セキュリティコミュニティ的には、「インチキ・サイバー用語」が、いま流行しています。

私のブログでも、人気エントリの「責任分界点」は、まさにインチキ・サイバー用語を正確に理解しましょうという趣旨かと思います。それが他に説明してくれる人も分析もないので、根強い人気をもっているのでしょうね。

いま、一つ、「アトリビューション」も、この分類に入る可能性があります。犯人Aがサイバー攻撃を行った場合に、種々の状況から、その被害結果を惹起したのは、犯人Aであるというのを「アトリビューション」という用語を用いるのが用法として正解なのか、ということがひっかかるのです。

アトリビューションが、どのような側面で使われているか、というのをみていくと、

(1 )代位責任などの場合(wikipedia)

  これだと、現実に刑罰行為を起こしていない被告人に対して責任が拡大する法的原則をいう、とされています。代位責任、共謀、予備などを例にあげています。

なお、手元のcriminal lawの教科書は、英国のも米国のも、attributionという用語を用いていません。（Card,Cross and Jones　とPodger,Hening,Taslitz　＆Garciaでは、触れられていません）

(2)会社代表者の行為を会社の行為と見なす場合

 Corporate attributionになるわけですが、会社法の場合でも代表者の行為が会社の行為とみなされるので、まさに責任の主体に対する帰属の問題が発生しますね。

(3)過失犯の場合

“Rethinking Criminal Law”は、この場合を取り扱っています。

(4)国際法の国家責任の場合

これは、たとえば、国家Ａと親しいサイバー攻撃グループが、国家Ｂの重要インフラをマヒさせましたというような事案が代表的な場合です。（国家の機関でない場合に、そのような行為の結果は、国家に帰属するか、という意味でいいます）

その一方で、犯人Ａの意図的な行為によって結果が発生した場合には、その行為は、犯人Aに帰属するとは、あまりいわないので、その場合に、アトリビューションというのは、どうも語感から、ピンとこないわけです。

(1)から(3)までは、国内法におけるアトリビューションの問題で(4)は、国際法のアトリビューションになります。

特に国際法においては、証拠としては、インテリジェンス報告が用いられること、国としての意思決定がなされること、証拠の優越で足りること、などで、国内法の刑事裁判とは、異なった原理で、アトリビューションがなされます。

また、行為者が決定された場合、その行為者が国家の機関でない場合には、国家責任の法理で、国家が、効果的なコントロールを有していない場合には、その行為は、国家に帰属しないということがいわれます。

これらの例をみるときに、wikipediaの説明のようにみずからの実行行為者の識別に際して、アトリビューションというのは、含まれないように思われます。

ただ、問題なのは、セキュリティの会議かなんかで、実行行為者の識別をアトリビューションとか呼ぶと、なにか専門的なこと知っているように見えてしまうということのような気がします。

世界的にも、国内法と国際法をきちんとわけて、議論するセキュリティ専門家は、国際法コミュニティ以外では、ほとんどみないので、どうしようもないのですが、アカデミズムに耐えられる用語法は、常に心がけておきたいなと思います。