北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事が出ています(2017年10月5日 読売新聞 朝刊)。
北條弁護士は、「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」「現場は混乱し、対応しきれなくなっている」として、以下の論点に対する対応を提言しています。
論点としては(1)不正アクセス禁止法における調査活動の違法性阻却化 (2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化 (3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?) (4)ToRの利用の登録制 があげられています。
事実関係から整理すると、不正アクセス禁止法は、デンバーサミットのコミュニケでうたわれた「我々は、本日の閣僚レベルの会合において、二つの重要な任務の達成に向けた具体的な行動計画について意見の一致をみた。 一つはハイテク犯罪を捜査訴追する能力を高めることであ り、もう一つは世界のいかなる場所にも犯罪人にとって安全な避難先が存在しないことを 確保すべく、犯罪人引渡し及び捜査扶助に関する国際的な法体制を強化することである。」というわが国における対応の一環として、1998年の末くらいから、法案が揉まれて、1999年8月公布、2000年2月に施行になっています。また、不正指令電磁的記録の罪については、2002年くらいから、法制審議会での議論の対象とはなっており、2004年に刑法等改正案が提出されて、その後、共謀罪に関する与野党対決のあおりで、審議が進まず、2011年に国会を通過したというものです。(なお、デンバーサミット・コミュニケ40番については、サイバーセキュリティーの国際的法律問題 by 高橋 郁夫)
なので、これらの法制が、成立した時期から考えて「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」というのは、筆が滑っているというような気がします。少なくても、1997年には、もう、白浜や湯沢のシンポジウムは開催されていましたし、私も、サイバーセキュリティやサイバーペイメントのシンポジウムで講演をしていました。ですから、不正アクセスと調査活動をどうすべきかというところまで議論していました。また、不正指令電磁的記録の罪の成立にあたっては、その成立範囲についてのコメントが公表されるなど、一定の考え方が明確にされ、一定の判断がなされています。
論の進め方は、別として、個別の論点について、以下に見ていきましょう。
(1)調査活動の違法性阻却について
不正アクセス禁止法における調査活動の違法性阻却のために、適用除外規定を設けるべきというのが、主張のようです。
1999年の10月に私は、「コンピューターの無権限アクセスの法的覚書–英国・コンピューターミスユース法1990の示唆(ネットワークと法の中心課題 6)」という論文を公表しています。そこで、英国のコンピュータ不正使用法の成立に至る経緯についてふれています。
既に、英国においては、Gold事件(R v. Gold [1988]2 All E.R. 186,H.L.)で、偽りのID番号とパスワードを利用して、データベースに対してアクセスしたという事案(共犯者は、そのアクセス料金を支払わず、他人に支払わせたため、データベースについての情報を権限なく書き換えた)がありました。(当時は、「1981文書偽造および通貨変造法」のセクション1違反で起訴)。この被告人は、データベースの保有者に警告をしており、その目的は、そのデータベースのセキュリティの弱点をデモンストレートすることにあったようにおもえた事件です。
その後、不正アクセスに対する刑事罰についての議論がなされて、最終的には、The Law Commision (LAW COM. NO.186) “Criminal Law Computer Misuse” Cm 819 HMSO 1989という報告書がでています。
そこでは、「2.12 私たちは、コンピューターの導入が、情報の蓄積の手段および状態において急激な変化をもたらしたことを認める。コンピューターは、量においても、方法においても、スピードにおいても、全く新しいレベルで情報を取り扱うことを可能にした。そのような設備の可用性、利用は、一般的に強く公共の利益と認められる。しかしながら、遠隔でアクセスしうるコンピューターシステムは、セキュリティ問題を惹起するのであり、それは、情報を紙に保存し、物理的にアクセスを隔絶すること、そして、さらに強盗や、すくなくても刑事的損害の規定により保護されるユーザーが悩むことのない問題なのである。その相違は、コンピューターユーザーの側で、セキュリティに気をつかわないで済ませるものではなく、むしろ、反対に、利用している操作の本質に避けられないものなのである」と述べています。
このセキュリティに対する投資の保護というのがもっとも重要な実質的な保護の理由ということになると考えていいかと思います。
この議論は、
「2・14 私たちの見解によれば、最も刑罰化に賛成する強力な議論は、第1に コンピューターのシステムの保有者において、セキュリティシステムが破られた(破られていたかもしれない)ときに実際の損害およびコストが膨大にかかること、第2に、無権限のエントリーは、一般的な刑事犯罪の予備的なものであること、そして、第3に、度重なる攻撃および、コンピューター操作者が結果としてセキュアではないと感じることによって、コンピューターシステムに対して喜んで投資しようというつもりが減少するかもしれないこと、実質的に有効なシステムの利用が遅らせられるかもしれないことを根拠としている。」とまとめて報告されていることからも明らかです。
このような趣旨から考えるアプローチにおいては、サイトの脆弱性の調査の目的があろうが、なかろうが、無権限アクセスされること自体が可罰的であるということがいえるとおもいます。
不正アクセス禁止法の立法趣旨および運用については、英国のコンピュータ不正使用法を参考にすべきであるという私の立場からすると、北條弁護士の立論のうち、不正アクセス禁止法を見直すべしという主張については、既に決着がついていた問題であって、賛成することはできないということになります。
(というか、不正アクセス禁止法の制定にあたって、コンピュータ不正使用法1990も参照されています。)
あと、わが国において、この点は、セキュリティ会議でのプレゼンの準備のための侵入事件(平成17年 3月25日東京地裁判決)でも議論されているものでもあります。もっとも、この事件においては、事実関係において、「事前に**会等に脆弱性の報告をせず,修正の機会を与えないまま,これを公表したことは,被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく,被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって,正常な問題指摘活動の限界をはるかに超えるものであり,正常な活動の一環であったとは到底認めらない。また,プレゼンテーションの仕方やその際の発言内容等にも照らすと,脆弱性を発見した自己の能力,技能を誇示したいとの側面があったことも否定できないところである。」とされています。文言をみる限り、正常な活動であったならば、一般の違法性阻却事由の可能性は、あり、それを超えた格別な違法性阻却事由が認められるべきという主張については、その必要性の観点からも、よくわからないところです。
もっとも、実は、この問題については、今ひとつの問題があります。
私の論文では、「セキュリティのレベルと犯罪の成立」(2.3.1)として論じたところなのですが、「コンピューター・セキュリティについての一定のレベルを講じてあるコンピューターに対してのみ、無権限アクセスが、成立するという考え方がありうる。そして、英国においては、その「権限」を具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろうというガイダンスがあることは前述した(1.2.3.3)。立法例においては、一定のセキュリティのレベルを満たすことを犯罪成立の要件としているものがあるとされており、わが国の立法でも、この観点は問題となろう。不正アクセス法案からすれば、第5条でセキュリティレベルの確立の一般的規定を置いた上で、犯罪の要件とはしない立場と考えられるが、「権限」の実際上の立証の際に、セキュリティが確立していることが必要ではないかという問題(英国は、この立場をとる)は、発生し得る可能性があるように思われる」というのが、私の立場になります。
比較法的な立場からは、「「制定された、もしくは、新しい法律は、種々のアプローチを採用している。データ処理システムに対する『単なる』アクセスを刑罰化するもの(オーストリア、デンマーク、英国、ギリシア、アメリカ合衆国の大多数の州)から、アクセスされたデータが、セキュリティ手段によって、保護されている場合とするもの(ドイツ、オランダ、ノルウェイ)、侵入者が害意を有している場合とするもの(カナダ、フランス、イスラエル、ニュージーランド、スコットランド)、情報が取得され、変更され、損傷した場合とするもの(アメリカのいくつかの州)、最小限度の損害が生じた場合とするものなどまで、広範囲にわたっている」とのことです(Dr.Ulrich Sieber “Legal aspects of Computer-Related Crime in the Information Society“)。
上記のプレゼン準備侵入事件(?)においては、「識別符号を入力してもしなくても同じ特定利用ができ,アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべきであるが,プログラムの瑕疵や設定上の不備があるため,識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって,直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである。」とされています。ところで、デフォルトで設定を変えずに置いている場合について「アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべき」というのと、同視しうるのではないか、ということはいえないことはないでしょう。そのレベルでいくと、まさに「アクセス管理者の通常の意図」について「具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろう」ということになるのかもしれません。
「英国では」という解釈をわが国に導入するという私の「ではの神」理論によるとき、英国のようなガイダンスというアプローチを用いて、デフォルトのパスワードでは、不正アクセス禁止法のアクセス制限を満たさないということが明らかにされるということは可能になるような気がします。構成要件の明確性が○×とか、いわれそうではありますが、英国では、それでやりましょうとかいってましたから、というのは、抗弁にならないのでしょうか。
わが国のセキュリティレベルをあげるための提言ということだとしても、一定の法には、背景に種々の利益と決断、また、その決断にあたっての実証実験としての比較法があるので、90年代においても、その手法は、きちんと守られていたということは、その時代の真ん中にいたものとして明らかにしておきたいとおもいます。(詳しい話は、今度、また、おいしいお肉を食べたときにでも)
(2)以降は、また、別のエントリで。
