「実行の用に供する」の条文が(B)解釈であり、立法趣旨が(Y)であることが確認されるとして、その後に残る論点について検討を加えておく。
甲が正当な用途を想定して作成し公開したプログラム(たとえば、ハードディスクを消去するプログラム)を、乙がその機能を偽って第三者に実行させるよう誘導(たとえば、「気象速報を随時受信するプログラムである」と偽って)した場合、乙の行為は不正指令電磁的記録供用罪を構成し、そのプログラムは不正指令電磁的記録に該当することとなる。このことは、平成23年5月27日の衆議院法務委員会の審議で確認されている。*1
では、甲が作成したプログラムも不正指令電磁的記録なのか。
もし解釈3がまかり通ることになれば、我々は、「世の全てのプログラムは不正指令電磁的記録である」(168条の2および3の目的がないから犯罪に該当しないというだけで)という理解を受け入れなければならなくなる。なぜなら、いかなるプログラムも、悪意ある者によってその機能を偽って人の実行の用に供され、人の意図に反する動作をさせる指令として使われてしまうことが可能だからだ。
技術屋感覚では解釈1でいいんじゃないか、複製された時点で別の客体だしね、と思ったりするが、法律論ではどうか。解釈1の場合、乙は作成罪にも問われることになる。その場合の裁判の様子を空想してみる。
検察論告:「複製した時点で別の客体であり、作成者は被告人(乙)である。」(解釈1)
弁護人弁論:「複製しても作成者は甲であり、被告人(乙)は作成者ではない。もし、複製した時点で甲が作成者でないことになるのなら、悪質なワームを作成した者(丙)がいたときに、丙が供用行為に至らず、他の者(丁)に複製を提供し、丁が供用行為に至った場合、丙を作成罪に問えなくなる。法はそのような事態を予定しておらず、よって、複製されても作成者は甲であり、乙ではないと言うべきである。」
地裁:「被告人(乙)の作成罪は成立する。弁護人は、複製者が作成者となるのなら、悪質なワームの原作者を作成罪に問えなくなくなると主張するが、複製者が作成者となることは、複製前のプログラムの原作者が作成者であることを否定するものではなく、弁護人の主張は理由がない。」(検察の主張を丸のみ=解釈1)
高裁:「原判決を破棄する。被告人(乙)の作成罪は成立しない。同一内容の電磁的記録が同一の客体であることは、刑法161条の2電磁的記録不正作出・供用罪等においても当然の帰結であり、原判決の複製前の電磁的記録と複製後の電磁的記録を別個の客体とする解釈は到底採用できない。」(解釈3)
最高裁:「原判決を破棄する。本件を高等裁判所に差し戻す。不正指令電磁的記録作成とは、プログラムに対する信頼を害する不正指令電磁的記録を存在するに至らしめる行為を言うところ、本件甲作成の電磁的記録は甲が作成した段階ではプログラムに対する信頼を害する危険が生じたとは言えず、乙の供用未遂段階において初めてプログラムに対する信頼を害する危険が生じたのであり、甲作成の電磁的記録を不正指令電磁的記録に該当すると言うことはできない。原判決は刑法168条の2の解釈適用を誤ったものであって破棄を免れない。」(解釈2?解釈1?)
……とかいう展開になったら面白い。
これに類する展開はわりと現実に起きそうな気がする。Winny等で出回っているトロイの木馬を見ると、「仁義なきキンタマ」系のトロイを、ファイル名だけ変更(テレビ番組の名前などに)して再頒布したり、ZIPに固め直して頒布している者が散見される。この改正刑法が施行され、そうした輩が検挙されることとなったとき、元の「仁義なきキンタマ」系トロイの原作者を罪に問うことはできないわけだが、ファイル名を変えて流したり、ZIPで固め直して頒布した者を、(供用罪で起訴するのは当然として)作成罪で起訴するかしないかが問題となりそうだ。
それを作成罪で起訴した場合、裁判所の判断はどのようになるのか。こちらのケースでは、上の空想裁判のケースとは違って、どのみち原作者の行為も犯罪に該当する(法の不遡及により罪とならないが)ものであることから、単純に、「複製しても同一の客体である(複製前も後も不正指令電磁的記録である)」とする判例ができてしまう予感がする。*2
そのとき、我々は「世の全てのプログラムは不正指令電磁的記録である」という理解を受け入れなくてはならないのだろうか。
趣旨が(Y)であることが確認されて、文書偽造罪と同列の構造であることが明確になればなるほど、不正指令電磁的記録に関する罪は、要するにトロイの木馬(伝染の手段として人による起動を要するもの)に関する罪であり、「ウイルス作成罪」という呼称から連想しがちな、ワームなどの自己増殖による社会的危険の重大性に着目したものではないということになる。
そうなると、トロイの木馬ではない不正プログラム(脆弱性を突いて起動し、人による起動を要しないもの)、つまり、単なる侵入ツールのようなものは、この罪の対象ではない(供用罪に該当しない)ということになる感じがする。侵入ツールを用いて特定の電子計算機に侵入する行為自体は、不正アクセス禁止法によって既に犯罪とされており、その点に不都合はないように思われる。つまり、この罪はいわゆる「受動的攻撃」に対処するもので、いわゆる「能動的攻撃」は不正アクセス禁止法の領域だという整理である。
そうすると、侵入ツールの作成を処罰対象とするかという点が残るが、これについては、3月31日のニコニコ生放送「徹底議論!ウイルス作成罪」でも石井徹哉教授から解説があったところで、元々サイバー犯罪条約はそうした侵入ツールの規制を促すものであるところ、日本ではそのような立法を避けた経緯があると言われている*3。私としては、その判断は優れたものだったと思う。
では、トロイの木馬ではないワームの場合はどうか。つまり、脆弱性を突いて起動し、人による起動を要しないもので、かつ、自己増殖能力を持つ不正プログラムのことである。*4
「不正指令電磁的記録に関する罪」=「トロイの木馬に関するの罪」であるなら、人による起動を要しないものである以上、この罪の対象ではないことになる。といって、侵入ツールの使用と同様に不正アクセス禁止法で対処できるかというと、疑問だ。
元々、ウイルス作成罪の立法の必要性の根拠が、現行法で対処できなかったからであり、不特定多数に向けて「誰かに被害が出ればいい」というような意図で行われる行為を、どの罪で処罰できるのかという限界があったように理解している。加えて、不正アクセス禁止法は、禁止する行為を極めて具体的に規定してたものであることから、「誰かに被害が出ればいい」というような意図でばらまかれるワームについて、その頒布者を同法違反に問えない限界があるような気がする。
じゃあどうするのか。トロイの木馬でないワームを処罰できないようでは、「ウイルス作成罪」と呼ばれるにしては、あまりに無力だとの誹りを免れない。そうすると、人による起動を要しないものであっても、不正指令電磁的記録の罪の対象ということにするのだろうか。
8年前の法制審部会の議事録を見ると、事務当局(?)から以下の説明がなされている。
「実行の用に供する」という概念につきましては,当該電磁的記録を,電子計算機を使用している者が実行しようとする意思がないのに実行される状態に置く行為をいうものとして記載しております。
法制審議会刑事法(ハイテク犯罪関係)部会第1回会議 議事録, 2003年4月14日
これを読むと、パッと見では、脆弱性を突いて侵入するプログラムのことを指していて、逆に、トロイの木馬のことは指していないかのように聞こえる。トロイの木馬を起動するのは当人の意思によるもの(ダブルクリック等)であるはずだからだ。
これに類似した話として、前回の日記で次のように書いた。
ちなみに、「無断で」という説明をすると、「トロイの木馬を実行したのは本人だから、無断ではない」という考えが出てくるかもしれないが、たしかに、プログラム全体を見れば、それを起動して実行開始させたのは本人の意思によるものであるが、プログラム中の個々の指令(法に言う「指令」)を見ると、その一部として含まれている「不正な指令」は、本人の知らないところで意図に反して「与えられる」ものであるから、そのことを指しての「無断で」という説明だと理解すれば、合点がいく。
ウイルス罪法案、どうしてこうなった, 2011年6月9日の日記
これと同様に、上の法制審部会での説明「実行しようとする意思がないのに実行される状態に置く行為」も、プログラム中の個々の指令(法に言う「指令」)の単位で含まれている「不正な指令」について「意思がないのに実行される」という意味で言われているのだと理解すれば、トロイの木馬のケースについての言及と理解することができる。
そう理解することによって(B)解釈、(Y)の趣旨ということになるわけだが、逆に、脆弱性を突いて全自動で広がるワームのことは、この説明が指すものに含まれるのだろうか。
この文言自体からは含まれるように解釈可能(むしろ自然)だが、しかし、不正指令電磁的記録に関する罪の保護法益が、「プログラムに対する社会的信頼を害する行為を犯罪にするという考え方」(法制審部会議事録より)であるわけで、「脆弱性を突いて全自動で広がるワーム」が害しているものは、はたして「プログラムに対する社会的信頼」と言えるだろうか? 害しているのは別のものではないかという疑問がある。
ワームを想定して考えるとわかりにくくなるので、単純な侵入ツールの使用を想定してみれば、それを「プログラムに対する社会的信頼を害する行為」と言うことはできないように思えるがどうか。*5
というわけで、もしかすると、トロイの木馬ではないワームは不正指令電磁的記録に関する罪の射程外かもしれない。
それを処罰できないのでは困るという点については、この刑法改正で同時に盛り込まれることになっている、電子計算機損壊等業務妨害の未遂罪の新設によって担保されるのかもしれない。法制審部会でも、事務当局(?)から以下のように説明されている。
次に,要綱(骨子)の第一の五でありますが,これは電子計算機損壊等業務妨害罪の未遂を処罰することとするものでございます。
これは,電子計算機損壊等業務妨害につきましても,今日,コンピュータ・ネットワークにより遠隔から敢行され,あるいは広範囲に被害を及ぼし得るものとなっておりまして,これを未然に防止する必要性が高いと考えられますところ,その未遂は,不正指令電磁的記録供用罪,あるいはその未遂罪に該当する場合も少なくないと考えられますが,これによる処罰のみでは必ずしも十分でないと考えられますことから,電子計算機損壊等業務妨害罪の未遂を処罰することとするものであります。
法制審議会刑事法(ハイテク犯罪関係)部会第1回会議 議事録, 2003年4月14日
これは、上記で検討したような整理を経てこの結論に至ったものなのか、単に念のためにそうしたにすぎないのか、どちらだろうか。
仮に、トロイの木馬ではないワームは電子計算機損壊等業務妨害未遂罪で担保するのだとすると、業務の妨害とは言えないケース、たとえば家庭での被害*6が保護の対象から漏れることになるが、ワームが無差別なものであるからには、どこかの業務も妨害することになる(その未遂が罪に問われる)であろうから、そのことは問題ないと言えるかもしれない。
そうすると、処罰対象から外れるのは、Winnyネットワーク等の、ほぼ全部が業務と言えない利用者であるところに対して、トロイの木馬ではない方法で(脆弱性を突くなどして人を介さずに)動作するワームを撒く行為ということになる。
それはそれで、保護法益を考えれば妥当であるようにも思われるが、結果として起きる被害を考えたときに、第三者(Winny等の利用者以外の)のプライバシー情報までもが暴露されることは社会として堪え難いことのはずであり、何らかの措置が必要であるように思われる。
その点、何を保護法益とするのかから改めて考え直す必要があるのではないだろうか。*7
*1 「というふうに評価をされる場合が多いのではないかと思います」との法務大臣答弁。
*2 そのときの弁護人にはぜひ、正当なプログラムが複製されて悪用される場合の想定を挙げて、解釈論を戦わせてもらいたい。
*3 犯罪に用いられるツールの作成を犯罪化しようとすると、セキュリティ診断にも用いることのできるツールまでもが、規制の対象となってしまうという問題が生じる。これは、「Dual-use technology」(善用も悪用もできる技術)についての一般的な問題であるところ、情報技術の分野では特に、作成まで規制するとなると、どこからを犯罪とするかの見極めが困難となることから、日本法ではそのような立法を避け、「人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令」という切り口に着目して、この法案が編み出された経緯があるのではないか、と石井教授は言う。関連記事:「ドイツで「ハッカー・ツール」が違法に」
*4 なお、CSRF脆弱性を突いて広がるWebワームの場合は、当該Webサイトを見るという人の操作を要することから、ここでの分類ではトロイの木馬に該当する。Webサイトを見ることで自動的に実行されるプログラム(Webとはそういうものである)に対する社会的信頼を害するものということ。
*5 ちなみに、法制審部会の議事録には以下のやりとりがある。
●「実行の用に供する」ということの意味なのですけれども,いつでもそのプログラムが起動し得る状態になっているという段階でも「実行の用に供した」と言えるのか,それとも,プログラムが現に起動したというところまでいかないと「実行の用に供した」とは言えないのか。そこはどうなのでしょうか。
●「実行の用に供する」という言葉につきましては,客体となる不正指令電磁的記録を,人の使用する電子計算機についてその意図に沿うべき動作をさせず,又はその意図に反する動作をさせる不正な指令を与える状態に置くことであって,ですから,不正指令電磁的記録を,電子計算機を使用している他人が実行しようとする意思がないのに実行される状態に置くことをいうものと考えております。
●例えば,「一太郎」を起動すると自動的にそのプログラムが動き始めるという場合,その人がいつ「一太郎」を起動するかもしれない状態にあれば,もうそれでこの罪に当たるということですか。
●はい。
法制審議会刑事法(ハイテク犯罪関係)部会第3回会議 議事録, 2003年5月15日
このやりとりはちょっと変で、以前から気になっていた。一太郎を起動すると自動的に当該不正プログラムが動き始めるということは、既に何らかの脆弱性を突いて、当該不正プログラムのファイルがそこに置かれた状態(もしくは、通常の何らかの機能によってファイルが一時格納フォルダに置かれた状態であって、かつ、何らかの脆弱性を突くことで一太郎の起動によりそれが起動されるように仕向けられた状態)であるはずであり、プログラムに対する社会的信頼を害するものとは違うように思える。仮にプログラムに対する社会的信頼を害するものであるなら、そこで言うプログラムはどれのことか。一太郎のことではないはずである。当該不正プログラムのことを指すにしては、人は、当該プログラムを起動するのではなく一太郎を起動するのであるから、当該プログラムの社会的信頼を害するとは言えないはず。このやりとりは、あまりにも字面上だけで議論して、安易に「はい」と答えたに過ぎないものではないか。本当は、「不正な指令を与える状態に置く」の意味は、当該プログラムが全体として起動された時点(個々の不正な指令はまだ実行されていない段階)が、個々の不正な指令を与える状態に置くことになるのを指して言っているのではないか。
*6 「家庭内のパソコンがウイルスに感染したために、デジカメで撮った家族写真のデータが消滅してしまったとしても、電子計算機損壊等業務妨害罪には問えないことになりそうだ。」(岡村久道「コンピュータ・ウイルスの作成や所持などが新たに処罰対象に」, 2006年3月7日より。)
*7 たとえば、無差別かつ大規模なプライバシー暴露又は収集など。これには、諸外国では問題にされたのに日本では全く合法でしかなかった、Googleのストリートビュー撮影車による大規模かつ無差別な無線LAN傍受の事案なども含まれることになる。日本にはこれを保護法益とする法がない。(そのため、私のWinnyネットワーク観測も、現時点では合法となっているわけである。そうした必要性と問題性が個別にしか判断しようのないものについては、直罰ではなく、プライバシーコミッショナーを介した間接罰による規制とするのが妥当ではないかということも、同時に思うところ。)