高木浩光＠自宅の日記

2011年05月27日

■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解

いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。

第177回国会衆議院法務委員会平成23年5月25日衆議院TV, 会議録
第177回国会衆議院法務委員会平成23年5月27日衆議院TV, （会議録未公表）

特に注目に値するのは、今日の午前中の以下の部分。*1

大口善徳議員：（略）解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であります。この、意図に沿うか反するかということの判断をする場合においてですね、電子計算機の使用者における具体的な機能に対する現実の認識を基準とするのか、それとも、使用者として認識すべきと考えられるべき、一般的な基準、一般的に使用者として認識すべきと考えられる基準、これをその基準として判断するのか、これについておうかがいしたい。

江田五月法務大臣：コンピュータウイルスの定義は今、委員がご指摘の通り「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」、その意図というのは誰を基準にするのかというご指摘かと思いますが、この罪は、電子計算機のプログラムに対する社会一般の信頼、これを保護法益とするわけでありまして、それぞれの個人の信頼とか不信とかいう話ではございません。電子計算機を使用する者一般の信頼を規範的に判断をしていくということでございまして、プログラムの具体的な機能に対するその使用者の現実の認識を基準とするのではなくて、一般に認識すべきと考えられているところが基準になる。そのように思っておりまして、その判断にあたっては、プログラムの機能の内容であるとか、あるいは、機能についての説明内容であるとか、あるいは、想定される利用者、あるいは利用方法、こういうことを総合的に考慮することになると思います。

大口委員：そうしますと、判断の基準としてプログラムの使用説明書の記載が参考になるとお考えですか、いかがですか。

江田法務大臣：使用説明書は一つの参考になると思います。

大口委員：例えばですね、パソコンの中のデータをすべて消去するというプログラムがあってですね、それはプログラムとしては有用なものである場合にですね、それと異なる説明、例えば、「これは気象速報を随時受信するプログラムである」と、こういう説明がなされたものが広く配布され、その利用者が被害を受けたというケースが考えられます。こう言う場合、使用者の意図に反する動作をする不正指令電磁的記録となるのか、うかがいます。

江田法務大臣：今の具体的な事例をお挙げになっているわけでございますが、利用者の意図に反してデータが消去されてしまう、利用者としては今の場合に、天気予報プログラムですか、天気の予報が出てくるものと思ったら意に反して全てのデータが消去されてしまうといったようなことでございますから、これは意図に沿うべき動作を、一般的にですね、させず、一般的に意図に反する動作をさせてしまう、そういう指令を出すそうした電磁的記録だということが言えると思いますので、該当すると評価される場合が多いのではないかと思います。

大口委員：そうすると、使用説明書の説明のしかた如何によって、これはウイルスかどうかということが判定されると、いうふうにおうかがいしたわけであります。で、そこでですね、使用説明書等が存在しないプログラムはどうなのか。個人によるフリーソフトウェアの開発ではですね、説明書なしで配布ということが十数年、十年以上前から行われているわけです。こういう使用説明書等が存在しないプログラムについてですね、どのような動作をするプログラムか説明しないでプログラムを配布すると、それは使用者の意図に反する不正指令電磁的記録とみなされるのかということでですね、先の例だとパソコンの中のデータをすべて消去するというプログラムを何も説明しないでウェブサイトで公開する場合、これは該当いたしますか。

江田法務大臣：私もこうしたところにあまり詳しい方ではないので、むしろ委員にいろいろ教えて頂ければと思いますが、フリーソフトというのは何であるかというと、ワープロソフトのように一般的有用性を有するソフト、あるいはコンピュータを初期化するソフト、このような利用場面が限定されるソフトなどといったソフトの機能のことを言うのだと、いうようでございまして、これを利用するとき、どういう表示説明がされているかとか、あるいは、これがもしウェブページ上で提供されている場合であると、そのウェブのページの内容、説明、そうしたものから想定される当該フリーソフトの利用者や、あるいは、その利用方法、そうしたことを総合的に考慮して判断されるもので、ウェブサイト上に、「これは消去用のソフトですよ」ということがあれば、そしてそれを、ウェブにアクセスして「消去のソフトが欲しいなあ」と思ってる人がそれを見つけてそれを使えば、これはウイルスになるようなことはあり得ないと思います。

大口委員：その説明がない場合を問題にしているわけでございますけども……。まあ、そういう事例もあると。それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。そして、たとえば無料のプログラムですね、このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、それを無視してですね、そのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があってですね提供罪が成立するという可能性があるのか、おうかがいしたいと思います。

江田法務大臣：えー、あると思います。

大口委員：まーあの、いずれにいたしましても、こういうプログラム等、ソフトウェア関係の方から、いろいろですね、こういう場合が罪にあたるのか否かということでですね、声がありますので、しっかりこのあたりにつきましては、罪刑法定主義という基本に立って明確にしなくてはいけないと思います。

（次の話題へ）

というわけで、重大なバグを後から認識した場合にそれを公開し続けると、不正指令電磁的記録提供罪に問われることが「ある」とのことだ。

これは、7年前、情報処理学会が会長声明で以下のように懸念を示していた点について、今回の法案は配慮できていないということを意味しているのではないか。

「ハイテク犯罪に対処するための刑事法の整備に関する要綱（骨子）」に関する意見書提出, 情報処理学会会長益田隆司, 2004年2月2日

情報セキュリティが大きな関心事である今日、コンピュータシステムに対する犯罪を取り締まることには大きな意味がある。しかし、法制化に当たっては、技術の本質、動向等をよく理解した上で、我が国における健全な情報技術の発展を阻害しないようにすることを、情報処理学会は望む。特に、以下の点について、十分な配慮を願いたい。これらの内容は法的な見地からは杞憂といえるかもしれないが、情報処理技術の研究・開発に携わっている者の懸念を代表して、あえて意見を表明するものである。

１．攻撃を意図しない、ソフトウェアのバグや仕様の不完全性を処罰対象としないこと（要綱第一）

現行の表現では、
1）攻撃を意図しないが仕様を完全には満たさないソフトウェア（すなわちバグのあるソフトウェア）、あるいは
2）設計者の仕様は満たすがユーザの意図を必ずしも反映していないソフトウェア
を作成した者、またそのようなソフトウェアを配布した者が処罰の対象になるという解釈も成り立つのではないか。しかし、現状のソフトウェア開発プラクティスではソフトウェアのバグはゼロにすることは不可能であり、またソフトウェアの正しさの理論的な検証を実用的なレベルで行うことは現在のところできない。コンピュータ・セキュリティの専門家の間では、どのようなプログラムにも平均1,000行に１つのセキュリティ・バグがある、と信じられている。また、仕様がユーザの意図を反映しないことも多々あることである。したがって、故意による攻撃と、善意の開発者によるバグの混入や仕様の不完全性を同列に扱うべきではなく、上記1）と2）を処罰の対象から除くことを明らかにすべきであると考える。

ソフトウェアの仕様がユーザの意図を満たし、また開発されたソフトウェアがその意図通りに実装されていることに対する、ソフトウェア開発者の製造物責任に関する議論があるのは意味のあることであり、ソフトウェアに対する信頼を高めるためにも、大いに議論すべきであるが、この点は別に取り扱うべき項目と考える。

（以下略）

この論点について以前、法律家の方と話をしていたときに、「バグは直すべきじゃないの？」という発言が出てきて驚いたことがある。

情報技術に疎い方々からすれば、プログラムといえばワープロのような、商用のソフトウェアばかりだと思えるのかもしれないが、そうではない。フリーソフトウェアのように、「as is」で、すべて利用者の責任で使うことを条件に、自由なソフトウェア開発と自由な流通を促進することによって、これまでソフトウェアが発展してきた歴史的経緯がある。法務省はそのことを理解しているのか、この答弁のままでは、疑われるのではないか。