シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く

「シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く」という日経新聞の記事が出ています。

サイバー領域に関する武力紛争法を研究していくと、このような国際人道法(International Humanitarian law)の観点を勉強することになります。

この記事では、ふれられていませんが、学問的には、このような介入(intervention)は、人道的介入(humanitarian intervention)といわれています。

外国の報道でも、この国際法上の議論についての紹介がなされているので、わが国でも、この議論が紹介されているのは、すごくいいことかとおもいます。

(たとえば、Syria, chemical weapons and the limits of international law
とか
Did air strikes on Syria break international law? The questions Corbyn must ask May
ですね)

教科書的には、1980年代までは、あまり明確に国家実行としては、意識されてはいませんでしたが、1990年代以降に国家実行として意識されるようになってきたとされます(日本の教科書、結構、このあたり冷淡ですね。Christine Gray “International Law and the Use of Force”33以下は、きちんと論じています)。

日本的には、この上野先生のページが詳しいですね

まず、アメリカとフランスがクルド(Kurds)/シーア派(Shiittes)に対する人道的支援の根拠(1991)としてこの理論が用いられたそうです。
その後、イギリスが、人道的介入を明確な根拠として援用するようになってきたそうです。

そのあと、コソボが代表的な人道的介入の事例としてあげられています。

上野先生の事例だと、ユーゴ、ルワンダなどの例もあげられています。

日経は、違法とする立場にも結構、分量をさいていますけど、個人的には、人道的介入を認める立場のほうが、多数説かなと思っています。どうでしょうか。

サイバードメインを利用しての人道的な問題が発生する状況というのは、なかなか、考察しがたいかと思います。その意味では、サイバー法で、人道的介入が議論される状況は、生じないかと思いますが、内戦状況にある国において、あるところで、インフラの途絶が発生した場合には、それに対して、武力による介入が正当化されないのか、もしくは、サイバー力(たとえば、攻撃サイトに対して、これを封じ込める)による介入というのは、発生しうるのか、ということが、あとすこしすると議論されるようになるのかもしれません。

政府、サイバー被害の深刻度指標 対抗措置の判断基準に

「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」という記事があります。

前のポストでふれた深刻度を結局、対抗措置に対する基準にするという趣旨が述べられています。
また、サイバー防衛の戦略については、「官民が連携して事前の防御策を強化する「積極的サイバー防御」を推進するとした。」ということと、「「政治、経済、技術、法律、外交その他の取りうる全ての有効な手段を選択肢として保持」とも定めた。」ということが述べられています。

前の部分については、「積極的サイバー防御」とされていますが、この日本語は、世界的なactive cyber defenseとといっていることが違うので、日本語の「パーソナルデータ」みたいなものであることに注意しましょう。世界的には、他のネットワーク領域内における情報を取得すること(場合によっては、民間企業)をactive cyber defenseと呼ぶことが多いです。もっとも、英国は、自律的な防御システムを利用した防御をproactive defenseと読んだりします。

後者については、高市エッセイおよび他のブログについてもふれた、対抗措置の整備ということになるかとおもいます。これは、興味深いもので、タリン2.0レベルに追いついたということになるのかもしれません。

具体的な戦略が明らかになるのが期待されるかとおもいます。

高市早苗「安全保障分野のサイバーセキュリティ」について

高市早苗「安全保障分野のサイバーセキュリティ」というコラムがでています。

コラムの前半は、具体的な国家支援攻撃の具体例および各国のサイバードメインの認識が紹介されています。
これらの認識をもとに、後半では、「政治的には困難で大きな課題ではありますが、私は個人的に、「サイバー反撃を行わざるを得ない場合の法的課題の整理」や「サイバー反撃権の根拠法整備」については、作業を開始するべき時が来ていると考えています。」という意見が述べられています。

前半部分は、業界の人にとっては、当然の前提なので、ここでは、ふれません。
後半について、ちょっと検討していきます。といっても、ちょっとした感想です。

(1)タリン・マニュアルが紹介されていますが、この知識は、タリン・マニュアル1.0の段階のご紹介ですね。タリン・マニュアル2.0は、むしろ、「武力攻撃」の閾値以下の場合についての主権や対抗措置、デューデリジェンスについての詳細な分析がなされています。

(2)日本で「サイバー自衛権行使の可否」を議論することには、相当な困難が予想されます。>となっていて、証拠取得の困難性等からのアトリビューションの困難性があげられています。これは、他の国にとっても、ほとんど同じです。なぜに日本で、となっているのでしょうか。情報機関の貧弱さをいっているのか、証拠取得方策の問題をいっているのか、どうなのでしょうか。むしろ、自衛権にもとづく「有形力」の行使が議論されていないというのをいいたいのかもしれません。そうだとすると、アトリビューションの困難性をいうのはおかしいことになりますね。

そのあと、有識者ヒアリングについての話なので、スルーして、

(3)「『第1次提言』の執筆中で、本部長である私自身も時間を見つけてはパソコンに向かって作業中です。」とのことです。
多分サイバーセキュリティ戦略の改訂の話で、対抗措置の整理を考えているという報道に対応しているのかとおもいます。これは、昔、ブログでふれていますが、「自衛権」として整理するのか、「対抗措置」で整理するのか、ということが論点としてあるということかとおもいます。

法的な観点から、耐えられるような、第一次提言をお待ちしています、ということになりますね。

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)