---

暗号を、すべての人の手に

1991年6月、フィル・ジマーマン(Phil Zimmermann)は、PGP(Pretty Good Privacy)というソフトウェアを世に放ちました。これは、誰もが無料で使える、強力な暗号メールソフトでした。それまで強い暗号は政府や大企業の独占物でしたが、PGPは、ふつうの市民が、政府にも読めない暗号で通信できる手段を、初めて広く提供したのです。

Zimmermannには明確な思いがありました。後年の回想で彼は、PGPが人権活動に使われること、とりわけ自国政府からの保護を必要とする人々のもとへ世界中に広まることを願ったと語っています(ただし、捜査の最中はそれを公言できませんでした。検察に「意図」を立証する材料を与えてしまうからです)。PGPは公開後数時間でインターネットを通じて国境を越え、世界中に拡散しました。

そして、この「数時間での国際的拡散」こそが、彼を3年間の悪夢に突き落とすことになります。

「PGPを書いた」のではなく「武器を輸出した」

当時、米国では強力な暗号ソフトウェアが、ミサイルや機関銃と並んで「軍需品(munition)」に分類されていました。武器輸出管理法(AECA)と国際武器取引規則(ITAR)の下で、暗号ソフトは合衆国軍需品リストのカテゴリーXIIIに掲げられ、国務省の許可なく輸出することは違法だったのです。

ここで政府が立てた理屈は、衝撃的なものでした。PGPをインターネットのニュースグループ(Usenet)に投稿したことが、暗号という「武器」の無許可輸出にあたる、というのです。つまりZimmermannは、フリーソフトを公開しただけで、「国際武器商人」として扱われました。1993年、北カリフォルニア(サンノゼ)の連邦大陪審が刑事捜査を開始し、それは約3年間(大陪審は約28か月にわたり証拠を審理)続きます。彼は、有害なソフトを書いたからでも、犯罪を助けたからでもなく、政府が読めないほど優れたプライバシー保護ツールを書いて公開したという、ただそれだけの理由で、最長で禁錮刑に直面したのです。

参考までに、当時のITARと暗号の関係を当事者寄りの視点で解説した資料として、Cyber-Rightsの整理があります(https://www.cyber-rights.org/crypto/pgp&itar.htm )。投稿が「輸出」にあたるという解釈の不条理さが、よく分かります。

反撃の武器は「一冊の本」だった

ジマーマンと弁護団(主任弁護人はPhilip Dubois)が編み出した防御戦略は、法理論として極めて巧妙なものでした。彼らは、PGPのソースコードを一冊の書籍として出版したのです。

それが、MIT Pressから1995年に刊行された『PGP: Source Code and Internals』(ISBN 0-262-24039-4、907ページ)です(書誌情報:https://www.philzimmermann.com/EN/essays/BookPreface.html 、現物のアーカイブ:https://archive.org/details/pgpsourcecodeint0000zimm )。中身は、人間にはほとんど判読不能な、PGPのCソースコードがそのまま活字で印刷されたものでした。

狙いは、本の「内容」ではなく、本が存在すること自体にありました。論理はこうです。書籍の輸出は、憲法修正1条(言論・出版の自由)で手厚く保護されている。政府は書籍を禁じることはできない。では、まったく同じソースコードを、紙に印刷すれば自由で、ディスクやネットに載せれば「武器」だというのか——。政府が本を禁じられないなら、どうしてコードを禁じられるのか。 これは、本対話で扱ったKarn事件(『Applied Cryptography』の本は自由、同じコードのディスクは武器)と同じ急所を、今度はジマーマン自身が能動的に突いたものでした。検察がZimmermannを起訴すれば、この「本」が、彼らの足元で炸裂する論理爆弾になるはずでした。

説明もなく、捜査は終わった

1996年1月12日、司法省は、何の説明もなく、起訴することなく、PGPの捜査を打ち切りました。当時の主任弁護人Philip Duboisによる打ち切りの公式announcement(PGPで署名されたもの)が、今も残っています(https://www.philzimmermann.com/EN/news/PRZ_case_dropped.html 、MITミラー:https://www.mit.edu/~prz/EN/news/PRZ_case_dropped.html )。

Zimmermann自身、何が自分を救ったのか——世論の支持か、書籍出版という法的策か、それとも単に政治的意志の欠如か——最後まで知らされませんでした。NPRが同日朝、この打ち切りを報じています。

捜査打ち切りは大きな勝利でしたが、同時に、それは法的決着の不在を意味しました。投稿が「輸出」にあたるのか、コードは表現として保護されるのか——これらの争点は、裁判で判断されることなく宙に浮いたままになったのです。ある論者が当時書いたように、最終的な司法判断がない以上、PGPを含む暗号ソフトの他の利用者は、ジマーマンを苦しめたのと同じ容疑にさらされ続けることになりました(当時の問題意識を伝える資料:「あなたのTシャツは、致命的兵器か？」https://www.loundy.com/Roadside_T-Shirt.html )。

この事件が遺したもの

ジマーマン事件は、判決のある「判例」を生みませんでした。その意味で、Bernstein(地裁で違憲判断)やJunger(控訴審で表現性を肯定)とは性格が異なります。しかし、それでもこの事件は、暗号戦争の口火を切った象徴的事件として記憶されています。

ジマーマン自身が、PGP誕生30周年の回想で総括しています。政府は1996年初頭に捜査を打ち切ったが、政策論争はその後も続き、米国の輸出規制が最終的に崩壊したのは2000年だった、PGPは暗号戦争の10年の幕を開け、その結果、西側の民主主義国はこぞって強い暗号の利用制限を放棄するに至った——と(https://www.mit.edu/~prz/EN/essays/PGP_30thAnniversary.html )。彼はその後PGP Inc.を設立し、PGPは商用・オープンソース(GnuPG)の双方で生き続け、今日のエンドツーエンド暗号化の源流となりました。

そして、本対話で何度も確認してきたとおり、ジマーマンが投げかけた問い——「ソフトウェアの公開は、表現の自由か、それとも武器の輸出か」——は、四半世紀を経たいま、AIモデルやそのソースコードの公開・輸出をめぐって、形を変えて再びわたしたちの前にあります。一行のコードを書いた男が武器商人と呼ばれた時代の問いは、まだ終わっていないのです。

---

4.3.4 「このシャツは軍需品である」——RSA Tシャツの誕生

強力な暗号ソフトウェアが、ミサイルや機関銃と並んで「軍需品(munition)」に分類され、それが輸出できないのであれば、それを印刷したシャツはどうなるのか、という問題提起を含んだのが、RSA Tシャツの問題です

2026年6月にこの当時を思い出した解説記事としてDr.John D.Cook”RSA munitions T-shirt” 

このTシャツの話をまとめると以下のようになります。

「このシャツは軍需品である」——RSA Tシャツの誕生

サイファーパンクたちは、わずか数行でRSA暗号を実装したPerlプログラムを、Tシャツにプリントしました。中心人物は、英国エクセター大学のAdam Backです。彼が考案した「3行のPerlによるRSA」は、暗号として実際に機能する、完全なRSA実装でした。

このTシャツには、典型的に次のような警告文が添えられました。「警告——このシャツは軍需品である(WARNING: This shirt is a munition)」。そして、合衆国軍需品リスト(USML)の規制対象であり、外国人(foreign national)に見せたり、米国外へ持ち出したりしてはならない、という趣旨の注意書きが付されたのです。

仕掛けの妙は、このTシャツを着ること自体が、政府の理論によれば「犯罪」になりかねない点にあります。第一に、このシャツを着て米国内で外国人に見せれば、軍需品を外国人に「開示」したことになる。第二に、このシャツを着て国外へ渡航すれば、軍需品を「輸出」したことになる。つまり、着用者は、シャツを着るという日常的行為だけで、Zimmermannと同じ「武器の無許可輸出者」になってしまうわけです。

「機械可読性」という急所——バーコードの追加

このTシャツには、さらに巧妙な仕掛けが施されたものがありました。ソースコードを機械可読のバーコードとしてもプリントするというものです。

これは、本対話で繰り返し登場した、Karn事件の「書籍 vs ディスケット」の区別を直接突くものでした。Karn判決は、書籍(人が読む)とディスケット(機械可読)を区別し、機械可読性ゆえにディスケットの規制を合理的としました。活動家たちは、Tシャツにバーコードを付すことで、「布に印刷されていても、これは機械可読だ——ならば、これも『軍需品たるソフトウェア』なのか?」と問うたのです。当時の記録によれば、活動家の一人(Joel Furr)のシャツのバーコードは、実際にスキャナーで読み取れたと報告されています。

「生体軍需品」——タトゥーへの発展

この風刺はさらに過激化しました。1995年12月、Richard Whiteという人物が、タトゥー彫師である妻に、この3行RSAコードを自分の前腕に刺青として彫らせたのです。Adam Backはこれを「生体軍需品(BIO-MUNITION)」と呼びました。

その含意はこうです。彼の腕のタトゥーが「軍需品」なのだとすれば、彼は自分の腕を外国人に見せることも、米国から出国することも許されないことになる——人体そのものが輸出規制対象になるという、究極の不条理です。当時のメーリングリストでは、「もしタトゥーに彫り間違い(スペルミス)があってコードが動かなかったら、『機能しない軍需品違反』になって滑稽だ」という、ブラックユーモアに満ちた議論まで交わされました(実際、彫り間違いが一文字あったものの、幸い訂正可能な位置だったと記録されています)。

法的な「実験」としての側面——意図的な該当性照会

これは単なるジョークではなく、規制の不条理を法的に立証しようとする意図的な試みでもありました。

第一に、活動家たちは、3行RSAコードについて、輸出管理当局に品目該当性照会(commodity jurisdiction request)を実際に提出しました。注目すべきことに、Peter Junger(前回扱ったJunger v. Daley事件の原告)が、ごく小さなプログラム群について書面の判定を得たところ、当局は「3行PerlのRSAは輸出不可」と回答したと、Adam Backが記録しています。つまり、政府は公式に「この数行のコードは輸出できない軍需品だ」と認めたわけで、Tシャツの風刺は、当局自身の判断によって裏づけられたのです。

第二に、活動家たちは、この不条理を逮捕という形で可視化することさえ構想しました。Adam Backは「フロッピーや署名(.sig)として、報道カメラが回る前で輸出し、馬鹿げた輸出法の故意の違反で逮捕されてみせる」という、市民的不服従の戦術を半ば本気で論じています。これは、Zimmermann事件が起訴に至らず法的決着を欠いたことへの、いわば「ならば起訴させてみよう」という挑発でした。

Zimmermann事件との関係——核心の整理

以上を踏まえ、両者の関係を整理します。

第一に、同一の論理の共有です。Zimmermann事件(投稿＝輸出)とTシャツ運動(着用・出国＝輸出)は、いずれも「暗号コードは軍需品であり、それを外国人がアクセス可能にすれば輸出だ」という、同じ政府理論の上に成り立っています。Tシャツは、Zimmermannを訴追した理論を、最も視覚的・身体的な形で表現したものです。

第二に、reductio ad absurdum(背理法)としての機能です。Tシャツ運動は、政府の理論を否定するのではなく、それを忠実に受け入れたらどうなるかを実演しました。「シャツが武器」「タトゥーが武器」「人体が輸出規制対象」という帰結の馬鹿馬鹿しさを通じて、「コードは武器」という規制の前提そのものの不合理を、法廷外で大衆に訴えたのです。

第三に、当時の解説資料が、この関係を端的に捉えています。1996年5月に書かれたある論考(「あなたのTシャツは殺傷兵器か?」)は、暗号に関する講演で視覚資料(暗号コード)を使おうとした筆者が、聴衆に外国人がいるかもしれない以上、それを見せれば自分が無許可の軍需品輸出者になってしまうと気づいた、と述べ、まさにZimmermann事件の大陪審捜査とKarn事件の書籍を引き合いに、この不条理を論じています(https://www.loundy.com/Roadside_T-Shirt.html )。Tシャツは、この「日常のあらゆる行為が輸出になりうる」という、Zimmermann事件が露わにした規制の異常さの、生きた証拠だったのです。

主な資料

• Adam Backの「3行RSA」とTシャツの解説(当時のサイファーパンク投稿、1995年12付):https://diswww.mit.edu/menelaus/cpunks/45272
• 「生体軍需品」タトゥーの議論:https://diswww.mit.edu/menelaus/cpunks/45662
• 当局が「3行PerlのRSAは輸出不可」と判定したことに関するAdam Backの記録(1998年):https://diswww.mit.edu/bloom-picayune/crypto/2927
• Tシャツ・タトゥーとZimmermann/Karn事件の関係を論じた当時の論考:https://www.loundy.com/Roadside_T-Shirt.html
• RSA Tシャツを着たEyes,JAPAN 山寺社長(公表については、本人の承諾済み)

5 1997年法案の議論の開始

5.1 法案の提出までの動向

上述の動きと並行して議会においては、昨年来の議案が今一度提案されて議論されることになり、また、いま一方で、1月 からあったRSAの会議においての議論も、非常に興味をもって注目された。それらを横目に、暗号の解読のコンテストが行われた。RSA社の提供した暗号の解読コンテストによると、UCバークレーの学生であるIan Goldbergが、3時間半で、40ビットの暗号を解読した(「これがより長い鍵を使うべき理由だ(This is why you should use a longer key)」というメッセージを解読した)とのことが報道され(1997年1月)（リンク）、商業用の暗号としても40ビットは不十分であることが、実証されたのである。

5.2暗号を巡る法案の提出と議論

SAFE法案の再提案（2月12日)

2月12日、下院でSAFE法案(HR695、Security and Freedom through Encryption Act)が再提案された。1996年に超党派の支持を得ながら廃案になったものの再登場である。法案は、政府の規制を「時代遅れ」と批判し、強い暗号が外国からインターネットで入手できる現状で米産業だけが規制に縛られている不公平を指摘する。そのうえで、(1)全米国人にあらゆる暗号の利用・販売を認める、(2)強制的キーエスクロウという「勝手口」の創設を禁じる、(3)犯罪助長目的の暗号悪用に刑事罰を科す、(4)一般利用可能なソフトの輸出を許可し輸出規制を現代化する、ことを内容とする。

Pro-CODE法案(1997年版)の骨子

Pro-CODE法案(“Promotion of Commerce On-Line in the Digital Era Act of 1997”)は、長大な立法事実(暗号の重要性、米産業の競争力、商務省規制の弊害、キーエスクロウ＝クリッパーへの批判など)を掲げたうえで、強い暗号の促進を目的とする。中核は、(1)州際取引での販売規制の禁止、(2)強制的キーエスクロウの禁止、(3)商務省の暗号標準強制権限の制限、(4)原則として一般ライセンスのみとする輸出緩和、である。

ただし、最も議論を呼んだのがSEC.6の「情報セキュリティ会議(Information Security Board)」設置である。この提案には、従来版にない政府側要求の取り込み(信頼される第三者への鍵預託)が加えられ、しかも委員会の公開が保証されないとされたため、批判を招いた。

議会公聴会の開始（3月19〜20日)

3月19日に上院、20日に下院司法副委員会で審議が始まった。政権側(Reinsch商務次官、Crowell NSA副長官、Freeh FBI長官、Aaron暗号特使ら)が政策を擁護し、産業界・市民団体(Netscape、CDT、EPIC)が反対の論陣を張った。主要論点は次のとおり。

第一に、政権擁護論。Freeh長官は、児童ポルノ・麻薬事件などを例に、市場志向型キーリカバリーを軸とする鍵管理インフラの必要を主張。Reinsch商務次官は、1996年12月30日の商務省移管以降の政策変化を説明し、回復可能暗号には鍵長無制限のライセンスを与える一方、56ビットDESの暫定的輸出許可も導入したと述べた。そのうえで、強制的キーエスクロウは支持せず任意の鍵管理システムを目指すとしつつ、S.377は「バランスを欠き、犯罪捜査と国家安全を損なう」として政府は支持できないと表明した。

第二に、産業界・市民団体の反論。NetscapeのBarksdaleは、輸出規制が世界市場での競争を妨げ、インターネットからダウンロードできる以上規制は機能せず、キーリカバリーは余分なコストを課すだけで消費者は買わないと批判した。CDTは、政府の志向するエスクロウ暗号がプライバシーとセキュリティを犠牲にして法執行を図るもので、費用倒れだとして、SAFE法案支持を表明した。

政府の対案——Electronic Data Security Act of 1997

産業界の法案(SAFE・Pro-CODE)に対し、政府も独自の法案を準備していた。その草案が(3月12日版)がCDTのウェブで公表された。注目すべきは、政府がこれまで「国内利用は規制しない」と繰り返してきたにもかかわらず、この法案が国内利用について第三者機関への鍵の保管を促す方向を持っていた点で、従来の言明との矛盾が批判された。

法案は、公開鍵ベースの「鍵管理インフラ(KMI)」を構築し、第三者機関に暗号鍵を保管するものです。保管は強制ではなく推奨にとどめるが、裁判所の令状によらず、司法長官の書面による認可でアクセスできる点が特徴です。冒頭の立法事実(A〜M)では、情報社会の到来と新たなリスク、暗号の有用性を述べつつ、暗号が犯罪・テロの捜査妨害に使われうること、鍵管理インフラは国家機関の適法な解読を妨げてはならないことを強調しています。なお政府関係者は、このドラフトは古く常に改訂中だとしていて、その後、1999年に正式に提出されました。

法案をめぐる議論

SAFE法案提案者Rick Whiteと商務委員長Thomas Blileyが、3月24日現行輸出規制が産業とネットワークセキュリティに及ぼす影響を問う書簡を、NSA・FBI・商務省・産業界の要人(Minihan、Daley、Freeh、Aaron、Holleyman、Wasch、Kincaid)に送付しました。これに対してBSA・Holleymanは、キーリカバリー・インフラの強制化/輸出規制に反対する返信をし(4月28日)、また、SPA・Waschも、議会に輸出規制撤廃の法案可決を強く求めました(4月25日)。

SAFE法案の委員会通過

法案は段階的に前進しました。4月30日、下院司法副委員会(裁判所・知的財産)が全会一致で可決し、司法委員会へ送付。5月8日、国際関係貿易副委員会で証人喚問(Reinsch、John Gage、Polanen、Berman)。5月14日、下院司法委員会が全会一致で可決し、CDTのBermanは「議会委員会が初めて暗号政策改革立法を認めた歴史的ステップ」と評価した(同委員会は犯罪助長の刑事規定を狭める改正を含む3改正を採択)。そして6月24日、下院国際関係(国際経済政策・貿易)副委員会が14対1で可決し、その過程で「犯罪助長」処罰規定とキーリカバリー機能要求が削除された。

5.3 暗号研究者の報告書

暗号研究者11名によるの批判を、コンパクトに整理します。Abelson・Blaze・Diffie・Rivest・Schneierら著名暗号学者は、1997年5月に政府のキーリカバリー政策への決定的な技術的反論になる報告書「キーリカバリー、キーエスクロウ、信頼しうる第三者機関のリスク(The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption)」を公表します。同報告書のリンクは、https://groups.csail.mit.edu/mac/classes/6.805/articles/crypto/key-study-report.html です。

報告書の中心的主張

1997年5月21日に発表された本報告書は、政府が推進するキーリカバリーがリスキーで不公平であり、実質的なセキュリティを損なってユーザーのコストを増大させると結論づけています。これらの問題はすべて、「政府の適切なアクセスを認める」という基本機能から不可避的に生じるものだと論じており、秘密鍵を集中保管する以上、システムは安全性を欠き高コストとなり、結局あまり使われなくなるだろうとしています。

政府と産業界の「鍵回復ニーズ」の根本的すれ違い

報告書はまず、データ可用性の確保(産業界のニーズ)と適法なアクセスの確保(政府のニーズ)が、ほとんど重ならないことを指摘します。両者の食い違いは、政府の構想が、(1)ユーザーの通知・同意なしにアクセスでき、(2)実際の必要の有無を問わず世界的に普及する必要があり、(3)平文への極めて迅速なアクセスを要し、(4)蓄積データのみならず通信データにも及ぶ、という点から生じるものです。

具体的には、次の四つの観点で齟齬が生じています。具体的には、

• 第一に、通信データ。蓄積データの鍵回復には一定の業務上の必要があるが、電話・通信データを回復したい者はおらず、鍵を失えば作り直せばよい——にもかかわらず政府は通信データを含む全鍵に及ぶインフラを求める
• 第二に、認証と秘密性。署名・認証鍵を秘密性の鍵と一緒に保管すれば契約の効力の前提を欠きかねない。
• 第三に、鍵管理の方法。業務上のキーリカバリーは中央管理を要さずユーザーに隠す必要もないのに、政府案はこれに反する。第
• 四に、認証局との結合。認証局(署名鍵の認証)とキーリカバリー(秘密性の鍵)は性質が完全に異なり、両者を結びつける政府案は技術的にナンセンスである。

キーリカバリーの三つの代償——リスク・複雑さ・コスト

報告書は、キーリカバリーの弊害をリスク・複雑さ・コストの三次元で分析します。

• リスク。キーリカバリーは二つの新たな脆弱性を生む。第一に、ユーザーの管理を超えた「平文への新たな途」が、鍵の誤った開示や詐欺的開示を招き、とりわけ内部濫用(insider abuse)の危険が高い。第二に、解読情報を集中させることで、キーリカバリー機関が極めて価値の高い攻撃ターゲットとなり、鍵の窃取は全情報の侵害に直結する。さらに、通信では一通話ごとに鍵が消える「前方秘匿性(forward secrecy)」が望ましいのに、キーリカバリーはこれを破壊してしまう。
• 複雑さ。安全な暗号システムは設計・運用が困難で、わずかな変更が致命的欠陥を生む。NSA自身のEESにすら欠陥が見つかった(前回扱ったBlazeのLEAF攻撃)ことが、その難しさを示す。とりわけ問題はスケールである。法執行機関が対応すべき対象は、数千の製品、数千の機関、数万の法執行機関、数百万のユーザー、数千万の鍵ペア、数億のセッションキーに及ぶ。この規模で、法執行アクセスの各手続(法執行官の認証、令状の認証、対象の特定、有効期間の確認、鍵・平文の回復、安全な転送、監査証跡の維持)を、極めて短時間に、しかも世界規模で適正に行うシステムを設計することは、実質的に困難である。本人認証のなりすましの危険も伴う。
• コスト。暗号技術自体はインフラをほとんど要さない安価な技術だが、キーリカバリーは複雑ゆえに高価で危険なものになる。犯罪捜査と結びつけば、訓練された信頼しうる人員による24時間体制が必要となり、その負担はユーザーにも法執行機関にも益をもたらさない。製品設計の遅延による競争力低下、そしてユーザー自身がキーリカバリー機関の選択と機微情報の委託を強いられる負担も生じる。

結論

報告書は、キーリカバリーをベースとした鍵管理インフラの構築は、セキュリティと利便性を犠牲にして、実質的にユーザーの利益を損なうものだと結論しています。

5.4 白熱する議院での攻防

1997年6月から9月にかけての、McCain-Kerrey法案の登場とSAFE法案をめぐって議会で攻防が繰り広げられました。

McCain-Kerrey法案（S.909「Secure Public Networks Act」)の登場

6月17日、McCain・Kerrey両上院議員が、これまでと性格の異なる法案を提出しました(S.909「Secure Public Networks Act」)。従来の暗号論争が輸出規制を中心としていたのに対し、この法案は国内利用にも制約を及ぼそうとする点に特徴があります。3月に明らかになった政府準備の草案(前回のEDSA)に類似し、輸出規制には緩やかな態度をとる一方、政府調達では暗号製品にキーリカバリー機能を義務づけ、認証局を秘密鍵の寄託と結びつける構造を持つていました。

法案はTITLE I〜Xから成ります。要点は次のとおり。

第一に、国内利用(TITLE I)。暗号利用の自由と鍵管理インフラ参加の任意性を宣言し(101・103項)、強制的エスクロウを禁じる(102項)一方、犯罪目的の暗号利用や鍵回復情報の不正利用を処罰する(104・105項)。とりわけ106項は、キーリカバリー機関に対し、登録の有無を問わず、政府の適法なアクセスへの回復情報開示を義務づける。ここで「適法なアクセス」に法廷命令だけでなく召喚令状(subpoena)が含まれる点が注目された。

第二に、政府調達(TITLE II)。連邦資金による暗号製品・ネットワークはキーリカバリー基準を満たさねばならないとする(202)。

第三に、輸出(TITLE III)。56ビットまでの暗号はキーリカバリーの有無を問わず一度の審査で輸出可能とし(302)、キーリカバリー実装製品は鍵長無制限で輸出可能とする(304)。ただし、商務長官が国家安全に反すると判断した場合は輸出を禁止でき、その判断には司法審査が及ばないとされた。

第四に、任意登録(TITLE IV)。認証局と鍵回復機関の登録制度を設ける。形式上は任意としつつ、この法案の核心は、公開鍵証明書とキーリカバリーを抱き合わせる点にある(405項)。すなわち、認証局が公開鍵証明書を発行できるのは、利用者が登録キーリカバリー機関に十分な回復情報を保管している場合等に限られる。

法案への評価——「任意」の名による実質的強制

CDTは6月17日の分析で、この法案が、潜在的に安全性を欠くシステムの採用への強いインセンティブを設け、政府機関が法廷命令なしに秘密裏に鍵開示を要請でき、15の新たな連邦犯罪を創設するものだと批判しました。従来の政府草案をほぼ写したうえ、国際的にもキーリカバリーを採用させようとする点で政府案をさらに進めたものであり、参加は「任意」とされるがほとんど強制的だと評しています。

6月18日には、産業界・市民団体(BSA、CDT、RSA、PGP、CCIA、NAMほか多数)が連名でMcCain委員長宛ての公開書簡を送り、Pro-CODE法案こそ「輸出自由化・国内利用無制限」という改革の前提を満たすとしたうえで、「56ビット超への輸出規制」「通信データのキーリカバリー」「認証局とキーリカバリーの結合」「政府アクセスの容認」を含むこの法案は、たとえ「任意」の名の下でも支持し得ないと表明しました。

上院での攻防——Pro-CODEの敗北

6月19日、McCain-Kerrey法案は提出からわずか3日で上院商務委員会を通過し、同時にPro-CODE法案は12対8で否決され、事実上死に体となりました。なお可決に際し、Frist議員から「キーリカバリーが実際に役立つことを政府が示さねばならない」とする改正提案がなされた点は注目されます。7月9日には上院司法委員会でキーリカバリーに関する公聴会が開かれ、Freeh、Crowell、Ken Dam(NRC)、Neumann(SRI)、Ozzie(Iris)らが証言しました。

下院でのSAFE法案——五委員会の交錯

一方、下院ではSAFE法案が前進と後退を繰り返しました。7月23日、国際関係委員会が修正なしで通過(Gilman修正案は否決)。SAFE法案の主要提案者は、下院過半数の249名の共同提案者を確保し、拒否権を覆せる290名を目指すと発表しました。しかし、SAFE法案はその後、夏季休会を挟んで国家安全・情報・商業の三委員会に付され、ここで各委員会の性格を反映した修正が交錯しました。

第一に、国家安全委員会(9月9日)です。Weldon-Dellums修正が圧倒的多数で可決されました。この修正は、SAFE法案の心臓部である輸出規制撤廃を削除し、大統領・司法長官の裁量と国防長官の拒否権を認めるもので、現行規制をむしろ強化する内容となりました。

第二に、情報委員会(9月11日)です。Goss-Dicks修正が可決されました。この修正は、暗号製品の輸出に即時の解読機能を要求し、2000年1月31日以降は国内の販売・使用・輸入にも裁判所命令に基づく即時解読機能を求める内容となりました。

第三に、商業委員会(9月11日)です。FBIの支援を受けたOxley-Manton修正が提案されました。これは、1999年1月以降、利用者に知られず即時アクセスを許す解読機能を備えない限り、暗号製品の製造・販売・提供・輸入を禁じ、違反に5年以下の懲役を科すという、最も統制色の強い内容でした。これは、長く輸出のみが規制され国内の製造・配布・利用は規制されてこなかった米国の伝統からの決定的な転換を示すものであり、国家捜査インフラの構築に匹敵するとして激しい反対を招き、産業界が連名で反対書簡を送りました。そして、9月22日には改訂版が提案されました。

5.5 特定暗号製品の輸出緩和

1997年春、暗号輸出規制は、個別企業への許可という形で、なし崩しに緩んでいきました。ゴア・イニシアチブ以来の「キーリカバリーと引き換えに輸出を認める」という政府の方針が、現実の製品にどう適用されたのか。当時の許可事例を追うと、政府の建前と産業界の実利が、奇妙な妥協点を見つけていく様子が見えてきます。

---

キーリカバリーをめぐる妥協——1997年春、暗号輸出許可ラッシュの内幕

「信頼される第三者」ではなく「信頼される第一者」——V-One社の知恵

1997年4月16日、V-One社が輸出許可を得ました。注目すべきは、この許可が、鍵を第三者に預ける形をとらず、ユーザー自身が鍵を管理することを認めた点です。（Baltimore Sun、1997年4月16日) (プレスリリース)

同社はこれを「信頼される第一者(Trusted First Party)」と名づけました。政府が推し進めていたのは、鍵を第三者(Trusted Third Party)に預ける仕組みでしたが、V-Oneは、その「Gate」テクノロジーによって、第三者に解読鍵を預けることなくデータを保護できるようにしたのです。仕組みとしては、管理者が法廷の命令に基づいてセッションキーを作成する権能を持つ、という設計でした。

同社代表のJames F. Chen氏は、「この許可によって、国際的な顧客は、シームレスで安全な、サポート可能なネットワークを構築できる。一つの強度の、一つのバージョンのネットワークであり、一つのセキュリティアーキテクチャを、すべて一つのベンダーから提供できる」と述べています。

専門家の評価も好意的でした。暗号輸出規制に詳しいThomas E. Crocker氏は、「これは政府のキーリカバリーの目標に適合しつつ、外国の顧客に、第三者への鍵の委託なしで強力なDES暗号を提供しようとする、重要で歓迎すべき発展だ」とコメントしました。RSAのビゾズ氏も、「私の意見では、これは産業界と政府の関心の最もよいバランスだ」と評価しています。「第三者預託」を嫌う産業界と、「解読能力の確保」を求める政府との、巧妙な落とし所だったわけです。

三段階のプランで突破を図る——ネットスケープ

続いて4月28日、ネットスケープが輸出許可を得ました。プレスリリースによれば、これはより強度な暗号の輸出を認めたものです(リンク)。

ネットスケープの戦略は、三段階のプランとして描かれていました。

• 第一のプランは、キーリカバリー機能を2年以内に実装するというものです。これを認め、商務省は56ビット製品の輸出許可を出しました。
• 第二のプランは、金融機関向けに、顧客やベンダーと通信する128ビットのサーバー製品を可能にするものです。これによって、銀行が顧客に128ビット暗号を提供できるだけでなく、世界に拠点を持つ米国企業が、強固な暗号に基づくイントラネットを構築できるようになります。
• 第三のプランは、128ビットのクライアントを世界的に輸出する許可を得ることでした。

同社のチーフ科学者Taher Elgamal氏は、「56ビット暗号の輸出許可は、世界的なネットワークセキュリティを高める重要な一里塚だ」と述べています(なお、Elgamal氏は、後に広く使われる暗号方式に名を残す著名な暗号学者でもあります)。

もっとも、ネットスケープは手放しで喜んだわけではありませんでした。同社の国際公共政策・法律顧問Peter Harter氏は、「暗号プランを公表できたことは喜ばしいが、米国の輸出規制が、米国企業がしっかりしたセキュリティ製品を海外で売る上で深刻な困難を引き起こしているという事実は残る」と述べ、「ネットスケープとしては、Pro-CODEのような法改正が必要だと考える。さもなければ、他国では課されていない厄介な輸出規制のせいで、競争上の不利な立場に置かれ続けるだろう」と語っています。個別許可で当座をしのぎつつ、根本的な法改正を求める——産業界の本音がにじむ言葉です。

金融分野が突破口に——5月8日の規制緩和

5月8日、商務省は、それまでOpen Market社に与えていた特別許可を正式な制度とし、金融関係に用いられる暗号製品については、鍵長の制約を撤廃しました。

参考“Easy Guide to Encryption Export Controls”（Denning、海軍大学院)においては、1999年の時点の記述ですが、

金融機関。このカテゴリーには、銀行、証券会社、ブローカー、クレジットカード会社、および保険会社が含まれます。このカテゴリーに該当する事業体は、ライセンス例外ENCに基づき、鍵長を問わず、汎用かつ非音声用の暗号化商品およびソフトウェアの輸入資格を有します。最終用途は、安全な業務上の金融通信または取引、および金融機関とその顧客間の金融通信・取引に限定されます。顧客間の通信は許可されません。

という記述があります。

BXA(産業安全保障局)のラインシュ長官は、アメリカ銀行協会に対して新たな見解を示しました。新しい規則は、特に金融取引を支援するために作られた製品について、鍵長を問わない直接のホームバンキングソフトウェアを含めて、輸出を認めるというものです。製造者が一度、回復可能な製品の開発をコミットすれば、2年間、鍵長を問わない強力な非リカバリーの商用データ暗号製品(銀行間取引などに用いるもの)の輸出が、一度の審査で許可されることになりました。

その理屈は明快でした。

銀行やその他の金融業者は、明らかに法的要求に従っており、適法な捜査要求に対して適切な取引情報を提供する能力がある。したがって、キーリカバリーは、今回の対象となる金融特有の商品については必要ではない

というのです。金融機関は既に厳格な規制下にあり、捜査にも協力する——だから「裏口」は要らない、という論法です。

緩和の波及——VeriFoneとPGP

この緩和措置を受けて、5月28日にはVeriFone社が、128ビット暗号製品の輸出許可を得ました。これはSETをベースにしたvGATE、vPOS、vWALLETといったソフトウェアを含むスイートで、技術的には、SET暗号プロトコルを用いた1024ビットの公開鍵、デジタル署名、64ビットDESという構成でした。

さらにPGP社も、キーリカバリーの制約なしで128ビット暗号を輸出する許可を得ています。ただし、これは金融取引に限定してのことでした。

個別許可がなし崩しにした「キーリカバリー」

こうして1997年春の動きを並べてみると、一つの流れが見えてきます。政府は「キーリカバリーと引き換えに輸出を認める」という建前を維持しながら、現実には、V-Oneの「信頼される第一者」方式、ネットスケープの「2年以内に実装」という約束、そして金融分野の「キーリカバリー不要」という例外を、次々と認めていきました。

これは、産業界にとっては当座をしのぐ実利でしたが、同時に、政府のキーリカバリー構想が、個別の許可によって少しずつ空洞化していく過程でもありました。ネットスケープのHarter氏が「根本的には法改正が必要だ」と訴えたように、個別許可の積み重ねは、輸出規制という枠組みそのものの限界を、かえって浮き彫りにしていったのです。そしてこの流れは、最終的に2000年の規制大幅緩和——強い暗号の事実上の勝利——へとつながっていきます。

6 その後の帰結——立法の頓挫と行政・司法による決着

6.1 SAFE法案のその後

1997年9月の下院商務委員会での可決は、攻防の一つの頂点でした。

しかし、この勢いは立法の成立には結びつきませんでした。

SAFE法案は、本稿でみたとおり五つもの委員会に付託され、国家安全委員会・情報委員会では輸出規制撤廃の核心を骨抜きにする修正(Weldon-Dellums修正、Goss-Dicks修正)が加えられました。

これらの相互に矛盾する委員会版を本会議用に一本化することができず、下院規則委員会のSolomon委員長がOxley-Manton条項を含まない限り本会議にかけないと言明したこともあって、法案はついに本会議の投票に至りませんでした。

その後もSAFE法案は、Goodlatte議員らによって議会のたびに再提出され、支持署名を増やし続けました。1999年3月11日には下院司法副委員会が「1999年SAFE法」を可決しています。

提案者は最終的に下院の過半数を超える共同提案者を集めたが、それでもなお法案は本会議に届きませんでした。

6.2 決着をつけたのは行政措置であった

立法が頓挫する一方で、政策の現実を動かしたのは行政府自身の規制緩和でした。

2000年1月、商務省産業安全保障局(当時のBXA)は暗号輸出規則を抜本的に改正し、小売・大衆市場向け暗号製品について、事実上ほとんどの仕向地への輸出を、技術審査を経たうえで大幅に自由化しました(なお関連改正は同年10月にも行われた)。

これによって、本稿で産業界が一貫して求めてきた「鍵長制限の撤廃」「キーリカバリーの非強制」という主張は、立法ではなく規則改正という形で、実質的に実現をみることになりました。SAFE法案やPro-CODE法案が目指した到達点の多くは、それらの法案が成立しないまま、行政の手で達成されたのです。

6.3 司法の寄与——Bernstein事件の決着

司法の動きも決着に大きな役割を果たしました。とりわけBernstein v. United States は重要な意味をもちました。

1999年5月、第9巡回区控訴裁判所は、暗号ソフトウエアのソースコードを表現の自由(修正1条)の保護対象と認め、当時の輸出規制が出版に対する事前抑制(prior restraint)にあたり違憲であるとする判断を示しました(176 F.3d 1132)。詳細は、上でみたとおりです。

6.4 国際的枠組みへ——ワッセナー・アレンジメント

本稿でIBMやゴア副大統領が繰り返し強調した「多国間での協調」という方向性も、その後ワッセナー・アレンジメント(通常兵器及び汎用品・技術の輸出管理に関する枠組み)における暗号関連品目の取扱いとして制度化されていきます。米国の一国規制から多国間レジームを基礎とする枠組みへ、という移行である。

そしてこの枠組みこそが、本対話の前半で扱った現在のEAR(15 C.F.R. Part 774)のカテゴリー5 Part 2(情報セキュリティ・暗号)、さらには侵入ソフトウエア規制(2013年のワッセナー合意に由来する4A005・4D004・4E001)へと連なっていきます。