昨日は、情報ネットワーク法学会の「サイバー犯罪条約関連の刑事法等改正に関する公開セミナー」を聴講してきた。改正法案の内容はそれなりに理解しているつもりだったので、あまり積極的に質問することにはならないだろうと思って参加したのだったが、パネル討論で、けっきょく質問することとなった。
不正指令電磁的記録作成等、取得等の罪について、「紙に書いたものも該当するのか?」という質問が会場から出たときに、パネリストの方々から、当然ながら該当するという回答があった。法文に「次に掲げる電磁的記録その他の記録」とあるように、わざわざ電磁的記録以外のものも含めているのは、紙に書いたものも意図しているということだった。
ここで、何ら躊躇いなく該当するという回答だったことについて直感的に強い違和感を覚え、おもわず手を挙げていろいろ質問してしまった。質問したことは、「format C:」だって不正指令電磁的記録にあたるはずだが、どうなのか? とか、「掲示板に次のような書き込みがなされることがあるが、これも不正指令電磁的記録にあたると思うが、どうか?」だった。
掲示板で、初心者がパソコンのトラブルで困っているという文脈において、次のようなアドバイスをする行為。
1. スタートボタンを押す
2. R キーを押す
3. 「format c:」と入力してエンターキーを押す
質問の際に何を言いたいのか自分でも混乱していることに後に気付いた。違和感を覚えた原因を後で分析すると、どうやら次のことが頭にあったようだ。
まず、いわゆるウイルス製造罪が法制化に向けて検討されていると初めて耳にした何年か前、「ウイルスの定義をどのようにするつもりなのだろうか」と疑問に思ったものだ。当時、個人的に考えてみたものは、一定の条件の下で機械的に拡散していく機能を持つソフトウェアを禁制品にするという考えだったが、その延長ではうまくいきそうにないなあという程度で考えは止まっていた。そして、今の法案が出てきて法文を読んだとき、なるほどこういう手があるのかと思った。
つまり、「ウイルス製造罪」のようなものを作るには、ウイルスを明確に線引きして定義してその製造等を罪とする方法のほかに、製造されるものを何ら限定せず、その目的と意図が不正なものであるものを罪とする方法があって、後者が選択されたというわけだ。法案は次のようになっており、端的に言えば、他人を騙そうとするプログラム全般を「不正指令」としている。
(刑法の一部改正)
第一条 刑法(明治四十年法律第四十五号)の一部を次のように改正する。...
第二編第十九章の次に次の一章を加える。
第十九章の二 不正指令電磁的記録に関する罪
(不正指令電磁的記録作成等)
第百六十八条の二人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。
(不正指令電磁的記録取得等)
第百六十八条の三 前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。
刑法の第二編第十九章というのは「印章偽造の罪」となっており、その直後に配置するのには、それに近いものとして位置づけられていることを意味していると、講演者からの解説があった。
他人を騙す意図でプログラムを提供する行為を罪とするのは歓迎できることであろう。パネル討論では「スパイウェアも含まれるのか?」という質問も予想通り出た。
逆に言えば、人を騙す意図でなければよいのだろう、そう理解していた。
なので、紙に書いたプログラムは人を騙す結果になることはほとんどなかろうと直感していた。紙に書かれたものをわざわざ自力で実行形式コードに変換して実行するのは、実行者にそれなりの覚悟があると考えるべきだと直感していたからだ。
だが、たしかに法案には次のようにある。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
第一号が実行形式プログラムであり、第二号がそのソースコード等を指しているのだろうか。
よく考えてみれば、紙に書いたものかどうかという区切りにはあまり意味がないのかもしれない。論文であっても、PDF形式にすれば電磁的記録のひとつということになってしまう。
「ウイルス製造罪」においてソースコードも対象にするのかという議論は、当然なされていただろうと直感する。
ここで仮に、「ウイルス製造罪」を「ウイルスを明確に線引きしてその製造等を罪とする」考え方で法制化する場合を想定してみると、たしかに、「高度な」ウイルスプログラムの製造を禁止しようとしたときに、ソースコード形式やそれを紙にプリントした形式で公開する輩が現れれば、製造自体を禁止しようとする目的は事実上達成できなくなってしまう。よって、「指令を記述した電磁的記録その他の記録」の製造をも罪としようということになるのは理解できる。
しかし、今回の法案はその考え方を出発点としておらず、他人を騙すプログラム全般を対象としている。
「ウイルス」というと、その製造に何か「高度な」知識や技術を必要とするかのような印象を与えることがあるのに対して、他人を騙すプログラムについては、高度な知識や技術がなんら必要とされないものも含まれることは明らかである。その端的な例が「format c:」であろう。次の内容のバッチファイル「eroero.bat」を想定してみる。
echo 年齢認証です。18歳以上の方はエンターキーを押してください。 format c:
ハードディスクが消去されてしまうことがあるので実際にこの内容のバッチファイルを作成して実行しないで頂きたいのであるが、このコードが「不正指令電磁的記録」にあたると判断された場合、製造者は誰かといえば最初に書いた人(つまり私)ということになりかねない。
それはおかしいだろう。
一般に、技術者が、技術にかかる規制をする法制に対して不信感を抱くのは、法案作りに携わる先生方が、技術とその背景にあるものを正確に理解なさっていないのではないか?という不信感がある場合であろう。
「ウイルス製造罪」で言えば、ウイルスというものが「高度なハッカーにしか作れないものである」と誤解されているのではないかという不信感がある。5月4日の日記「「かなり技術に詳しい者でないとできないレベル」とは?」で書いたように、自己の責任を回避したい気持ちに支配された非技術者が、事故が不可抗力であるとしたいがために、「高度なハッカーが攻撃してくることだけが事故の原因」ということにしてしまう思い込みに陥ることが、一般によくある。
そうした発想に陥りかねない人物が法制化に係わっているならば、ろくな法律にならないのではないか、そういう不信感が技術者の間にあると言える。2003年3月に日経IT Proで「「被害を受けた側だけが責められるのは疑問」――野村総研,村上理事長」という記事が出たが、(私はこの記事の趣旨に概ね賛同するのであるが、)それに対する読者コメントにボロクソに反発するものが少なくないのには、そうした背景があるのだろう。
もちろん、何をもって「高度なウイルス」と言えるかの線引きは容易ではない。BlasterやSasserのように、バッファオーバーフロー脆弱性を突いて拡散するワームの場合、まず、バッファオーバーフロー脆弱性を突いて任意コード実行が可能なことを実証するコード(exploitコード)が誰かによって公開され、それを使ってワームが製造されるということが起きている。もし、実証コードの公開がなかった場合にワームが出現することが極端に少なくなるのであれば、そのワームを「高度な」技術を必要とするものとすることはできるだろう。それに対し、メールソフトの自分のメールアドレスを設定する機能がそのままFrom:に反映されることを単に知らない人からすれば、From:を詐称することも高度な技術に思えてしまうのであろう。知っているか知っていないかの差でしかないのか、それともそれを超えるなんらかの線引きが可能かというと、なかなか難しい。
いずれにせよ、「ウイルス製造罪」の語感からは、何らかの一定の高度な技術に基づく製造を禁止したいように聞こえる。そしてその場合においては、製造したものを紙に書いて発表する行為も取り締まりたいとなるのは必然であろう。
しかし、たとえば、銃砲刀剣類所持等取締法や武器等製造法におけるそれらを製造することについては、一般市民が誰でもできる行為ではないのだから、取り締まることの妥当性に疑問の余地はないのだが、不正指令電磁的記録はどうなのか。「高度な」ものに限定せず、誰でも知っていさえすれば記述できる、ほんの数行程度のプログラムコードを記述する行為が関係してくることになる。「作成」および「提供」する行為は、掲示板に書き込むことでも達成できるのだから、ごく普通の市民も関係することになる。
むろん、この疑問に対する回答は、「人の電子計算機における実行の用に供する目的」でなければよく、また、「人の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」でなければよいということになる。
たとえば、まず第一に、論文における記述や、議論のための発言(メーリングリストや掲示板における発言)において、人に実行させる目的でないことが明白であればよいのだと理解している。何かを解説することが目的である場合に、「実際に実行しないでください」と説明されていればよいのかもしれない。
また第二に、人に実行させる目的である場合であっても、そのプログラムの意図を説明していて、説明に嘘がなければよいのだと理解している。
ただ、ちょっとよくわからないのは法案の次の法文である。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
人(他人)が実行するに際してその意図に反する動作をさせるようなプログラムを「不正指令電磁的記録」とするのは理解できるが、それだけでなく「その意図に沿うべき動作をさせず」も含められている意図がよくわからない。「意図に反する動作をする」と「意図に沿うべき動作をしない」にどういう違いがあるのか?
この疑問には、たぶん法律学の先生方や法務省に問い合わせれば教えていただけるのだろう。昨日のセミナーの席では質問しそこねた。
それはともかくとして、このように、不正指令電磁的記録作成等の罪は、「ウイルス製造罪」と呼ぶような性質のものではないと理解したほうがよい。「製造」ではなく「作成」であることからも、高度であるか否かは問われていないことが感じられる。
およそ単なる言論に類するとしか言えないものまでもが意図や目的を問われることになるのであるが、元々、言論に制約なく自由があるわけではない。爆破予告のように、たった十数字程度の掲示板書き込みが罪に問われるのだから。
そのように理解した上でなお、直感的に違和感を感じたのが、「紙に書いたものも該当する」のが当然であるとする、セミナーのパネル討論での回答だった。
私がパネル討論の席で混乱して違和感を感じたのは、「ウイルス製造罪」的な意味での「製造」と、不正指令一般の「作成」を混同したためのようだ。私が感じる規制への妥当性を表にしてみた。
| 「高度な」技術で製造されたいわゆる「ウイルス」のプログラムおよびその記録 (A) | 数行程度で記述された実行者の意図に反する動作をするプログラムおよびそれを記述する言論 (B) | |
|---|---|---|
| 作成・提供 | 規制は概ね妥当 | 規制する必要がない |
| 人の実行の用に供する | 規制は妥当 | 規制は概ね妥当 |
| 取得・保管 | 規制は概ね妥当 | 規制する必要がない |
規制する必要のないことまでもが一律に罪とされていることに違和感を覚えたようだ。
他人に意図に反する動作をさせるような騙しプログラムを実行させることを規制するのは、スパイウェアも含めて概ね歓迎できることであるが、誰でも記述できる単なる言論でしかないようなコードを単に作成・発表する行為までもが一律に、民事的解決でなく刑法で罰せられるというという点に違和感がある。
しかしながら、この違和感を払拭しようとすれば、表の(A)と(B)を区別する必要があることになり、その線引きが難しいということはあるのだろう。
このような、IT関連の法律に対する懸念は、他にも不正アクセス禁止法の曖昧さにも通ずるところがある。同法の第三条第2項第二号および第三号の、当該アクセス制御機能による特定利用の制限を免れる行為は、どのように拡大解釈も可能で、極端に言えば、アクセス管理者が制限しているつもりでありさえすれば「制限されている特定利用」ということになってしまう。実際には、警視庁が以下の通り
最近、企業等のウェブサイトから、資料・案内請求者や、アンケートの回答者、懸賞応募者などの個人データが流出する事案が多発しています。 この原因は、個人情報が格納されたファイル自体が、ウェブ上の公開ディレクトリに蔵置されていたためであり、発見されたサイトのURLが特定の掲示板に掲載されたため、問題が一斉に顕在化しているものです。したがって、システム管理者の簡単な設定ミスである場合が多く、このような場合は「不正アクセス」には該当しません。新システムへの移行時やサーバーの入れ替え時には、特に注意しましょう。
と、ファイル丸出しが原因の漏洩事件が不正アクセスに該当しないと解釈しているように、あまりに技術的に低次元の欠陥は、法律で保護するに値しないということであろう。
同様の理屈で、不正指令電磁的記録についても、あまりに「低次元の」不正指令については、その作成・発表について、刑事罰を与えるほどの保護法益があるとは思えない。「低次元」かどうかの線引きが必要なのは、不正アクセスでも不正指令電磁的記録でも同じだ。
このことについて、セミナーのパネル討論での結論は、法文に明記してしまうと融通が利かなくなってしまうので、法律では大雑把にしておいて、事例を重ねることで徐々にはっきりとさせていくものだということだった。加えて、担当部局から解説書が出るはずなので、解説書によってある程度の考え方が示されるだろうということだった。
解説書といえば逐条解説のことだろう。「逐条解説」で検索してみると、じつにたくさんの法律について、逐条解説がインターネットでPDFなどで公開されていることがわかる。にもかかわらず、不正アクセス禁止法については、立花書房とかいう刑事法専業らしき出版社から出ている ISBN:4803709157 の書籍(1,400円)を購入しないと読むことができない。インターネットで読める警察庁の解説といえば、こんな程度のものしかない。これははっきり言うと「粗末」である。立花書房の逐条解説を読んだ人ならば、警察庁のこの説明がいかに簡潔すぎるものであるかわかるだろう。
理解する必要があるのが一般市民である法律であるにもかかわらず、書籍を買えというのはいかがなものか。どの法律の逐条解説がインターネットで無償公開されていて、どの法律のものが書籍のみでの提供となっているのか、その違いがよくわからない。
さて、セミナーのパネル討論では次のような議論もあった。
不正指令の作成者自身が他人に実行させる目的を持っていない場合であっても、相手方に渡せば必然的に使われるという場合も対象に入らざるを得ないという発言があったような記憶がある。何でも起訴するわけではなく、情状を勘案して判断されるといった発言もあったが、はてさてどうなのだろうか。
正当な目的のために情報を発信する立場の我々としては、読者に誤解されないように記述することに注力するべきなのだろう。これまで、読む人の常識にまかせて書いてきた(文章中の)コードについても、きちんとそれを実行したら何が起きるのかを注意書きした上で発表するべきなのだろう。それは元々なすべきことだったわけで、それがはっきりしたことはよいことだと言えるかもしれない。
これに関連して次の質問もした。
「意図に反する動作をさせるべき不正な指令」とあるが、「これはこれこれこういう動作をするウイルスプログラムである」という説明を付けた上で提供した場合はどうなのか。「実行するボタンを押すとWindowsが破壊されます」という警告ダイアログが現れ、「実行する」というボタンが出てくるソフトウェアだった場合、どうなのか。
これに対する回答は次のものだった。実行者が本当にそのつもりで実行したのであれば罪に問われない。そういうつもりでなく実行してしまった人がいたら罪に問われる。特殊な言語で警告を書いてもだめだと。
そこで疑問に思ったのは、日本語で警告を書いても、日本語を理解できない人が起動してしまったら実行してしまうだろうということだ。
そうすると、言論を目的とした文書中のプログラムコードはどうなのか。たとえそこに、そのコードを実行するとどうなるかを自然言語で説明していたとしても、たとえそこに、「実際に実行したりしないでください」と自然言語で説明していたとしても、その自然言語を理解しない人は実行してしまうかもしれない。文書中のプログラムコードをコピーペーストして実行形式ファイル化して起動することは、その文書の自然言語を理解しない人であっても可能なのだ。プログラム言語とはそういう性質のものである。
このことから考えても、先の表の(B)については、人の実行の用に供する行為(改正刑法第十九章の二第2項)を処罰するのは理解できるものの、作成・提供(同第1項)についてまで処罰するのは、必要性がないだけでなく問題があるように思える。
その他、セミナーのパネル討論の席では次のことを述べた。
研究目的など正当な目的でウイルスプログラムを提供する(論文中に構造を示すために発表する等)ことがあり、安全のために、テキストではなく画像にして公表することが有り得るが、紙に書いたものでも「その他の記録」に該当するということだから、そうした安全策は、法律上の安全策(違法行為と捉えられる可能性をなくす)にはならないということか?
明確な回答はなかったが、目的が正当なものであれば該当しないので、心配の必要はなかろうということだった。
テキストと画像の違いを考えてみる。たしかに、画像から文字認識プログラムを介して、テキスト化しコンパイルなどして実行形式の不正指令電磁的記録を生成することはできる。しかしそれを実施する人は、それなりの手間を要するので、自分が何をやているかをある程度意識しているはずである。そのような場合に対してまで、実行形式プログラムそのものを提供した場合と全く同じに罪とするのは、はたして必要なことだろうか。
禁止されているプログラムを画像として提供する話といえば、DVDの暗号アルゴリズム「CSS」を解読する「DeCSS」のコードをTシャツにプリントして歩くという運動があったことを思い出す。この種のことに対して顔をしかめる人もおじさまには少なくないかもしれないが、この場合は、Tシャツのコードからプログラムを生成して利用しようとする人は、自らの意図に沿って積極的に実施する場合である。それに対し、不正指令電磁的記録を「その他の記録」としてTシャツに書いた場合どうか。それをわざわざ実行形式プログラムに変換して自ら実行する人について、意図に反する動作をさせられたと被害を訴えるような事態について、法律で保護する必要はないように思える。しかし法案は次のようになっている。
前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
を、
人の電子計算機における実行の用に供する目的で、
作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
結局のところ、大元の発想にあった「ウイルス製造罪」という考え方に引きずられてしまっているように思える。製造する「高度なハッカー」がケシカランという、現場を知らない非技術系オヤジ的発想から逃れられていないように思える。
むろん、一定以上の高度なウイルスは製造されないこと自体に社会的法益があることには同意する。しかし、一定以下の単純な言論に類するような指令については、作成することを罰する社会的法益がない。
その線引きは難しいのであるが、曖昧でもよいので、その違いについて何らかの注釈的な条件付けを法文に入れるべきではないだろうか。どのみち法律は曖昧なものだというのなら、曖昧な条件を付けたってよいはずではないのか。
これは不正アクセス禁止法の「当該アクセス制御機能による特定利用の制限」についても同様である。
(A)と(B)の線引きをどうやるかについて、著作権法における著作物の定義が参考になるかもしれない。
著作権法第2条では、著作物とは「1. 思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するものをいう」とされており、いくつかの裁判で、簡単すぎておよそ著作物とは言えないといった判断が下されている例がある。作ったものがどんなものでも著作物になるわけではない。
これに習って、「およそ○○とは言えない」という判断が下せ得るように、不正指令電磁的記録についても、(B)の場合を区別できる余地を残すよう法文を工夫することはできないだろうか。
区別した上で、(B)については人の実行の用に供する行為だけを処罰するのがよいのではなかろうか。