高木浩光＠自宅の日記

■ ウイルス罪法案、どうしてこうなった

前回で書ききれなかった「どうしてこんなことになったのか」の件。

結論だけ先にざっくり言えば、ワーム（自己増殖能力を持つもの）を想定していた人と、トロイの木馬（伝染の手段として人による起動を要するもの）*1を想定していた人が混在していて、その認識の違いを確認することなく議論してきた（法制審や国会において）結果であろうと思う。

それはどういうことなのか。

私はこの問題を最初に理解した2006年10月22日の日記「不正指令電磁的記録作成罪 私はこう考える」で、「法制審議会の議論はプログラムには多態性があるという視点を欠いている」と書いた。

つまり、この不正指令電磁的記録の罪が、文書偽造罪や通貨偽造罪とパラレルに設計されているといっても、偽造文書や偽造通貨は、作成された時点で偽造文書かそうでないかは確定するのであって、誰にどう渡すかによって偽造文書になったり偽造文書でないものになったりということはない。罪となるかは行使の目的があるかどうかであり、たとえば、偽造通貨をたまたま入手した者が、偽造通貨の専門家に鑑定を依頼するために渡すといったことは、行使の目的がないので偽造通貨行使罪にはあたらないわけだが、その客体が偽造通貨であるという事実は変わらない。それに対してプログラムの場合はどうか。作成された時点で不正指令電磁的記録であるか否かが確定するのかどうか。

ワームであれば確定する。ワームはそれ自体社会的に危険なものであって、ワームが有益なプログラムとみなされることはない*2のであるから、それをそうとは知らずに実行してしまう人が出れば、人の意図に反していることは間違いないだろうから、誰かが実行することを期待して作成したり提供したり、実際に実行させたりすれば、不正指令電磁的記録作成・提供・供用罪に該当することとなるというのは、それでよい。何の疑義もない。

では、ワームではないトロイの木馬ではどうか。実行するとハードディスクをすべて消去するプログラムはどうか*3。これはワームではない単純なトロイの木馬である。ハードディスクを消去するプログラムの機能自体は、有益なものとして使われることもあるし、間違って実行させられて害が生じることもある。このようなケースについて、法制審部会では一切議論されていなかった。私が2006年10月22日の日記で、「プログラムには多態性があるという視点を欠いている」と書いたのは、こういうケースを法律家らが想定せずに議論していたことを指してである。

このようなケースについて、不正指令電磁的記録に該当しないとする解釈（あるいは立法趣旨）もあり得た。つまり、専らトロイの木馬として（あるいはワームとして）しか機能しないようなプログラムが不正指令電磁的記録であって、（ファイル消去プログラムのように）有益にも使われることのあるプログラムは、それがいかなる態様で人の電子計算機における実行の用に供されることがあろうとも、不正指令電磁的記録に該当しないとするものである。

しかし、そのような解釈（あるいは立法趣旨）ではないことが、今国会の衆議院法務委員会で確認された。以下の質疑がそのことを示している。

○江田国務大臣 コンピューターウイルスの定義は、今委員が御指摘のとおり、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」、その意図というのはだれを基準にするのかという御指摘かと思いますが、この罪は、電子計算機のプログラムに対する社会一般の信頼、これを保護法益とするわけでありまして、それぞれの個人の信頼とか不信とかという話ではございません。

電子計算機を使用する者一般の信頼を規範的に判断をしていくということでございまして、プログラムの具体的な機能に対するその使用者の現実の認識を基準とするのではなくて、一般に認識すべきと考えられているところが基準になる、そのように思っておりまして、その判断に当たっては、プログラムの機能の内容であるとか、あるいは機能についての説明内容であるとか、あるいは想定される利用者、あるいは利用方法、こういうことを総合的に考慮することになると思います。

○大口委員 そうしますと、判断の基準として、プログラムの使用説明書の記載というのが参考になると考えるんですが、いかがですか。

○江田国務大臣 使用説明書は一つの参考になると思います。

○大口委員 例えば、パソコンの中のデータをすべて消去するというプログラムがあって、それがプログラムとしては有用なものである場合に、それと異なる説明、例えば、これは気象速報を随時受信するプログラムである、こういう説明がなされたものが広く配布され、その利用者が被害を受けたというケースが考えられます。こういう場合、使用者の意図に反する動作をする不正指令電磁的記録等になるのか、お伺いしたいと思います。

○江田国務大臣 今具体的な事例をお挙げになっているわけでございますが、利用者の意図に反してデータが消去をされてしまう。利用者としては、今の場合に、天気予想プログラムですか、天気の予想が出てくるものと思ったら、意に反してすべてのデータが消去されてしまうというようなことでございますから、これは、この意図に沿うべき動作を一般的にさせず、また一般的に意図に反する動作をさせてしまう、そういう指令を出す、そうした電磁的記録だということが言えると思いますので、該当するというふうに評価をされる場合が多いのではないかと思います。

○大口委員　そうすると、使用説明書の説明の仕方いかんによって、これがウイルスかどうかということが判定されるというふうにお伺いしたわけでございます。

そこで、使用説明書等が存在しないプログラムはどうなのか。（以下略）

衆議院会議録, 法務委員会第14号, 2011年5月27日

このように、元が有益なソフトウェアとして作成されたプログラムであっても、その供用の際の態様によっては供用罪が成立する（その場合に、その客体は不正指令電磁的記録に該当する）ということが言われている。

ようやく議論がここまで来たかと感慨深いわけだが、となると、立法趣旨が以下のどちらなのかということが、俄然重要だ*4ということになる。

• (X) 重大な危険を生じさせるプログラムの供用、作成、提供等を罪とするもの
• (Y) 人々を騙して実行させる行為や、その目的でプログラムを作成、提供等する行為を罪とするもの

このどちらなのかは、上で引用した27日の質疑で大口議員が最後で尋ねている質問、「そこで、使用説明書等が存在しないプログラムはどうなのか」に、どう答えるかで決定付けられるところだった。

もし、(X)の立法趣旨であるなら、「説明なく配布されているプログラムであっても、誰かが不用意に実行して危険になるようなものは、不正指令電磁的記録であり処罰の対象である」と答えるだろうし、(Y)の立法趣旨であるならば、「説明なく配布されているというだけでは、騙して実行させる意図があるということにはならない」*5と答えるはずだ。

しかし、27日の答弁では、この点についての回答が回避されてしまった。「これは消去用のソフトですよということがあれば、そして、それをウエブにアクセスして、消去用のソフトが欲しいなと思っている人が見つけて、それを使えば、これはウイルスになるようなことはあり得ないと思います」という答弁で、この回答は、(X)の場合にも(Y)の場合にも当てはまるものであるから、肝心のことが確認できていない。

参議院での審議はあと2回あるそうなので、法務省におかれては、間違う事なくこの点について明確に回答していただきたく思う。

というわけで、以下は、これまでの議論がいかに、ワーム想定とトロイ想定を混同したものであったかを振り返ることによって、今国会でのこの議論がなぜこうも混迷しているのかを納得し、混迷打破の鍵が、(Y)の立法趣旨であることの明確化であることを示す。

8年前の法制審部会での議論から

以下は、ワームを想定したもの（あるいは単純なトロイの木馬を想定に含めていない）と考えると合点がいく発言の数々である。

●第一の一の「その他の記録」につきましては，コンピュータ・ウイルスの機能を有する，内容的にそういう実質を有するプログラムではあるが，電磁的記録以外の記録の形で存在しているもの，例えば，プログラムのソースコードを紙媒体に印刷したものを想定してます。このような紙媒体の形で社会に広めるという形態も十分に考えられるので，第一の一について「その他の記録」を客体にしているものでございます。

●電磁的記録になっていても，今一歩何か欠けている部分があって，使ってもそれだとウイルスとしてうまく動かないという場合であっても，場合によっては，こうなり得る余地はあるということにつながってきますか。

●ほんの少し手を加えただけで不正な指令として完成するような実体であるものは，ここでいう完成している電磁的記録，完成しているウイルス・プログラムとしてとらえるべきだと考えております。

法制審議会刑事法（ハイテク犯罪関係）部会第1回会議 議事録, 2003年4月14日

上の部分は、ワームの社会的危険性を想定すると、こういう趣旨も納得できるが、ハードディスク消去プログラムをトロイの木馬として供用するケースを想定すると、納得がいかない。

●私は，むしろ逆に，ちょっと法定刑が軽過ぎるのではないかという気がしないでもないのです。

つまり，社会的法益に対する罪として，プログラムに対する社会的信頼を害する行為を犯罪にするという考え方，すなわち，ウイルスが持っている危険性というのはネットワークを通じて社会に広がっていく可能性があるところにあり，それが処罰の根拠なのだという見方自体，正しいと思っているのです。

これを前提にしますと，ここで問題となっているのは，社会の中に危険な薬物を生み出すとか，危険な凶器を作り出すとか，そういうのと非常に近い反社会的行為なのです。あえて刑法典の中に，これと近い犯罪を求めるとすれば，公文書偽造とか電磁的記録不正作出が挙げられます。確かにそれは個人的法益を害する形で使うことも可能ですけれども，今申し上げたような見方をすれば，そういう潜在的危険性を持っているからこそ処罰されなければいけないのだと考えられます。電磁的記録不正作出でも，普通の場合であれば５年の懲役まで行きますし，公文書偽造であれば１０年までの懲役が法定刑として予定されています。それとの比較で考えても，３年以下というのはむしろ軽過ぎるのではないかという気がするのですね。これは，刑法典のどこに入れるのかということとも関係すると思うのですけれども，私はむしろもう少し重く評価してもよい，そういう実体を持っているのではないかと考えるのです。

法制審議会刑事法（ハイテク犯罪関係）部会第3回会議 議事録, 2003年5月15日

この発言は、事務局ではない委員によるものと思われるが、「社会の中に危険な薬物を生み出す」「危険な凶器を作り出す」ことと並列にみなしている。（それを、さらに文書偽造罪と並列に論ずるのは変ではないか？）

続けて別の委員と思われる方から以下の発言へと続く。

●先ほどの文書偽造にあります「行使の目的」にある意味相当します「実行の用に供する目的」という目的要件を付した上でこのような骨子が示されているわけでありますけれども，ここで「作成」というのは，複写・複製ではなしに，新たに生み出すということでございまして，そうなりますと，この世に新たに生み出す，あるいはそれまでなかった人の手元にこういった社会に害悪を及ぼすようなものを出現せしめるということですから，それと，それを使うというのは，偽造罪等の一般の考えからすれば，同等の評価と申しますか，むしろ，作り出した人が一番悪い−−薬物のような考え方をしてまいりますと，むしろ作り出した人が一番悪い，あるいはそれを売った人が悪いという考え方も，禁制品的にとらえればあろうことかとは思われます。ここでは，電磁的記録であって，権利義務等に関するものでない，正にプログラムという，そういう性質の電磁的的記録でありますが，それを文書偽造なり電磁的記録などと同様の，偽造罪と同じような規制の仕方というものは，当然考え得る話ではなかろうかと思われるわけでございます。

むしろ，私文書偽造は５年ということにはなってございますけれども，実はウイルスの方が社会全体に影響を及ぼしていくという……。私文書の偽造罪は，社会的法益とは言われながら，法律的な話ではございませんが，社会的な実態とすれば，むしろ，名前を使われた人の個人法益的な，その文書限りの話になってくるわけでございますけれども，ウイルスは，禁止薬物等の禁制品あるいはそれ以外の危険なものと申しますか，世の中にとって，コンピュータ社会全体に害悪を及ぼしかねないものですから，それを作る，他人の手元に生じさせる，現に使う，この辺は３年ではむしろ軽いのではないかというのもそれなりに理由があるお考えかなとも思われますが。

法制審議会刑事法（ハイテク犯罪関係）部会第3回会議 議事録, 2003年5月15日

この委員は、私文書偽造罪は社会的法益だから偽造した時点で罪となるとされているものの、実態としてはその文書限りの話だという話と対比させて、不正指令電磁的記録では、文書偽造どころではない（禁止薬物等の禁制品なみの）危険なものという扱いをしている。ワームを想定すれば、その言い分も納得できるが、ハードディスク消去プログラムをトロイの木馬として供用するケースを想定すると、納得がいかない。

ハードディスク消去プログラムをトロイの木馬として供用するケースは、まさにこの委員が言うところの、私文書偽造罪において「名前を使われた人の個人法益的な，その文書限りの話になってくるわけで」という話に相当するだろう。つまり、文書偽造罪が、個々の被害を問題とせずに文書に対する社会の信頼という保護法益とされているのは、その限度の意味においてであるのに、この委員は、不正指令電磁的記録においては、それを超える危険を想定している。

次に、「人の電子計算機における実行の用に供する目的」の解釈がブレている（2月9日の日記で書いた「(A)解釈」「(B)解釈」のブレ）ところを見てみよう。

以下は、「ソフトウェアの開発会社等がセキュリティのチェックを行うためにウイルスプログラムを使う」場合を除外するために、目的要件をより明確にして「実行の用に供する不正な目的で」と修正するべきではないかとする提案（おそらくは日弁連による提案）に対して、（部会幹事から？）その必要はないと説明する部分。

●それでは，配布の論点メモに基づきまして，要綱（骨子）第一の論点について御説明をいたします。（略）

正当な目的で不正指令電磁的記録等を作成・供用等した場合の規定の要否につきましては，条約の６条２項のような規定を設けるべきではないか，あるいは「実行の用に供する不正な目的で」とすべきではないかという御意見がございました。

しかしながら，例えば，ソフトウェアの開発会社等がセキュリティのチェックを行うためにウイルスプログラムを人の電子計算機に記録する場合には，その者の同意を得ている以上，「人の電子計算機において実行の用に供した」ということは言えず，同様に，そのような目的でウイルスプログラムを作成したり，保管しても，自己の電子計算機あるいは同意を得ている者の電子計算機でのみ実行させる目的である以上，「人の電子計算機における実行の用に供する目的」に欠けることから，いずれの場合においても，犯罪が成立しないことは明らかであると考えております。したがいまして，御意見にありましたような規定を設ける必要性はないものと考えております。（略）

●今の点，細かい点ですけれども，ちょっと確認させていただきます。

要するに，目的が落ちる，目的に当たらないということですが，要綱の「人」というのは他人を指していて，同意がある人はここでいう「人」には当たらない，ですから「人の電子計算機における実行の用に供する目的」に当たらないということになって落ちると，そういうふうに理解してよろしいのでしょうか。

●ここで「人」は他人という意味で考えております。

それで，同じ理解になるのかもしれませんが，あくまでも，この罪というのは，プログラムに対する社会の信頼を害する罪でございますので，同意をしている人について信頼を害するということはない。偽造の場合，偽造だと分かっている人に行使と外形的に同じ行為をするのは行使に当たらないのと同じように，ここでは，同意を得ている人，分かっている人に対して使うというのは，ここでいう「人の電子計算機の実行の用に供する目的」には当たらない，そういうふうに考えております。

法制審議会刑事法（ハイテク犯罪関係）部会第3回会議 議事録, 2003年5月15日

「同意を得ている以上，『人の電子計算機において実行の用に供した』ということは言えず」というところまではよい。(A)解釈であれ(B)解釈であれ、同意を得ている場合は「人の電子計算機において実行の用に供した」ことに当たらないというのはよい。問題は、なぜ同意を得ている場合にはそれに当たらないのかという、その論理構成である。上の発言では、「人」というのが他人のことであり、同意を得ていれば他人ではないのだという。

ちょっとその理屈（同意があれば他人でない）は若干無理があるような感じがするところ、(B)解釈をしているならば、このような無理筋の理屈を出すまでもない。つまり、この発言者（幹事？）は、(A)解釈で話しているのではないかと窺われる。

(B)解釈の下では、「実行の用に供する」の意味が、単に人に実行させる（単にプログラムを渡す）という意味ではなく、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、またはその意図に反する動作をさせるべき不正な指令を与える」ような実行の用に供するという意味であるから、「実行の用に供する」という条文自体が、同意を得ていないことの意味を含んでいる。上の発言者は、その法解釈ができていないから、「人＝同意がない」の理屈を持ち出さざるを得なくなっているのではないか。

このことは、法制審部会でも、続く発言で以下のように指摘されている。

●今の質問に対する事務当局の正確なお答えを聞きたいですね。

●今の目的の点から申しますと，私どもとしましては，文書偽造罪などの目的規定がございますね，供用目的という。あれと同じような形で理解しておるということでございまして，その場合に，それを相手が同意しておるとか，情を知っておるという場合には供用に当たらないというところで解釈なさるのか，人に行使という，「人」のところで外すのかという，現行法の理解，○○委員のような御理解もあるかもしれませんが，いずれにしても目的のところで外れるという理解をしておるということでございます。

●多分，実質的には理解は異ならないというふうに思うのですけれども，せっかく「人」と書いてあるのですから，その「人」という意義が当然問題になって， そこで外れると。行使の場合には「人」というふうに書いてございませんので，したがって，今の御指摘のような点が行使に当たるかどうかという議論を踏まえて解釈されるということになると思うのですけれども，ここの場合には書いてあるわけですから，それをやはり使った方がよろしいのではないかという趣旨で， 実質的には多分事務当局の御説明と何ら異なるものではないと思います。

●具体的にはどういうふうになりますかね。何か修正が必要になりますか。

●いえ，このままでよろしいのではないかということでございます。

法制審議会刑事法（ハイテク犯罪関係）部会第3回会議 議事録, 2003年5月15日

つまり、事務当局は、文書偽造罪における行使の目的とパラレルに不正指令電磁的記録での「供用目的」を捉えれば、それだけで同意がある場合は除外されるので、「人の」を持ち出すまでもないということを言わんとしつつも、「いずれにしても目的のところで外れる」のだからということで、「人の」を持ち出した発言者の解釈（＝「○○委員のような御理解」）を積極的には否定せずに、それもアリとしてしまっている。そして、「人の」を持ち出した発言者は、「実質的には多分事務当局の御説明と何ら異なるものではない」として考え方を改めていない。

この解釈のブレは些末なことかというとそうではない。同意がある場合に構成要件を満たさないとする論理構成が、「人の」に頼ったものであるかぎり、その思考に囚われた人は、(A)解釈をしていてもその誤りに気づかないことになる。その結果として、この法の立法趣旨を(X)と取り違えてしまっても矛盾に気づかないことになる。（その結果として、バグが罪に当たり得るとする解釈が今国会で出てしまった。）

法制審部会で、この解釈のブレが「実質的には多分事務当局の御説明と何ら異なるものではない」と、些末なこととして放置されたのは、単純なトロイの木馬のケース（ハードディスクを消去するプログラムの機能自体は、有益なものとして使われることもあるし、間違って実行させられて害が生じることもある）のことを想定できずに議論していた（プログラムには多態性があるという視点を欠いていた）からであろう。

法務省は、今年5月になって「いわゆるサイバー刑法に関するＱ＆Ａ」なる解説を新たに公開した。その中に以下の記述がある。

Ｑ４　コンピュータ・ウィルスの作成・提供罪が新設されると，ウィルス対策ソフトの開発等の正当な目的でウィルスを作成した場合や，ウィルスを発見した人がそれを研究機関に提供した場合，あるいは，プログラマーがバグを生じさせた場合まで処罰されることになりませんか。

Ａ　コンピュータ・ウィルスの作成・提供罪は，
(1) 正当な理由がないのに，
(2) 無断で他人のコンピュータにおいて実行させる目的で，
コンピュータ・ウィルスを作成，提供した場合に成立するものです。

ウィルス対策ソフトの開発などの正当な目的でウィルスを作成する場合には，そのウィルスを，自己のコンピュータにおいてのみ実行する目的であるか，あるいは，他人のコンピュータでその同意を得て実行する目的であるのが通常であると考えられますが，それらの場合には，(1)と(2)の要件をいずれも満たしませんので，この罪は成立しません。

また，ウィルスを発見した人が，ウィルスの研究機関やウィルス対策ソフトの製作会社に対し，ウィルスの研究やウィルス対策ソフトの更新に役立ててもらう目的で，そのウィルスを提供した場合についても，(1)と(2)の要件をいずれも満たしませんので，やはりこの罪は成立しません。（略）

いわゆるサイバー刑法に関するＱ＆Ａ, 法務省, 2011年5月

この、「無断で」という説明は、8年前の法制審部会の議論には出てこなかった新しい説明方法である。「人の電子計算機における実行の用に供する目的」という条文がわかりにくいものであるため、「無断で他人の」という平易な説明をしているのだろうが、単に「他人の」とせずにあえて「無断で他人の」としたのは、「他人の」が同意なしにという意味だとする上記の法制審部会の発言者の解釈を採用していないということの現れではないか。

つまり、法務省は(B)解釈のつもりではないかと窺われる（法制審部会での事務当局もそうだったはず）わけで、そのことをはっきりさせてほしい。

ちなみに、「無断で」という説明をすると、「トロイの木馬を実行したのは本人だから、無断ではない」という考えが出てくるかもしれないが、たしかに、プログラム全体を見れば、それを起動して実行開始させたのは本人の意思によるものであるが、プログラム中の個々の指令（法に言う「指令」）を見ると、その一部として含まれている「不正な指令」は、本人の知らないところで意図に反して「与えられる」ものであるから、そのことを指しての「無断で」という説明だと理解すれば、合点がいく。