先週勤務先で日経新聞のインタビューを受けたものが、昨日掲載されていた。
最後の部分で、刑法改正案の「不正指令電磁的記録等作成等の罪」について触れているが、プログラムの作成という行為自体を罪とすることに、ソフトウェア技術者として、どうしても違和感を覚える。これについては一昨年にも書いた。
今読み直してみると、ほとんどの論点は一昨年の時点で既に書いていた。しかし最近では、別のいくつかの論拠から、作成罪は不必要であり、削除したほうがよいと思うようになった。(「人の電子計算機における実行の用に供する行為」(供用罪)だけを対象とするべきという考え。)
このところ急速に問題が深刻に受け止められ始めている、「仁義なきキンタマ」や「山田オルタナティブ」と呼ばれる不正プログラムは、他人を騙すことによって他人に自らそれを実行するよう仕向けるもので、その結果として、騙された人たちに本当に気の毒な被害をもたらすものである。
他人を騙して不正なプログラムを実行させるという行為は、倫理的規範に反するというだけでなく、法により処罰されるべき行為だと考えるのは自然と思う。
「不正指令電磁的記録に関する罪」は、このような「他人を騙して不正なプログラムを実行させる行為」のことを次のような文で正確に規定している。
人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令……を与える電磁的記録を人の電子計算機において実行の用に供する行為
人を騙してプログラムを実行させることは罪である。だが、人を騙して実行させることにも使うことのできるプログラムを作成することは、罪なのだろうか?
しかし、「作成した者こそが主犯格である」という印象はどうも根強いもののようで、たとえば、先週掲載された岡村久道先生のコラムでも、次のように述べられている。
ウイルス感染によって他人の情報が漏洩して損害を与えたケースで、民事責任をめぐって裁判に発展する場合があることは前回説明した。このように、不注意で感染して損害を与えた場合であっても責任を問われることがあるのだから、悪意でウイルスを作って配布した者が損害賠償責任を負うことは当然である。
コンピュータ・ウイルスの作成や所持などが新たに処罰対象に, 岡村久道, 日経IT Pro IT弁護士の眼
確かに、不正プログラムの作成者と、それを供用した者が同一である場合は多いかもしれない。だから、騙してプログラムを実行させたという事実があったときに、その行為者がそのプログラムの作者であれば、「作者に責任がある」という思考に短絡することになるが、作成者と供用者が別である場合はどうだろうか。
たとえば、昨年からインターネットバンキングにおける被害で特に問題となっている、キーロガーの場合では、作成者には悪意がない場合もあり、それを悪用する者こそが罪に問われるべきであろう。(作成者にとっては不正プログラムのつもりではなかったものが、供用者にとっては不正プログラムとなるという例。)
とはいえ、プログラム作成者が自ら手を下さず、誰かに手を下させている場合に、黒幕である作者が罪に問われないというのでは困るというのは理解できる。
だが、作成者と供用者が申し合わせて行為に及んでいるなら、それは共謀共同正犯になるし、作成者が供用者のことを知らなくとも、誰かが行為に及ぶだろうと考えながらプログラムを作成したならば、作成者の行為は幇助にあたるのではないか。
であれば、ことさらに作成罪を設ける必要がないのではないか。
幇助で起訴するとなると作成者の意図を立証する必要があり、それが難しいから……ということは理解できる。しかし、今回の刑法改正案でも、「人の電子計算機における実行の用に供する目的で」と限定しているのだから、作成罪に問う場合はいずれにせよ、「人の電子計算機における実行の用に供する目的」という意図があったことを立証しなくてはならない。
「Winny」というプログラムの例で言えば、Winnyは良い目的にも悪い目的にも使えるところ、「作者が悪い目的のために作った」とされ、著作権法違反幇助の罪に問われている。
そのような法の運用が現にできているのだから、不正指令電磁的記録に関する罪においても、供用罪だけを規定し、作成については目的を立証した上で供用幇助とすることができるのではないか。それができないというなら、「どうしてWinny作者を幇助罪に問うことができたの?」という疑問がわいてくる。
ところで次に、ウイルスを作成したり保管することを危険犯とみなすという趣旨がこの法案にあるとするなら、それは理解できる。
たしかに、大規模に増殖してネットワーク全体をダウンさせてしまうようなウイルス(ワーム)は、社会にとって危険なものであり、拳銃などと同様に、社会にとって存在しないことが要請されるという考え方は理解できる。
だが、この数年で、そうした考え方の必要性をかつてほど感じないようになってきてはいないだろうか。アンチウイルスゲートウェイや、ファイアウォールが普及したからである。
自己増殖機能を持つウイルスやワームは、その性質から、早い段階でその存在を発見され、アンチウイルスのパターンとして登録される。そして増殖が抑制される。
つまり、作成や保管が社会的な危険犯として扱われるタイプのウイルス(自己増殖型)の問題の解決をこの改正案の法益とするのなら、それはいささか時代遅れではないか。(法案が野ざらしにされている間に、技術的な対策が進んでしまった。)
それに対し、この数年で問題となってきたのは、そうしたセーフティネットにかからないタイプの不正プログラムの被害であろう。「スピア型」などと呼ばれるように、少人数をターゲットに専用にこしらえた不正プログラムによる被害である。被害の内容が、かつての愉快犯的なものから、金銭被害へと移り変わってきていることから、たとえかつてのワームほどに大規模な影響が出なくても、事態は重大な問題として認識されるようになった。
こうした攻撃は、技術で解決することができそうにない。人々が、安全なコンピュータの使い方を学んでくれることに期待するほかなく、攻撃者が処罰されないという状況は、バランスを欠いているように思われる。今こそ必要とされているのは、そのようなタイプの不正プログラムに対して、供用を罪に問うことではないだろうか。
そのとき、そのタイプのウイルスは、自己増殖能力を持たないものであるから、作成や保管を社会的危険犯として扱うのは行き過ぎだと思う。
したがって、「不正指令電磁的記録に関する罪」に「作成罪」、「取得罪」、「保管罪」はいらないと考える。
上記タイトルは、別にクレジットカードの偽造にかぎるわけでなく、「通貨偽造罪」に「偽造罪」はいらない、「文書偽造罪」に「偽造罪」はいらない、「電磁的記録不正作出罪」はいらない、といいかえても、いいのです。