キルスイッチと制度的キャプチャ

撤回の可能性の上に成り立つ約束

2017年、ハリケーン・イルマの際、フロリダの複数のテスラ・オーナーは、メーカーからのリモートアップデートによって、自分の車の航続距離が突然伸びたことに気づきました。彼らはその分を支払っていませんでした。バッテリーは常にそれを提供可能でしたが、メーカーは市場セグメンテーションのために顧客にそれを許可しないことを決定していました。緊急事態の間、テスラは一時的にフル容量を有効にしました。緊急事態が過ぎると、それを無効にしました。

ニュースが寛大なジェスチャーとして説明したことは、よく読むと別のことでした。オーナーは、自分が支払った製品のすべてを所有していたわけではありませんでした。メーカーは技術的な能力（リモートで機能を拡張または縮小する能力）を保持しており、その特定のケースで顧客に有利に行使することを選択しました。彼らはその逆を選択することもできました。この物語は善意の行為を語っているのではなく、力のアーキテクチャについて語っているのです。

この記事では、そのアーキテクチャについて扱います。業界の慣例に従って、私たちはそれを「キルスイッチ (kill switch)」と呼んでいます。これは、ユーザーがすでに自分のものだと信じていた製品、サービス、またはデバイスの機能を、オペレーターがリモートで停止、変更、または撤回できるようにするリモートスイッチです。問題はオペレーターが正直かどうかではありません。問題は、彼らが正直でなくなったとき、あるいは誰かが彼らに別の方向にスイッチを使うよう強いたときに何が起こるかです。

キルスイッチとは正確には何ですか

この用語は英語に由来し、翻訳が困難です。interruptor de muerte（死のスイッチ）はドラマチックすぎます。interruptor remoto（リモートスイッチ）は中立すぎます。kill switchを定義するのはドラマ性ではなく、シンプルな特性です。つまり、利用者ではない者の手に委ねられた、遠隔で何かを無効化する技術的能力です。それは完全な停止（エンジンがかからない車、削除されるファイル、停止されるアカウント）である場合もあれば、部分的な停止（消滅する機能、航続距離が短くなるバッテリー、中断されるサブスクリプション）である場合もあります。

すべてのリモートコントロールがkill switchというわけではありません。製品のインストール時にユーザーが承認したルーチンのセキュリティアップデートは、これに該当しません。また、電話が盗まれた際に所有者自身が起動できる盗難防止システムも該当しません。本来の意味でのkill switchには3つの特徴があります。その使用がユーザーではなくオペレーターの判断によるものであること、起動に際して影響を受ける側の個別の同意を必要としないこと、そしてユーザーがすでに完全に自分のものだと考えていた製品やサービスに対して行使されることです。

稼働中のスイッチの欧州ギャラリー

Teslaはこのパターンを頻繁に繰り返しており、同社のケースでは記録に残っています。オーナーが変わった中古車に適用される契約上の航続距離の低下、ライセンス取り消し後の運転支援機能の削除、ファームウェアバージョン間での製品動作の、一方的な変更などです。John Deereは、修理する権利に関する欧州および米国の議論の中心に長年居続けています。トラクターの購入にはソフトウェア層が含まれており、そのサービスはメーカーの公式ネットワークに依存しています。そのネットワークが登録を拒否すると、トラクターは主要な機能を制限します。BMWは2022年、すでに物理的に装備されていた車のシートヒーターを有効にするための月額サブスクリプションを提案しました。世論の圧力によりこのモデルは撤回されましたが、技術的な能力は残っています。

ソフトウェアの面では、このパターンは構造的です。Adobe Creative Cloudは、サブスクリプションが更新されない場合、月間ライセンスを取り消し、ユーザーがそれらのツールで作成したファイルを使用不能にします。Microsoftは、正規のものではないと判断したWindowsのコピーを、実質的な救済手段なしに無効化できます。Googleは、裁判所の命令や内部の決定に従ってPlay Storeからアプリを削除します。アンインストールされたアプリは、それが入っていた電話からも削除されます。Apple Payは、Appleが国際的な制裁を遵守したことで、2022年3月にロシアで無効化されました。その文脈では正当なものでしたが、その手順は常に利用可能な状態にありました。

メーカー側の正当な主張

これらのシステムを設計する者は、通常、完全に妥当な議論を展開します。

1. 盗難防止。 車や電話が盗まれた場合、メーカーが遠隔で使用不能にできることはありがたいことです。
2. 不正防止。 未払いのサブスクリプションには遮断メカニズムが必要です。そのメカニズムがなければ、ビジネスモデルは崩壊してしまいます。
3. 誤用の防止。 誤った手に渡った危険なツールは、取り消し可能であることから利益を得ることができます。
4. 規制遵守。 特定の法的命令により、オペレーターはコンテンツの削除、機能の無効化、またはアカウントの停止を強制されることがありますが、スイッチのないシステムは、それらに従うことができないシステムです。

4つの議論はすべて真実です。どれも事の本質を変えるものではありません。kill switchが盗難防止を容易にするのは事実です。また、その同じ能力が泥棒に損害を与えるだけでなく、生きている顧客を強制するために役立つのも事実です。サブスクリプションモデルに切断が必要なのは事実です。また、契約で予見されている理由以外の理由で、現在の顧客に対して明日切断が実行される可能性があるのも事実です。問題はkill switchに正当な用途があるかどうかではありません。問題は、一度存在すれば、その用途は当初の文書で予見されていたものに限定されないということです。

制度的キャプチャ

ここで、記事のタイトルとなっている概念が登場します。制度的キャプチャとは、ある主体（民間企業、行政、規制機関）が、限定的な目的のために取得または付与された能力を、本来の目的よりも広範な、異なる、あるいは明らかに反対の目的のために行使することになる状況を指します。政治経済学では、金融規制におけるこの現象を数十年前から認識しています。テクノロジー業界は、自らの手でそれを発見しつつあります。

その仕組みは以下の通りです。企業は、盗難防止、サブスクリプション管理、コンプライアンスといった正当な目的のためにkill switchを設計します。企業は、利用規約、プライバシーポリシー、公式メッセージの中にこれらの目的を文書化します。年月が経ちます。政府が新しい法律に基づいて命令を出します。企業は、当初の文書に記載されていない方向でスイッチを使用することを余儀なくされます。アクティビスト株主が取締役に加わり、商業政策を変更します。スイッチは存在し、新しい政策に従って適用されます。企業はより大きな企業に買収されます。サービス規約は30日の通知で一方的に書き換えられます。いずれの場合も、文書化された目的のためにスイッチを信頼した顧客は、スイッチは依然としてそこにあるものの、他の利益に反応していることに気づくのです。

欧州の読者にとっての典型的な事例は、2016年のSan BernardinoにおけるApple対FBIの事件です。カリフォルニアでのテロ事件後、FBIはAppleに対し、犯人のiPhoneのロックを解除するよう要求しました。Appleは拒否し、一部は原則論、一部は技術的な議論を展開しました。設計上のシステムでは、ベースソフトウェアを書き換えない限り、企業自身がデバイスのロックを解除することはできなかったのです。最も強力な防御は道徳的なものではなく、構造的なものでした。Appleはスイッチを押さないという約束に依拠したのではなく、スイッチの不在に依拠したのです。アーキテクチャにスイッチが存在する他の企業は、同等の圧力に対して同じ立場を維持することができませんでした。

欧州の規制の軌跡

欧州の法律は、ここ数年の会期において、リモートコントロール能力の削減ではなく、むしろ強化を推進してきました。2024年2月から全面的に適用されているデジタルサービス法（DSA）は、管轄当局の命令に基づく迅速なコンテンツ削除メカニズムの有効化をプラットフォームに義務付けています。これは、基礎となる技術的能力なしには存在し得ないメカニズムです。2024年8月から段階的に施行されている人工知能法（AI Act）は、特定のハイリスクAIシステムの提供者に対し、その無効化や重大な人間による監視を可能にする措置を講じることを要求しています。これは、義務的な kill switch の規制形態です。対照的に、デジタル市場法（DMA）は相互運用性の義務を導入しています。これは、ロックイン効果を制限する反対の潮流です。

欧州の専門家にとって、率直な見解は次の通りです。「オペレーターは私に対してこのサービスを停止できるか？」という問いに対し、法的要件によって肯定的な回答が増えており、減ることはありません。これは規制の正当性を疑うものではなく（DSAは現実の問題に対応しています）、一つのことを裏付けています。すなわち、オペレーターがスイッチを使用しないと信頼することは、将来の法的義務によって、今日想定されていない方向にスイッチを使用させられることがないという信頼も必要とする、ということです。これは企業だけに委ねられる信頼ではなく、規制環境全体に委ねられる信頼です。

めったに投げかけられることのない設計上の問い

現代の技術設計の大部分は、スイッチが存在することを前提とし、その上で濫用しないことを約束します。より困難ではありますが、完全に実行可能な代替案があります。それは、スイッチが存在すべきではないという前提で設計することです。これはスローガンではありません。中央集権型ではなく分散型のアーキテクチャ、アカウント由来の権利ではなくユーザーのデバイス上の権利、オペレーターが保持する鍵ではなくオペレーターが持たない鍵によるコンテンツの暗号化、オペレーターによって管理されるアイデンティティではなくユーザーの暗号化アイデンティティなど、具体的な決定を意味します。これらの決定のそれぞれには、現実的な技術的コストと商業的な影響が伴います。しかし、それらすべてに共通する特性があります。一度決定されると、特定の法的命令を実行不可能なものとして排除できるということです。実行できないことは、実行を命じることもできません。

プロフェッショナルな読者のために

重要なプロフェッショナルサービスを採用する前に、その提供者に尋ねるべき5つの質問。これらはビジネス継続性検査官が提起するであろう順序で構成されています：

1. プロバイダーに、私のサービス、データ、または製品をリモートで停止、ブロック、削除、または劣化させる技術的能力が存在するか？
2. 契約上宣言されたどのような想定の下で、プロバイダーはその能力を行使できるか？
3. 司法命令、国際制裁、一方的なポリシー変更、企業買収など、宣言されていないどのような想定の下で、プロバイダーはそれを行使できる可能性があるか？
4. それが行使された場合、業務継続のためにどの程度の時間が確保されており、どのような出口戦略が用意されているか？
5. 「約束」ではなく「構造」によって、問1の答えが「いいえ」となるアーキテクチャ上の代替案は存在するか？

質問5への回答が常に利用可能であったり、釣り合いが取れていたりするわけではありません。個人のスプレッドシートには、おそらくそこまでの要求は必要ないでしょう。しかし、進行中の法的ファイル、患者の病歴、税務会計、職務上の倫理で保護された会話などは別です。比例性はプロフェッショナルとしての判断ですが、質問1に対する誠実な解釈はそうではありません。スイッチが存在するか、しないかのどちらかです。

---

撤回する可能性を保持した保護は、構造的な保護ではありません。それは名前を変えた「信頼」にすぎません。別の『ノートブック』でも述べたように、信頼はそれに値する者に与えられるときには有効な社会的解決策ですが、所有者が変わればすぐに崩れてしまう脆弱なものです。最もクリーンな構造的防衛とは、そもそも存在しないために撤回することができないものです。建築におけるあらゆるものと同様に、それはマーケティングの決定ではなく、設計上の選択なのです。