総務省より「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。

ブロッキングと通信の秘密に関する考察を含んでいる「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。
リンクは、http://www.soumu.go.jp/main_content/000565925.pdfです。

同報告書につきましては、研究体制等についての「はしがき」部分がありませんでしたので、以下のご挨拶でもって「はしがき」にかえさせていただきます。

公開についてのごあいさつ

株式会社ITリサーチ・アート代表取締役 高橋郁夫

 本報告書は、2016年3月時点におけるいわゆる「権利侵害情報」に対しての種々の法域における対応をまとめたものです。「権利侵害情報」とは、「流通により他人の権利を侵害する情報」をいいます。具体的には、 名誉毀損情報、プライバシ侵害情報、著作権侵害情報等があります。

わが国においては、電気通信事業法において、通信の秘密を侵してはならないとされており(同法4条)、上記権利侵害情報に対して、ISPがどのような役割を果たすべきか/また、何らかの活動をなす場合にどのような根拠から許容されるのかという観点からも、具体的な議論がなされています。

その意味で、権利侵害情報に関して「通信の秘密/ISPの活動/社会における安全との調和に関する具体的な制度の適切な運用」がもっとも重要な課題の一つであるということができます。そのために、国際的な観点から、制度に関する基礎情報を独立した専門的な立場から収集することを調査の目的とした調査の結果の報告書になります。

上記の目的のために、当社は、
調査委員長
曽我部真裕(京都大学 法学研究科 教授)
のもと、
高橋郁夫(弁護士(駒澤綜合法律事務所)/宇都宮大学工学部講師/株式会社ITリサーチ・アート代表取締役)
がプロジェクトマネージャーとして
宮下紘 (中央大学 准教授)
笠原毅彦(桐蔭横浜大学 教授)
有本真由(弁護士/小川綜合法律事務所)
原田學植(弁護士/東京神谷町綜合法律事務所)
佐藤寧(弁護士/株式会社ITリサーチ・アート/駒澤綜合法律事務所)
からなる調査委員会を構成しました。

また、現地調査員として
Richard Abott(弁護士/ITコンサルタント)
Jonathan Armstrong(弁護士/ロンドン Cordery Compliance Limited)
Frédéric Sardain(弁護士/フランス・パリ Avocat a la Cour de Parisパリ控訴院付き弁護士)
Prof. Dr. Borges(ドイツ・ザールラント大学法情報研究所所長)
Stefan Mele(弁護士/イタリア ミラノCarnelutti Law Firm, Ce.Mi.S.S. (Italian Military Centre for Strategic Studies)
Dr.Grace Li教授(シドニーテクノロジー大学)
Taeeon Koo弁護士(ソウル TEK法律事務所)
台湾 情報工業策進會科技法律研究所
からの助力をえました。

折しも、わが国において、著作権に基づくブロッキングが許容されるべきかという議論がなされており、特に、比較法的な知見に基づいて具体的な立法論的な提案がなされるべき時期がきたものと考えられ、その時期に間に合うように、本報告書が公開されたのは、非常に幸いです。

この報告書が、著作権をめぐるブロッキングの議論に役立つことを祈っています。

「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下)

CLOUD法の条文をみてきました。果たして、この法が、「政府は企業が保有する個人情報を容易にアクセス可能に」するための法なのでしょうか。私には、到底、そのように思えません。

法の骨格としては、有線ないし電子通信の内容を求める法的プロセスに関しては、105条において、外国の法的手続を米国の立場から検討して、一定のレベルを満たしている場合には、行政協定を締結することによって認証して、その外国の一定の命令を、米国の国内法のもとでも効力を有するものとして、プロバイダに対して、保存、開示等の義務を課すというものだと理解しています(103条(a))。

ここで、気がついたいくつかの点についてコメントしていきましょう。

(1)有線ないし電子通信の「内容」を求める
(2)命令と国内法の矛盾
(3)データへのアクセスと執行管轄
(4)行政協定
(5)外国の命令の効力

(1)有線ないし電子通信の「内容」を求める

私が、「通信の秘密」の数奇な運命で指摘したポイントになりますが、「通信」に関する構成要素は、大きくわけて、内容と通信データ部分があるわけで、CLOUD法は、その内容に関する外国の命令についての取り扱いに関する規定になります。
日本だと、令状(court warrant)によって求めるのは、当然だろうと思っている人がおおいわけですが、通信に対するデータへのアクセスについては法執行機関の命令(裁判所の関与なし)による場合もあったりします。
米国でも、通信データ部分については、裁判所の提出命令(subpoena)だったりします。英国は、法執行機関、情報機関その他が、独自に命令を執行可能です。あと、行政命令という立て付けの国もあったはずです。

これらに対して、発令国が、海外のプロバイダに対して、提出を命令した場合に、その命令の米国内の効力が、どうなるの?というのがメインの論点になるかとおもいます。そんな命令は主権侵害でしょ、だす発令国のほうがおかしいじゃん、かというと、そうとはいえないわけで、プロバイダが発令国に(営業)主体をもっていれば、その主体に対して、提出しなさい(保存場所をとわない)というのは、当然のように思えます。(MS事件が、この発令国・データ所在国が逆の場合)

(2)命令と国内法の矛盾
この場合に、海外発令の命令に従う場合の免責効力(104条)がないと、マークリッチ事件(裁判所侮辱とスイスの預金者保護の矛盾が発生した事件)のようなことになります。要は、提出に応じると米国で、個人情報漏洩だといわれて刑事罰、提出しないと、発令国で、裁判所侮辱です。(類似の事案として、Nova Scotia事件とかもあり、これも別のエントリでふれるべき事案ですね)

ちなみに、105条は、内容という文言がなくなっていたりして、解釈的には、どうなんだろうかと考えたりもするところです。
データに外国の法執行機関がアクセスしたとして、それに対して、このCLOUD法は、それを米国の執行管轄(主権)の侵害と考えるのだろうか、何か、語っているのだろうかという論点があります。

(3)データへのアクセスと執行管轄
一国の国の内部で保存されているデータについて、そのデータのアクセス管理権限について、管理者の意図に反してアクセスすることは、執行管轄権(主権)の侵害になるのか、という論点があります。この点については、ブダペスト条約(サイバー犯罪条約)の制定の際に、議論がもっとも白熱したところです。(クラウドなので、場所が特定できないというツッコミはなしで-ただ、)。
この点については、マリア博士の博士論文を紹介したところにも関連します。基本的には、主権侵害と解する立場のほうが多いです。わが国では、国外保存がわかったら、捜査はしないというのが実務ですね。

この論点は、実は、いま、またホットになりつつあるような気がします。「アクティブ防衛」という用語のもとに海外における証拠の直接取得が議論になりつつあります。オランダ政府は、法執行機関における海外の所在不明のクラウド上の証拠取得を認めていたりします。このCLOUD法は、(なんらの認証行為をへていない段階においては、)それを米国の執行管轄(主権)の侵害としているように思えます。

あと、この論点を聞くと、実務家だと、証拠開示手続のコモンロー国とシビルロー国の対立を思い出します。米国は、外国の手続に関連して、地方裁判所が、ディスカバリ命令を発令するかという点についての争いがあって、いわゆるインテル基準によって多判断がなされているということもあります(この点については、また、別のエントリで、ふれます)。

(4)行政協定

そもそも、日本の枠組みでいえば、刑事に関しての相互共助になります。刑事共助とは、「一般に、外国の刑事事件の捜査、訴追
等に必要な証拠(証言、供述、物件等)が自国にある場合に、当該外国の要請により、当該外国の捜査当局に代わってこれらの証拠を取得し、提供することなど、刑事分野における国家間の協力」をいいます。

この点については、この「欧州 27 か国への刑事共助ネットワークの拡大 ~日・EU刑事共助協定~」が資料としてわかりやすいです。

でもって、わが国の枠組みとしては、
ア)刑事共助条約を締結していれば、その条約に基づいて。
イ)締結していない場合については、原則として、外交ルートを通じて国際礼譲による捜査共助を要請
ウ)日本政府が、外国の刑事事件の捜査に必要な証拠の提供等について外国政府から協力を求められた場合、「国際捜査共助等に関する法律」に基づき捜査共助を実施し得る
ということになっています。

わが国では、条約もしくは、外交ルートが、このような刑事捜査の枠組みであるのに対して、CLOUD法は、行政協定での命令の効力を認めるということになります。保存されたデータへのアクセスが、国民の権利義務に関するものであるとすれば、行政協定で、自動的に、外国の命令に効力を認めるというのは、なかなか理解しがたいところかとおもいますが、第三者にゆだねられているデータというのは、プライバシの「合理的期待」としては、低いし、そのレベルを決めるのは、法的な権利義務の問題とはいわないとすれば、行政協定ということになるのかもしれません。難しいところです。

(5)外国の命令の効力

この外国の命令の効力が、アメリカ国内でも認められるということは、法的には、その提出によって他の法的義務の不履行に対する抗弁となりうるということと、発令国において、不履行に対する制裁が、アメリカにおいても正当なものとして認識されるということになりそうです。

また、当然ですが、そのような命令をもとに、米国内で、外国命令を執行しようとしても、その執行行為は、米国における主権を侵害するものではない、ということになるかとおもいます。

この帰結になってきますが、たとえば、米国内のプロバイダに名誉棄損の証拠が存在している場合に、被害者が、被害届けを提出し、法執行機関が、その被害者の居住国のプロバイダの現地法人に対して令状や開示命令をもとめた場合に、その国の司法機関は、米国に所在するデータに対して開示する旨の命令を発令することは実益としても存在するということになってきます。
この発令国と米国とで、認定される行政協定が締結されていれば、その命令が直接に米国で執行されうるということになります。
(プロバイダーに対して命令が行われる)

将来的には、発令国において、その命令の行為が、海外に対して、一定の手続のともに、直接に証拠取得をなす行為が許容されているような場合については、そのような行為(たとえば、侵害行為に対して、追跡の上、盗まれたドキュメントにビーコンを埋め込んで追跡するような行為)が許容されていれば、米国におけるデータに対してのアクセスも許容されるということになりそうです。そのような法的枠組みが行政協定として認証されるのか、という問題はありそうですが、このような発展性のある法であるということは認識しておくべきだろうとおもわれます。

ということで、かなりの難問であり、またた、米国における捜査と開示の実務については、まったく実務の感覚がないのにかかわらず、分析するのは、極めて困難ですが、分析としては、このようになるのかなというところです。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中)

104条は、「現在の通信法に対する追加修正条項」です。

119章の2511(2)条に、電気通信サーヒスのプロバイダーが、2523条を満たす行政協定に従った外国政府の命令に応じて通信内容を傍受し、開示することは、違法ではない。などの規定を追加し、その上で、この場合の開示等においては、プロバイダーが責任を負わないこと/裁判所命令に応じた場合が抗弁になることを記載しています。

105条は、外国政府によるデータへのアクセスについての行政協定です。

119章の2523条に外国政府によるデータへのアクセスについての行政協定を追加するという条項です。
(a)項の定義のあと、(b)項は、行政協定の要件というタイトルです。

そこでは、司法長官が、以下の事項について、国務長官の賛同を得て、以下の要件を満たす協定であることを認定して、議会に対して書面で、提出します。

その場合に判断される要件としては、
(1)外国の法が、プライバシー・市民の自由についての堅固かつ手続的な保障を有しているかどうか、
(2)外国政府がUSシチズンに関する情報を収集・維持・拡散を最少限化する適切な手続を採用しているかどうか、
(3)協定の条件が、暗号の解読の義務づけ等の義務を課すようなことがないこと
(4)外国政府が、その所在をとわず、米国パーソンを標的にしえないこと(AおよびB項)、外国政府によってなされる命令が、重要犯罪の防止、探知、捜査、起訴のためであること、人名、アカウント、住所、機器などによって特定がなされること、国内法に準拠していること、法的な根拠にもとづいてなされること、裁判所によって命令が審査されること、傍受に関する命令については種々の限定事項に関する命令によること(以上(D項)、外国政府は、相互保障のあるアクセス権限をみとめること(I項)、などです。
(c)項は、司法審査からの排除をうたっています。ただし、議会は、審査をなすことができます((d)項(4))。

また、司法長官は、行政協定を5年ごとに見直します((f)項)。

106条は、解釈の規則で、18巻の3512条、28巻の1782条に従う共助要請を排除するものと解されてはならないとされています。

さて、基本的な考察のための材料が揃いました。

この法律をどのような意味をもつものとして考えるのかについては、次のエントリで検討してみましょう。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)

「米国でCLOUD法成立、政府は企業が保有する個人情報を容易にアクセス可能に」という記事がでています。

プライバシー関係の法に関するネットの記事は、条文にあたらないで、意図的な法律家の妥当ではない解釈に基づいたコメントを集めただけのがよくあるので、このような記事を見たときは、疑ってかかったほうがいいです。

日本でも、「ネットワーク監視法」騒ぎは、サーベイランス(通信途上の監視)とプリザベーション(過去記録の保全)を意図的に混在させる法律家(日弁連ともいう)が、社会を混乱させましたね。教訓にしましょう。

でもって、CLOUD法です。結論から言うと、この法律に素人さんは、コメントしないほうがいいとおもいます。

その理由ですが、条文を以下に述べていきますが、みてもらえれば、わかるとおもいます。

法律自体は、2018年統合適用法(とでもいうのかな)(Consolidated Appropriations Act,2018.)(条文自体が、2232ページ)のなかで、最後のディビジョンVの部分 CLOUD法に記載されています。(2201ページから)

各条文を見ていくと

101条は、タイトルです。「適法なデータの国外利用の明確化法(‘Clarifying Lawful 4 Overseas Use of Data Act’’ or the ‘‘CLOUD Act’’.)」といいます。

102条は、議会の現状認識(CONGRESSIONAL FINDINGS. です。
議会としては、
(1)通信プロバイダーの保有するデータへの適時のアクセスの重要性
(2) そのようなデータへのアクセスの可能性は、米国の法域に属するサービスプロバイダによって外国においてカスタディ、コントロールまたは、保存されているデータに対してアクセスが可能ではないことによって 害されている(being impeded)
(3) 外国政府は、米国のプロバイダーによって保存されている電子データに対してアクセスを求めていることが増加していること
(4) 電気通信プロバイダーは、外国政府からの電子データに対する提出要求に対して、米国法が、開示を禁止しているのに、法的利害衝突を感じること
(5)外国法は、 保存通信法が開示を拒絶する場合においてと同様の利益衝突を生み出しうること
(6)米国と外国政府が、法の支配とプライバシと市民の自由の保護の観点から、共通のコミットメントを共有する一方で、国際的合意が利害衝突に対して解説策を提供しうること 
としています。

103条は、「記録の保存(preservation)、法的プロセスの相互の互譲(comity)」です。

(a)項で、要求と通信および記録の開示、(b)項で、有線ないし電子通信の内容を求める法的プロセスの互譲分析について定めています。

(a)項は、合衆国法典18巻、121章2713条で、「保存(preservation)、開示等の義務に関しての保存通信法の改正条項」を追加します。具体的には、「電気通信プロバイダー等は、通信、記録、情報が、米国内に存しようがしまいが、本章に定める義務に準拠して有線・電気通信の内容の保存、バックアップ、開示しなければならない」としています。(これによって、条項の一覧も追加)

(b)項は、法的プロセスの互譲(comity)の規定をおいています。
具体的には、同2703条に、(h)項として 「有線ないし電子通信の内容を求める法的プロセスの互譲分析」を追加します。

その(1)は、定義規定であって、「認証外国政府‘qualifying foreign government’」「USパーソン(United States person)」の定義をそれぞれ定めます。

(2)は、電気通信サービスのプロバイダーが、本節の手続にしたがって開示を求められた場合の棄却もしくは変更の申立の規定です。(A)は、一定の場合にプロバイダーがそれらを求めることができるという権限に関する規定、(B)は、裁判所が、棄却もしくは変更を認めることができる場合についての規定です。具体的には、プロバイダーが、外国の法に違反することになる場合、総合的事情の判断のもとに、棄却もしくは変更がみとめられるべき場合であって、顧客等が、USパーソンではなく、合衆国に居住しない場合に、そのような判断をなすことができるとされています。

(3)は、互譲分析で、上の(2)の判断をなす場合の総合的に考慮されるべき事情を述べています。具体的には、(A)開示を求める調査の利益を含む合衆国の利益、(B)開示の禁止を解除することについての認証外国政府の利益(C)プロバイダーに課せられた相矛盾する法的要求に関して制裁が結果として課される可能性、程度、性質(D)通信が求められている顧客等の場所、国籍、彼らの合衆国との関連性、(外国において3512条に基づいて手続きがなされている場合)その外国との関連性、(E)プロバイダーが、合衆国に対して有する関連性および合衆国における存在、(F)開示が求められる情報の調査における重要性、(G)適時であって効果的なアクセスであって、より重大な否定的な影響を惹起しない手段による開示の可能性、(H)3512条に基づいて外国政府のために手続きがなされている場合において、援助要求をしている外国政府の調査の利益、があげられています。

(4)は、プロバイダーは、争っている場合において、裁判所が、特段の定めをしないかぎり、保全をなさなくてはならないが、開示を義務づけられないというものです。

(5)は、(A)認証外国政府における組織に対して、電気通信プロバイダー等が、この法的手続がなされていることを開示することは、保護命令(2705条)違反にはならないこと、(B)や(C)は、上記の保護命令の規定やコモンローの互譲分析を変更するものではないこと、を述べています。

以下、104条以下は、次のエントリです。

読売新聞 「IoT攻撃 情報共有」の記事

読売新聞で、「IoT攻撃 情報共有」の記事がでています。

記事としては、「電気通信事業法を改正し、攻撃を受けた機器の情報を通信会社などの間で共有しやすくする」というのがポイントです。

そのために、「サイバー攻撃などの情報を共有できる組織を法律上明確にして、その組織に所属する企業の間では、簡単な同意手続きのみで情報をやりとりできるようにする」という趣旨だそうです

記事としては、なかなか、どのような部分を問題にしているのかが分かりにくいところがあります。「攻撃を受けた機器の情報」ということなのですが、乗っ取られてしまった「IoT機器」の情報なのか、それともターゲットになっているIoT機器なのか、というのもよく分かりません。また、攻撃を受けた機器の情報って、誰が持っている情報を考えているのかなというのもありそうです。

最後のところに「発信源の機器に関する情報」ということが書いてあるので、ボットになってしまっている機器の情報(たとえば、監視カメラであるとか)の話かなとおもいます。

電気通信事業法4条(秘密の保護)は、その「侵してはならない」というのが、秘密に関する事項の取得の禁止および窃用の禁止の二つの内容をもつものと解されています。具体的には、「秘密」にかかる事実を「通信当事者以外の第三者が積極的意思をもって知得してはならず(積極的取得の禁止)」「第三者にとどまっている秘密をそのものが漏洩(他人が知りうる状態にしておくこと)することおよび窃用(本人の意思に反して自己または他人の利益のために用いること)してはならない(漏えいおよび窃用の禁止)」ということです。

たとえば、感染死してしまった監視カメラについていえば、その監視カメラから、特定のサイトに対するDos攻撃を考えれば、そのDos攻撃をしているのが誰か(監視カメラ?)ということは、まさに上記の秘密ということになります。それを、共有ということで「他人が知りうる状態にしておく」ことになるので、法の改正が必要だと考えているということになるかとおもいます。

もっとも、個人的には、公共目的のための情報共有が、上記の漏洩なのか、ということを考えています。。個人的には、解釈論としては、「(自己または他人の利益のために)他人が知りうる状態にしておくこと」が漏洩と解されるので、むしろ、今後の被害の発生を止めるための他人が知りうる状態にしうる行為は、そもそも「漏洩」という概念に該当しないといいたいところです。

実際のところは、自己または他人の利益のために他人が知りうる状態にするのか、それ以外なのかという点については、関係者の実務規範(コード・オブ・プラクティス)にゆだねたほうがいいとおもうのですが、全体の枠組みでというと、それほど本質的という問題ではないというのは、そのとおりですね。