追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 4408   昨日: 7911

2019年02月19日

Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2

昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節は、続きを書くつもりだったが、それからだいぶ経ってしまった。今改めてそれを書いておく。

当時、私が「Coinhiveの使用が不正指令電磁的記録の供用でない」と主張したことに対して、「それではあれが処罰できなくなる」だとか、「俺のPCのリソースが無断で消費されるのは許せない」とか「電気窃盗だろ」といった反応がチラホラ見られた。これらについて整理しておく。

刑法は「利益窃盗」を不可罰とする

刑法の講学上の概念として「利益窃盗」なる言葉がある。これは、刑法に規定された財産犯が二つのタイプに分けられることから来ている。すなわち、強盗、詐欺、恐喝には1項と2項が規定されていて、1項が「財物」を対象とし、2項で「財産上の利益」を対象としているのに対して、窃盗には「財物」の1項が規定されているのみ(下記参照)で、「財産上の利益」に相当する2項がない。このことから、刑法は、窃盗については「財物」のみを対象とし、「財産上の利益」をあえて対象にしないという区別をしていることが明らか*1なわけで、「利益の窃盗という犯罪はない」という意味で、「刑法は利益窃盗を不可罰とする」と説明される。

(窃盗)
第235条 他人の財物を窃取した者は、窃盗の罪とし、10年以下の懲役又は50万円以下の罰金に処する。

(強盗)
第236条 暴行又は脅迫を用いて他人の財物を強取した者は、強盗の罪とし、5年以上の有期懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

(詐欺)
第246条 人を欺いて財物を交付させた者は、10年以下の懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

(恐喝)
第249条 人を恐喝して財物を交付させた者は、10年以下の懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

「リソースが無断で消費されるのは許せない」というのは、「財産上不法の利益を得られた」という感覚なのだろうと思われるが、暴行・脅迫が伴うとか、騙しが伴うとか、脅しが伴っているのであれば刑法犯に当たり得るかもしれないが、それらが伴わない「単に取っていく」行為は(対象が財物に該当しない限り)犯罪ではないのである。

しかしここで、「財物」とは何を指すのかが問題となる。

電気窃盗との関係

何が「財物」に当たるかが問題となった有名な例は「電気窃盗」である。電気の盗用が旧刑法(明治13年)の窃盗罪に該当するかが裁判で争われ、電気が「物」に当たるかが問われた。大審院は窃盗罪を認める判決を下した(明治36年)が、これには批判があり、明治40年の刑法で「この章の罪については、電気は、財物とみなす。」(245条)との個別の規定を置くという立法的解決がなされた。

ここで、電気以外の類似のものも同様に該当するかが問題となる。電気以外のエネルギー(暖房の熱風・エアコンの冷気や、何かしらの動力の運動エネルギー)が無断で使われた場合も窃盗なのか、何らかのサービスを勝手に使われた場合(Coinhiveはこれに近いか)はどうか、情報を勝手に使われた場合も窃盗(情報窃盗)が成立するのかが論点となっていた。

学説では財物の意義について「有体物説」と「管理可能説」が展開され、管理可能説では「電気以外のエネルギーや、サービス、さらには債権、情報までもが含まれることになり、利益窃盗を不可罰とするとする現行刑法の立場と実質的に矛盾する帰結がもたらされることになってしまう。」(山口厚『刑法各論 補訂版』(有斐閣、2003年)173頁)との批判があり、管理可能説も様々な限定を付ける工夫をしたものの、現在では、有体物説が「多数説、あるいはすでに通説」であるという(前掲山口同頁)。

刑法245条の「電気は、財物とみなす。」との規定を、有体物説では、「電気は財物でないことを前提とするもので例外的な規定であるとして、電気以外の非有体物については財物性を否定し」(山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993年)26頁)、これに対して管理可能説では、「245条を単なる注意規定に過ぎないとする」(同)という。

現行刑法に電気窃盗の規定があることから、その類推で電気のようなものまで該当するのだという感覚があるのか、Coinhiveを電気窃盗の一種だと感じる向きもあるようだが、このように、管理可能説が否定され、有体物説が通説となった今日では、電気は例外的に刑法に規定されただけのものと整理されており、それ以外のものに類推して窃盗罪を構成するとすることはできないのである。

コンピュータ無権限使用の不可罰性

1980年代から1990年代前半にかけて、「情報窃盗」をどう処罰可能にしていくべきかが盛んに議論された。今日から見れば、これは、不正競争防止法の営業秘密侵害罪と、不正アクセス禁止法の不正アクセス罪、さらには個人情報保護法の平成27年改正で新設された個人情報データベース等不正提供・盗用罪により立法的に解決されてきたと振り返ることができるが、当時は、窃盗罪の適用について、有体物説からあるいは管理可能説から財物に当たることにできないかが検討され、無理があることが論じられていた(荒川雅行「情報と財産犯」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)37頁以下)。

これと同時期に、コンピュータ無権限使用についても論じられていた。コンピュータ濫用による犯罪については、刑法の昭和62年改正で電子計算機使用詐欺罪その他が新設され、それまでの伝統的な詐欺罪との違い等について論じられている(神山敏雄「コンピュータと財産犯」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993年)53頁以下)が、昭和62年改正で「将来の検討課題」として盛り込まれなかったのが、情報窃盗とコンピュータ無権限使用であった。

コンピュータ無権限使用について、当時の議論の様子が、南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁以下で、以下のように回顧されている。

1980年5月、マイコン・ショップの従業員が、岡山大学助教授の同大学計算機センター登録番号(ID)とパスワードを入手し、これを用いて数ヶ月の間、のべ45時間にわたり電話回線経由で同センターのコンピュータにアクセスし無断で使用していた(使用料約16万円)ことが発覚した。1981年8月、某公団職員らが、全国高等学校野球選手権大会の試合に関して、現金合計16万円余りを賭けて、いわゆる「野球トトカルチョ」と称する賭博を行い、その際、賭け金の計算処理を行う特別のプログラムを作成した上、同公団のコンピュータを不正に使用していたことが発覚した。いずれも、コンピュータの不正使用については適用条文を欠くため立件されなかった(53)

このような利用権限のない者によるコンピュータの不正使用——マシン・タイムの盗用とも呼ばれる——は、一台のコンピュータを並行して同時に複数のユーザが利用できるタイム・シェアリング処理を用いて、本来の業務で稼働中の運転コストの高額なシステムを、不正に対価を支払わずに使用することとなる点で、ある種の「利益窃盗」とみることができる。そのため、発覚した事案のような大型のコンピュータでなくとも、勤務先のコンピュータを私的な目的で使用したり、外部から電話回線等を介して接続して使用したりする行為も含めて、処罰するためのいかなる刑罰法令も存在しなかったのである。しかし、この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべきであろう(54)

(54) 対価を払わずに他人の物を権限なく使用する行為一般を犯罪化する必要がないことはいうまでもない。たとえば、勤務先会社の機器を用いた仕事中の私用電話やファクシミリなどは、内部的ルール等に委ねられることで十分規律しうるのである。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁

コンピュータ無権限使用が不可罰であることが意外に思われるかもしれないが、もしこれを犯罪としてしまえば、会社のパソコンでゲームしただけでも犯罪ということになってしまう。このことについて、1985年のジュリストに掲載された鼎談「コンピュータ犯罪と刑事立法の課題」(大谷實・吉田佑紀・西田典之)では、以下のように語られていた。

(3) コンピュターの無権限使用

大谷 それでは第三番目のコンピュータの無権限使用ですが、これは実際上事件として例がありましたか。

吉田 一つの例としては、岡山大学で誰かがコンピュータを勝手に使っているという事件がありました。

西田 そうですね。マイコン教室の先生か何かが大学の助教授のパスワードをひそかに入手して、それで大学のコンピュータを無断で利用したという事件と、もう一つは公団の職員が賭博行為か何かの計算をするのに業務用のコンピュータを無断で使用したという事件がありました。

大谷 可罰的な使用窃盗の限界として、社会通念からすると、金を出して使用するのが当然であるというような態様の占有の取得について、可罰性を認めるべきではなかろうかという意見に私は賛成なのですけれども、そういう意味でとらえると、現行法のもとでもコンピュータの占有の取得が認められるような無権限使用については、必ずしも処罰できないわけではなかろうという気がするのです。

西田 私はこれは使用窃盗ではないと思うのです。なぜなら、窃盗というのはやはり占有の奪取が必要なので、汎用コンピュータの大きいのを自分の家に持って行って、使ってまた返したというわけではなくて、その場で使う、あるいは端末機等から使うわけですから、それはむしろ利益窃盗であって、使用窃盗ではないと思います。

大谷 占有をそこまで広げるわけにもいかないということですね。

吉田 金を出して買うのが当然だという点を強調すると、本屋での立ち読みとかはどうなるのでしょうか。

西田 金を払わなければ読めないようなものを本屋で立ち読みをしたという場合、そのときは本を自分の手に持っていますから、まだ占有の移転は若干あるかもしれません。しかし、コンピュータの無権限使用の場合は実体としてはいわゆる利益窃盗であって、一応窃盗罪の行為態様はあるけれどもどうか、という使用窃盗の問題ではないということです。

大谷 そうしますと、無権限使用についての処罰の間隙は明らかにあるということになりますが、この場合は財産犯的な観点からとらえることになりますか。

吉田 結論的にはそうだと思います。違法性をどこに求めるかについての考え方は二つありうるわけでして、一つは利益の不法な享受という考え方からいけば、財産犯になるでしょうし、もう一つはコンピュータの利用形態そのもの、あるいはコンピュータの能力ともからむ問題ですけれども、それによってほかの正当な権限のある者の使用が妨害されるという事態があるとすると、これは業務妨害的な捉え方もありうるかもしれません。しかし、相当大きな容量のコンピュータで、多数の端末から同時に使えるということになれば、業務妨害という点からはとらえにくい面があるように思います。

大谷 利益窃盗であるというのは、どういう意味ですか。

西田 ですから、まず、その企業なら企業が所有しているコンピュータであれば、結局夜間誰も使わないときに勝手に使った、あるいは使っている時でも、タイム・シェアリング・システムであるから、他人に別に迷惑をかけていないという場合であれば、電気代を浪費させたというぐらいだろうと思いますけども、これがレンタルのコンピュータで毎月いくらというレンタル料を払ったうえに、稼働時間あたりいくらというものを払うということになりますと、これは実害が生じるということになるだろうと思います。ですから、こういう事態は利益窃盗であると私は申し上げたわけですけれども、場合によっては、他人の事務処理者が任務に違背して財産上の損害を加えたという背任でいける類型もありうるかもしれません。

大谷 そうですね。大概そういう場合は権限があってやっているわけですから。要するに、利益窃盗的な範疇に属するものは現在では対処できないということになりましょうね。

吉田 ただ、これも先ほど大谷さんからご指摘があったように、コンピュータに特殊な問題かということになると、やや違った面があって、より広く自動設備と申しますか、そういう機構の不正利用みたいな問題とこれをどう分けて考えるべきか。あるいは同じ範疇の問題として考えるのか。その辺はいろいろ考えておかなければならないのではないでしょうか。

大谷實・吉田佑紀・西田典之「コンピュータ犯罪と刑事立法の課題」ジュリストNo.846(有斐閣、1985年)27頁

このように、従量課金制のシステムを無権限で使用した場合でも、利益窃盗にすぎず、刑法では不可罰とされていたわけで、定額課金制のシステムを(妨害にならない程度に)無権限使用する*2のは、電気を浪費させることになろうとも、さらに犯罪から遠いということが話されている。ましてや、課金されていないものはもっと遠いであろう。

こうしたことからしても、Coinhiveについて「Webサイトを訪れたら勝手にCPUを使われた」ということそれ自体を財産犯的に処罰することはできないのであり、このことはよく理解するべきである。

岡山大学計算機センターの件のような事案は、後に2000年から、不正アクセス禁止法により処罰されるようになる。これは、「刑法の不備によってたまたま不可罰になっているところを穴埋めした」というものではない点に注意したい。あくまでも、識別符号によるアクセス制御が行われているところを破るという行為が「アクセス制御機能に対する社会的信頼」を害したことをとらえて処罰されるのであり、その際に「従量課金16万円分を免れた」ということ自体は、可罰的違法性や犯情の軽重として評価されるにすぎない。

前掲の南部は、不正アクセス禁止法の制定の意義を2013年の時点で以下のように回顧している。

(1) 不正アクセス禁止法制定の背景

すでに見たように、1987年改正の際、コンピュータ・システムへの不法侵入(不正アクセス)行為については、今後の検討課題として犯罪化が見送られた経緯がある。そこでは、不正アクセスは結局のところ、データの不正操作・不正入手、コンピュータの無権限使用・破壊といった諸類型の予備的手段であり、コンピュータの情報処理機能に対する実質的加害とは必ずしも言えないということが理由とされた(74)。外部からのコンピュータへのアクセス行為が管理されている状態は、未だ刑罰的保護が必要なものとは評価されなかったのである。

しかし、1990年代半ば以降のインターネットの急激な普及により状況は一変する。(略)

1987年改正以来の状況の変化が、ネットワーク外部からのコンピュータへのアクセスが管理されている状態自体を刑罰で保護すべき、との認識を導いたといってもよい。無権限のアクセスを財産犯等の予備的な行為とする認識(78)は、ネットワーク社会の発展段階が、適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性を認めるほどに達していなかったからにほかならない。

なお、本罪が財産犯等の予備的性格のものではないとしても、本罪=不正アクセス行為を手段に、(それ自体は直接の罰則を欠く)コンピュータの無権限使用やデータの不正入手が行われる場合は、不正アクセス罪で捕捉可能となった段階で処罰が可能となるのは当然である。すなわち、情報の不正取得等の手段として行われた無権限のアクセスを処罰することにより、結果的に、ネットワーク上の情報に対する刑罰的保護として働くものとなっているともいえる。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(二)」日本法学第78巻第3号(2013年2月)33頁

つまり、昭和62年の刑法改正の際には、「財産犯罪等の予備的な行為」として検討され、今後の検討課題として見送られたが、そのような考え方に留まっていたのは、その当時はまだ「適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性」が「ネットワーク社会の発展段階」として「認めるほどに達していなかった」からなのであって、後にネットワーク社会が発展して状況が変わり、それが認められるに至ったのだと説明されている。

前掲の引用部で言われているように、「この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべき」ということなのである。

不正アクセス罪の代替としての不正指令電磁的記録供用罪

情報窃盗は不可罰であるけれども、不正アクセス行為によって情報を不正取得された場合には、不正アクセス行為を処罰すれば足りるわけであるが、不正アクセスを伴わない情報窃盗の手段として、スパイウェア等のトロイの木馬プログラムを用いたものがある。平成23年の刑法改正で不正指令電磁的記録の罪を新設したのは、結果的にこれをカバーすることになった*3といえよう。

そうすると、コンピュータ無権限使用についても、不正アクセス行為を手段としたものが不正アクセス罪で処罰されるのと同様に、不正指令電磁的記録の実行による無権限使用についても不正指令電磁的記録供用罪で処罰される*4のも自然なように思える。

しかし、上に見たように、コンピュータ無権限使用それ自体が可罰的なのではない。情報窃盗も、それ自体が可罰とされないのは、単に刑法の窃盗罪が有体物を対象にしているからという不都合を迂回するためというわけではなく、情報を勝手に取得する行為には正当な行為も多々あるから、一律に「窃盗」として犯罪化するわけにもいかないという事情もあるからであるのと同様に、コンピュータ無権限使用も、勝手に使用する行為に正当なものも多々あるから、やはりそれ自体を可罰的と言うわけにはいかないのである。

つまり、「俺のPCのリソースが無断で消費された」ということだけをもってして、不正指令電磁的記録供用罪に問えるわけではないと言いたいわけである。WebサイトをWebブラウザで閲覧するときに起きることは、まさにそのようなことの典型例である。

Cryptojackingの不正指令電磁的記録罪該当性

ここで、本来の意味でのcryptojacking(クリプトジャッキング)がどの罪に当てはまるかを検討してみる。

cryptojackingにもいくつかのタイプがあるが、単純にサーバに侵入してコインマイナーを設置し、サーバのCPUを使って計算したとしよう。これはまさに、1980年の岡山大学計算機センターの事案と同等である。プログラムの内容が何であるかは関係なく、これらは同等である。

コインマイナーが使用したプロセスが1つのみで、負荷(タイム・シェアリング・システムとしての負荷)を大して上昇させない(CPU使用率は100%となるわけだが)ものだったならば、前掲のジュリスト鼎談で言われていたように、妨害にならないものであれば業務妨害とはとらえ難く、利益窃盗それ自体も不可罰であるわけだが、今日では、サーバに侵入した部分をとらえて、(不正アクセス禁止法違反行為を手段としたものであるならば)不正アクセス罪で処罰される。

このとき、不正指令電磁的記録供用罪にも該当するのか。当然に該当するように思ってしまう向きもあるかもしれないが、そうとも限らない論点がある。不正指令電磁的記録の罪の保護法益は、「人が電子計算機を使用するに際してその意図に……べき不正な指令を与えるものではないという電子計算機のプログラムに対する社会一般の者の信頼」にあるところ、サーバ管理者の関与がないところで勝手に見知らぬプログラムが動いていたというだけで、この意味での「信頼」が害されたと言えるのかどうかに疑義がある。

2011年の刑法改正時に公表された「いわゆるコンピュータ・ウイルスに関する罪について」と題する解説文書(参議院法務委員会の附帯決議に従って法務省が一般向けに公表したもの)、また、後にその担当者が執筆した『大コンメンタール刑法第3版第8巻』(青林書院、2014年)340頁以下を見ても、例示されている不正指令電磁的記録の具体例には、電子計算機の使用者がプログラムの実行を開始させるに際してそれを信頼して実行開始させて良いか判断に直面しているものが多い。もっとも、「アイコンのダブルクリック等の使用者の行為が必要であるか否かは問わない」との解説もあるので、そのような場合に限られないようにも思われるが、これは、Webブラウザで閲覧するだけの場合や、ワープロで文書ファイルを開いて編集中に何か別のことが起きる場合など、直接の起動を要しないという趣旨のようにも見え、全く何らの関与もしていない場合まで含めると言っているのかどうかは、はっきりしない。

例えば、サーバに侵入した犯人が計算させていたプログラムが、円周率計算のプログラムだったら、不正指令電磁的記録にも当たると言うのであろうか。少なくとも解説書にはそのような例示はない。*5

次に、Coinhiveを他人が運営するWebサイトを改竄して埋め込むタイプのcryptojackingの場合はどうか。この場合は、Webサイトを改竄したという点で、電子計算機損壊等業務妨害罪にも当たり得るところ、(不正アクセス禁止法違反行為を手段としたものであるならば)不正アクセス罪でも処罰されることになる。

このとき、不正指令電磁的記録供用罪にも該当するのかは、Webサイト訪問者のコンピュータ上での実行の話であるので、今裁判で争われている、Webサイト管理者自身が意図してCoinhiveを設置した場合における不正指令電磁的記録供用罪該当性の当否と同じということになる。

ここで注意したいのは、Webサイトを改竄したという、電子計算機損壊等業務妨害罪や不正アクセス罪の犯罪性に釣られて、Webサイト訪問者のコンピュータ上で実行されるCoinhiveの不正性を評価してはいけないということである。これらはあくまでも独立に評価すべきものである。

これら2つのタイプのcryptojackingの場合、不正指令電磁的記録の罪に問わなくともそれ以前に明らかに犯罪であるので、「あれが処罰できなくなる」といった心配は無用である。

会社のWebサイトに管理者が図利目的でCoinhiveを設置した場合

では、Webサイトの正規の編集権限を持つ者が、当該サイト運営者の期待に反して、私的な利益の目的でCoinhiveを設置した場合はどうだろうか。具体的には、会社のWebサイトに編集担当の社員がCoinhiveを設置して、得られる仮想通貨(暗号資産)を自分の懐に入れていた場合である。この場合は不正アクセス禁止法に違反しない。

ここで、そのような行為を会社は許さないであろうという前提がある。許さない理由は2つに分解でき、一つ目は、収益を懐に入れていたことであり、二つ目は会社に損害を与える危険を生じさせたという点である。

一つ目の観点では、横領罪のようでもあるが、横領も窃盗と同様に有体物が対象であり、利益横領罪というものはない。背任罪のようでもあるが、もし元々会社が会社の口座でCoinhiveを設置していたのを編集担当社員が自分の口座に差し替えていたなら、会社に財産上の損害を与えることになり、背任罪ということになりようがあるが、元々が設置されていなかった場合にはその損害がなく、設置自体が直接に会社に損害を与えるわけではない。このことは、会社のWebサイトに編集担当が勝手にアフィリエイトや広告を貼って収益を懐に入れていたといった事案と同じであろう。

二つ目の観点は、会社のWebサイトにCoinhiveが設置されたことが会社に損害を与えるというのであるが、これは、「あの会社のWebサイト、マイニングしてやがる。もう行かねえぞ。」と世間で嫌われるようになったらという仮定がある。

「マイニングしているWebサイトが嫌われる」という社会が現実にありそうかというのは、現時点では未知である。もし、昨年の段階で、大手新聞社やテレビ局がCoinhiveを導入するなど、警察が手を出せない状況で普及し始めて行った並行世界を空想すると、その後に反発が起き、「マイニングしているクソサイトの一覧」のようなものが作成されて、自ら使わないようにしたり、人に使わないように呼びかけるといった社会運動が勃発していたかもしれない。

しかし、そのような並行世界の想定でも、会社によっては「そういうのは無視しておけばいい。当社はCoinhiveで収益化していく。」という選択をするところが出てくることもあり得るだろう。その場合には、上記の「二つ目の観点」で会社に損害が生じたと言えるかは、会社の方針次第ということになる。

このように、会社のWebサイト編集担当の社員がCoinhiveを私的に設置する行為は、会社の方針次第では背任罪を構成するかもしれないが、会社の方針がそうでない場合もあり得るし、そもそも「マイニングしているWebサイトが嫌われる」社会が到来しない可能性もあり、その場合には当該社員の行為(のうち会社に対して行ったこと自体)は刑事の問題ではないということになる。

ここで、Webサイト閲覧者に対する不正指令電磁的記録の供用罪が成立するかが問題となるが、前記と同様に、今裁判で争われている事案と同じであり、会社に迷惑をかける社員の問題とは切り離して評価するべきである。

Coinhiveはこのケースのように、こういう行為に出る社員を産みやすい(収益が得られ、容易に設置でき、かつ、アフィリエイト等と異なり会社にバレにくい*6)性質があることから、「良からぬ行為を助長させてけしからん」という怒りが湧く人たちもいそうであるが、そのような感情に釣られて、「これが処罰できなくなるからCoinhive自体が犯罪」などという短絡思考をしてはいけない。

ブログパーツの提供者が後からCoinhiveを内蔵させた場合

次に、ブログパーツに埋め込む場合はどうか。この場合はcryptojackingに含まれると思われる。

ブログパーツ(Web widget)とは、facebookの「いいね」ボタンなどがそれで、facebookが提供するJavaScriptコードを各自のWebサイトに埋め込んでおくと機能するというもので、ブログパーツ提供者が信頼できる者であることを前提に成り立っている仕組みである。怪しげなブログパーツを不用意に埋め込むと、セッションハイジャックされたり、コンテンツを改ざんされたりする被害(クロスサイトスクリプティング脆弱性があるのと同等の結果)が生じ得る。

ブログパーツが普及していく段階では、信頼できるコードであるか、各設置者によりある程度の検証が行われ、悪評が立たないことによって普及が広がっていくわけであるが、ここで、そのような信頼により既に広く普及しているブログパーツがあるとする。それがある日突然、その提供者によってCoinhiveが内蔵された場合はどうだろうか。

当該ブログパーツを設置していたWebサイトからすれば、自分のサイトの評判が低下することになりかねない。前記の会社のWebサイトの場合と同じで、「マイニングしているWebサイトが嫌われる」という社会が到来していたならば、読者に「マイニングしてやがる。もう行かねえぞ。」と嫌われることになる。

嫌われることを覚悟で自サイトの収益化のためにCoinhiveを自ら設置することはあっても、収益をブログパーツ提供者に持って行かれて嫌われるだけというのは、受け入れ難いことだろう。Webサイト運営者はそういうブログパーツは撤去することになるだろうが、気づいた時点では既に嫌われて読者が離れているかもしれない。

広く普及したブログパーツであれば、全体としてかなりの収益が得られることになるから、こういう行為は横行しそうである。これは犯罪的だと感じる人が多いだろう。しかし、この場合、どの部分が違法なのだろうか。

不正指令電磁的記録の罪に該当しそうに思えるのは、この罪の保護法益である「コンピュータプログラムに対する社会的信頼」を害しているように感じられるからであろう。しかし、具体的に信頼を害されたのは、ブログパーツを埋め込んでいたWebサイト運営者の信頼であるところ、プログラムはそのWebサイト運営者に対して実行の用に供されているわけではない。それでもこの罪は成立するのだろうか。

Coinhiveはこういう犯罪的行為を助長するので、不正指令電磁的記録の罪で処罰すべきという感情を持つ人は多いだろう。しかし、この罪が成立するとするためには、実行の用に供した先をWebサイト閲覧者のコンピュータとする必要があるように思われるので、閲覧者にCoinhiveを実行させる行為の全てが犯罪であるという短絡思考につながりやすい。「これが処罰できなくなるからCoinhiveは有罪」という発想は、こういうときに出てきそうである。

もう少し精密に、このケースに供用罪を適用できないかを検討してみよう。

不正指令電磁的記録の罪の保護法益である「コンピュータプログラムに対する社会的信頼」が害されるというのは、単に危険なプログラムを作り出したり実行の用に供したという客観的危険の発生を問題にしているのではなく、意図に反する動作をさせるつもりで実行の用に供する(さらにはその目的で作成する)という行為者の主観を要する(要するに、騙しが伴う必要がある)ものであるというべき(偽造罪に並んで創設されただけに)というのが、私の意見であり、2011年の刑法改正案の国会審議の際に、参議院法務委員会で意見陳述して確認を求めた点はこれであった。それを踏まえて附帯決議に「同罪の構成要件の意義を周知徹底すること」と書き込まれた*7わけである。

このことについては、2011年7月16日の日記「不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)」の「立法趣旨の理解についてのブレ」と「バグ以外で問題となるケース」の節に書いている。これが法務省見解に採用されたかというと、避けられた感じであり、そのことを「後編」で書くつもり(で結局書いていない)であった。Coinhiveの事件化は、まさにそこが法律論上の争点となったものと考えている。(このことについては、日を改めて書く予定。)

Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟でCoinhiveを設置している場合、「一部に嫌われてもなお見に来てくれてる閲覧者がいればいい」という考えで設置しているならば、閲覧者を騙しているわけではなく、「意図に反する動作をさせるつもりで実行の用に供する」わけではないことになる。Webサイトというのはサイト運営者の庭(あるいは展示会場)であって、嫌なら来なければいい*8のである。

そのようなことが成立する社会では、Coinhiveが設置されていないWebサイトの閲覧者は、「このサイトはマイニングしないから好んで閲覧する」ということになるだろう。

そういう状況で、ブログパーツにCoinhiveが埋め込まれた場合に何が起きるか。「Coinhiveが設置されていない」からと「好んで閲覧」していた閲覧者の信頼が裏切られることになる。そして、ブログパーツ提供者がCoinhiveを埋め込むのは、そのように信頼を害することを承知で埋め込んでいるのであり、そうした閲覧者らに対する「騙し」を伴って実行の用に供しているということになろう。「Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟」しているのとは異なる。

このような意味で、この行為は不正指令電磁的記録供用罪に該当(作成罪にも該当)し得るのではないだろうか。したがって、この行為がこの罪に該当し得るからといって、「Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟でCoinhiveを設置している場合」までこの罪に当たることとなるわけではない。

ただし、これが「不正な」の要件をも満たすかはさらなる検討が必要である。CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。

なお、このような信頼を害する行為を犯罪とするなら、Coinhive以外の機能について後からブログパーツに追加する行為も同様であると言え、そのような行為はいくつか現に横行しているので、それらも処罰しなければ均衡を欠くことになる。その事例として、国内では、2012年にはてなブックマークのブログパーツに後からMicroAd社のトラッキングコードが金銭目的で追加された事案がある。

類似のパターンとして、ブログパーツ以外にも、Webブラウザの拡張機能(アドオン)や、スマホアプリの「SDK」(解析ツール等の)に後から機能追加された場合についても、同様の整理となるだろう。具体例として、イスラエルのSimilarWebが広く普及したアドオンを買収して後から履歴収集コードを追加した事案がある。これがもし犯罪であるなら、SimilarWebを利用する者たち(例として、知的財産戦略本部の「インターネット上の海賊版対策に関する検討会議第1次中間まとめ」での利用に対する批判がある。)の責任も問われる。

アプリストアの規程に違反してアプリにCoinhiveが埋め込まれた場合

2月17日に「「Microsoft Store」から8つの違法仮想通貨マイニングアプリが削除|ソフトウェア会社が発見」というニュース(CoinPost)があった。Symantecが通報してMicrosoftがMicrosoft Storeから削除したという話である。

この記事は、Coinhive自体が犯罪であるからそうなったのだと短絡思考で報道しているが、一般に、アプリストアにおいては、採録を認めるアプリの基準の規程を設けており、それに違反したアプリは排除されるのである。

この場合に不正指令電磁的記録の罪に該当し得るかを検討してみると、アプリストアの利用者は、そのアプリストアのアプリ採録基準を信頼してアプリを使用している。利用者が実際に規程を読むことがないにしても、世間の評判を前提に利用しているのであり、その世間の評判は再録基準によって造成される。

したがって、それに反するアプリを登録することは、アプリストア運営者を騙しているだけでなく、アプリストア利用者も騙しているわけであり、その意味において、前記ブログパーツの場合と同様に、「意図に反する動作をさせるつもりで実行の用に供し」ていると言え、不正指令電磁的記録供用罪に該当(作成罪にも該当)し得ると言えるだろう。(ただし、CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。 )

このようなケースを思い描いて「無罪になったらこれが処罰できなくなるじゃないか」と報じるのは、軽率である。

Symantec等のウイルス対策ソフト販売業者がこうした発見に血眼になるのが何を目的としてるのか知らないが、「ウイルス対策ソフト販売業者が指摘したもの=コンピュータウイルス」というわけではないし、刑法の不正指令電磁的記録に必ず当たるというわけでもない。

Coinhiveのサービス自体が犯罪とされる場合

しかし、最初に挙げたタイプの(本来の意味での)cryptojackingによるサイバー犯罪(不正アクセス罪や、電子計算機損壊等業務妨害罪)が近年ひどく横行しており、Coinhiveがそこで広く使われているのは事実であり、これは、Coinhiveが犯罪の収益化の手段として極めて適しているからであろう。(真っ当なセキュリティ会社がコインマイナーの犯罪事情をレポートするのはこのような観点からである。)

Coinhiveの運営者はその事実を知りながら、手数料として3割もの犯罪収益を自らの懐に入れているわけで、これらの犯罪(不正アクセス罪や、電子計算機損壊等業務妨害罪)の共犯(幇助犯)と言い得るように思われる。Coinhive運営者を摘発するという動きは、世界の動向として今のところ見えてこないが、日本の都会警察ならいかにも幇助犯として摘発するのを好みそうなどところだが、国外犯だから手が出ない*9のであろうか。

この場合に、不正指令電磁的記録作成・提供罪でも摘発できるかを検討してみると、上記で検討したいくつかのパターンにおいては、不正指令電磁的記録供用罪に該当する場合もあり得るとする余地がある(ただし、CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。)ので、そのような用途に使用されることを目的として作成・提供した(立証は難しそうではあるが)のであれば、作成・提供罪に当たる。(ただし、不正指令電磁的記録の罪には国外犯の処罰規定がない*10。)

しかし、ここで注意しなければならないのは、仮に作成罪が成立したからといって、同一の客体の使用者に対してまで供用罪が必ず成立するわけではない点である。

不正指令電磁的記録の該当性は「相対的に決まる」というのは法務省の立案担当者も認めることころ(2012年4月21日の日記「法務省担当官にウイルス罪について質問してきたパート2」参照)であり*11、善用も悪用もできるプログラムについて、作成者に悪用して使用されることの目的(確定的な)があったとして作成罪に当たるとしても、善用した人まで供用罪に当たることになるわけではないのである。

まとめ

以上のように、Coinhiveが犯罪に使用されているからといって、どの部分が犯罪であるのかを見極めれば、不正指令電磁的記録の罪にも該当するわけではないと整理されることもあるし、別の形で、不正指令電磁的記録の罪に該当し得るような「騙し」行為のある犯罪パターンがあるとしても、それとは異なる形で使用している場合までもがこの罪に当たることになるわけではないのである。

結局、Coinhiveの使用が不正指令電磁的記録の罪に当たるかは、それ自体の「反意図性」と「不正性」を独立して評価しなければならない。その際には、保護法益に照らし、保護法益を害するほどの「反意図性」があるかを評価しなければならない。この点については、昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節の後半部分で既に書いたところであるが、新たな根拠も見つかっているので、日を改めて書くこととしたい。

*1 山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)はその冒頭で次のように説明している。

刑法235条の窃盗罪以下の財産犯の規定は財産を保護法益とするが、その財産は現行法上「財物」と(財物以外の財産である)「財産上の利益」の二つの形態に分けられている。強盗(236条)、詐欺(246条)および恐喝(249条)においては、1項で財物が、2項で財産上の利益がそれぞれ保護の対象とされ、この意味では財産は包括的に保護されている(「財産上の損害」を要求するに過ぎない背任(247条)においても同様である)。これに対し、窃盗(235条)、横領(252条以下)、賍物(256条)および毀棄(258条以下)においては財物(横領等における「物」も同様である)のみが保護されている。強盗、詐欺および恐喝においても、1項と2項のいずれを適用するかを決する点において財物の意義は問題となるが、窃盗や横領等においては、財物概念が処罰の範囲を決定するという点において重要な意味を有しているのである。

*2 不正アクセス禁止法が施行される直前の1999年ごろには、インターネット接続プロバイダのアカウントのパスワードが破られて、無断で誰かの回線が課金逃れ目的で使われていた事案が横行したものの、処罰できなかった。不正アクセス禁止法はそれを可罰化して止めることができたわけである。今日でも、家庭の無線LAN(暗号化なし又は事前共有鍵方式)に他人が無断で接続してインターネット回線としてタダ乗り使用すること自体は不可罰となっていることは、比較的よく知られているところだろう。

*3 立案当初の法制審議会での議論では、スパイウェアについて言及されておらず、情報窃盗に触れられることもなかったので、立案者らはこれをカバーすることを想定していなかったのかもしれない。それが法案が棚ざらしにされて6年が経過するうちに、この必要性が認識されたようで、2011年の国会提出時にはスパイウェアも想定に入れられていた。その後の法の運用においても、スパイウェアは摘発の対象となっており、有罪判決となる事例も出ている。

*4 この点も、立案当初の法制審議会での議論では出てきていなかった。その時点から20〜10年前の刑法学のシーンで盛んに言われていた「コンピュータ無権限使用」「情報窃盗」の概念が法制審議会で全く出てきていなかったのは意外ですらある。

*5 ただし、この点についてはさらなる検討の余地がある。この罪の運用実績として、ストーカー犯罪に付随してスパイウェア的なものを他人のスマホやPCに無断インストールしたケースで有罪判決が出ている。元はと言えば、改正刑法施行直後の2011年8月に「カレログ」が登場し、テレビのワイドショーなどを賑わせた際、私自身がNHKなどにおいて「不正指令電磁的記録供用罪に当たり得る」と注意喚起したのであった。この場合に、スマホ使用者の操作を前提としていないから、その意味で前記の「使用者がプログラムの実行を開始させるに際してそれを信頼して実行開始させて良いか判断に直面」していないと言い得る。もっとも、スマホにアプリをインストールできたのは、当該スマホを犯人である彼氏等に操作させる隙を与えたからであり、その部分を捉えて保護法益が侵害されたと言うことができるかもしれない。なお、これらの事案についてこの罪への該当性に疑義を唱えた論文として、鎮目征樹「ソフトウェアの無断インストールと不正指令電磁的記録に関する罪」研修792号(誌友会研修編集部、2014年)3頁以下がある。ただ、この論文の着眼点は、作成罪が成立しないような客体が供用罪に該当し得ない(私による理解)という以前からよくある指摘によるものであり、私の以前からの立場とは異なる。

*6 とはいえ、画面表示を伴わないトラッカーの設置もこの条件を満たすので、すでにそういう行為がこれまでに横行していた可能性もある。(後述のMicroAd事例参照。)

*7 具体的には、「政府は、本法の施行に当たり、次の事項について特段の配慮をすべきである。一 不正指令電磁的記録に関する罪(刑法第19章の2)における「人の電子計算機における実行の用に供する目的」とは、単に他人の電子計算機において電磁的記録を実行する目的ではなく、人が電子計算機を使用するに際してその意図に沿うべき動作をさせない電磁的記録であるなど当該電磁的記録が不正指令電磁記録であることを認識認容しつつ実行する目的であることなど同罪の構成要件の意義を周知徹底することに努めること。また、その捜査等に当たっては、憲法の保障する表現の自由を踏まえ、ソフトウェアの開発や流通等に対して影響が生じることのないよう、適切な運用に努めること。」(平成23年6月16日参議院法務委員会議決)とされた。ただ、この周知徹底すべしとされた構成要件の意義は、私が指摘していたことの半分しか書かれていない。指摘していたのは、「目的」の解釈の話と、「実行の用に供する」の解釈の話の2つだったのだが、1つ目しか明記されていない。「など」に含まれていると読めなくもないが。

*8 昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」で書いた通り。

*9 不正アクセス罪は国外犯も処罰できる(サイバー犯罪条約により刑法4条の2「犯罪条約による国外犯」が適用される)のだが。

*10 サイバー犯罪条約による国外犯を適用できないのは、日本の不正指令電磁的記録の罪が、サイバー犯罪条約に批准するために立法されたものであるにもかかわらず、サイバー犯罪条約が求めるものを超えて対象としている(このことは、立案段階の法制審議会の部会で事務局が「条約より広い」と認めていた。)ことによるものであろうか。

*11 ただし、前掲の鎮目征樹「ソフトウェアの無断インストールと不正指令電磁的記録に関する罪」研修792号(誌友会研修編集部、2014年)3頁以下は、このような考え方を認めていない。

本日のリンク元 TrackBack(0)

2019年02月11日

改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない

先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。

最初のNHKニュースが素人の偏向報道だというのは、以下の点がである。

サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。しかし、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。

(略)

それによりますと、調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。

(略)

一方、調査では予想されるIDとパスワードを実際に入力して機器に侵入する計画で、本来は不正アクセス禁止法で禁じられている行為だけに専門家からは懸念の声もあがっています。

(略)

今回の調査は、実質的に不正アクセスと変わらない行為を行うことから、国は去年5月、情報通信研究機構の業務を定める法律を改正し、5年間に限って行うとしています。

改正された法律は去年11月に施行され、他人のIoT機器にIDとパスワードを入力するという不正アクセス禁止法で禁じられた行為について、今回の調査に限る形で認めています。

総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日

「懸念の声もあがっています。」というのが、いったい誰が言っている話なのか明らかにされていないが、「実質的に不正アクセスと変わらない行為」「本来は不正アクセス禁止法で禁じられている行為」と繰り返し書かれているのは、不正アクセス禁止法の基礎を理解していない。

工場出荷時の「ID:admin Password: admin」といった初期設定のままになっているID・パスワードは、不正アクセス禁止法の「識別符号」(2条2項)に当たらず、そのようなIoT機器は「アクセス制御機能」(2条3項)による利用の制限があるとは言えないのであり、このことが理解されていない。私にひとこと確認の電話があったなら、そう説明していただろう。

「侵入」という表現(「中に入る」の意)もよろしくない。不正アクセス禁止法が禁止している行為を住居侵入に喩える素朴な感想が昔から後を絶たないが、これらは同一視できるものではない。なぜなら、住居侵入罪における囲繞地とは違って、どこからが入ってはいけない領域なのかの区分け(そもそもどこからが「入った」と言えるのか)が、インターネットに接続された機器においては(アクセス制御機能に着目しない限り)明確にすることが困難*1だからである。アクセス制御機能によってその区分けをするしかなかったのであるから、アクセス制御機能がない機器は区分けしようがない(「侵入」の概念が成り立ち得ない)のである。

不正アクセス禁止法が制定される(1999年制定)までの経緯を辿ると、この法の趣旨が理解できる。

1980年代から、日本でも、コンピュータネットワーク(電話接続を含む)が普及したことで、遠隔操作によるコンピュータの不正使用が発生し、問題となった。1980年に、岡山大学計算機センターのコンピュータが電話回線経由でID・パスワードを破られて無断使用された事件があったが、どの犯罪類型にも該当しないとして立件されなかった。刑法は「利益窃盗」を不可罰としている*2からである。こうした事態を受けて「コンピュータ無権限使用」に刑事罰を科すべきではないかとの議論が活発となった。当時の感覚においてそれ自体は犯罪ではなかったのである*3。しかし、「無権限」をどう画定するかが難しく、結局は、アクセス制御機能(ID・パスワード)による制限を乗り越えたら違法とするアイデアが実を結び、不正アクセス禁止法の制定へと展開して行った。

つまり、不正アクセス罪は「人工的な」犯罪類型なのである*4。このことは、不正アクセス禁止法の立案担当者らによる逐条解説書においても、次のように説明されている。

不正アクセス行為の禁止、処罰の法形式について

特定の行為を処罰することとする場合、その法形式としては、「〇〇した者は、〇年以下の懲役又は〇万円以下の罰金に処する」というように特定の行為をしたものを処罰する旨規定するものと、特定の行為について一定の作為又は不作為の義務を課した上でその義務に違反した者又は義務に違反して一定の行為をした者に対して一定の刑を科す旨規定するものとがある。別の言い方をすれば、犯罪の構成要件を表示する方法として、両者の方法があることになる。前者は、刑法第二篇に定められているいわゆる刑法犯がその典型であり、その他、火炎びんの処罰等に関する法律、航空機の強奪等の処罰に関する法律等の処罰法令にみられるところである。後者は、一般の行政法規に通常みられる形態である(注二)。

両者の区分については、現行法上必ずしも明らかであるとは言い難いが、前者はいわゆる自然犯(刑事犯)を、後者はいわゆる法定犯(行政犯)を表すといわれている。これは、いわゆる自然犯は行為それ自体が法令で定めるまでもなく社会的に悪とされる行為であり、法令においては、特にその行為をしないように命ずるまでもなく、その行為を処罰する規定を設ければ足りるものであり、他方、法定犯は行為それ自体の当罰性は法令の規定による義務履行違反に求められるため、法令においては、義務を課す規定と義務違反を処罰する規定とを設けることが必要であるとの理解に基づくものであると考えられる。

このように解する場合、不正アクセス行為については、処罰することとすることが適当な行為であると認めらるにしても(略)、前法律的に反規範性を有する行為であるとまではいえないと考えられるそこで、本法においては、不正アクセス行為の処罰については、犯罪の防止及び電気通信の維持*5という本法の目的を達成するために、本条第一項において「何人も、不正アクセス行為をしてはならない」との規定を置いた上で、第八条で同項の規定に違反した者を処罰する旨の規定を置くこととし、不正アクセス罪が法定犯(行政犯)であることを明らかにしたところである。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)68頁

このように、不正アクセス行為は、行政的に禁止されているルールにすぎず、「前法律的に反規範性を有する行為であるとまではいえない」ものなのである。この法律の題名が「〇〇禁止法」となっている(「防止法」と呼び間違えられることが多いが)ことがそのことを端的に表している。

ところが、不正アクセス禁止法が運用されて20年近くが経ち、人々の間に「コンピュータの無権限使用は不正アクセス犯罪だ」との誤解が生じているように思われる。しかし、現在も、コンピュータの無権限使用自体は不可罰であり、そことは、この解説書でも以下のように説明されている。

1987(昭和62)年、コンピュータの普及に伴い、電子情報処理組織をめぐる不正行為が次第に増加しつつあったことから、この種の不正行為に対応するため、差し当たって立法的手当を要すると思われる諸点について、刑法に所用の処罰規定が新設された。その刑法の一部改正に際し、法制審議会では、‥甜的記録の改ざん(略)、電子情報処理組織に対する加害を手段とする業務妨害行為(略)、E纏匏彁撒,砲茲訃霾鷭萢によって、取引の決済、資金移動等が行われるシステムを利用した財産利得行為(略)、づ纏匸霾鷭萢組織により処理及び保存される情報の不正入手又は漏示を処罰の対象とする規定を設ける必要はないか、権限なく他人の電子情報処理組織を利用する行為を処罰の対象とする規定を設ける必要はないかの5つの問題を中心に審議が行われた経緯がある。

この5つの問題のうち、前三者については、従来の刑法の諸規定により(中略)ことから、緊急に刑法の一部改正により罰則を整備する必要があるとされた。

これに対し、後二者のうち、情報の不正入手及び漏示の問題に関しては、(中略)更に諸般の角度から検討を重ねる必要のある多くの問題が存するとして、また、いわゆるコンピュータの無権限使用に対する罰則の要否に関しては、刑法が、財物の占有移転や人に対する加害を伴わない無権限使用自体を処罰の対象としていないことから、コンピュータ以外の機器、システムの取扱いとの均衡を考慮するとともに、どのような観点から処罰の根拠、違法性の実質をとらえるべきかについて、今後なお諸般の角度から検討を要する事柄であるとして、いずれの問題についても将来の検討課題とすべきものとされた。(注一)

これらの趣旨に沿って刑法の一部改正が行われ、情報の不正入手及びコンピュータの無権限使用については、現在もなお処罰の対象とはされていないところである。(注二)

ところで、本法の規定により不正アクセス行為が処罰の対象となる結果、不正アクセス行為を手段として行われる情報の不正入手やコンピュータの無権限使用は、それぞれ不正アクセス行為の段階で処罰されることとなる。

しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記の通り、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。

したがって、本法の不正アクセス罪においては、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用することは、成立の要件ではない。また、不正アクセス行為を手段としない情報の不正入手やコンピュータの無権限使用は、本法の処罰の対象に含まれていないところである。

このように、本法における不正アクセス罪の処罰は、法制審議会で問題とされた前記の事柄とは直接の関係を有しないものと言える。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)23頁

したがって、冒頭に引用した弁護士の方のツイートにある「鍵のかかってない家が多いらしいから、国が一軒ずつドアを開けて侵入してみます」云々という批判は当たらない。家に喩えることが失当であるし、「侵入してみる」というような実質も関係しない。問題となり得るのは、あくまでも、人工的に作られたルールに違反しているかどうかだけである。

そして、IoT機器の管理者画面のパスワードが工場出荷時の初期設定のままである場合に、当該パスワードが不正アクセス禁止法の「識別符号」に該当しないというのは、以下の理由からである。

1号「識別符号」は、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」と定義されている(2条2項1号)。IoT機器の管理者画面のパスワードの場合は、管理者も「利用権者等」の一人として自分自身に対して「その内容をみだりに第三者に知らせてはならないものと」している符号ということになる。「アクセス管理者」とは、「電気通信回線に接続している電子計算機(…)の利用(…)につき当該特定電子計算機の動作を管理する者をいう」(2条1項)とされており、IoT機器の場合、その設置者ということになる。

機器の製造者は「アクセス管理者」ではない。工場出荷時の初期パスワードは機器の製造者が付与したものであり、それをそのまま放置している設置者は、その存在をも認識していない*6とすれば、「アクセス管理者」たり得ず(そもそも「動作を管理」していない)、そのパスワードも「識別符号」に当たらないことになる。

(他方、機器のそれぞれに別々の初期パスワードが工場出荷時に設定されており、機器に貼られたシールなどに記載されている場合は、その初期パスワードが機器の設置者によって変更されていない状態であっても、機器の設置者がそのパスワードを自身の管理者パスワードとして是認していると言え、当該設置者が「アクセス管理者」として付与したものと見做すことができ、この場合は「識別符号」に当たると言えよう。今回はこのようなケースについては話題にしていない。)

次に、設置者がパスワードの存在を認識していて、取扱説明書に「ID: admin Passowrd: admin」と書かれているのを見て、全機共通の工場出荷時の初期パスワードであることを知りながら、あえてそのままでよいと是認している場合には、当該設置者が「アクセス管理者」として付与したパスワードと見做すことができるかもしれないが、「第三者に知らせてはならないものとされている」の要件を満たさず、1号「識別符号」に該当しないか、又は、アクセス制御機能による制限がないということになる。このことは、前掲の逐条解説書において以下のように説明されている。

(略)アクセス管理者や利用権者の符号の管理に絶対や完璧を求め、客観的におよそ第三者が知らないことを要件とすることは現実的でない。そこで、実際に第三者に知られていないことまでは必要とせず、「第三者に知らせてはならないものとされている」ことを要件としているものである。したがって、識別符号又は識別符号の一部であるパスワードがハッカーによりホームページで公開されるなどして第三者に知られてしまっている場合もこれが識別符号であることに変わりがない。ただし、このような状態をアクセス管理者があえて放置している場合には、もはや「アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている」とは言えないと解されることがあり得る

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)44頁

識別符号であるID・パスワードがハッカー(原文まま)によりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない(略)。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用をすることができるようになっている場合には、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)61頁

このように、「識別符号」による「アクセス制御機能」というのは、単にログイン機能という技術的な仕掛けの存否によって該当の有無が決まるのではなく、不正アクセス禁止法の趣旨に立ち戻った法的評価によって該当性が決まるのである。*7

以上のことから、NICTにこの業務を実施させるためにNICT設置法を改正するに際して、本来的には、不正アクセス禁止法の読み替え規定を置く必要はなかったと言うことができる。

「不正アクセス禁止法の読み替え規定」とは、改正NICT法附則8条(業務の特例)7項の「次の表」の2つ目のことである。

7 第2項から第4項までの規定により機構の業務が行われる場合には、次の表の上欄に掲げる規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とする。

不正アクセス行為の禁止等に関する法律第2条第4項第1号
を除く
及び国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第9条の認可を受けた同条の計画に基づき同法附則第8条第2項第1号に掲げる業務に従事する者がする同条第4項第1号に規定する特定アクセス行為を除く

国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)

この規定は、不正アクセス禁止法が禁止する「不正アクセス行為」(2条4項1号)の定義から、NICTがこの法の規定に従い行う「特定アクセス行為」を除外するというものである。

NHKの報道が「実質的に不正アクセスと変わらない行為を特例的に国が行う」「本来は不正アクセス禁止法で禁じられている行為」と断じたのは、この規定を見て釣られたからだろう。このような規定を入れたばっかりに、悪目立ちしてしまった。この規定を入れずに「元々合法な行為である」で通していれば、NHKがしたような批判はできなかっただろう。

炎上を受けて、総務省はQ&Aを用意し、「このような調査は不正アクセス行為ではないのか」との問いに、「不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。」との回答を用意しているが、これでは鎮火しないだろう。

  • 国によるIoT機器”侵入”調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求める, ITmediaニュース, 2019年2月4日

    「国による事実上の不正アクセス行為では」という指摘に対しては、「NICT法の改正により、今回の調査のために行うID・パスワードの入力は不正アクセス行為から除外されている」などと回答している。

  • ABOUT NOTICE - NOTICEについて, Copyright © 2019 NOTICE SUPPORT CENTER All Rights Reserved. ()

    FAQ よくあるご質問

    問4 このような調査は不正アクセス行為ではないのか

    ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。

    NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法※において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。
    (※)NICT法附則第8条第7項に規定

なぜなら、批判は、最初のNHKの報道からあるように、「本来的に犯罪である行為を、国が行うものを特例として、犯罪でないことにしてしまうなんて、言語道断だ。法改正したらどんな犯罪も国は許されるというのか。」(NHK報道への世間の反応から要約)というものなのだから、いくら、法改正で合法にしましたと説明したところで、納得してもらえない。

元から合法な行為であることを説明するべきであるし、また、不正アクセス禁止法が、防犯のための行政が決めたルールにすぎないのだから、行政が自ら(防犯のために)ルール変更することも普通のことなのだ(国家による犯罪を犯罪でなくしたわけではない)と、そういう説明が必要なところだろう。

とはいえ、話はそう簡単ではない。元から合法な行為なら、なぜ読み替え規定で上記の「特定アクセス行為」を「不正アクセス行為」の定義から除く必要があったのか。この規定を入れずに済ますことはできなかったのか。

実は確かにここに難しいところがある。上記のように、既知の工場出荷時共通初期パスワードだけを試すのであれば、元より合法と言えるとしても、この調査は何百万ものIPアドレスに対して機械的に行うのだから、アクセス先の機器がどこの製品なのかわからないうちにパスワードを試すことになるだろう。そうすると、Aという製品の工場出荷時共通初期パスワードとして知られている「admin」を試してみたところ、実際にはアクセス先の機器はAとは別のBという製品であり、その製品の初期パスワードは「admin」ではないが、設置者がアクセス管理をしていて、たまたまパスワードを「admin」に設定していたという場合があったとすると、上記の理屈で「不正アクセスではない」とは言い難い面が出てきてしまう。もっとも、「admin」などというパスワードは、前記の「アクセス管理者があえて放置している場合」に当たるとも言えなくもないが、ならば、製品Cの既知の工場出荷時共通初期パスワードが「xn283r72」である場合に、それを試して回る際に、別の製品Dの管理者パスワードとしてたまたま「xn283r72」を設定している管理者(製品Cのことを知らず)が居ないとも限らないじゃないか、などということが言えてしまう。

そのようなほとんど起き得ないことが起きてしまうのは「故意がない」とする整理も可能かもしれないが、さすがに、国の機関が実施するとなると、そのような整理では心許ないということになるだろう。ごく稀にしか起きそうにないことが起きる事態に備えて、結局は、不正アクセス行為から除外しておく規定は必要ということになる。

つまり、この読み替え規定は、念のために置かれた程度のものであって、不正アクセス禁止法の性質を本質的に変更するものではないと言うべきであり、NHKはそれを理解するべきであった。

以上、このように…………いや、そんなふうに考えていた時期が私にもありました。実はまだまだ話はそんな単純ではないのである。

今回の騒動をきっかけに、初めてちゃんと改正NICT法を読んでみた*8ところ、「特定アクセス行為」の定義に、こんな要件が混じり込んでいたことを知った。

一 特定アクセス行為 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先とする電気通信の送信を行う行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号(当該識別符号について電気通信事業法第52条第1項又は第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)

この強調部分は、「特定アクセス行為」で入力するパスワードがどういうものかを限定しているのだが、工場出荷時共通初期パスワードが規定されているかと思いきや、そうではなく、「不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る」というのである。つまり、十分に強くないパスワードは全部対象だと言うのである。しかもその基準が、電気通信事業法52条(端末設備の接続の技術基準)に倣うというのであるから、もはや、当初目的*9と何の関係もない話になってしまっている。これは立法ミスではないのか。

その「総務省令で定める基準」がどうなったかを確認したところ、以下のように規定されていた。

(識別符号の基準)
第1条 国立研究開発法人情報通信研究機構法(平成11年法律第162号。以下「法」という。)附則第8条第4項第1号に規定する総務省令で定める識別符号の基準は、暗証符号を設定するものである場合、次の各号のいずれにも該当することとする。

一 字数8以上であること。

二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。

国立研究開発法人情報通信研究機構法附則第8条第4項第1号に規定する総務省令で定める基準及び第9条に規定する業務の実施に関する計画に関する省令

これは「満たさないものに限る」の基準であるから、NICTが入力するパスワードは、この否定、すなわち、「字数8未満であるか、又は、『これまで…サイバー攻撃のために用いられたもの……その他の容易に推測されるもの』」ということになる。「いずれにも該当」の否定は「いずれかに非該当」である点に注意したい*10。つまり、字数7以下のパスワードは全て対象!なのである。おいおいマジなのか!?

オンライン認証用のパスワードの場合*11、ランダム生成の文字列(英大小文字数字記号からなる)であれば、7文字でも十分な強度があると言える。それなのに、この省令は、7文字のパスワードはどんな内容であっても「不正アクセス行為から防御するため必要な基準」を満たさないとし、アタックするぞと言っているのである。

これではさすがに国民が反発するであろう。まさに前掲の批判の声にあった「国が一軒ずつドアを開けて侵入してみます」の様相を呈しているし、しかも、「鍵のかかってない家が多いらしいから」ではなく、「鍵のかかっている家であろうとも抉じ開けてやるぞ」という基準が規定されているのである。

これはないわー。ただ、実際にNICTがどのようなパスワードを入力するかは、「実施計画」に記載されているようであり、「附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要」によれば、「特定アクセス行為に係る識別符号の方針」には、以下のように記載されているようであり、前掲の省令1条の、2号(の否定)相当のものだけで、1号(の否定)相当のもの(7文字以下の全部とかいう)の記載はないようだ。

特定アクセス行為で入力する識別符号の方針・方針に基づき入力する識別符号

(1) 特定アクセス行為に係る識別符号の方針

  • 送信型対電気通信設備サイバー攻撃の実績のあるマルウェア(亜種含む)で利用されている識別符号
  • 同一の文字のみの暗証符号を用いているもの(1111、aaaa等)
  • 連続した文字のみの暗証符号を用いているもの(1234、abcd等)
  • 連続した文字のみを繰り返した暗証符号を用いているもの(12341234、abcdabcd等)
  • 機器の初期設定の識別符号(機器固有に識別符号が付与されていると確認されたものを除く。)

(2) (1)の方針に基づき入力する識別符号

(略)

総務省, 附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要

つまり、当初目的*12は「機器の初期設定の識別符号」を対象に行うはずだったところ、どういうわけか、法律により、不正アクセス行為に(不必要に)大穴を開けてしまったものの、実施計画では当初目的に戻して、「機器の初期設定の識別符号」に準ずるようなパスワード*13のみを対象にすることになったように見える。

今回認可された実施計画からすれば、無難なパスワードのみを用いることとされ、「元々合法な行為である」とどうにか言い得るかもしれないが、省令上は、7文字以下のパスワードはどんな内容であっても対象にできることになっているので、この点を捉えて「国が暴走する」と危険視され続けることになりかねない。それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。

とはいえ、1号を削除するわけにはいかない事情があるようにも見える。というのは、この省令で定める基準というのは、「不正アクセス行為から防御するため必要な基準として」(NICT法附則8条4項1号)であるので、1号の「字数8以上であること。」を削除してしまうと、2号のいう「これまで……サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外」であれば、5文字や4文字程度のパスワードであっても「防御するため必要な基準」として適格と言っていることになってしまう(しかも、それが電気通信事業法第52条の「端末設備の接続の技術基準」を勘案したものだということになってしまう)ので、これは都合がわるい。何らかの強いパスワードの要件を(使わなくても)省令に入れておかないといけないということだったのかもしれない。

そうであれば、これは結局、法律の立案ミスということだ。本来、著しく弱いパスワードの要件を規定すべきだったところに、十分に強いパスワードの要件を書いてしまった。後から、著しく弱いパスワードだけ実施しようとしても、省令で辻褄を合わせられなくなってしまった。どういう経緯でこういうことになったのか。本来の目的がどの範囲にあるのかの認識をちゃんと共有できていなかったか、法制局にうまく対応できなくてねじ曲がったのではないかなどなど、立法技術学的に興味深い事例といえよう。

そうではなく、本気で初めから「十分に強いパスワード」でない機器の侵入テストを無差別に行うつもりでこう立法したというのであれば、現在聞こえてくる国民の非難の声は傾聴に値するものであり、今後も延焼し続けることになるだろう。

というわけで、鎮火させるならば、なすべきことは、本来合法的な行為に限っている*14*15ことを国民に説明することであるが、総務省らが今説明していることは、検査することの意義の説明ばかりで、強制的に「理解を求める」ものになってしまっているように見える。特に、理解を求めるためのポスターが作成されたようだが、これが悪手で、「家のカギかけるよな?」「サイフ置きっぱなしにしないよな?」などと書かれており、警戒する国民らの不信感を逆撫でするものになっている。

どうしてこうなった……。誠に気の毒だ。(-人-)

*1 もし、インターネットの世界を、住居侵入罪における囲繞地のように捉えるとすれば、家庭や会社のLAN内にある機器を対象とするといったことが考えられるが、そこにある機器の一部がインターネット側に露出している場合、それは機能としてあえてインターネット側から接続できるようにしている場合と区別ができない。

*2 山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)は、その冒頭で次のように説明する。窃盗罪に「2項」(財産上の利益を客体とする利益罪)がないことから、刑法からあえて外されていることを指して「利益窃盗」の語が用いられる。

刑法235条の窃盗罪以下の財産犯の規定は財産を保護法益とするが、その財産は現行法上「財物」と(財物以外の財産である)「財産上の利益」の二つの形態に分けられている。強盗(236条)、詐欺(246条)および恐喝(249条)においては、1項で財物が、2項で財産上の利益がそれぞれ保護の対象とされ、この意味では財産は包括的に保護されている(「財産上の損害」を要求するに過ぎない背任(247条)においても同様である)。これに対し、窃盗(235条)、横領(252条以下)、賍物(256条)および毀棄(258条以下)においては財物(横領等における「物」も同様である)のみが保護されている。強盗、詐欺および恐喝においても、1項と2項のいずれを適用するかを決する点において財物の意義は問題となるが、窃盗や横領等においては、財物概念が処罰の範囲を決定するという点において重要な意味を有しているのである。

*3 南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁以下、同(二)33頁以下は、このことについて以下のように述べている。

1980年5月、マイコン・ショップの従業員が、岡山大学助教授の同大学計算機センター登録番号(ID)とパスワードを入手し、これを用いて数ヶ月の間、のべ45時間にわたり電話回線経由で同センターのコンピュータにアクセスし無断で使用していた(使用料約16万円)ことが発覚した。1981年8月、某公団職員らが、全国高等学校野球選手権大会の試合に関して、現金合計16万円余りを賭けて、いわゆる「野球トトカルチョ」と称する賭博を行い、その際、賭け金の計算処理を行う特別のプログラムを作成した上、どう公団のコンピュータを不正に使用していたことが発覚した。いずれも、コンピュータの不正使用については適用条文を欠くため立件されなかった(53)

このような利用権限のない者によるコンピュータの不正使用——マシン・タイムの盗用とも呼ばれる——は、一台のコンピュータを並行して同時に複数のユーザが利用できるタイム・シェアリング処理を用いて、本来の業務で稼働中の運転コストの高額なシステムを、不正に対価を支払わずに使用することとなる点で、ある種の「利益窃盗」とみることができる。そのため、発覚した事案のような大型のコンピュータでなくとも、勤務先のコンピュータを私的な目的で使用したり、外部から電話回線等を介して接続して使用したりする行為も含めて、処罰するためのいかなる刑罰法令も存在しなかったのである。しかし、この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべきであろう(54)

すなわち、上のコンピュータの無権限使用や、データの不正入手、データ・プログラムの消去や改ざんなどの多くの不正行為は、コンピュータ・システムへの不正な侵入(無権限のアクセス)を手段に行われるのであるから、犯罪化の要否が検討されなければならないのは、ハッキングなどの不正なアクセス行為ということになる。(略)

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁

(1) 不正アクセス禁止法制定の背景

すでに見たように、1987年改正の際、コンピュータ・システムへの不法侵入(不正アクセス)行為については、今後の検討課題として犯罪化が見送られた経緯がある。そこでは、不正アクセスは結局のところ、データの不正操作・不正入手、コンピュータの無権限使用・破壊といった諸類型の予備的手段であり、コンピュータの情報処理機能に対する実質的加害とは必ずしも言えないということが理由とされた(74)。外部からのコンピュータへのアクセス行為が管理されている状態は、未だ刑罰的保護が必要なものとは評価されなかったのである。

しかし、1990年代半ば以降のインターネットの急激な普及により状況は一変する。(略)

1987年改正以来の状況の変化が、ネットワーク外部からのコンピュータへのアクセスが管理されている状態自体を刑罰で保護すべき、との認識を導いたといってもよい。無権限のアクセスを財産犯罪等の予備的な行為とする認識(78)は、ネットワーク社会の発展段階が、適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性を認めるほどに達していなかったからにほかならない。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(二)」日本法学第78巻第3号(2013年2月)33頁

*4 この罪が刑法典に盛り込まれず、警察庁・総務省・経済産業省が所管する行政刑法によって創設されたことは、構想前段階における議論において以下のように書かれていた点が興味深い。

情報の不正取得や漏示を犯罪化する規定を刑法典の中に入れることについては、外部に強い反対があり、又人間の自然的な反倫理行為を基本として法文化している刑法の中に、新しい社会現象であるコンピュータ関連犯罪の、しかも一昨年の刑法改正で積み残された部分に関する規定を入れることについては心理的な抵抗感もあって、当委員会で刑法改正の提案をしても、法務省は積極的に取り込もうとしないのではないか。

コンピュータ情報の不正取得・漏示に関する法制的対応——検討過程の中間報告——, 情報セキュリティと法制度調査研究委員会レポート, 日本情報処理開発協会(1991年3月)

*5 原文ママ。同書第2版(立花書房, 2012年7月)では、「電気通信に関する秩序の維持」(78頁)に修正されていた。

*6 設置者が管理者画面を使っていない機器も存在し得るし、さらに、製造者も公式には認めていない裏の管理者ログイン機能が存在する機器の事例もある。

*7 このことが意外に思われるかもしれないが、こうした不正アクセス禁止法の趣旨を巡っては、20年前から度々議論になっていた。「アクセス制限されていないものは、誰でも見ることができるのだから、不正アクセスとしてはいけない。」といった論調であり、2002年には、ググっただけで名簿のCSVファイルが見つかるWebサイトがたくさん発見され、2ちゃんねるにそのURLを暴露される事案が続発したことがあり、暴露されたWebサイト管理者は「不正アクセスされた」と警察に被害を訴えたが、警視庁が「名簿を道端に置くようなもの」「法的に不正アクセスと判断できるものはない」と一蹴(中日新聞2002年7月4日朝刊「相次ぐ個人情報流出 “お寒い”企業の危機管理 警視庁『道に置くのと同じ』」)して被害届を受理しなかったという事案があった。他方、2003年にはACCS不正アクセス事件があり、これはディレクトリトラバーサル脆弱性を突いて非公開ディレクトリのファイルをブラウザで閲覧したものであったが、これが刑事事件となって東京地裁で有罪判決(控訴取り下げ確定)が出たところ、「正義の脆弱性指摘が目的であればアクセスは許されるべきである」的な声が噴出(一例としてINTERNET magazine 2004年7月号 73頁)し、「日本はこの法律のせいで脆弱性発見ができなくされた」的な声が度々出るようになった。私の見解としては、目的によって正当化することはできず、この人工的な行政ルールに違反しているか否かだけが問題となるのがこの法律であるというもので、この事件における構成要件該当性の当否は「不正アクセス行為の2つの文理解釈について」(情報ネットワーク・ローレビュー第5巻1号37頁以下, 2006)で論じた(結論は「どちらとも言い得る」)。この事件と同じ時期にIPAに脆弱性届出制度ができたが、その運用においては、違法な手段により発見されたものは受け付けないとしつつ、適法な手段による発見手段は多々あるとして、そうした適法手段による発見の実績が積まれてきていた。しかし、それでもなお、いくつかの種類の脆弱性(ディレクトリトラバーサルやSQLインジェクションなど)については、違法な手段でなければ発見できないという声があり、不正アクセス禁止法がそうした「正義の」発見を萎縮させているという主張は繰り返し耳にする状況があった。そんな折の2014年、月刊FACTAに「上場企業5割に「サイバー脆弱性」天才ハッカー「ドラゴン・タトゥーの女」のように侵入できるか。本誌のテストで愕然とする結果が出た。」(FACTA 2014年11月号)との記事が掲載され(それに対する当時の反応として「とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた?」)、さらに続いて翌月「「サイバー脆弱性」霞が関は落第 ようやく「サイバーセキュリティ基本法」が成立。だが、システム音痴の政府機関のサイトは穴だらけだ。」(FACTA 2014年12月号)との記事が出た(それに対する反応として「FACTA、今度は政府機関にサイバー攻撃を仕掛ける」)。これらはスプラウト社が行ったことが明らかにされている。スプラウト社のことはよく知らなかったが、当時、有力政治家をバックに摘発されない自信がおありなのか、これに挑戦されていたようだった。警察の捜査があったかは知らないが、摘発されてはいないようである。後にHagex氏が刺殺される全く別の事件(2018年)があり、初めてHagexこと故岡本氏のスプラウト社でのご活動の理念を知ったが、後になって思えば、「正義の」ハッカー活動を積極的に推進していきたいという強い意思が同社にあったのであろうかと思った。このように、不正アクセス禁止法で禁止されている「不正アクセス行為」というのは、単純に住居侵入に喩えることのできないものであり、素人目にパッと見「不正アクセス行為」のように感じられるものであっても、正確にはこの人工ルールに違反していない場合もあるという性質のものなのである。このFACTA事案の際に、正義の脆弱性発見行為を全て合法化せよ的な声も耳にした気がするが、そのとき私が考えたのは、「いくつかの適法な発見手段を正式に法令化するという手はあるかもな」というものだった。それと同時期、IoT機器の工場出荷時共通初期パスワードが問題になりつつあり、それを発見する行為は正当なものだという声を耳にしたような気がする。そのとき私が考えたのは、上記のように「識別符号に当らず、アクセス制御機能による利用の制限がない」ということだった。これらのことがNICT法改正に繋がっているのか無関係なのかは知らない。いずれにせよ一つ言えることは、一般の人々が発見することを正式に合法と認めて欲しいという声があったにも関わらず、できたことは、NICT法に基づき国の機関が行うことについて適法化することであった。その結果、「一般の人々が行えば違法である」という反対解釈が出て来かねない状況が生じた。このような反対解釈は誤り(本文中に書いたように必ずしも全部を違法前提として立法されたのではない)であり、改正NICT法が制定されようが一般の人々については以前と変わっておらず、「識別符号に当らず、アクセス制御機能による利用の制限がない」ものについて発見することが不正アクセス行為に当らないことは現在も変わりない。

*8 なお、私はこのNICT法改正法の立案に関して業務として一切関与していないことを付記しておく。NICTが実施するという話になって以降、何ら見てもいなかった。もし関与していたならば、ここでこのように擁護する発言を書くことはなく、沈黙するしかなかったであろう。

*9 そもそも「当初目的」などというものがあったのか知らないが。

*10 さすがにこれが、「筆者のように理系の世界から超文系な世界に来ると、「理系の常識は文系の非常識」といった事態に直面する。その中でも理系では常識とされる論理思考・論理的直感が法曹などの超文系世界では非常識とされることにしばしば驚く。」(@IT, 2004年10月)のオチではなかろうとは思うが。

*11 ファイル暗号化用の鍵としてのパスワードの場合は、概ね倍の長さが必要であるのに対して。

*12 そもそも「当初目的」などというものがあったのか知らないが。

*13 それでも、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、「元々合法な行為」と言い張るのは苦しいだろう。

*14 そうするためには、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。

*15 追記(2月15日):上2つの注釈に物言いがついたので、解説をツイートしたが、ここに改めて追記しておく。脚注13の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、」というのは、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「特定アクセス行為に係る識別符号の方針」に列挙されている2つ目、3つ目、4つ目の「同一の文字のみの暗唱符号を用いているもの(1111、aaaa等)」「連続した文字のみの暗唱符号を用いているもの(1234、abcd等)」「連続した文字のみを繰り返した暗唱符号を用いているもの(12341234、abcdabcd等)」という抽象的方針のことを言ったもの。これらの具体的な値が「過去に大規模なサイバー攻撃に用いられたID、パスワードの組合せが対象だから」というのなら、実施計画の「識別符号の方針」1つ目「送信型…サイバー攻撃の実績ある…で利用されている識別符号」に含まれるだけの話。それなのに、これらが実施計画の「識別符号の方針」に別個に記載されているのは、省令1条2号で、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の他に「同一の文字のみ又は連続した文字のみを用いたもの」を例示に入れてしまったせいだろう。これが「当初目的」を逸脱していると指摘したもの。脚注14の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。」というのも、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「識別符号の方針」から上記の「2つ目、3つ目、4つ目」を削除するべきという意味であり、なぜそうなのかは、省令1条2号の「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」は「アクセス管理者があえて放置して」いると言い得る基準となり得るのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は広すぎて基準にならないからである。「工場出荷時共通初期パスワード」(実施計画の「識別符号の方針」では「機器の初期設定の識別符号(略)」と書かれている)は、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の一部という関係にあり、本文中に書いたように、前者は元より識別符号でないものであり、後者は「このような状態をアクセス管理者があえて放置している場合」に当たり得るもの。本当にそう言えるかは後者は前者よりは弱いが、これらは法的評価の程度問題であるのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は、不正アクセス禁止法の保護対象から外れる余地が全くない(「同一の文字のみ又は連続した文字のみを用いたもの」が「保護対象から外れる余地がない」と言っているのではない点に注意。この部分は「その他の容易に推測されるもの」の例示であり、「容易に推測されるもの」が本体。)ところに問題がある。これが省令に書かれている限り「当初目的」から逸脱しているということ。その意味では、本文中で「それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。 」と書いた点は、1号を削除するだけでは足りず、2号を「機器の初期設定の識別符号(略)及びこれまで送信型対電気通信設備サイバー攻撃のために用いられたもの」という限定列挙に改正する(実施計画の「識別符号の方針」の5つ目と1つ目に合わせる)必要があると書くべきであった。

本日のリンク元 TrackBack(0)

2018年12月26日

情報法制研究4号に連載第3回の論文を書いた(パーソナルデータ保護法制の行方 その3前編)

1年前の日記「情報法制研究2号に連載第2回の論文を書いた」の最後で「次号から本題について論じていく予定」としていた続きの「第3回」を、ようやく情報法制研究4号*1に書いた。本誌はオンラインジャーナルとしても発行されており、情報法制学会のサイトにて、以下で閲覧できる。

表紙の写真 論文1ページ目の写真

今回書いたことは、4年前の「日記予定」で予告していた「パーソナルデータ保護法制の行方 その3 散在情報と処理情報」に相当する内容であり、その後も何度か「書く書く」と言っていた件である。

「書く書く」と言っていた「行方 その3」は、手元の日記の下書きフォルダを見ると、「20140906」付で書き始めて放置していた原稿がある。その書き出しは以下のようになっていた。

「宇賀先生が使う『散在情報』という言葉がある。」私が鈴木正朝先生からそう聞いたのは昨秋のことだった。初めて耳にしたときはピンと来なかったが、調べて行くうちに、探し求めていたものは初めから既に組み込まれていたことを理解した。「散在情報」の定義は文献[宇賀2013]の225頁にある。……

「探し求めていたもの」とは、個人情報保護法が本来対象とするのはデータ処理に係ることであるはずで、プライバシー権への配慮それ自体を事業者等に求める趣旨ではないはずであり、いわば「データプライバシー」などと呼んで「プライバシー」とは区別すべき何かであるはずと考えていたところ、その区別を想定しているかのような概念として「散在情報」と「処理情報」を区分する用語が既にあったという「発見」のことである。

鈴木先生からこのように聞かされた今から5年前の時点では、この用語を全く聞いたことがなかったし、鈴木先生も、宇賀先生の独自用語であるかのような口ぶりだった。宇賀本を索引から「散在情報」の語を辿って読み漁っていくと、他の本では知り得なかったことが多々書かれており、しばし貪るように読んだ。しかし、調べて行くうちに、宇賀本の記述には元ネタがあり、政府(行政管理局)の懇談会の報告書に書かれていた記載の抜粋だと気付いた。ここで、政府文書を確認することの重要性を思い知らされることとなった。そして、昭和63年法の逐条解説書を鈴木先生からお借りし、読んだところ、「初めから既に組み込まれていた」ことを理解したのであった。

しかし、それらの資料からだけでは、「個人情報ファイル」概念を完全に説明することはできなかった。いくつかのピースが足りず、そこの解釈がどうしても私の推測でしかなく、根拠を添えて言うことができなかった。それが、「行方 その3」を書くのを先延ばしにしていた理由であった。不完全な説明は、講演等で少しずつ話していたところ、翌年の法とコンピュータ学会で話したことを論文にする機会を頂き、翌々年の「法とコンピュータ」誌に書いた*2が、このときの説明も、本題に必要な要点だけを書いていたので、独自の見解にすぎないと思われたかもしれない。

それが、一昨年になって、情報法制研究所(JILIS)を設立し、その活動として、情報公開法に基づく行政文書の開示請求で法案の立案過程を分析する試みを開始したところ、開示された部内文書から、この「独自の見解」を裏付ける証拠が次々と見つかっていった。「ほらやっぱりそうだった!」と何度叫んだかわからない。

「情報法制研究」誌に連載を持たせて頂いたのは、それらを出し切ることにあった。とはいえ、情報公開で開示される文書は、分量が多く、開示決定までに半年前後かかるものも少なくなく、連載の執筆は、到着した分の開示資料でわかることから書いていくという、走りながら書くスタイルとなった。それが今回、ちょうどギリギリ間に合って欠けていたピースが揃い、「行方 その3」で言いたかったことの完全な説明が可能となったのである。

以下にその目次を示す。内容は、見出しの通り、大きく2つであり、個人情報ファイル概念の説明(「行方 その3」に相当)と、容易照合性の説明である。容易照合性の説明は、提供元基準(「行方 その2」で書いていた)の根拠を示しただけでなく、「容易に照合することができ」と「照合することができ」の違いについても根拠を示して説明できた。さらに、「行方 その20」の脚注6」で「また書く予定」と予告していた「散在情報的照合性 vs 処理情報的照合性 説」の件も根拠を示して説明することができた。

  • I. はじめに
  • II. 浮き彫りになった論点(以上・第1号)
  • III. 残された課題(以上・第2号)
  • IV. 個人情報ファイル概念と容易照合性(本号)
    • 1. 本章の概要
    • 2. 個人情報ファイルとは何か
    • 3. 散在情報の概念
      • (1) 研究会報告書による定義
      • (2) マニュアル処理情報とマニュアル情報
      • (3) 散在情報の具体例
      • (4) 入力帳票は散在情報か
      • (5) プロファイリングとの関係
    • 4. 検索性と体系性
      • (1) 「体系的に構成した」への批判
      • (2) 検索エンジンの該当性
      • (3) 個人情報ファイルと個人情報データベース等
      • (4) 検索とは何か
    • 5. 提供元基準と容易照合性
      • (1) 国会での説明
      • (2) 立案の経緯
      • (3) 内閣法制局の予備審査
      • (4) 各省との法令協議
    • 6. 処理情報の照合と散在情報の照合
      • (1) 行政機関個人情報保護法での定義
      • (2) 情報公開法での定義
      • (3) 処理情報的照合と散在情報的照合の2層構造
    • 7. 小括
  • V. 個人に関する情報と非個人情報性(以下・次号)
  • VI. 匿名加工情報と自治体条例
  • VII〜(表題未定)(次々号以降予定)

しかし、今回もページ数を使いすぎており、「行方 その3」で言いたかったことの半分と、「散在情報的照合性 vs 処理情報的照合性 説」の半分を、次号に先送りすることになってしまった。これらに加えて、4年前の「日記予定」で予告していた「行方 その4 特定の個人を識別するとは」で書くつもりだったことも合わせて次号に書くことにした。材料はすでに揃っているので、今から書くところである。

なお、こうした、情報公開制度を活用した法案の立案過程の分析という研究手法自体を紹介する報告を、「JILISレポート」として書いた。以下のJILISのサイトで閲覧できる。

その目次は以下である。

  1. はじめに
  2. 分析の視点と目的
  3. 開示請求した文書
  4. 内閣法制局保有の法令案審議録
  5. 立案当局保有の法制局審査資料
  6. 立案当局保有のその他資料
  7. ファイル管理簿に登録のない文書
  8. 開示文書を読み解く際の注意点
  9. 不開示部分の状況
  10. おわりに

「7.ファイル管理簿に登録のない文書」に書いたように、未だ存在が確認されていない肝心の文書が未開示であり、次々号以降で書きたい基本法(個人情報保護法)の立案経緯(法とコンピュータNo.34で書いていた本題の件)の根拠材料がまだ揃っていない。はたして次々号の原稿締切に間に合うだろうか。

ところで、このJILISレポートの刊行前日に、情報法制学会第2回研究大会で「JILIS報告」として、この内容を報告させていただいたところ、元役人の方々と現役の役人の方々が何名も会場にいらしており、本業の方々を前にしてこのような話をするのは甚だ恐縮であったが、報告を終えた後で貴重なコメントを頂くことができた。

ここで示した「内閣法制局保有の法令案審議録」には、手書きのコメントがあり、これを誰が書いたものと考えるのか、私の理解が間違っていたことがわかった。1年半前に書いた「匿名加工情報は何でないか・後編(保護法改正はどうなった その7)」においても、この法令案審議録の手書きコメントに言及しており、「こうした手書きメモは、法制局側から出た意見を立案省庁側(この場合は内閣官房IT総合戦略室)がメモしたもので」と書いていたが、この手書きコメントは、法制局参事官が書いたものなのかもしれない。「同じことが繰り返し書かれていることから、そうとうガミガミ・クドクドと指摘されたのではなかろうか。」と書いた件も、法制局参事官が法制局長官から指摘されたことを書いたメモではないかと、今になってみればそう理解でき、「法令案審議録」という文書名も腑に落ちる。

このことについては、翌日のJILISレポートには反映しきれなかったが、さらなる取材を試みて、いずれまた続編を書こうと思う。

*1 本来は半年前の3号に書くはずだったところ、「本務先の降って湧いた業務が火の車」の影響で延期になっていたもの。しかし、おかげで、その半年の間に新たな開示資料(行政文書の開示請求をしていた)が到着したことで、より明確な根拠を示すことができ、結果的にラッキーだったとも言える。

*2 2016年8月23日の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」の件。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|
追記