今から18年くらい前だろうか、自動車でシートベルト着用が義務付けられたころ、警察庁(か交通安全協会かどこか)のテレビCMで、こういうのがあった。
画面が真ん中で左右に分かれていて、左には、いかにも善良そうな服装と髪型と姿勢の好青年がシートベルトをして、右には、いかにも横柄な感じの服装と髪型と姿勢の若者がシートベルトなしで、それぞれハンドルを握って自動車を運転している映像。しばらくすると、キキーと急ブレーキの音、そして右の男(不良)はガッチャンとフロントガラスに頭をぶつけて大怪我、左の男(善良)は、無傷でほっと胸を撫で下ろしてニコやかな表情。シートベルトしましょうね、という宣伝だった。
これを見て、「なんて下手糞な宣伝手法なんだ」と思ったのを今でも覚えている。「逆だったらもっと効果は大きいはずだ」と思ったからだ。つまり、善良だがシートベルトをしていない好青年が大怪我をし、横柄だがシートベルトをしている男が助かるという映像の方が、効果的だろうということだ。
当時は、シートベルトをしない人が大半だった。1986年の道路交通法改正で着用が義務付けられるまでは、善良な人にとっても、シートベルトをしないことは「悪いこと」ではなく、窮屈だからとか、自分のことだからといった理由で、しない人が多かった。(だからこそ義務付けられたのだろう。)
つまり、当時の時点では、シートベルトを着用するかサボるかは、善良であるか不良であるかとは関係がなかったのであり、だからこそ、不良な人がシートベルトをしていて助かるという映像の方が、人々にその意味を強く訴えかけられるはずだ……と思ったのである。
中央省庁など国の機関の多くは、子供向けにその機関がどんな仕事をしているかを紹介する、いわゆる「キッズサイト」を設けている。印刷や流通のコストをすっ飛ばして広報活動ができるのは、インターネットの特長のひとつであるし、また、こうしたコンテンツの充実によって、学校にインターネットを普及させるという効果があるのだろう。統計局にそうしたキッズサイトのリンク集のページがある。
キッズサイトをいろいろ見て回っていると、子供向けの説明とは、大人向けと何が違うべき(どういう工夫が凝らされているべき)なのだろうかと疑問に思えてくる。すぐに気付くところでは次のような特徴が見られる。
いくつかのサイトでは、大人向けのコンテンツを子供向けの口調に差し替えただけのような安易なコンテンツもみられる。典型的な例は、2月22日の日記に書いた、教育ナショナルセンターのユーザ登録画面である。現在は、幼稚園児・小学生向けのユーザ登録画面は廃止され、
新規(しんき)ユーザ登録(とうろく)は保護者(ほごしゃ)の方(かた)や先生(せんせい)と一緒(いっしょ)にしましょう。
と表示されるようになっているが、2月の時点では2月22日の日記に書いたように、大人向けの一般的なユーザ登録画面の説明文を、ただ単に子供向けの言葉遣いに書き換えただけのものだった。
現在の差し替えられた画面でさえ、「新規ユーザ登録」とか、「保護者の方」といった、小学生向けならばもっと他の適切な言い回しがあるのでは?と思わせる、大人向けの言葉が使われている。おそらく、この文章を書いたのは、教育者ではなく、そのサイトのシステム管理者か、事務屋の人ではないだろうか。
子供向けコンテンツのあり方というのは、おそらく教育学の分野で古くから研究されてきているだろうと想像する。口調を変えればよいというものではないし、アニメーションを使えばそれで終わりというものでもなく、伝えたいことの本質を、子供向けに噛み砕いて表現することが必要であろう。しかし、噛み砕くということが難しそうだ。単に平易な概念に置き換えるということではないだろうし、複雑な部分を省略するということでもなかろう。
警視庁には「ハイテク・キッズ」というキッズサイトがある。
みなさん、こんにちは。 ここは、ハイテク犯罪についてお勉強するところです。
とあるように、そういう趣旨のサイトである。
ざっと見ると、チェーンメールを転送してはいけないとか、迷惑メールに返信してはいけないとか、出会い系サイトに注意とか、掲示板での悪口に気をつけようとか、犯行予告は犯罪とか、著作権侵害や個人情報の取り扱いについて書かれている。
そして、セキュリティに関することは、「セキュリティ対策をしっかりやろう」というページに書かれている。中身を見てみると、コンピュータウイルスと不正アクセスについて書かれている。ウイルス対策について、脆弱性の修正メンテナンス(パッチの適用)のことが書かれていない(ウイルス対策ソフトウェアのパターン定義更新をせよということしか書かれていない)など、突っ込みどころは多いのだが、今日はそれは本題ではない。
注目すべきは、その下に書かれている「不正アクセス」に関する説明である。
「不正アクセス」とは、ユーザIDとパスワードが勝手に使われてしまうことを言います。
このユーザIDとパスワードは本人を確認するためのものです。
パスワードとは自分だけが知っている秘密の文字です。
これを何らかの手段で他人が手に入れ、それを使って「なりすます行為」を不正アクセスと言います。 ユーザIDとパスワードは家の鍵と同じようなものです。
家の鍵が盗まれてしまったら家に入られてしまうのと同じで、パスワードが他人に知られてしまったら、自分の秘密のメールを読まれてしまったり、自分のホームページが書き換えられてしまったり、とっても危険なことに巻き込まれてしまう可能性が高いんです。
そして、インターネットの世界では、なんとかしてパスワードを盗もうとしたり、パスワードを探し当てようとしたりする、悪い人たちがいます。
だから、家の鍵(パスワード)を家族以外の人に教えたり、他の人から見えるところに置いたりしないように、しっかり管理しておくことが大切です。
メモしておいたり、他人に教えたりしないように気をつけて、不正アクセスの被害にあわないようにしよう。
これだけしか書かれていない。つまり、ここでの教育は、子供たちに被害に遭わないための自衛策を教えるというスタンスになっている。「不正アクセス行為をしてはいけません」という教育はなされていない。
はっきりとは書かれていないものの、暗示的には書かれている。「ユーザIDとパスワードが勝手に使われてしまう」の「勝手に」という表現は、なんとなく悪いことである印象を与えるだろうし、「パスワードを探し当てようとしたりする、悪い人たちがいます」という表現は、悪い人たちがそういうことをするのだということを言っているし、「秘密のメールを読まれてしまったり、自分のホームページが書き換えられてしまったり」という被害例を挙げることで、自分がされたら嫌なことであるというイメージ作りがなされている。
しかし、2000年2月に施行された比較的新しい法律である不正アクセス禁止法は、「悪いこと」に罰則を与えるという性質のものではない。
「秘密のメールを読まれる」「ホームページが書き換えられる」ということは、子供たちの感覚からすれば、「悪いこと」になるのかもしれないが、不正アクセス禁止法は、実際にメールを盗み読む行為、ページを書き換える行為をしたかどうかとは関係なく、他人のユーザIDとパスワードを無断で使用してログインしたその時点で、犯罪が構成されるというものである。
不正アクセス禁止法の立案に携わられた警察庁の方々によって法律施行後に書かれた書籍「逐条不正アクセス行為の禁止等に関する法律」(ISBN:4803709157)には、この法律の立法趣旨について次のように解説されている。
既に述べたとおり、ネットワークに接続されたコンピュータ上には、ネットワークを通じて様々な価値ある情報が集積している。また、(中略)
このような特性を有するコンピュータ・ネットワークが犯罪の対象とされたり、犯罪に利用されたりした場合には、その被害や影響が従来以上に重大かつ広範に及ぶこととなるのであって、高度情報通信社会の健全な発展を図るためには、これを事後の捜査のみにゆだねるのではなく、未然に防止するための措置を的確に講ずる必要がある。そこで、本法では、このような犯罪、すなわち、「電気通信回線を通じて行われる電子計算機に係る犯罪」の防止を目的として掲げたものである。
従来、犯罪防止を法目的に掲げることに我が国の立法態度は積極的であったとは言えず(注二)、他の行政目的のために一定の行為を規制することとすれば、事実上犯罪防止の効果が期待できるときは、当該他の行政目的による規制に委ねることとする傾向にあったとも言える(注三)。しかしながら、一定の行為をいかなる目的のために規制するかは専ら立法政策の問題であり、必要があれば犯罪防止を法目的に掲げることに何ら支障はなく、一の規制について犯罪防止と他の行政目的が併存することも法論理的には問題がないところである。そもそも他の行政目的による規制を借りて犯罪防止の効果を期待することには限界があり、特に昨今の犯罪情勢にかんがみると、そのような立法態度を維持することは、犯罪対策の観点からは無責任であるとのそしりを免れないであろう。その意味で、電気通信に関する秩序の維持を図るとの目的だけでなく、犯罪防止の目的から積極的に必要な法規制を行うこととした今回の立法は、今後各種犯罪対策を推進する上で大きな意義を有するものと言える。
なお、既に述べたとおり、本条は、不正アクセス行為の横行によりアクセス制御機能による利用権者の識別に対する社会的信頼が失われ、それが犯罪の抑止力を低下させる点に着目したものであるから、個々の不正アクセス行為が犯罪の実行を目的として行われるものであるかどうかを問うものではない。
「注二」には、犯罪の防止を目的としている他の法律の例として、古物営業法、銃砲刀剣類所持等取締法、風俗営業法が挙げられている。また、「注三」には、犯罪防止目的以外の行政目的での規制の例として、毒物劇物取締法、覚せい剤取締法、武器等製造法が挙げられている。
「秘密のメールを読む」とか「ホームページを書き換える」といった行為を直接に処罰するのは難しいのかもしれない。前者は電気通信事業法違反、後者は電子計算機損壊等業務妨害罪で取り締まれる場合もあるのだろうが、たとえばごく私的なサイトでページの内容が書き換えられたとして、それがユーザに許されていたことなのか、電子計算機損壊等業務妨害にあたるかという判断はそう簡単でないように思われる。「秘密」とは何か。守るべき情報と守る価値のない情報の線引きなどできるのか。昨年の不正競争防止法の改正により、企業秘密が定義され、特定の情報窃盗に対しては刑罰規定が設けられたらしいが、個人の「秘密のメールを読む」などは対象外であろう。
そういう状況の中で、許可されていない行為であることを明確にする上で、「アクセス制御機能により制限されている特定利用」かどうかという線引きをするところに、不正アクセス禁止法の意義があると理解している。
したがって、同法第三条第2項第1号が規定する行為そのものは、子供が持つ素朴な感覚としての「悪いこと」には該当しないのではなかろうか。
ふたたび不正アクセス対策法制研究会編著の書籍から引用すると、
しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記のとおり、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。
とされている。
実際のところ、2000年にこの法律が施行されてから、急速にWebアプリケーションによるeコマースが発展したように思う。2000年と言えば、「インパク」が開催された年であり、企業や自治体のパビリオンに行ってみると、どうでもよいところに、ユーザ名とパスワードによるログイン機能が設置されている事例が多数見られた。ろくな出し物がなくても、ログイン機能があれば、なんとなくそれなりのパビリオンを提供しているような格好をつけることができた。どこに行っても、似たような、これといって特色のないコミュニケーションコーナーがとりあえず設けられていた。こうしたサービスが提供できたのも、他人のユーザIDとパスワードでログインする行為が、法律によって保護されたからこそであろう。
もっとも、このような過度の保護のせいで、パスワードなどという脆弱な認証方式が、かつてなく広範に普及してしまい、その結果として、より高度な認証方式(公開鍵認証等)の普及を遅らせてしまっているという弊害もあるだろう。しかし、1999年当時としては、まだ公開鍵暗号が自由に使えるようになるかどうか(米国の暗号輸出規制等)もはっきりしていなかったのであるし、技術的にも普及の準備が十分に整ってはいなかったのだから、とりあえず、脆くて弱い方式であっても、まずは法律で保護することが、「高度情報通信社会の健全な発展」のために妥当だったのだろう。
また、不正アクセス行為が法律で禁止されたことによって、セキュリティ技術に携わる者としては、システムの脆弱性について表で議論しやすくなったと言える。私は、ちょうどこの法律が施行される直前である2000年1月の時点までは、情報セキュリティには何ら携わっていなかった。2000年1月末にシステムのセキュリティ欠陥の問題に直面し、この問題を解決するために根本的に必要なことは、欠陥の技術的原因を技術者の間に広く知らせ、経営者らには欠陥が多数あるという実態を知らせることだと感じた。その考えに従って、いくつかの脆弱性情報を公開していたわけであるが、ある日、古くからJPCERT/CCでご活躍されていらしたある方にお会いした際に、「僕は、公開しないほうがいいと思うよ。悪用する人がいるから。」という意見を頂いたことがある。たしかに、法による保護がない時代では、公開しないことによる効果の方が大きかったのかもしれない。しかし、法による保護で歯止めがかかり、一定の秩序が形成され、その結果、無数の企業がその種のサービスを提供するようになった現在では、脆弱性の事実を公表していくことは、妥当なものとなったと言える。
さらに、サービス提供者の立場からすれば、どんな技術的対策をとっていれば法で保護されるのかという点で、ひとつの安全基準にもなっていると言える。具体的には、「識別符号」が同法第二条第2項で定義されたことにより、ユーザ名と電話番号でログインするというシステムは、不適切な設計である(ユーザ名も電話番号も識別符号にあたらない)ということになる。
話題がそれてしまったが、不正アクセス禁止法はこのような性質のものであり、これが子供の直感にマッチしているかは疑問である。
法律はたくさんあり、人はそれを守らねばならないわけであるが、いくつかの法律は子供には関係がない。古物営業法、風俗営業法についていえば、子供が営業することはないし、毒物劇物取締法、武器等製造法でいえば、子供が自力でそれらを扱うことはほとんどないだろう。
一方、銃砲刀剣類所持等取締法のように、それらを所持することが「悪いこと」であるという常識は子供たちの間におそらく形成されているであろうし、覚せい剤取締法については、「人間やめますか」といった宣伝をすることによって、「悪いこと」という常識はそれなりに形成されているはずだ。
しかし、他人のユーザIDとパスワードでログインする行為はどうだろうか。2月22日の日記「小学生や園児を不正アクセス禁止法の崖に立たせる日本の教育政策」に書いたように、子供がユーザIDとパスワードを使うという事態は、もはや日常となっている。国の機関がそれを推奨している。子供はこの法律に無縁ではない。
それなのに、他人の識別符号の無断使用という行為が、「悪いこと」かどうかとは無関係に法律で禁止されているので「やってはいけない」とする教育、もしくは、それ自体を「悪いこと」だとする教育が、警視庁のキッズサイトでさえなされていないのだ。
これは警察庁のキッズサイトである「キッズ・パトロール」でも同じだ。このサイトも、「悪い人がいるから危険な目に遭わないように」というスタンスで作られているだけで、何が悪いことなのかについては触れられていない。興味深いことに、このコンテンツのオープニングには次のような子供へのメッセージが出てくる。
他の星に遊びに行く時にはルールがあって、ちゃんと守らないといけません。
みんなも道路を渡る時は信号が青になってから渡るでしょう?
もし赤信号で渡ったら、車にはねられてしまうかもしれないので、とても危険です。
みんなの家に入るのにカギが必要なように、星に入るにも「あいことば(カギ)」が必要です。
もしカギが盗まれてしまったら大変です。ドロボウが入ってくるかもしれません。
(略)
星に住んでいる人の中には、良い人も悪い人もいます。
悪い人はカギを盗んで、他の星の人にイタズラしたり、
他の星の人に変身して、みんなをだましたりします。
キッズ・パトロールは、そんな悪い人がいないかいつも見はっています。
(略)
横断歩道を赤信号で渡ってはいけないというのは、子供に対する教育として最も早い段階で必要で、かつ、的確に行われているものだろう。しかし、この例は、守らないと自分の身が危ないという点で、行為自体が「悪いこと」であるかとは無関係に子供に直感的に理解されるルールである。
星に入るために合言葉が必要だという話が出てくるのは、アクセス制御機能に関するルールの暗示であると思われるが、悪い人がイタズラをするという視点で書かれているだけだ。他人の鍵を使うことそのものが「悪いこと」だとするメッセージは、この後の画面を見ても出てこない。
物理的な鍵の場合、他人の鍵を勝手に使うためには、有体物である鍵を盗むことがまず必要になる。他人の有体物の勝手に手にすることが窃盗にあたり、「悪いこと」であることは、子供たちの間にそれなりに常識化しているであろう。しかし、バーチャルな鍵である、識別符号にはそうした常識が最初からあるわけではない。
それどころか、このコンテンツの「ハッピィちゃんの家に遊びに行こう」のゲームに進むと、「OPEN」という合言葉が出てきて、ハッピィちゃんの家にこの合言葉で入るようになっている。しかも、この合言葉はジグソーパズルを解くことで現れる。ゲーム感覚で識別符号を入手して他人の家に入るという話なのだ。ハッピィちゃんから「この合言葉で入ってね」と許可をもらって(あるいは利用権者としてアカウントをもらって)入るわけではない。解説文は出てくるが、
そのID(アイディー)とパスワードが合言葉になって、本当にその人かどうかをたしかめるんだ。
このID(アイディー)とパスワードをもらったら、人に教えたり、ノートに書いて、そのノートを誰かに見せてしまったりしないようにね!
もしID(アイディー)とパスワードが誰かに知られてしまって、その人が悪い人だったら…。
ドロボウと同じように、大切なものを盗んだり、イタズラしたりするかもしれないよ。
もし、誰かに知られてしまったら、かならず、すぐにお家の人や先生に相談してね!
と書かれているだけだ。悪い人から身を守る側の立場でしか書かれておらず、自分が法律違反を犯してしまうことを避けるという立場では何ら説明されていない。
結局のところ、子供に法秩序を学ばせるには「悪いこと」「嫌なこと」というスタンスでしか説明のしようがないのだろうか。教育学的にはこうした議論は既になさているのだろうか。
それとも、「悪いこと」かどうかとは無関係に犯罪の防止のために作られたルールであり、かつ、すべての子供も当事者となり得るという、この不正アクセス禁止法が特殊であるがゆえに、あまり議論されていないということなのだろうか。
未成年の喫煙や飲酒も、「悪いこと」としてではなくルールとして禁止されているが、これは日常生活において、大人から子供へと教育されているだろう。それに比べて、不正アクセス禁止法のルールを、大人は子供に教育できているだろうか。
リアル世界では子供は大人と一緒に行動することが多い。デパートで子供がレジカウンターの中に入ろうとしたら、大人はそれを止めるだろう。しかし、ネット利用は基本的に一人でするものだ。現状で、子供がユーザIDとパスワードを使うというのは無理があるように思えてならない。
先週、警察庁が監修したハイテク犯罪広報啓発ビデオ「虚構の闇を追え!」に出演したタレントの16歳の高校生が、掲示板に悪口を書かれたことが発端で、仕返しにWebページを書き換えたということで、不正アクセス禁止法違反容疑で書類送検される予定という事件が報道された。
この広報ビデオは、「虚構からの誘惑」「虚構への落とし穴」「虚構の闇を追え」と三部作になっていた。第一作である「虚構からの誘惑」は、一昨年、警察庁の方からいただいて拝見したことがある。内容は、山田まりや演じる主人公が、勤務先の受付で来客が置き忘れていった物にパスワードが書かれているのを見つけ、それを使って不正アクセス禁止法違反行為等を繰り返すという内容だった。今回の「虚構の闇を追え!」では、架空請求と違法コピーCD販売がテーマらしいので、不正アクセス禁止法のことは含まれていなかったのかもしれない。
今回の事件にはまったく唖然としてしまうのであるが、これは、不正アクセス禁止法違反行為が「悪いこと」(一年以下の懲役又は五十万円以下の罰金)であるという認識が広まっていない実態がさらけ出されたことになるのではなかろうか。
そもそも、ネット犯罪をテーマにするにあたり「虚構からの」「虚構への」「虚構の闇」と、ことさらに虚構を強調する意義があるのだろうか。コンピュータ関連の犯罪を扱う映像では、必ずといってよいほど、部屋の照明が暗くされており、「悪いこと」であることをイメージで表現するのが定番になっている。しかし、それらが犯罪である所以は、リアルかバーチャルかということとは無関係である。
人々が「悪いこと」をイメージする表現手法に頼って、犯罪を説明すると、視聴者の個人的な「悪いこと」基準で判断してしまうおそれがあるように思う。「自分は悪いことをしない」と確信している人からすれば、映像を見て、自分は関係ないと思ってしまう。その結果、罪の意識のないまま不正アクセス禁止法違反行為をしてしまうことが起きる。
警察の業務に携わる方からすれば、「悪いこと = 法令違反」なのかもしれない。彼らにとって、法律が施行されると同時に、それは「悪いこと」となる。だから、シートベルト着用義務を啓発するテレビCMでも、不良(悪い人)が義務を怠っているという映像にしかなりえないのかもしれない。
しかし、新しい刑罰法令は徐々に「悪いこと」として人々の社会通念に反映されていくのであり、初期の段階では、当然ながらその法律の趣旨の啓発・広報活動が欠かせない。
1999年の国会で、不正アクセス行為の禁止等に関する法律案に対する付帯決議として、次のように決議されている。
政府は、本法の施行に当たり、次の事項について善処すべきである。
一 不正アクセス行為は、コンピュータ・ネットワーク上の行為であり、一般の犯罪類型と異なる側面を有するところ、本法の施行に当たっては、国民に対し犯罪構成要件の周知徹底を図ること。
二 ネットワーク・セキュリティ対策の促進及び充実を図るため、関係機関、団体等と連携・協力し、不正アクセス行為からの防御等に関する技術の研究開発に努めるとともに、ユーザ及びアクセス管理者等に対するセキュリティ対策に関する情報の提供及び啓発活動の推進に努めること。
三 (略)
四 (略)
五 (略)
これに対し、当時の野田毅国家公安委員会委員長は次のように答弁なさっている。
野田(毅)国務大臣
不正アクセス行為の禁止等に関する法律案につきまして、大変御熱心な御審議をいただき、速やかに御可決いただきましたことをまず厚く御礼申し上げます。
政府といたしましては、審議経過における御意見並びにただいまの附帯決議の御趣旨を十分尊重いたしまして、高度情報通信社会の健全な発展に寄与するため、ハイテク犯罪の防止とネットワークの秩序の維持に万全の措置を講じてまいる所存でございます。
今後とも、御指導、御鞭撻のほどをよろしくお願い申し上げます。
はたして、「国民に対し犯罪構成要件の周知徹底を図ること」という約束は、適正に全うされているだろうか。
警察庁に以前は掲載されていた同法の概要解説ページが、なぜか今はリンク切れで見つからなくなっている。
不正アクセス行為の禁止等に関する法律の概要 [H12.1.17掲載] (リンク切れ)