Cybersecurity Tech Accord 

Cybersecurity Tech Accordに新たな11社が、参加するということがアナウンスされました

もともとの合意の翻訳についての記事は、こちらになります

この文章の意味をどうとらえるか、というのが問題になるかと思います。

個人的に興味深いのは、「我々は、政府が無実のユーザーや企業に対してサイバー攻撃を引き起こす際の幇助を致しません。」という文言だったりします。

当然じゃないの、と考えるとしたら、もうすこし考えてみましょう。自分たちのサービスをもとに、「軍事的対象物」に対するサイバー攻撃がなされたとしましょう。国際法レベルでは、もし、攻撃の契機があれば、そのサイバー攻撃が、目標として軍事的対象物に対してなされれば、適法になります。「それを幇助しません」ということができるのでしょうか。政府との契約に、除外事項をつけるのか、債務不履行の責任は負うのか、国際法と契約法は別といいきってしまうのか、などの問題がありそうに思えます。

「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

CyConX travel report Day Two Due Diligence session (1)

Dr. Kubo Mačák先生の司会によるDue Diligence sessionです。タリン・マニュアル2.0のメインテーマは、武力攻撃の閾値(スレッシュホールド-ほとんど、業界人には、日本語化してますね)以下の紛争-低強度紛争(Low Intensity Conflict)の場合についての、主権概念の分析(規則4)、干渉の禁止(規則66)やこのセッションのテーマのデューデリジェンス(規則10)だと思います。

でもって、講師のメンバーが、Prof. Michael Schmitt、 Mr. Peter Z. Stockburger、Prof. Karine Bannelierになります。
Prof. Michael Schmittは、タリン・マニュアルのプロジェクトの筆頭編集者であり、武力行使の基準に関するシュミットスケールでもおなじみです。高橋個人的には、2015年のLaw Courseで、サイバー国際法のブートキャンプの講義を受けたのですが、そのときのメイン講師でもあります。なので、個人的にもお話をさせてもらっていたりします。

Mačák先生の仕切りによるセッションの最初は、シュミット先生の講義です。講演者は、それぞれ15分で、講演することと言い渡されていたのですが、きわめて濃密な授業でした。
講義メモとして、他の資料も含めて、ちょっと講義録風にしてみます。

国家が、国家主権を侵害することは許されません。「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています 。この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。
サイバースペースにおいて、これらの概念が展開される場合、地理的な視点が重要になります。
対内主権(Internal Sovereignty)は、
「国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる」(タリンマニュアル ・ルール1)
と考えることができます。(マニュアル2.0では、規則2)

これは、具体的には、(1)サイバーインフラストラクチュアは、国家による法的・規制的コントロールにある(2)領土に関する主権は、国家に対してサイバーインフラを防衛する権限を与える(3)国家は、主権を有するが、管轄権を有しない(例、領域における大使館、軍事施設)場合があるということを意味すると解されています。

対外主権(External Sovereignty)とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。
これは、サイバー的な文脈においては、「国際関係において、権限が対外主権を制限する国際法によって限定・制限されていない限り、サイバー作戦に従事することは自由である」ということを意味します。
これは、主権平等原則(主権国家は、相互に対等・平等である)とも密接な関係がある。この対外主権に関する国際先例としてローチュス号事件(常設国際司法裁判所1927)、核兵器使用の合法性事件(国際司法裁判所1996)があります。
タリンマニュアル2.0は、国家責任の観点から、規則14において「国家は、自国に帰属し、それに帰責しうるサイバー作戦において、国際的な義務に違反する場合には、国際的な法的責任を負う」と明らかにしています。

ところで、「主権を侵害する」というのは、どういうことでしょうか。これは、介入(intervention)を受けないという原則に対する深刻な悪影響を受けない権利を侵害されるということになります。国家は、他の国の国際法上の権利を侵害することはできないのです。他の国において爆発を起こすような行為をなしてはいけないことになるというのは、武力行使(use of force)/介入の禁止を侵害するということになります。これに対して、機密文書を保有する権利というのは、国際法上の原則とは関係がないので、主権侵害とは考えられないということになります。
この「深刻な」というところは、特に環境法で分析されているところだそうです。Trail Smelter disputeというのがあって、カナダと合衆国の間で議論になった事件だそうです。
ボットネットによる攻撃が、この介入の禁止原則に違反するか、という点については、タリンマニュアルの専門家でも意見が一致しなかったとのことです。

(高橋)この部分は、タリン2.0で充実した部分に思われます。特に、強制(coercion)をベースにした介入からの自由を中核とした主権の論述は、詳細で勉強になります。もっとも、証拠としてのデータ取得が、この「主権侵害」というのとどう考えるのか、というのは、今度、聞いてみたいと思います。

ところで、上の介入の禁止原則といっても、これは、国家行為として、なすことは許されないということであって、民間の行為としては、国家間の規範に対しては、関係がないということになります。とはいっても、いかなる場合にも、国家が民間の行為に対して責任を負うことがないといえるのかというのは別問題です。ここで、近時、きわめて注目されているデューディリジェンスの法理のサイバー分野に対する適応を考える必要があるということになります。

デューディリジェンスの法理とは、「(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力」といった意味になります。
現在の国際法において、国際社会が国家に要請する注意義務が存在するという考え方が採用されています。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決がある。この事件において裁判所は、「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある」と論じています。これは、国際法における積極的義務(主要ルール)の一つです。

サイバー作戦についても、このデューディリジェンスが論じられるべきことになります。タリンマニュアル2.0規則6(デューデリジェンス(一般原則))は、「国家は、自国の領域または自国の政府の支配下にある領域もしくはサイバーインフラストラクチュアが、他の国家の権利に栄気宇を与え十大で有害な結果を生じるサイバー作戦/工作のためにしようされることを許さないよう、相当の注意を払わなければならない」としています。

また、特に近時、サイバー領域におけるデューディリジェンスの議論が盛んになってきている 。この法理を現実に適用する場合の問題について検討する。「知りながら」というのは、どのような場合をいうのか、という問題がある。この点については「現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されている。この義務が認められるべき被害のレベルは、厳密には、不明確である。

また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について争いがある。多数の見解は、敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものである。また、合理的な手法のすべてを採用するべきというベストエフォートの義務(Feasible Actionをとるべき義務)がある。

結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。

現代のデューデリジェンス論の課題は、防止することができない国家において、支援を受忍することを求めることはできないということです。

シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く

「シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く」という日経新聞の記事が出ています。

サイバー領域に関する武力紛争法を研究していくと、このような国際人道法(International Humanitarian law)の観点を勉強することになります。

この記事では、ふれられていませんが、学問的には、このような介入(intervention)は、人道的介入(humanitarian intervention)といわれています。

外国の報道でも、この国際法上の議論についての紹介がなされているので、わが国でも、この議論が紹介されているのは、すごくいいことかとおもいます。

(たとえば、Syria, chemical weapons and the limits of international law
とか
Did air strikes on Syria break international law? The questions Corbyn must ask May
ですね)

教科書的には、1980年代までは、あまり明確に国家実行としては、意識されてはいませんでしたが、1990年代以降に国家実行として意識されるようになってきたとされます(日本の教科書、結構、このあたり冷淡ですね。Christine Gray “International Law and the Use of Force”33以下は、きちんと論じています)。

日本的には、この上野先生のページが詳しいですね

まず、アメリカとフランスがクルド(Kurds)/シーア派(Shiittes)に対する人道的支援の根拠(1991)としてこの理論が用いられたそうです。
その後、イギリスが、人道的介入を明確な根拠として援用するようになってきたそうです。

そのあと、コソボが代表的な人道的介入の事例としてあげられています。

上野先生の事例だと、ユーゴ、ルワンダなどの例もあげられています。

日経は、違法とする立場にも結構、分量をさいていますけど、個人的には、人道的介入を認める立場のほうが、多数説かなと思っています。どうでしょうか。

サイバードメインを利用しての人道的な問題が発生する状況というのは、なかなか、考察しがたいかと思います。その意味では、サイバー法で、人道的介入が議論される状況は、生じないかと思いますが、内戦状況にある国において、あるところで、インフラの途絶が発生した場合には、それに対して、武力による介入が正当化されないのか、もしくは、サイバー力(たとえば、攻撃サイトに対して、これを封じ込める)による介入というのは、発生しうるのか、ということが、あとすこしすると議論されるようになるのかもしれません。

10th Anniversary of IT Research Art

当社 ITリサーチ・アートは、平成19年11月の設立以来、10年をすぎることができました。

脆弱性調査のためのリバースエンジニアリングの合法性の議論から始まり、プライバシーのコンジョイント調査、セキュリティインシデントと法の調査、通信の秘密、営業秘密、忘れられる権利、IoTのセキュリティと安全などについての国際調査など、本当にたくさんの調査に従事できたことを本当にうれしく、また、そのいずれのテーマも、わが国にとって先進的でチャレンジであったことを、我ながら、誇りにおもいます。

(ということで、調査実績をアップデートしました)

本年も

GDPR

といった最先端の国際調査を手がけることができます。

設立のときは、こんなに続けて、先進的な調査、それも、入札をへての調査(実感こもっているでしょ)ができるとは思ってもみませんでした。

今後は、さらに、先端的な分野(宇宙までいくか)や、実際のテクノロジーそのものへの挑戦をしたいとおもいます。

みなさま、今後ともご指導、ご鞭撻よろしくお願いします(あと、若い先生方は、一緒に遊んでね)。

平成29年11月 高橋郁夫

 

1パーセント以下は、偏った立場?

2004年ころに「通信の秘密」を研究しだしたときに、(ITまわりで有名な)ある弁護士さんに、通信の秘密って、肥大化しているよね、といったのですが、全く理解されなかったですね。

このインタビュー(「集団的自衛権丸ごと違憲 長谷部・早大教授にインタビュー」という記事)を読んで感じたことですが、自分の立場と異なる人の考えを「偏った立場」といってしまうほうが、学問の自由とかの観点から、きちんとした理解があるのか、と思ってしまいます。

たとえば、労働法学会でも「リボン闘争」は、違法ではないという考え方が多数かと思いますが、最高裁は、違いますね。大成観光事件は、橋本武人先生が、かかわった事件の中でも、先生が、アメリカ法などをも参考にして、許容されない行為であると信念をもって、判決を作ったと聞いたのは、30年前ですね。新進気鋭の先生が、違憲と解されるべきという理由をあげていますが、学会のバイアスというのは、ないのか、という議論はでてくるような気がします。

西教授が、ケーディス大佐等にたいしてインタビューをして、日本国憲法(とくに9条)の成立の歴史を事実として保存するというきわめて貴重な仕事をされたというのは、きちんと評価されるべきではないかと思います。
この西先生の研究成果については、「西先生の書斎」の中の論考(憲法9条の成立経緯)で読むことができます。

あと、国会での意見陳述もここで見ることができます。

法律は理念でできているのではなくて、事実が積み重なっているし、その多くは歴史的な事実であって、時間とともに風化するものです。(西先生の発言では、「ファクツ・アー・モア・パワフル・ザン・ワーズ、事実は言葉よりも強力である、力が強い。」と英国の法諺が引かれています)どれだけマニアックといわれても、理解されなくても、法の世界にいるものは、地道にしなくてはならないものと考えます。

自分の立場と異なるからといって、事実をも見つめようとしなくなるとするとか、偏っているとかいうのは、強く異議を唱えるべきだと思っています。

長谷部由起子先生には、「法廷衣装こぼれ話」は、ほめてもらったんですけどね。

(リンク修正 2017年6月4日)