これは法的アドバイスを求めるものではなく、このトピックでのいかなる回答も法的アドバイスとして受け取らないでください。
これは一般的で非具体的なアドバイスを求めるものです。
Metaで最初のトピックとして尋ねるのは非常に気まずいのですが、まともな答えが見つかりませんでした。CSAM(児童性的虐待コンテンツ)をバックアップから削除する必要が生じた場合にどうすればよいかを調べていたところ、これに関連する法律についてChatGPTに「相談」するという不幸な(?)決断をしてしまい、この深淵に迷い込んでしまいました。
背景
昨年、米国議会はREPORT法を可決しました。この法律は、CSAMの事例をNCMEC(行方不明・性的搾取児童センター)のCyberTiplineに**報告し、このコンテンツを最大1年間保持することをプロバイダーに義務付けています。私の限られた理解では、「プロバイダー」には、Discourseフォーラムをホストしている人も含まれます。なぜなら、私たちは"電子通信サービスプロバイダーまたはリモートコンピューティングサービス"に該当するからです。
私が調べた限りでは、EUのホスティング業者は報告義務がありますが、ある種の提案(このPDFは完全に読んでいませんが、少なくとも8ページで言及されています)を除き、米国のような保持ポリシーはありません。
ある記事によると、英国もOnline Safety (CSEA Content Reporting) Regulations 2025を制定しており、これは2025年11月3日に施行されます。この規制は、プロバイダーがCSAMデータを1年間保存することも義務付けているようです。また、英国のプロバイダーは、既知のCSAM画像やURLをフィルタリングするために画像ハッシュ検出を使用する必要があると読んだような気がしますが、その情報源を見つけることができません。
これはDiscourseコミュニティである私たちに適用されますか?
おそらく?反対のことを示すものは何も見つかりませんでしたが、もし間違っていたら訂正してください。
私自身は、家族の小さなビジネスのために、セルフホスト型のAWS Discourseサーバーを構築することに尽力してきました(その過程でCloud Engineering/DevOps/IaCを学んでいます)。私たちのフォーラムに誰かがCSAMを投稿する可能性は限りなく低いです。
晴れた日に二度落雷に打たれる可能性の方が高いでしょう。
しかし、万が一、悪意のある自己破壊的な個人が問題を起こそうとした場合に備えて、必要な保持ストレージインフラストラクチャと計画を準備しておきたいのです。「緊急時にガラスを割る」ような準備です。専用の保持バケットを設定し、暗号化やIAMロールで保護し、アクセスログを保持し、アップロードバケットからこのCSAMデータを安全に転送する手順などを考えています。
質問
私の質問は主に米国のホスティング業者に向けられていますが、英国やEUのホスティング業者もこれらの回答を soon 欲しがるかもしれません。
- コミュニティでCSAMコンテンツに対処したことはありますか?
- その際の手順はどうでしたか? NSFW AI Triage → レポート → ストレージ?いつ弁護士に連絡しましたか(もしあれば)?データベースやアップロードバックアップにこのデータが保存されているかどうかにかかわらず、どのように対処しましたか?
- 必要な保持ストレージをセットアップしましたか?もしそうなら、関連規制にどのように準拠しましたか?
- 専用S3バケット?暗号化?別のクラウドアカウントにありますか?
- サーバーにこのコンテンツがそもそも保存されないように、インフラストラクチャでプロアクティブな画像ハッシュ検出/ブロックソフトウェアを使用していますか?費用対効果の高いソリューションはありますか?
オンラインで見つかる情報は、大企業で多額の資金と経験を持つ人向けのものばかりのように思えますが、これらの法律はすべての人に適用されると確信しています。たとえ、世界中のどのDiscourseフォーラムにも、このような違法コンテンツがアップロードされることがなくても、念のため準備しておきたいのです。