Pr.Setsuko Aoki as Chair person of Legal Subcommittee of the Committee on the Peaceful Uses of Outer Space

青木節子先生が、国連宇宙空間平和利用委員会(COPUOS)法律小委員会の議長になるということだそうです。

外務省の報道発表です。

あと、代表団のステートメントもおもしろいです。

青木先生が、“Space Legislation in Japan” とかのプレゼンをするみたいですね。ぜひともプレゼンを公開していただきたいところです。

Legal issues of India’s Anti-Satellite Missile Test( NASA、衛星破壊テストで宇宙ゴミを大量に撒き散らしたインドにブチ切れ)

「NASA、衛星破壊テストで宇宙ゴミを大量に撒き散らしたインドにブチ切れ」という記事がでています。インドが、迎撃ミサイルを人工衛星にむけて発射して、それを破壊することに成功し、宇宙の先進国になったという出来事(これについての記事はこちら)に対して、おかんむり、ということです。

ケスラー効果によって宇宙ゴミが雪崩状態になって、大変な問題を引き起こす可能性があるわけです。ケスラー効果については、こちら

でもって、宇宙ゴミをまきちらかした、インドの行為が法的にどのように評価されるのか、というのが問題になるわけです。

参考なる論考は、こちらかな( “Space debris: The legal issues“)。
記事的には、法的問題があるよとするものとして、India destroys its own satellite with a test missile, still says space is for peaceがあるけど、具体的な条文にはふれてないです。

まずは、宇宙ゴミの定義から。

宇宙ゴミについては、「機能していないすべての人工物体(その破片および構成要素を含む)で、宇宙空間にあるか、または、大気圏内に再突入するものをいう」と定義されています(小塚・佐藤編著「宇宙ビジネスのための宇宙法入門 第2版」 58頁)

まずは、1967年宇宙条約から。(宇宙条約の翻訳はこちら)
同条約9条は、
第九条
条約の当事国は、月その他の天体を含む宇宙空間の探査及び利用において、協力及び相互援助の原則に従うものとし、かつ、条約の他のすべての当事国の対応する利益に妥当な考慮を払つて、月その他の天体を含む宇宙空間におけるすベての活動を行なうものとする。(略)
となっていて、この条文が、「締約国が宇宙ゴミの作成を避け、減少させ、さらには除去することを義務付けるために使用され、ゴミからの危険を最小限に抑えてすべての国が宇宙の探査と利用に参加できるようにする」とする解釈の根拠にされるようです。

また、国際協議のプロセスもあります。
「条約の当事国は、他の当事国が計画した月その他の天体を含む宇宙空間における活動又は実験が月その他の天体を含む宇宙空間の平和的な探査及び利用における活動に潜在的に有害な干渉を及ぼすおそれがあると信ずる理由があるときは、その活動又は実験に関する協議を要請することができる。 」
という定めもあります。
では、インドの防衛ミサイルによる人工衛星の破壊が、「月その他の天体を含む宇宙空間における活動又は実験」といえるのか、という解釈問題がおきます。これは、通常の文言の解釈からいうと、否定的に捉えられそうな感じがします。

あと、7条との関係も考えないといけません。
7条は
条約の当事国は、月その他の天体を含む宇宙空間に物体を発射し若しくは発射させる場合又はその領域若しくは施設から物体が発射される場合には、その物体又はその構成部分が地球上、大気空間又は月その他の天体を含む宇宙空間において条約の他の当事国又はその自然人若しくは法人に与える損害について国際的に責任を有する。
ということになります。

インドが、実験によってまき散らかした宇宙ゴミが、実際にいろいろな損害を惹起したとすれば、損害賠償の問題がおきるのか、という問題があります。迎撃ミサイルの発射が、「宇宙空間に物体を発射」ということなるのでしょうか?

仮に、損害賠償の事件になったとしたら、研究とか実験の抗弁的なものはあるのか、おもしろそうです。

Twiteerで、ちょっと国際法の先生まわりにきいてから、きちんと分析しようかと思います。

サイバー規範についてのディナール宣言

サイバー規範についての主要7カ国(G7)外相会合によるディナール宣言がなされました。

新聞記事ですと、こちら(デジタル防衛へG7主導 外相宣言を採択、中ロ念頭に)でしょうか。

ここでは、サイバー規範(Cyber Norm)という用語が用いられています。

サイバー規範の定義は、マリアさんが司会したセッションの解説が一番いいみたいですね。あと、この「CyCon2017 travel memo 10) Day3」ブログでふれています。今のところ、最大公約数は、「政治的な規範は、国際法でまだ決まっていないことを決めようとするもの」という感じのようです。「法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルール」のうち、「自発的に遵守されるルール」のことをいうということでしょうか。
なお、国連GGEの失敗については、こちらでふれています。

G7の動向としては、2年前に安定化宣言をだしていました。

今回の宣言の原文は、こちらです

まずは、全部、訳してみましょう。(グーグル翻訳を下訳に使いました)

-外務省が訳すでしょうから、訳がでましたら、そちらを利用ください。

DINARD宣言

サイバー規範イニシアチブ

私たちの社会がますますデジタル化されるにつれて、すべての関係者がその恩恵を十分に享受できるようにするためには、サイバースペースにおける信頼、セキュリティおよび安定性を強化することが重要です。私たちは、国際法と基本的自由の適用が促進され、オンラインで人権が保護されている、オープンでセキュアで安定した、アクセス可能で平和なサイバースペースをすべての人に促進することを約束し続けます。
この文脈において、我々は、総会が国際法、特に国連憲章が適用可能であり、情報通信技術(ICT)環境の平和と安定を維持し、開かれた、セキュアな、安定した、利用可能な平和的な環境を促進することは、想起します。我々はまた、国連事務総長によって送信され、国連総会によって合意されて承認された、国際セキュリティ保障の文脈における情報通信分野の発展に関する政府専門家グループの2010年、2013年および2015年の報告の結論を想起します。ICTの使用において、すべての国家は、これらの報告書を導きとすることを求められています。

これらの報告は、ICTの利用における国家の責任ある行動の規則、原則および自主的かつ拘束力のない規範が、国際的な平和、セキュリティおよび安定へのリスクを軽減し、信頼醸成措置が、国際的平和とセキュリティを強化し、国家間協力、透明性、予測可能性および安定性を増大させることを強調しています。

我々は、既に認められた自主的で拘束力のない責任ある国家行動の実施についてのベストプラクティスと教訓を共有することに専念するサイバー規範イニシアチブ(Cyber Norm Initiative(CNI))を設立する意欲を確認します。私たちは、可能であれば、他の興味を持っているパートナーがこの試みに参加すること、または同様の演習を完了することを奨励します。これは、国連オープンエンド作業部会および政府専門家グループによる活動に貢献することとなり、これらの規範を遵守することの強い模範となることをめざすことになります。

サイバー規範イニシアチブの参加者として、私たちは次のことを約束します。
– サイバースペースにおける責任ある国家の行動の自主的で拘束力のない規範および上記の報告書に含まれる勧告を理解し、効果的に実施するために私たちの各州が講じた措置について、自発的および他者とのより良い自発的な情報交換を奨励する。 ;
– このプロセスの結果として識別されるであろうベストプラクティスと学んだ教訓を、幅広い国家や他の利害関係者と共有する。
– 他の国々と協力して、それらを私たちのピアラーニング、協同組合、透明性、および信頼醸成の取り組みに含める。
– 上記の自主的、拘束力のない規範や勧告を実行するためのパートナーの能力構築を支援するために協力する。
—–
国連としては、GGEがある意味で失敗に終わっていたのですが、まだ、その動きは、続いているということをG7が示した意義というのは、大きいでしょうね。

個人的には、規範を「自主的で拘束力のない責任ある国家行動」と定義している点で、国家実行も法源となるという国際法的な人たちとの用語の違いが気になったりするのですが、まあ、そこら辺は、ご愛嬌なのでしょうね。(国際法的には、ここでいうサイバー規範も、これに違反すると国際的違法行為になるので、法的に拘束力があると整理されるような気がします)

情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版

「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書改訂版」が公開されました。
リンクは、こちらです。(https://www.ipa.go.jp/files/000072543.pdf)

平成30年度は、大きな調査二つにかかわることができました。ともに、非常に我が国で重要な意味をもつものです。そのひとつである「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版」が公開されました。

「改訂版」とありますとおり、前のものは、2003年に作成されたものです。自分でいうのもなんですが、きっちりとしたもので、15年の長きにわたって、脆弱性の流通システムの実務のお手伝いができたかと思っています。

今年度は、経済産業省の告示(取扱規定)との関係をみながら、逐条解説部分が充実しているかと思います。また、脆弱性の調査をめぐるいろいろな論点についても、すこしふれています。

「脆弱性の調査に対して社会が無理解で」とかいう前に、まず、脆弱性の取扱について、私たちが、一定のルールを提案しているという事実に正面から向あってもらえるといいかと思います。

Identification・Authenticity・Authentication・真正性

「弁護士ドットコム」さんで、14日に「社会のデジタル化と法律実務」というのを話すので、スライドを作りながら、いろいろと考えていたところ、特に、トラストまわりでも使う真正性・Identification・Authenticity・Authenticationあたりの用語が、混乱しかけているので、自分のためにメモしようかと思っています。

まずは、上の図の左側。アナログ的な行為ですね。紙があって、思想主体たる本人が、その紙に記載されている文書を自己の思想であると「認証」して、その「名義」でもって、署名(または、押印)します。そして、その紙が、そのまま、裁判所の前に呈示されるわけで、単純明快(?)。

右側のデジタル社会になると、いろいろいな話がでてきます。会社の場合をさて置いても、思想主体って、誰なんでしょうか。そのあと作成されるドキュメントの名義人なのでしょうか。それともプログラムの作動者か。

次にドキュメントの受領者からみたとき、そのドキュメントが、誰からのデータであるか、というのを確認する行為というのは、どういう意味をもつのでしょうか。ドキュメントが、誰の思想であるかを識別(identificate)した上で、その表示された思想が、正確に作成された上に、受領にいたるまでに同一であるということが明らかになるということなのかなと思います。

この場合、思想が誰のものかというのを確認するには、識別子を提供してもらって((identification)確認することになるのでしょう。その作成のチェーンをみていった上で、正確に作成されて、同一であることが認証される(Authentication)ものとなるのでしょう。この場合に、この確認する行為やルールが認証(Authorisation)ですね。

(なお、identificationについては、こちらのブログが勉強になりました)

法的に真正性(Authenticity)と呼ばれているものをみていきましょう。

我が国でいけば、民事訴訟法第228条1項

文書は、その成立が真正であることを証明しなければならない。

とされています。そして、228条4項においては、

私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。

とされています。

米国であれば、連邦証拠規則901条(a)です。同条は、

 証拠のアイテムを認証(authenticating)し、または、識別する(identifying)要件を満たすには、提案者(proponent)は、問題となっている(コンピュータ記録あるいはその他の証拠)がその申請者が要求しているものであるということを認定することを基礎づけるのに十分な証拠を示さなければならない。

と定めています。これについて、司法省の捜索差押ガイドラインは、真正性という名称で呼んでいます。

この真正性について、同ガイドラインは、3つの問題があることを分析しています

第1に、当事者は、当該記録が作成されたのちに改変され、操作されあるいは毀損されたどうかを問題とすることによって、コンピュータの生成した記録とコンピュータに蔵置された記録の両方の真正性について異議を申し立てることができる。

第2に、当事者は、当該記録を生成したコンピュータプログラムの信頼性を問題にすることによって、コンピュータの生成した記録の真正性を問題にすることができる。

第3に、当事者は、その作成者の同一性を問題にすることによって、コンピュータに蔵置された記録の真正性に異議を申し立てることができる。

これらをひとつの図にあわせることができるか、ということになります。

これは、上のガイドラインの3つの段階があること、それについて、法的に、真正性を明らかにすること(認証-authentication)がいろいろな証明を助ける仕組みを準備していることを示しています。

あと、ここの関係で把握しておくべき概念は、eIDASに関していわれているセキュリティ性質としてのデータのオリジンの認証でしょうか。「秘密鍵の保有者のみが、対応する公開鍵でサインされたデータのオリジンのポイントとなりうるから、サインされたデータのオリジンの証明となる。」という表現になっていて、この作用が、データのオリジン認証(authentication)といわれています(例えば、Security guidelines on the appropriate use of qualified electronic signaturesなどの表現 例 3.2Security properties )

ということで、メモを作っても、なかなか整理されないのですが、

(1)真正性という用語は、成立に関する部分と、内容に関する部分とをともにいっている。

(2)成立に関する部分は、連邦証拠規則だと、識別といわれているようである。

(3)真正性を明らかにする行為が認証と呼ばれている。

あたりをメモしておくことにします

 

 

トラストワークショップ参加ありがとうございます。

トラストサービスの調査ワークショップ無事成功のうちに終了いたしました。

参加いただきましたみなさま本当にありがとうございます。

トラストサービスWGの開催が、新聞報道等でなされるなか、非常にタイムリーな企画となり、熱心な議論がなされたのは、非常に有意義であったかと思います。

トラストサービスWGの報道としては、

日経新聞「電子書類に公的認証-改ざん防ぎ信用担保 国際商取引を円滑化」

読売新聞「電子書類に公的認証・・・総務省会議」

ブログとしては、「”総務省が画策する「日本版eIDAS」は電子契約普及の追い風となるか」ですね

当社としても、3月末にむけての報告書完成にむけてさらに努力する所存です。

 

「通信の秘密」にコメントする前に気をつけたいこと

昨年来、なにかあると「通信の秘密」という言葉に関連して、報道されることが多くなってきました。

例えば、

(1)ISPによるブロッキングが、憲法の「通信の秘密」の規定に違反するおそれ

(2)NHKによる「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も 」報道 (どうも、NHKの報道は消えていますね)

(3)捜査当局が、スマホからのデータ抽出は、「電話やメールの内容は憲法が定める「通信の秘密」に当たる。」

とかです。

個人的には、これらが、法的にきちんとした分析に基づいて「通信の秘密」という用語を用いてるのかなという疑念をもっています。

この点で、注意すべきことは、憲法における「通信の秘密」と電気通信事業法における「通信の秘密」が法律の概念としては、あって、それぞれの関係が不明であること、しかしながら、憲法の教科書では、ほとんど、同一であるとされる記述が一般であることです。

この点については、明確な検討がなされていないどいうことがいえるわけです。ただし、憲法の教科書の一般的なアプローチからは、憲法の通信の秘密も、(電気通信事業法と同じで)国内の遠隔通信に関して、電気通信事業者の取扱中にかかる通信に関する秘密を念頭において議論されているということになります。
(有線通信や無線通信はちょっとおきます)

ここで、電気通信事業者の取扱中というのは、「発信者が通信の発した時点から受信者がその通信を受けるまでの間をいい、電気通信事業者の管理支配下にある状態のものをさします」( 電気通信振興会 逐条解説 35ページ)。

例えば、スマホでいえば、そのスマホ内に物理的に保存されているデータは、利用者の管理支配下にあることになります。(利用者の宅内にある自営端末(略)は、「電気通信事業者の取扱中」とはなりえない)ちなみに、この物理的にどこで支配が変わるのか、というのが、責任分界点ですね。

なので、少なくても一般的な電気通信事業法の概念からいくと、例えば、改正NICT法での調査が、「通信の秘密」に違反するおそれとかいわれると?とおもうわけです。
(そもそも、根拠規定で、違法性が阻却されているだろうというのは、さておいてですが)

さらに、この話は、いま一つ、突っ込みがあるわけです。実は、逐条解説をみると、「蓄積機能を有する自営端末において、すでに蓄積された情報を事後に検閲する場合(略)などは、(電気通信事業法3条、4条-高橋の補充です 原文は3条)禁止している行為ではないものの、憲法21条2項および有線電気通信法9条違反に該当する行為となりうる」(35ページ)と記載されています。

なので、そのレベルで、解釈論をなしているのであれば、(2)および(3)は、嘘とはいえないということになります。もっとも、(2)および(3)ともに法的な根拠があってなしている行為なので、そもそも違法とは考えられないという根本的な問題をなぜに無視するのか、という当たり前の問題が残ることになります。

NICT法によるアクセスの総務省令による基準

ここ数日の報道の関係で、去年の7月に書いた「NICT法改正と不正アクセス禁止法」という記事が、ある程度、アクセスいただいているようです。

その段階では、はっきりしてしないかったことがらに具体的なアクセスの基準があるわけです。この点については、昨年に、省令がでていてはっきりしますので、その点をメモしておきたいと思います。(というか、省令がなかなかひっかからないので、その所在のメモです)

省令の名称は、「国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)附則第八条第四項第一号及びび第九条の規定に基づき、国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令」(総務省令61号)(平成30年11月1日)です。

概要は、こちら

省令本体は、こちらです。

1条は、(識別符号の基準)
一 字数八以上であること。
二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。

2条は実施計画
2項は、「機構が作成する実施計画には、次に掲げる事項を記載しなければならない。」として、業務従事者の氏名・所属部署・連絡先(1号)、IPアドレスその他設備に関する事項(2号)、識別符号の方針及び当該方針に基づき入力する識別符号(3号)、対象のIPアドレス等(4号)、ログ等のセキュリティ管理措置その他(5号)、その他
です。

とりあえず解説のメモもでているようです。

ちなみに、通信の端末に保存されているデータから、通信先がわかったとしても、それは、「電気通信事業者の取扱中にかかる通信」とはいえない(例によって宅内ね)ので、通信の秘密というのは、ミスリーディングのような気がするんですけどね。