NICT法改正と不正アクセス禁止法

電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。条文は、こちらです。
基礎的な資料は、こちら

このうちのNICT法改正の部分についてみていきます。オムニバス法というのかと思いますが、そのうちのNICTの調査権限のほうについてまとめてみましょう。

趣旨としては、「国立研究開発法人情報通信研究機構(以下「機構」という。)は、平成三十六年三月三十一日までの 間、特定アクセス行為を行い通信履歴等の電磁的記録を作成すること、特定アクセス行為による電気通信の送信先の電気通信設備に係る電気通信事業者に対し、送信型対電気通信設備サイバー攻撃のおそれ への対処を求める通知を行うこと等の業務を行うこととすること。 」ということになります

条文も、ちょっと分析してみましょう。

1 組織法上の根拠

一定の行為をなすにあたっては、まずは、組織法上の根拠が必要です。その点については
(国立研究開発法人情報通信研究機構法の一部改正)
第二条
(略)
2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。
一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

このように「特定アクセス行為」というのが、キーとなる概念になります。これは、
2条4
「特定アクセス行為 」

 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信元とする電気通信の送信をおこなう行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能にかかる他人の識別符号(当該識別符号について電気通信事業法第52条第1項または第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

と定義されています。

この特定アクセス行為について、どう考えるのか、というと、
不正アクセス禁止法2条・4項・1号における不正アクセス禁止行為の定義から、

「及び国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く」

とされていて、不正アクセス禁止法の定める構成要件から、除かれるという定めになっています。

この除外規定は、不正アクセス禁止法のいわば、NICTが行う場合の特別法ということになるので、NICTが行う場合には、構成要件に該当すると解されることはないことになります。

一般論としては、以上になるわけですが、気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
識別符号は、アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされているなどの性格を有するものである(不正アクセス禁止法2条2項)。
「通常、この番号、記号等として用いられているのが相手方ごとに付けられるIDとその相手方以外のものが知らないようにされているパスワードである」とされています。

上記の定義から、①特定利用を認める相手方ごとに違うものであること、②その相手方以外に用いることができないようなものであることの2つの要件を備える必要がある と考えられています。これは、特定利用を認める相手方ごとに違うものであることを求めるので、「複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要」と解されています。

もっとも、具体的な事例となると明らかではありません。

「guest」、「anonymous」等の誰もが特定電子計算機を利用できるように広く公開されているID.パスワードについては、識別符号に該当しないと解される一方で、特定電子計算機の特定利用の一部(例えばウエブサイトの閲覧)についてはすべてのネットワーク利用者に許諾し、その他の特定利用全体はアクセス管理者のみがID・パスワードを入力して行うような場合には、利用権者等は複数存在し、符号によりアクセス管理者を他の利用権者と区別して識別することができるから、当該ID.パスワードは識別符号に該当すると解されています 。

いわゆるデフォルトで不特定多数が認知しうるものは、どうか、ということですが、上の解釈でいえば、もはや識別符号とはいえないということになりそうですが、明確ではありません。

そこで、特に、NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。

このような行為を構成要件該当性から除外するのは、適切か、という問題は、調査をされる側から考える場合に、明らかになってきます。このブログでもふれましたが、アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。

それだけ、IoT機器に対するセキュリティの維持の要請が高いと認識されたということになります。

この改正に関して、では、たとえば、「ログイン後に、システム情報を取得するというコマンドを入力することはどうなるの?」という話がでています。「電気通信設備の特定利用をし得る状態にさせる行為をいう。」のは、構成要件該当性から除外されるわけですが、では、特定利用をしうる状態のもとで、さらに特定利用を現実的にする行為は、どうか、ということです。

これは、はっきりしないということになるかと思います。私(高橋)個人の解釈としては、コマンド入力も、基本は、システムの反応をなしうる状態を惹起しているので、解釈として「特定利用をし得る状態にさせる行為」であり、構成要件から除外されると解釈しています。ただし、その場合は、「国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき」という規定で、そのような行為がどのくらい限定されるのか、ということになるかと思います。

いま、一つ、留意しておくのは、「侵入テスト」という用語との関係ということになります。「侵入」という用語については、一般に、他人などのID/パスワードの利用によるアクセスと脆弱性を悪用してのアクセスの双方の場合に用いられます。

しかしながら、今回、この改正で認められているのは、「特定アクセス行為」なので、「他人などのID/パスワードの利用によるアクセス」ということになります。一方、「脆弱性を悪用してのアクセス」を許容しているわけではないので、NICTが、「侵入テスト」業者に変身したというわけではありません。

本来は、このような解説は、立法担当官が、コメントすべきなのかなあとも思いますし、まあ、このくらいは、条文を読めばわかるでしょ、ともいえそうな気もします。(ただ、不正アクセス禁止法との関係は、コメントはできないのかなあとも勘繰ったりしています)

なには、ともあれ、大きな「アクティブ・サイバー防御」という流れのなかにもはいる手法ですし、興味深いものということができます。

いま一ついうと、日本のドメインの中だけに限らないと、他の国のインフラのIoT機器にアクセスしたりすると、問題が起きたりしますね。これは、おもしろい国際法の問題ということで、そのうちに。

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook