追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 34   昨日: 1155

2022年04月01日

個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解される

先日ようやく公開した「Cafe JILIS」のインタビュー記事は、9万字ほどの長文にも関わらず、おかげさまで、想定を超えて多くの読者に刺さったようだ。未だ研究当事者界隈からの反応は薄いものの、役所の偉い方々や業界の職業人の方々には届いている様子で、一般の方からも「目から滝のように鱗が」といった感想を頂くなど、一回読切の構成にした思惑通りであった。早速マスコミからも問い合わせが来ているので、これから大々的にこの方向性を打ち出していくことになるだろう。なぜ今「緊急で」だったのかは最後で述べている。情報公開学派・プライバシー学派との訣別の時来たれりなのである。

内容はこれで完結しているので、改めて加えることはほとんどないが、何箇所か、「既に書いたことなので」として省略したところがあった。そのうちの一つである以下のところ、……

なお、この達増の質問に、政府参考人の藤井昭夫内閣官房内閣審議官は次のように答弁しています。「あくまで基本原則の部分については、そういった効果というのは努力義務でございますし、5章の方は、先ほど来御指摘のような、IT処理される個人データということでございます。」と。「5章」というのは旧法案の5章で、現行法の4章のことです。つまり、個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象と言っていますね。ここ、重要なところです。ちゃんと「処理」の言葉を用いていますね。

—— おや?現行法4章は、15条から18条までは「個人データ」ではなく「個人情報」が対象なんじゃないんですか?

高木: そこですよ問題は。話が長くなるので今日はその話は省略します。内閣法制局の横槍でおかしくなったんだろうと推察していますが、詳しくは前出の「法とコンピュータ」34号69頁あたりから書いてあります。いずれにせよ、立案当局の政府参考人が4章の義務は「IT処理される個人データ」だと答弁して成立した法律なんですから、そう解釈すべきですよ。あ、マニュアル処理情報が「IT」かは疑問ですが、そこは目を瞑りましょう(笑)。

……この件について、実は、現行法のままでもそのように解釈できるという独自の新解釈がある。まだチラッとしか公言していなかった*1のだが、このところ、本気でその通りだと思えてきたので、4月1日という改正個人情報保護法施行日の今日を記念して書き留めておくこととしたい。

***

まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。


(定義)
第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(……)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

2 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(略)

5 この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

6 この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

7 この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。


これら4つは同じ構造をしていることがわかる。すなわち、「X情報」なる概念があって、それを含む情報の集合物であって特定のそれを電子計算機を用いて検索することができるように体系的に構成したものその他政令で定めるものを「X情報データベース等」と呼び、「X情報データベース等」を事業の用に供している者が「X情報取扱事業者」である。

「〇〇情報取扱事業者」の種別がこうも増えてくると、「当社は〇〇情報取扱事業者であろうか?」といった問いはほとんど意味をなさなくなってくる。平成27年改正より前では、5000件要件があったため、自社が個人情報取扱事業者であるか否かという問いには大きな意味があったが、平成27年改正でその要件もなくなり、今やどんな事業を行う者も個人情報取扱事業者であるから、そこを問う意味はなくなった。

となると、この用語は何のためにあるのか。それは単に、義務規定の「名宛人」にすぎない。日本法は、「X情報取扱事業者は、X情報を、Pしてはならない。」とか、「X情報取扱事業者は、X情報を、Qするときは、Rしなければならない。」といったスタイルの規定の羅列で成り立っている。

つまり、「Pしてはならない」という禁止規定を設けようとすると、義務対象の客体が「X情報」であれば、自動的に「X情報取扱事業者」が義務対象の主体として名宛人となるわけである。*2

したがって、「当社は仮名加工情報取扱事業者であろうか?」とか「当社は個人関連情報取扱事業者であろうか?」ということを気にする意味はほとんどない。気にすべきは、「仮名加工情報(仮名加工情報データベース等を構成するものに限る)」を取り扱うことがあるか否かであり、取り扱うことがあるならば、取り扱う際に義務規定において「仮名加工情報取扱事業者」に該当することになるというだけの話である。

さて、ここで興味深いのが、令和2年改正後に初めて現れることとなった「仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)」(41条3項)というフレーズである。「ガイドライン(仮名加工情報・匿名加工情報編)」では、「個人情報取扱事業者である仮名加工情報取扱事業者」というフレーズになっている。これはどのような意味であろうか?

おそらく、これまでの通説的解釈をしている人からすれば、ほとんどの事業者は(何かしらの個人情報データベース等を事業の用に供しているので)「個人情報取扱事業者」に該当するのであるから、したがって「個人情報取扱事業者である仮名加工情報取扱事業者」なる概念は単に「仮名加工情報取扱事業者」と違わないものだ(A解釈)と解釈するはずである。

しかし、これはそういう意味ではない。「個人情報取扱事業者である仮名加工情報取扱事業者」が名宛人になっている義務規定では、客体が必ず「個人情報である仮名加工情報」となっており、それに連動して名宛人が自動的に決まっているだけなのだ。

ここで「え?そんなバカな!」とプログラマーなら思うはずだ。一般に「法律のコードとコンピュータプログラムのコードは似ている」などと言われるが、このような捻れは、コンピュータプログラムではあり得ないことだ。概念の定義に失敗しており、意図したものとは別物になっている。それが法律の世界では、このような捻れが平然と許され、パブコメ回答や国会答弁は「一般的に現状の記述で御理解いただけるものと考えます。」となるわけである。

いや、ところが、そうでもないのである。私はこの規定ぶりを見た2年ほど前から、「いや、おかしくないぞ?」という理解に達した。それはどういうことなのか、というのが本題であり、以下である。

この「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである。

したがって、「X情報データベース等a」を事業の用に供する「X情報取扱事業者a」と、別の「X情報データベース等b」を事業の用に供する「X情報取扱事業者b」とは区別されるのであり、「X情報取扱事業者は、X情報について、Rしなければならない」という規定は、「X情報取扱事業者aは、X情報a1,2,3,…(X情報データベース等aの要素)について、Rしなければならない」とは解されるが、「X情報取扱事業者bは、X情報a1,2,3,…について、Rしなければならない」とまでは言っていないと解する(B解釈)ことになる。(実際、このように解釈しないと、仮名加工や匿名加工の規定を破綻なく説明できない*3。)

そうすると、このように解するならば、「個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報について、Rしなければならない」という規定は、次のように解することになる。

すなわち、まず、「個人情報である仮名加工情報」とのフレーズは、ある一つの要素について、それが個人情報に該当するし仮名加工情報にも該当するという状況を前提としているのだから、同一の客体である「個人情報データベース等a」兼「仮名加工情報データベース等a」の各要素である「個人情報a1,2,3,…」兼「仮名加工情報a1,2,3,…」のことを指している。したがって、「個人情報取扱事業者である仮名加工情報取扱事業者」とのフレーズも、「個人情報取扱事業者aである仮名加工情報取扱事業者a」と解することになる。それゆえ、これは「個人情報取扱事業者bである仮名加工情報取扱事業者a」を指すわけではない。なので前記のA解釈は誤りである——ということになるのである。

このような解釈(B解釈)は、平成27年改正の前では不可能だった。なぜなら、5000件要件は、ある一つの「個人情報データベース等」の本人の数を指しているのではなく、当該事業者が保有している全「個人情報データベース等」の本人の数の合計値であり、すなわち、個々の「個人情報データベース等」毎に個別に規制の有無を線引きする要件なのではなく、事業者が扱う全体の規模で線引きするものだった。それゆえ、例えば、作業服小売業の会社が、顔識別カメラで顧客データベースを構築し始めた際に、5000件を超えない「個人情報データベース等」であるから個人情報保護法の適用外だと主張しても、その会社の従業員数が5000人を超えていれば個人情報取扱事業者に該当し、5000件に満たない小さな顧客データベースにも個人情報保護法の義務は適用されると解されていた。(すなわち、従業員DBである「個人情報データベース等b」の存在によって、顧客DBに係る義務規定の名宛人である「個人情報取扱事業者a」の該当性が左右される解釈(A解釈)がなされていた。)

それが、平成27年改正で5000件要件が撤廃されたことから、そのような解釈(A解釈)を採る必要がなくなった。それと同時に、匿名加工情報の制度が創設されたことで、A解釈では説明がつかなくなり、B解釈を前提としていると解することで合理的に説明できる状況が生まれた。それがさらに、令和2年改正で「X情報取扱事業者」が4つに増えたことで、そのような合理的解釈が前提であることの確からしさが高まった。*4

そして、このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。

このように解釈すると、前掲の、2002年の国会で藤井昭夫内閣官房内閣審議官が「個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象」である旨の答弁をしたことは、現行法の条文上も辻褄が合っているのである。これが立法時から意図してのことなのかは定かでない*5が、少なくとも結果として、現在ではそうなっていると言えよう*6

「個人情報取扱事業者a」の義務対象の客体が、22条(令和3年改正後)以降では「個人データa1,2,3,…」であるのに対して、17条乃至21条(令和3年改正後)では「個人情報a1,2,3,…」となっていることの理由は、「個人情報a1,2,3,…」以外の「個人情報」までもを対象とする意図があるわけではなく、上の4つ目のtweetで引用した部分の記載にある通り、単に、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる。」という、法制執務上の法技術的な法制局の拘りにすぎない。(法目的の観点から言えばこのように区別する理由は立たない。)

つまり、個人情報取扱事業者aの義務対象であるところの(「個人データ」でない)「個人情報a1,2,3,…」とは、「いずれ個人情報データベース等aに記録され個人データa1,2,3,…となるもの」を言うのである。これは、EU法における「This Regulation applies to the processing of … personal data which form part of a filing system or are intended to form part of a filing system」(GDPR 2条1項)と同じことである。

***

いかがでしたか? おわかりいただけただろうか。

*1 去年か一昨年の、PFCだったか、JILISのTFミーティングだったかで、少し述べて、板倉先生から「そこまで言いますか」とツッコミを受けた記憶がある。意図は伝わったのだろうとは思った。それから昨年9月に一度、この説をtweetしている。

*2 これとは対照的に、公的部門では、名宛人は全て「行政機関等」又は「行政機関の長等」であり、客体の種別毎に名宛人を合わせるという規定スタイルを採っていない。なぜこの違いが生じているのだろうか。

*3 例えば、匿名加工情報の加工基準を示す施行規則34条(令和3年改正後)は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」としているが、これは、「個人情報aiに含まれる記述等と当該個人情報aiを含む個人情報データベース等aを構成する他の個人情報aj(j≠i)に含まれる記述等との差異その他の当該個人情報データベース等aの性質を勘案し」と解釈するほかなく、個人情報b1,2,3,…はこの規定に関係しないし、どの「個人情報データベース等x」にも関係しない裸の「個人情報」も関係しない。

*4 「X情報データベース等」の単位についても、解釈の変遷がある。平成27年改正前では、「個人情報データベース等」は事業者に1個と観念されるものと解されていた。それは5000件要件の数え方とも連動していたが、別の理由として、公的部門のように「個人情報ファイル」単位で利用目的を特定する義務を課すのは、民間においては酷だとの理由で、どんぶり勘定を許す緩い規制とするための配慮があった。それが平成27年改正で「匿名加工情報データベース等」が導入されると、「事業者に1個」と解することはできなくなった。匿名加工情報は、その加工方法の基準からしても、1つのテーブル(すなわち、公的部門の「個人情報ファイル」に相当する)を加工元として前提とするしか考えられないわけで、平成27年改正前までの「どんぶり勘定」の「X情報データベース等」の解釈には無理が生じた。平成27年改正で、「匿名加工情報データベース等」ではなく「匿名加工情報ファイル」と規定する道はあっただろうが、民間部門での統一性を重視してなのか、どのような理由かは定かでないが、「匿名加工情報データベース等」と規定された。そうすると、もはや平成27年改正後では、「X情報データベース等」の単位は「事業者で1個」ではなくなっているのであり、「個人情報ファイル」と同一概念となっているのか、あるいは、「個人情報ファイル」と同一概念と解することもできれば「事業者で1個」と解することもできるという概念に変遷しているのかもしれない。さらには、単純に「「X情報データベース等」は「X情報ファイル」の集合物である」という解釈が妥当となっているのかもしれない。

*5 そのように意図したところがあったとしても、他方では「どんぶり勘定」や5000件要件のための「事業者で1個」概念とする必要があって、混乱していたということであろう。その混乱を知っていて平成27年改正でその解決を図ったのか、それとも単に結果的にそうなったにすぎないのか、この点は未解明である。

*6 もっとも、これに矛盾した規定やガイドライン解説が多々ある。例えばこのtweetで示したもの。それは主に平成27年改正時に生じた。平成27年改正に際しては有識者も立案担当者も法制局も大いに混乱したということであろう。今ではその混乱は収まりつつあるものと信じたいところだが、平成27年改正までにそのような混乱に陥っていた原因は、それまでの識者がこのような図を解説書に載せ、多くの人がそれに引きずられた結果であろう。

本日のリンク元 TrackBack(0)

2022年01月19日

不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える

Coinhive事件の上告審判決言渡しが明日に迫ってきた。私としては、昨年4月のL&T91*1で自説を述べたところである。言いたいことは書き切ったのだったが、読み返してみると、紙幅の都合でギシギシに詰めてロジックを書き込んだため、いささか意味を理解されにくい箇所があるところに悔いが残った。どこかに補足を書いておきたいと思っていたのだが、本業に勤しんでいるうちにとうとう直前になってしまった。もはや書いても判決には何ら影響しないが、判決前のうちに書いてしまっておきたい。

私見の要旨

L&T91で述べた私の見解の根幹は、改めて要約(説明の順番を入れ替え単純化するなどして要約)すると以下の通りである。

一審判決が、「意図に反する動作」該当性(反意図性)を肯定し「不正な」該当性(不正性)を否定して無罪としたものであったところ、反意図性の評価において、「コンピュータプログラムに対する社会的信頼を害する」かという、この罪の保護法益の観点からの「規範的判断」が含まれていなかったことから、規範的判断をすれば反意図性も否定されるのではないか*2との見解を、前稿(L&T85*3)で指摘していたところ、控訴審判決は、同様の指摘をして、「原判決は、反意図性の判断を、もっぱら本件プログラムの機能の認識可能性を基準に判断し、本件プログラムの機能の内容そのものを踏まえた規範的な検討をしていないように解される」として、「刑法168条の2第1項の解釈を誤」ったものとした。

その上で、控訴審判決は、反意図性を規範的に評価しなおして、「使用者が、機能を認識しないまま当該プログラムを使用することを許容していないと規範的に評価できる場合に反意図性を肯定すべき」との判断手法により、「このようなプログラムの使用を一般的なプログラム使用者として想定される者が許容しないことは明らか」と判示して、反意図性を肯定したのであった。その理由は4点*4挙げられているが、それらの理由では、どんなWebサイトも該当してしまいそうであることから、多くの心配の声が挙がったように、犯罪行為と正当行為の弁別ができていない判決となってしまったところに問題がある。

控訴審判決がこのようになってしまったのは、「動作」と「機能」の概念を混同したのが原因である。刑法の条文は「動作」の語で規定されているのに、控訴審判決では「動作」の語が使われておらず「機能」の語で通されている。例えば、判決文中の、「一般的な電子計算機の使用者は、電子計算機の使用にあたり、実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラムが、電子計算機の使用に付随して実行されることは許容しているといえるから、一般的なプログラム使用者が事前に機能を認識した上で実行することが予定されていないプログラムについては、そのような点だけから反意図性を肯定すべきではなく、そのプログラムの機能の内容そのものを踏まえ、一般的なプログラム使用者が、機能を認識しないまま当該プログラムを使用することを許容していないと規範的に評価できる場合に反意図性を肯定すべきである。」との文に、「動作」の語は使われていない。

どこから「機能」の語が出てきたのか。一審と控訴審が拠り所としたと考えらえる大コンメンタール刑法*5(大コメ)の解説文中に「機能」の語が出てくるため、これに引き摺られたものと考えられる。しかし、大コメは、「機能」と「動作」の語を使い分けており、「意図に反する機能」という表現はなく、あくまでも「意図に反する動作」である。

では、大コメは「機能」の語をどのように用いているのか。これは、一般に使用者はプログラムの動作をすべて把握できるわけではないのに「意図に反する動作」とはどのような意味なのかが問われる(これは、立案時の法制審議会の部会でも質問と回答があった)ところ、「基本的な動作については当然認識しているもの」の、そうでない部分があるとしても、機能の説明があることによって、「仮に使用者がこのような機能を現実には認識していなくても」、動作が意図に反するものとならない場合があることを説明する部分においてである。(この辺がおそらくわかりにくい)

つまり、「機能」の話が出てくるのは、「動作」それ自体からでは反意図性を評価できないような場合(「基本的な動作については当然認識している」だけでは済まない場合)に「機能」が参考にされるとの説明においてであって、逆に言えば、「動作」それ自体で反意図性を判断できる場合には「機能」を検討するまでもないのである。

前者の例は、大コメにも書かれている「ハードディスク内のファイルを全て消去するプログラム」の例である。ファイルを消去するという「動作」をするプログラムの場合は、動作そのものを捉えて「プログラムに対する社会の信頼を害するか否か」を判断することはできず、「機能の内容や機能に関する説明内容、想定される利用方法等」から判断するほかないわけである。それに対し、そのような「機能からの判断」を要しない、「基本的な動作については当然認識しているもの」とされる「動作」のみからなるプログラムも存在するし、逆に、「動作」のみでウイルスと即断できるものもあるわけである。大コメが「機能」の語を用いるのは、そういうことを言っているだけであって、「機能」の許容性を反意図性の判断基準とするなどとは言っていないのである。

したがって、判決文は「実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラム」(前掲下線部)と書いているけども、これは「実行されるプログラムの全ての動作を認識しているわけではないものの、特に問題のない動作のプログラム」を想定するべきである。

この点、L&T85では、「『意図に反する動作』か否かの区別は、プログラムの使用目的によって判断されるものではなく、指令の挙動のみによって判断されるべきもの」と指摘していたが、改めて言い換えると、プログラムに対する社会の信頼を害するのは「意図に反する機能」ではなく「意図に反する動作」であるということである。

それなのに、控訴審判決は「動作」の許容性ではなく「機能」の許容性によって判断してしまっている。前掲下線部の「実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラムが、電子計算機の使用に付随して実行されることは許容している」との文は、本来は「実行されるプログラムの全ての動作を認識しているわけではないものの、特に問題のない動作のプログラムが、電子計算機の使用に付随して実行されることは許容している」と言うべきものである。

ここで「機能」と「動作」の違いは何か。L&T85では、一般に、プログラムの仕様を説明するには抽象度の高いレベルから低いレベルまで多様な見方ができ、「仮想通貨の採掘作業」(マイニング)と説明するのは高レベルな見方、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」と説明するのは低レベルな見方であると述べたが、改めて言い換えれば、前者はプログラムの「機能」のことであり、後者こそがプログラムの「動作」である。

Coinhiveにおける「動作」は、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」あるいは「CPUがある程度使用されること(多少の通信をサーバと行うことも含め)」を指すと言うべきであり、L&T85で指摘していたように、このような動作は、ウェブブラウザを使ってどこかのウェブサイトを訪れる限りはそれに随伴するものであり、ウェブブラウザの利用者がそのことにつき一般に認識すべきことである。つまり、Coinhiveは、前記下線部の、「基本的な動作については当然認識しているもの」とされる「動作」のみからなるプログラムに当たるのではないか。

控訴審判決の反意図性を肯定する理由(前掲の(1)〜(4))から、機能(あるいは用途、目的)に対する評価を排して、動作に対する評価に絞ると、(1)閲覧に必要なものでない点と(4)無断で電子計算機の機能を提供させて利益を得ようとする点のみが残る。このような場合を罪とするのは、利益窃盗*6を可罰化するもの(プログラムを実行の用に供するとの手段によるものに限って、社会的法益の形に転換して)ということになるが、刑法平成23年改正に際して、法制審議会でも国会でもそのような議論はなされておらず、そのような趣旨は想定されていなかったはずではないか。

結局、控訴審判決は、反意図性を規範的に判断する際のプログラムに対する社会の信頼を害するか否かの評価を、「そのプログラムの機能の内容そのものを踏まえ」(前掲下線部)て、「許容していないと規範的に評価」したため、マイニングという機能の総体(用途、目的まで含む)それ自体について真正面から規範的判断を迫られることとなって、「閲覧者には利益がもたらされない」ことを理由の中心に据えて「許容しないことは明らか」とする、いわば「Coinhiveだから違法」としか言っていない同語反復的判断になってしまった。

その点、「動作」を評価することとすれば、一般的にどのような動作がプログラムに対する社会の信頼を害するかを客観的に弁別することができるように思われる。しかし、その弁別の基準は、条文上何らのヒントもなく、立案担当者解説もその類の要件を何ら示していないだけに、もとより(立法時点から)、記述されざる構成要件要素として判例により確立させていくほかなかった(言われていた*7)のである。

従前より、不正指令電磁的記録の処罰範囲をサイバー犯罪条約6条が求める範囲に限るべきとする見解が散見されるが、刑法改正の立案段階から、条約の範囲を超えた立法とされているだけに、立法的解決なしには困難と考えられてきた。しかし、岡部説*8が、現行法も「条約6条1項(a)(i)に匹敵する処罰範囲を備える犯罪類型群として不正指令電磁的記録関連罪を創設したものと考えられる」とし、「使用者の意図に反して、条約2条乃至5条に相当する実害を惹起するような動作(不動作)に至らしめるべきものではないということについての社会一般の者の信頼を保護しているものと解される」とする説は、「意図に反する動作」の隠れた構成要件を炙り出す有力な説となるのではないか。

控訴審判決が、「賛否が分かれていること」は社会的許容性を「むしろ否定する方向に働く」としたことは、当初は驚きを禁じ得なかったが、判決文をよく読むと、判決がそのように説示しているのは、不正性を否定する(例外適用事由としての)社会的許容性についてであって、例外適用事由なら確かにそう言えそうであるが、判決は、反意図性の判断要素として賛否が分かれていることは単に検討していない状況となっている。反意図性の評価においてこそ、賛否が分かれていることを加味するべきである。

しかも、賛否は「機能」に対してではなく、「動作」に対しての賛否である。本件でいえば、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」あるいは「CPUがある程度使用されること(多少の通信をサーバと行うことも含め)」が閲覧者の同意なく実行されることの賛否である。

その点、警察庁が、事件が表沙汰になった直後に、「ウェブサイトの閲覧者の皆さまへ」と題して「ブラウザを閉じ、同サイトへのアクセスを控えてください」と警告していた件が参考になる。CPUが使われるだけであるなら、アクセスを控える理由などないし、ましてやブラウザを閉じよと指図される謂れもない。Coinhive設置サイトを見に行っても、そのこと自体は何ら問題がないわけである。つまり、真に「アクセスを控える」必要があるような「動作」をさせるもの(実験用の仮想環境を用意したり、不都合な通信をブロックしておくなど、対策を施してからでなければ見に行けないようなもの)である場合に限り、プログラムに対する社会の信頼を害する「意図に反する動作」をさせる指令と解することが妥当といえるのではないか。

補足1: 大コメが言う「機能」と「動作」の関係、「規範的に判断」の意義

前記で「(この辺がおそらくわかりにくい)」とした部分、これは大コメの原文の全体を見ないとわかりにくい。以下に該当部分を引用する。

(3)「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」  不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、あるプログラムの使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」(ここにいう「動作」とは、電子計算機の機械としての働き、すなわち電子計算機が情報処理のために行う入出力、演算等の働きをいう(米澤・前掲102頁))ものであるか否かが問題となる場合における、その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきであると考えられる。 すなわち、その「意図」については、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。

したがって、例えば、市販されているソフトウェアの場合、電子計算機の使用者は、そのプログラムの指令によって電子計算機が行う基本的な動作については当然認識しているものと考えられる上、それ以外の詳細な機能についても、使用説明書等に記載されるなどして、通常、使用者が認識し得るようになっているのであるから、そのような場合に、仮に使用者がこのような機能を現実には認識していなくても、そのプログラムによる電子計算機の動作は、「使用者の意図に反する動作」には当たらないこととなる。

他方、フリーソフトの中には、使用説明書が付されていないものもあり得るが、その場合であっても、当該ソフトウェアの機能は、その名称や公開されているサイト上での説明等により、通常、使用者が認識し得るようになっていることから、使用説明書が付されていないというだけで、「使用者の意図に反する動作」に当たることとなるわけではない。

また、いわゆるポップアップ広告(……)についても、通常、インターネットの利用に随伴するものであることに鑑みると、そのようなものとして一般に認識すべきと考えられることから、基本的に、「意図に反する動作」には当たらないと考えられる。

(4)(略)

(5) 若干の具体例と基本的な考え方  ……例えば、ハードディスク内のファイルをすべて消去するプログラムが、その機能を適切に説明した上で公開されるなどしており、ハードディスク内のファイルをすべて消去するという動作が使用者の「意図に反する」ものでないのであれば、処罰対象とならない。 他方、そのプログラムを、行政機関からの通知文書であるかのように装って、その旨の虚偽の説明を付すとともに、アイコンも偽装するなどして、事情を知らない第三者に電子メールで送り付け、その旨誤信させて実行させ、ハードディスク内のファイルをすべて消去させたというような場合には、そのプログラムの動作は、使用者の「意図に反する」「不正な」ものに当たり、不正指令電磁的記録として処罰対象となり得ると考えられる。

大塚仁ほか編『大コンメンタール刑法〔第三版〕第8巻』(吉田雅之)345頁、347頁

まず、「動作」の語義については、昭和62年刑法改正時の立案担当者解説を参照して、電子計算機損壊等業務妨害罪(234条の2)における「動作」と同じく、「電子計算機の機械としての働き、すなわち電子計算機が情報処理のために行う入出力、演算等の働き」とされている。

そして「機能」については、やはりこのように、機能そのものの許容性を言っているわけではなく、前記の通りである。控訴審判決は「そのプログラムの機能の内容そのものを踏まえ」(前掲下線部)と言っているが、大コメは「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して」と言っていて、それはあくまでも「動作」が使用者の意図に反する事態となっていないかの前提要素であり、機能そのもので判断するとは言っていないのである。

この解説文は、いささか誤読に無警戒な文章であったのかもしれない。「その機能につき一般に認識すべきと考えられるところを基準として規範的に判断する」の部分だけ取り出すと、違う意味に誤解してしまいやすいのではないか。

この点は、他の評釈者にも誤解があるように見受けられた。L&T91注28で以下のように書いたが、何を言わんとしているのか、意味がわかりにくかったのではないかと悔いが残っていたので、少し補足しておきたい。

29) なお、白鳥は、この記述の前(214頁)で「原判決もその旨判示しており、本判決も同様の考え方に立っている」と述べており、これは、大コンメにおいて反意図性が「規範的に判断するものとされている」ことについて述べたもので、前記の批判(前掲注27の参照元)と矛盾するかのようであるが、要するに、規範的に判断するべきではあるが許容性の要素を入れるべきでないとする説が唱えられている。その場合の「規範的に判断」の意味は、「個別具体的な使用者の実際の認識を基準として判断するのではなく」(大コンメ345頁)という一般人基準を指すものとして捉えているように見受けられる。

まず、前提として、白鳥*9は、有罪判決は歓迎しつつも、控訴審判決の反意図性の判断手法について「許容性という要素は、むしろ後述する『不正性』における判断において考慮されるべきもの」(216頁)と批判し、反意図性の判断は、許容性を評価するまでもなく、「問題となっている電子計算機のプログラムが有する実際の機能と、その機能につき一般に認識すべきと考えられるものとの間に不一致があると認められる場合は、反意図性が肯定される」(215頁)と、独自の見解(要するに検察側の主張)を展開していた。その一方で、白鳥は、一審判決も控訴審判決も、大コメが言うように反意図性が「規範的に判断」されているとして、「原判決もその旨判示しており、本判決も同様の考え方に立っている」(214頁)と述べている。これは一見すると、反意図性に許容性を入れるべきでないとする主張と矛盾しているかのようなのだが、実は、ここから見えてくるのは、大コメが言う「規範的に判断」には複数の要素があるということである。

前掲大コメ引用の2つの下線部にあるように、「規範的に判断」は2回出てくる。1つ目の「規範的に判断」は、保護法益であるところの、プログラムに対する社会一般の「信頼を害するものであるか否かという観点から」評価という意味での「規範的に判断」の意味であり、2つ目の「規範的に判断」は、「個別具体的な使用者の実際の認識を基準として判断するのではなく」「その機能につき一般に認識すべきと考えられるところを基準として」評価という意味での「規範的に判断」の意味である。白鳥は、後者だけ首肯して、前者を無視しているようなのである。(控訴審判決が両方の意味で「規範的に判断」しているのに。)

これと同様に、大コメの「規範的に判断されるべき」の意義を、「個別具体的な使用者の実際の認識を基準として判断するのではなく」「その機能につき一般に認識すべきと考えられるところを基準として」という意味でのみ解釈している評釈が、他にも見られる。この2つの「規範的に判断」は同一概念ではないはずのところ、大コメ上記引用部の「すなわち、」との接続詞が誤解させているように思われる。

大コメが言う「意図に反する動作」の「意図」について保護法益の観点から「規範的に判断されるべき」というのは、「動作」が「意図」に反するかは、保護法益の観点で「特に問題のない動作のプログラム」であれば「意図に反しない動作」と解するべきという意味であろう。

補足2: 岡部説とはどのようなものか

前記のように、L&T91では、「意図に反する動作」の隠れた構成要件の候補として岡部説が有力な候補ではないかと書いた。その内容をL&T91注54で以下のように紹介した。

54) 岡部は、「わが国の国内法規定によって捕捉される行為の領域は、条約2条乃至5条が予定している行為の領域よりも大幅に矮小化されている」と指摘し、それは「それらに完全に対応し得るだけの処罰範囲を確保できないという事態があったとしても、あくまでも既存の規定によって担保するというのが、当局の徹底した方針であった」ことによるものとした上で、不正指令電磁的記録罪が「条約6条1項(a)(i)と大幅に異なるかたちで規定された根拠」が「予備罪的構成の場合には当罰性のあるプログラムが客体から外れてしまうこと」とされている点について、「大幅に矮小化されている」行為の予備罪構成とすればそうなるのであり、それゆえに予備罪構成としなかったのであって、「決して条約6条1項(a)(i)が予定するプログラムよりも広い範囲のプログラムを捕捉するためではない」とし、立法者は「条約2条乃至5条の担保を既存の国内法規定によって達成するという方針を貫きつつも、少なくともプログラムに関しては、条約6条1項(a)(i)に匹敵する処罰範囲を備える犯罪類型群として不正指令電磁的記録関連罪を創設したものと考えられる」との説を唱えており、合理的な見解と思われる。

これも縮めすぎて理解困難だったろうと悔いが残った。そこはぜひ原典の論文を(オープンアクセスになっているので)ご覧いただきたいところ、僭越ながら若干の私なりの理解で補足をしておきたい。

まず、障害となる問題点は、不正指令電磁的記録の処罰範囲をサイバー犯罪条約6条が求める範囲に限るとすると、刑法改正の立案段階から条約の範囲を超えた立法とされていることと整合しないところにある。

岡部が指摘する「わが国の国内法規定によって捕捉される行為の領域は、条約2条乃至5条が予定している行為の領域よりも大幅に矮小化されている」というのは、例えば、不正アクセス禁止法は、条約2条の違法アクセス(illegal access)に対応するものであるが、条約が予定している行為の領域よりもその射程は大幅に縮小化されているという話であり、それで許されているのは、「それらに完全に対応し得るだけの処罰範囲を確保できないという事態があったとしても、あくまでも既存の規定によって担保するというのが、当局の徹底した方針であった」(岡部1170頁)からだという。

そして、不正指令電磁的記録罪が「条約6条1項(a)(i)と大幅に異なるかたちで規定された根拠」は、「当罰性のあるプログラムが客体から外れてしまう」(例えば、20年前には流行していた、メールを自動送信するワームが外れてしまう旨が、法制審議会の部会でも示されていた。)からとされているけれども、それは、「条約2条乃至5条を担保する国内法規定の予備罪というかたちである限り、これらのプログラムは規制の対象外に置かれることになってしまう」(岡部1171頁)のであって、「わが国の不正指令電磁的記録関連罪が予備罪的構成を採用しなかったのは、決して条約6条1項(a)(i)が予定するプログラムよりも広い範囲のプログラムを捕捉するためではないのである。」(同)とする。

このことから、「条文上明らかではないものの、わが国における不正指令電磁的記録概念においても、条約2条乃至5条において予定されている実害との結びつきが要求されると解するのが適切であろう。」(同)と主張する。

なるほど、確かにそのように理解すると、本罪の処罰範囲をサイバー犯罪条約6条が求める範囲に限るとすることと、条約の範囲を超えた立法であるとされていること(条約2条乃至5条に対応する国内規定の予備罪の範囲は超えているという意味にすぎない)とは矛盾しないわけである。

その他の可能性

以上のように私は最高裁判決に期待するのであるが、別の展開も考えられる。

一つには、大コメ説を否定して、渡邊*10の、反意図性と不正性の判断は連動するものとする説が採用される展開。この場合、上記の論点は、反意図性と不正性を合わせて一体的に評価する際の指標ということになるのではないか。

もう一つは、保管罪の適用は訴因の誤りであるとして、差し戻しとなる展開。この点については、L&T91拙稿の「(3)客体はプログラム本体か呼び出しコードか」に書いた。被告人は呼び出しコードを保管していただけであるから、供用未遂罪には問えても、保管罪は無理があったのではないか。控訴審では、弁護人の控訴答弁書も「検察官は訴因変更前のように、マイニングを実施するスクリプト本体を『本件プログラムコード』ととらえているかのようである。仮にそうだとすると、被告人は当該スクリプトを『保管』していないから、端的に無罪である」と主張していた。一審判決も控訴審判決もこの点に触れていないが、判例時報2446号78頁の囲み解説は、このことに触れ、「この呼び出しタグをスクリプト本体と同等のものと当然視してよいか、特に有罪認定の場合には一考を要する」と言及している。保管行為を処罰する趣旨は何か、保護法益の観点から問い直す余地があるように思われる。

また、「実行の用に供する目的」の否定のみで無罪とされる展開もあり得なくもない。これについてはL&T91拙稿の「(5)「実行の用に供する目的」の解釈」に書いた。(詳細は省略)

さらに、最高裁で弁論が開かれたことから控訴審判決が見直される可能性が高いと言われているが、有罪とする理由が変更されるだけで、有罪となる展開もあるのかもしれない。この場合は、不正指令電磁的記録の罪は利益窃盗を可罰化するもの(プログラムを実行の用に供するとの手段によるものに限って、社会的法益の形に転換して)であったということになるのかもしれない。法制審議会でも国会でもそのような議論がなされていなかったにせよ、最高裁がそのように決めてくる余地はある。

追記(21日)最高裁判決は検察控訴棄却(一審の無罪が確定へ)

早速、判決文がWeb公開されている。

上記の「その他の可能性」も含め私の予想・期待は不発という結果となった。この最高裁判決は、端的に言えば、大コメ説が否定され、渡邊説でもなく、大コメに書かれている「意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性がある」「『不正な』指令に限定することとされたのは……社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである」が否定された判決と言えるのではないか。

一審判決では、「当裁判所の判断」の中で、「(2)次に、本件プログラムコードが、不正な指令を与えるものであるかどうか、検討する。」として、「この点、『不正な』指令に限定することとされた趣旨は、電子計算機の使用者の『意図に反する動作をさせる』べき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その保管等の行為に当罰性があるようにも考えられるものの、そのような指令を与えるプログラムの中には、社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである。よって、……」と、大コメ同様の判断構造を示した上で、不正性をどうにか否定したものであったため、首の皮一枚の無罪判決となっていた。検察の控訴趣意書でも不正性が否定されるのは例外的な場合に過ぎない旨が繰り返し強調されており、控訴審で大した根拠なく不正性判断をひっくり返されかねない、危うい状況にあった。

私としては、大コメ説(立案担当者解説)に歯向かっても風車に突撃するようなものなので、不正性は例外適用事由と認めて、大コメ説に立って、反意図性から否定されるはずであるとする立論をしてみたのであった。その根幹は、反意図性の「規範的判断」は、単に「個別具体的な使用者の実際の認識を基準として判断するのではなく……その機能につき一般に認識すべきと考えられるところを基準として」という一般人基準のことを指すのみならず、加えて、プログラムに対する社会一般の「信頼を害するものであるか否かという観点」での実質的評価を含むとする説であった。

しかし、最高裁判決は、反意図性の判断方法を、「反意図性は、当該プログラムについて一般の使用者が認識すべき動作と実際の動作が異なる場合に肯定されるものと解するのが相当であり、……」と、保護法益侵害の実質評価を含まず、上記の白鳥説(法務省刑事局担当者?説)が言っていた、「『意図に反する動作をさせるべき』という規定振りに照らせば、このように判断された『意図』に対し、問題となっているプログラムの実際の機能が反するものと認められるのであれば、反意図性を肯定してよいと考えられる。換言すれば、問題となっている電子計算機のプログラムが有する実際の機能と、その機能につき一般に認識すべきと考えられるものとの間に不一致があると認められる場合は、反意図性が肯定されるものと言えよう。」としていた、単に一般人基準を指す説が採用されているようである。*11

この判断方法と、大コメが言う不正性例外適用事由説を組み合わせると、巷のほとんどのプログラムは犯罪ということになってしまうわけである。白鳥説も「『不正性』が否定されるのは例外的な場合に限られるという点に留意する必要がある」「不正性が否定される場合をあまりに広く認めるような解釈や当てはめは、法の趣旨に反し相当でない」と強調していた。法務省刑事局が本気でそれでいいと思っているとすれば、唖然というか、失望というか、恐ろしい話である。

反意図性を保護法益侵害の実質評価を含むものとするか、不正性要件を例外適用事由とするのをやめるか、どちらかにしないと現実に合わない。最高裁判決は、不正性要件を「例外」とせず、反意図性とは独立に一からその社会的許容性を判断して、「社会的に許容し得る範囲内」と判断した。なるほど、そっちの道もあり得たのか。

こうなってから振り返ると、私も事件発覚当初の時点までは、「意図に反する」には該当しても「不正な」に該当しないはずという主張をしていた*12のであった。裁判で争うなら反意図性も否定していくとよいと考えたが、反意図性から否定しないといけないとの確信に変わったのは、一審の検察官論告を傍聴して、「不正な」で除外されるのは「例外的なものに過ぎない」と言われているのを聞いてからだった*13。たしかに大コメを読み直すと、そういう文章がある。しかしそれは、一部を抜粋することによる誤読だということで、2019年3月19日の日記「検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)」の分析となり、L&T85にそれを書いたのであった。

そこに、最高裁判決があっさり大コメの不正性例外適用事由説を否定してきたことで、初心に帰った感がある。

L&T85を書いたと報告した2019年10月5日の日記に対して、はてなブックマークに「高木博士の「意図に反する」の読替えは大コンメと異なる独自説である点に注意。……」というコメントが付いていて、「あんた誰や?」と気になっていたが、ご指摘の大コメの小さい文字で書かれた括弧書き部分は以下のように書かれており、「重なるようにも思われるが」の部分が、反意図性に保護法益侵害の実質評価を含むからこそ「重なる」と言っているように読めた(渡邊説は重なる説)のだが、最高裁判決を踏まえて理解し直してみると、この文は「思われるが」として(他人の説として)続く文でそれを否定しているとのだとも読める。(私としては、どちらも保護法益侵害の実質評価を含んでいるが、動作と機能の違いのような話(L&T91注43)と理解していて、だからこそここの文は「必ずしも完全に重複するものではない」との表現になっていて、重複がないとは言っていないのだと理解していたのだが……。)

(「意図に反する」か否かは規範的に判断するため、同じく規範的な要件である「不正な」に当たるか否かの判断と重なるようにも思われるが、前者は、あくまで、電子計算機の使用者にとって認識し得べきものであるか否かという観点からなされるのに対し、「不正」か否かの判断は、電子計算機の使用者の認識という観点ではなく、そのプログラムが社会的に許容し得るものであるか否かという観点からなされることとなる。例えば……。このように、「意図に反する」か否かの判断と「不正」か否かの判断は、個別の観点からなされるものであり、両者は必ずしも完全に重複するものではない)

吉田雅之「第19章の2 不正指令電磁的記録に関する罪」『大コンメンタール刑法第8巻第3版』(青林書院、2015)346頁

そうだとすると、大コメが「意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性がある」と書いたのが誤りで、最高裁判決を受けて書き直しが必要となるのではないだろうか。

控訴審判決が、「原判決は、反意図性の判断を、もっぱら本件プログラムの機能の認識可能性を基準に判断し、本件プログラムの機能の内容そのものを踏まえた規範的な検討をしていない」としたのは、L&T85が影響したのかもしれない。回り道をさせてしまったかもしれないが、おかげで、有罪判決を出す場合の理由の理不尽ぶりが炙り出され、争点が明確になったのではないだろうか。

なお、構成要件該当性を客観的に弁別できるようにすることを求め、処罰範囲をサイバー犯罪条約6条が求める範囲に限るしかないと追い詰める試みは、成功しなかった。最高裁判決は、そうした一般的基準を示すことなく、本件事案について個別に不正性を否定するだけで済ませた。したがって、本件事案と条件が異なれば、CPUを使うだけのプログラムも不正指令電磁的記録に該当する余地が残ってしまった。

とはいえ、「社会的に許容し得るものが例外的に」(大コメ)から「社会的に許容し得ないプログラムについて肯定される」(最高裁判決)に要件が反転されたのは大きな前進であり、この要件は、もしかすると、拙稿L&T91が主張した「賛否がある場合には……否定される」に近い(*14)のかもしれない。

*1 高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」Law & Technology 91号46頁 (2021.4)

*2 2019年10月5日の日記「続・検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その4)」参照。

*3 高木浩光「コインハイブ事件で否定された不正指令電磁的記録該当性とその論点」Law & Technology 85号206頁 (2019.10)

*4 (1)ウェブサイトの閲覧のために必要なものではないとする点、(2)閲覧者には利益がもたらされないとする点、(3)知る機会や拒絶する機会が保障されていないとする点、(4)無断で電子計算機の機能を提供させて利益を得ようとするものとする点。

*5 大塚仁ほか編『大コンメンタール刑法〔第三版〕第8巻』(吉田雅之)343頁。

*6 2019年2月19日の日記「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」参照。

*7 第177回国会参議院法務委員会第16号(平成23年6月14日)にて前田参考人発言。(なお、ここでは「不正な」の要件が話題にされているが、大コメの解説が「不正な」を例外適用事由だとしたことから、話が違ってきている。「意図に反する」こそが規範的構成要件として、その曖昧性が国会で問われるべきだったが、この時点では皆気づいていなかったようだ。)

○参考人(前田雅英君) この不正なというのはどうしても規範的基準ですのでね。ただ、先ほど申し上げたんですが、あらゆる構成要件はその意味では規範的で、髪の毛一本抜いても傷害なんですかと。でも、髪の毛一万本抜けば傷害なんですね。じゃ、何本から傷害かというのは法律で書けるかといえば、それは書けないんですよね。

今回のものも、やはり国民の目から見て処罰に値するだけの違法性があるもの、そこのところで捜査官が恣意的にそれをつくり上げて基準を動かすというようなことがどれだけあり得るかということだと思うんですけれども、私はやっぱり、それが事件化して、いろいろな段階で、起訴の段階、裁判の段階、司法全体の中でのチェックが働いて、マスコミのチェックも入ります、そういう中で最終的には国民の目から見てこの程度のことをやればウイルスと言われたってしようがないでしょうというのがだんだん形成されていって、初めはやっぱり明確に、先ほど何回も御説明ありましたトロイの木馬型のものとか明確なものから徐々に広がっていくんだと思いますね。常に新しいものが出てきますから、この領域は、特に初めからきちっと書き込むというのは難しいと思います。

ただ、だから今これを放置していいかと。そうではなくて、やっぱり動かすことがまず第一ということだと私は考えております。

*8 岡部天俊「不正指令電磁的記録概念と条約適合的解釈 : いわゆるコインハイブ事件を契機として」北大法学論集70巻6号155頁(2020.3)

*9 白鳥智彦「刑事判例研究(513)判批」警察学論集73巻9号206頁(2020.9)

*10 渡邊卓也『ネットワーク犯罪と刑法理論』269頁 (2018.11)、同「不正指令電磁的記録に関する罪における反「意図」性の判断」情報ネットワーク・ローレビュー19巻16頁(2020.12)

*11 なお、最高裁判決は「機能」ではなく「動作」の語で書かれている。大コメでも「機能につき一般に認識すべき」と「機能」で書かれていた部分(ここは気になっていた)も、最高裁判決では「一般の使用者が認識すべき動作」と「動作」になっている。

*12 2018年06月10日の日記「懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」の「なぜ不正指令電磁的記録に該当しないのか」では、「「意図に反する動作をさせる」ものなのか。これ自体、否定する論も主張できる(後述する)が、ひとまず仮に、意図に反する動作をさせるものだということにしよう。……」として不正性を先に論ずるという認識だった。

*13 この経緯は、2019年3月19日の日記「検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)」の「なぜこのような誤解が生じるのか」で、「実は、私自身も、改正法が成立して以来、「意図に反する動作をさせるプログラム」は、ほとんどのプログラムが該当してしまうが、「不正な」の要件でほとんどが落ちるという、……発想をしていた。その考えを改めたのは、……改めて調べ直したところ、次のことに気づいたのであった。……」と書いていた。

*14 2019年5月の日本ハッカー協会の講演時には、「『誰にとっても実行の用に供されたくないものだけ』が不正指令プログラムに該当するべき」と述べていた。

本日のリンク元 TrackBack(0)

2021年12月26日

スマホ覗き見の反復で迷惑防止条例違反の犯罪に?改正ストーカー規制法の位置情報規定に不具合か

先々週、警視庁生活安全部が、東京都の迷惑防止条例(正式名称「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例」)の改正を目指しているとのことで、改正概要をパブコメにかけていた。どういうわけかその説明ページが消滅している *1のだが、先ほど締め切りだったので、急いで書いて意見提出した。

意見募集の説明を見てすぐに強い違和感を覚えたのは、「規制対象となる行為類型の追加」に示されている「相手方の承諾を得ないで、その所持するGPS機器等の位置情報を一定の方法により取得する行為」の「位置情報を取得する行為の例」に「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」が挙げられていたことだ。

最初に抱いた疑問は、「相手方のスマートフォンを一時的に操作して」(遠隔操作ではなく物理操作を指すようだ)位置情報を見るというと、その場で現在地を見るということだろうか?という点。現場にいるなら現在地はその場なのだから何の意味もない。どうやらこれは、過去の位置履歴を閲覧することを指しているようだ。たしかに、例えば、iPhoneであれば、「設定」→「プライバシー」→「位置情報サービス」→(一番下までスクロール)→「システムサービス」→(下の方)→「利用頻度の高い場所」という長い長い操作の深い深い先に、過去に滞在していた場所がその時間帯とともにズバリ表示される機能がある。こういった操作をして閲覧することを言うのであろうか。

iPhoneの画面キャプチャ iPhoneの画面キャプチャ
図1: 昨日私がJILISに行った後に四川飯店で誰かと会食していたことがバレバレである様子

警視庁の本件パブコメ担当係に電話して確認したところ、やはり相手方の端末を直接手で操作して過去の位置情報を画面表示させて閲覧するケースを想定している様子だった。しかも、これは、今年のストーカー規制法改正で新たに追加された規制対象行為「位置情報無償取得等」をそのまま真似て、迷惑防止条例に同じものを入れる趣旨のものだから、何の問題もありませんが?とでも言いたげな口ぶりだった。

たしかに、ストーカー事案で、GPS端末装着による位置情報的監視行為がストーカー規制法の「つきまとい等」に該当しないとする最高裁判決(令和2年7月30日)があったことから、同法を改正して明示的に規制行為に加えるという話になっていた。それ自体は悪くない話であるし、問題のある改正になり得るとは心配していなかった。国家公安委員会で(前内閣法制局長官だった)横畠委員から「GPSを利用した位置情報の取得等という、新たな類型の行為を追加するに当たっては、今後の更なる法改正の可能性を踏まえ、そもそもこの法律が何を規制しようとしているのか、既存の規制行為の類型との関係等について考え方をよく整理しておくことが重要である」旨の発言があったようで、「そうだそうだ」と頷いていたところだった。

それがまさか、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」まで対象になるとは思いも寄らなかったので、今回の警視庁の条例改正案を見て魂消たのであった。

そこで、昨年からストーカー規制法の改正に向けての検討がなされていた、警察庁の「ストーカー行為等の規制等の在り方に関する有識者検討会」の資料と議事要旨を確認したところ、やはりそんな話は出ていなかったように見える。

しかし、改正後のストーカー規制法の条文を見ると、たしかに、2条3項で「位置情報無承諾取得等」が定義され、「特定の者に対する恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情を充足する目的」で、「当該特定の者又はその配偶者、直系若しくは同居の親族その他当該特定の者と社会生活において密接な関係を有する者」に対し、「その承諾を得ないで、その所持する位置情報記録・送信装置(……)により記録され、又は送信される当該位置情報記録・送信装置の位置に係る位置情報を政令で定める方法により取得すること」(1号)と、「その承諾を得ないで、その所持する物に位置情報記録・送信装置を取り付けること、位置情報記録・送信装置を取り付けた物を交付することその他その移動に伴い位置情報記録・送信装置を移動し得る状態にする行為として政令で定める行為をすること。」(2号)が対象とされていて*2、今回の事例が該当してしまうように見える。

問題は、これら、法2条3項1号の取得する行為と、2号の取り付ける行為とが、完全に独立になっていて、どちらか一方だけで違法行為に該当するように規定されてしまったことだ。なぜこうなったのか。有識者検討会の資料を読むと、以下の指摘があったようで、この理由で、別々の違法行為として規定されたようだ。

○ 装置を取り付けたりアプリを入れたりするというところと、位置情報を取得するというところを切り離しておかないと、別のタイミングで別の人がやったとか、アプリを入れたのは別の人でとか、そういうことがあり得るので、二つの行為を分けておく必要があると思う。

ストーカー行為等の規制等の在り方に関する報告書

分けた趣旨は理解できるが、それでは、元から位置情報が記録されているところを閲覧するだけでも該当してしまうではないか。それは本当に規制したいことだったのか?

警視庁のパブコメ担当係に聞いたところでは、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」は、ストーカー規制法の警視庁における運用においても該当するものとしているとのことだった。本当なのかは不確かであるが……。

というわけで、以下の意見を提出した。


意見

規制対象となる行為類型「位置情報を取得する行為の例」に列挙されている、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」は、規制の対象とすべきでない。

理由

迷惑防止条例がストーカー規制法の改正に合わせて、GPS機器等を用いた位置情報の無承諾取得等を規制の対象に加えようとすること、それ自体について反対するものではないが、ストーカー規制法がそのように改正された趣旨は、行為者が相手方にGPS機器等を取り付けるなど、本来ならば記録されないはずの位置情報を記録させるようにする行為を経て、行為者が位置情報を取得する場合を想定したものであったはずである。

それに対して、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」というのは、相手方のスマートフォン(相手方が所有し管理しているスマートフォン)自体を「GPS機器」とみなして、相手方の管理下において元よりスマートフォンが自動的に記録していた位置情報(例えば、iPhoneにおける「利用頻度の高い場所」機能のように、スマートフォンのOSが初期設定において自動的に記録している位置情報)を、行為者が単に閲覧するだけの行為までもが対象となるように見受けられる。

そもそも、行為者が相手方のスマートフォンを一時的に操作できるような状況(行為者と相手方の関係性)において、スマートフォンの画面を「盗み見る行為」はごく日常的に許されている行為であって、直ちに犯罪とするべき行為とは言い難い。たしかに、迷惑防止条例の「つきまとい行為等の禁止」が規定する罪は、「専ら、特定の者に対するねたみ、恨みその他の悪意の感情を充足する目的」を要する目的犯であり、「不安を覚えさせるような行為」に限定されるものではあるが、不安を覚えること自体は日常の人間関係においてごく普通に生じ得ることであるし、「ねたみ、恨みその他の悪意の感情」が日常の人間関係において一時的に生ずることなどごくありふれた事であるはずである。

そのような日常生活における行為の一部を犯罪化することが妥当するのは、GPS機器を相手方に無断で新たに装着して位置情報を記録させる行為や、相手方のスマートフォン(GPS機器に該当する)に位置情報を記録するアプリ等を無断で新たにインストールする行為、あるいは不正アクセス禁止法違反行為を伴って、結果が生じる場合に限られると考える。警察のGPS捜査を違法とした最高裁大法廷判決平成29年3月15日においても、「装着により個人の行動を継続的、網羅的に把握できる状態にする」ことをもって私的領域に侵入されない権利の侵害(調査官解説、ジュリスト1507号106頁以下)としたことからしても、法益侵害の核心は、本来ならば記録されないはずの位置情報を記録させるようにする行為にあるはずである。

もし、そうした行為を伴わずに閲覧するだけの行為が犯罪化されるのであれば、特別な位置情報記録システムの利用に限られず、相手方のスマートフォンの写真に付属して(Exif情報などに)記録されている位置情報を閲覧するだけの行為も該当してしまうであろう。ならば、位置情報に限らず、相手方のスマートフォンに保存されている写真を単に閲覧する行為や、カレンダーを閲覧する行為、その他のアプリの利用状況を閲覧する行為はどうなのか。これらも「ねたみ、恨みその他の悪意の感情を充足する目的で」行われ、発覚時には「不安を覚えさせる」ことになることもあろう。これらが日常的に許されているなかで、なぜ位置情報に限って閲覧するだけでも犯罪とすることが妥当するのか、理由がない。

ストーカー規制法の今回改正で、記録された位置情報を取得する行為(2条3項1号)と、相手方が所持する物に位置情報記録・送信装置を取り付ける行為(同項2号)とが、独立して該当行為とされており、どちらか一方でも該当する行為となっているが、その趣旨は、改正法の立案過程の議論を参照すると、取り付ける者と取得する者が同一人でない場合が想定されることによるものであって、取り付ける行為が存在しない場合まで想定したものではなかったのではないか。

改正ストーカー規制法も本件同様に、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」まで対象とするものであるかは定かでないが、仮に現行の運用においてこれを対象としているのであれば、ストーカー規制法の解釈・運用を見直し、取り付ける行為が存在しない場合まで対象としないように改めるべきである。


急いで書いたので、少し間違えた。「『不安を覚えさせるような行為』に限定されるものではあるが」と書いたが、この限定は入らない可能性が高い。警視庁の意見募集の説明ではこの限定が入るかのように見えるが、ストーカー規制法ではこの限定がないので、そのままコピーされれば、この限定は入らないだろう。

ストーカー規制法の改正でこの限定を入れなかった理由は、前掲の報告書によると、次のように結論づけられている。

GPS機器等を用いた位置情報の取得行為は、生命、身体に対する危険が生じ、相手方に不安を覚えさせる蓋然性が高いことから、「ストーカー行為」の成立に関して不安を覚えさせるような方法によることは不要とすることが適当である。

ストーカー行為等の規制等の在り方に関する報告書, 10頁

この結論の元になった研究会委員の発言は以下のものとされている。

○ GPSは気付かないうちに取り付けられている点は、他の「つきまとい等」に当たる行為とは異なるが、他方で、他の行為と同様に、生命、身体に対する危険が生じる事態は変わらない。また、GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば、不安を感じない事態は考えられないため、「不安を覚えさせる」方法による方法の限定は不要だと思う。

ストーカー行為等の規制等の在り方に関する報告書, 9頁

このように、検討会委員はあくまでも「取り付けられる」ことを前提に話していたようである。これがいつの間にか話がねじ曲がったようだ。検討会の開催時期からすると、内閣法制局での法制的検討が同時並行で進められていたと考えられるので、法制局でねじ曲げられた可能性もある。これも情報法制の一種であるので、JILISからの情報公開請求で法律案の立案過程を分析してみようと思う。

パブコメの意見では書きそびれたが、そもそも、装着行為を伴わない、位置情報の単なる閲覧に過ぎない行為が、迷惑防止条例1条(目的)や条例の題名が言う「公衆に著しく迷惑をかける暴力的不良行為等」と言えるのかという点からして疑問である。都議会での追求、さらには国会での解釈の確認が期待されるところであろう。

*1 国会図書館WARPでも閲覧できないが、Internet ArchiveのWayback Machineで閲覧できる。27日追記:冒頭に引用していた「警視庁生活安全部」のツイートも夕方になってわざわざ削除された。どういうことなのか? パブコメはなかったことにしているのか?

*2 その政令(ストーカー規制法施行令)も確認してみたが、大した限定はなく、「位置情報記録・送信装置の範囲」はスマートフォン自体も該当するし、位置情報の取得方法は「閲覧する方法」「記録媒体を取得する方法」「受信する方法」が列挙されているだけで、何でも該当する。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|
追記