<前の日記(2019年02月11日) 次の日記(2019年03月07日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2362   昨日: 7773

2019年02月19日

Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2

昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節は、続きを書くつもりだったが、それからだいぶ経ってしまった。今改めてそれを書いておく。

当時、私が「Coinhiveの使用が不正指令電磁的記録の供用でない」と主張したことに対して、「それではあれが処罰できなくなる」だとか、「俺のPCのリソースが無断で消費されるのは許せない」とか「電気窃盗だろ」といった反応がチラホラ見られた。これらについて整理しておく。

刑法は「利益窃盗」を不可罰とする

刑法の講学上の概念として「利益窃盗」なる言葉がある。これは、刑法に規定された財産犯が二つのタイプに分けられることから来ている。すなわち、強盗、詐欺、恐喝には1項と2項が規定されていて、1項が「財物」を対象とし、2項で「財産上の利益」を対象としているのに対して、窃盗には「財物」の1項が規定されているのみ(下記参照)で、「財産上の利益」に相当する2項がない。このことから、刑法は、窃盗については「財物」のみを対象とし、「財産上の利益」をあえて対象にしないという区別をしていることが明らか*1なわけで、「利益の窃盗という犯罪はない」という意味で、「刑法は利益窃盗を不可罰とする」と説明される。

(窃盗)
第235条 他人の財物を窃取した者は、窃盗の罪とし、10年以下の懲役又は50万円以下の罰金に処する。

(強盗)
第236条 暴行又は脅迫を用いて他人の財物を強取した者は、強盗の罪とし、5年以上の有期懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

(詐欺)
第246条 人を欺いて財物を交付させた者は、10年以下の懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

(恐喝)
第249条 人を恐喝して財物を交付させた者は、10年以下の懲役に処する。
2 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

「リソースが無断で消費されるのは許せない」というのは、「財産上不法の利益を得られた」という感覚なのだろうと思われるが、暴行・脅迫が伴うとか、騙しが伴うとか、脅しが伴っているのであれば刑法犯に当たり得るかもしれないが、それらが伴わない「単に取っていく」行為は(対象が財物に該当しない限り)犯罪ではないのである。

しかしここで、「財物」とは何を指すのかが問題となる。

電気窃盗との関係

何が「財物」に当たるかが問題となった有名な例は「電気窃盗」である。電気の盗用が旧刑法(明治13年)の窃盗罪に該当するかが裁判で争われ、電気が「物」に当たるかが問われた。大審院は窃盗罪を認める判決を下した(明治36年)が、これには批判があり、明治40年の刑法で「この章の罪については、電気は、財物とみなす。」(245条)との個別の規定を置くという立法的解決がなされた。

ここで、電気以外の類似のものも同様に該当するかが問題となる。電気以外のエネルギー(暖房の熱風・エアコンの冷気や、何かしらの動力の運動エネルギー)が無断で使われた場合も窃盗なのか、何らかのサービスを勝手に使われた場合(Coinhiveはこれに近いか)はどうか、情報を勝手に使われた場合も窃盗(情報窃盗)が成立するのかが論点となっていた。

学説では財物の意義について「有体物説」と「管理可能説」が展開され、管理可能説では「電気以外のエネルギーや、サービス、さらには債権、情報までもが含まれることになり、利益窃盗を不可罰とするとする現行刑法の立場と実質的に矛盾する帰結がもたらされることになってしまう。」(山口厚『刑法各論 補訂版』(有斐閣、2003年)173頁)との批判があり、管理可能説も様々な限定を付ける工夫をしたものの、現在では、有体物説が「多数説、あるいはすでに通説」であるという(前掲山口同頁)。

刑法245条の「電気は、財物とみなす。」との規定を、有体物説では、「電気は財物でないことを前提とするもので例外的な規定であるとして、電気以外の非有体物については財物性を否定し」(山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993年)26頁)、これに対して管理可能説では、「245条を単なる注意規定に過ぎないとする」(同)という。

現行刑法に電気窃盗の規定があることから、その類推で電気のようなものまで該当するのだという感覚があるのか、Coinhiveを電気窃盗の一種だと感じる向きもあるようだが、このように、管理可能説が否定され、有体物説が通説となった今日では、電気は例外的に刑法に規定されただけのものと整理されており、それ以外のものに類推して窃盗罪を構成するとすることはできないのである。

コンピュータ無権限使用の不可罰性

1980年代から1990年代前半にかけて、「情報窃盗」をどう処罰可能にしていくべきかが盛んに議論された。今日から見れば、これは、不正競争防止法の営業秘密侵害罪と、不正アクセス禁止法の不正アクセス罪、さらには個人情報保護法の平成27年改正で新設された個人情報データベース等不正提供・盗用罪により立法的に解決されてきたと振り返ることができるが、当時は、窃盗罪の適用について、有体物説からあるいは管理可能説から財物に当たることにできないかが検討され、無理があることが論じられていた(荒川雅行「情報と財産犯」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)37頁以下)。

これと同時期に、コンピュータ無権限使用についても論じられていた。コンピュータ濫用による犯罪については、刑法の昭和62年改正で電子計算機使用詐欺罪その他が新設され、それまでの伝統的な詐欺罪との違い等について論じられている(神山敏雄「コンピュータと財産犯」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993年)53頁以下)が、昭和62年改正で「将来の検討課題」として盛り込まれなかったのが、情報窃盗とコンピュータ無権限使用であった。

コンピュータ無権限使用について、当時の議論の様子が、南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁以下で、以下のように回顧されている。

1980年5月、マイコン・ショップの従業員が、岡山大学助教授の同大学計算機センター登録番号(ID)とパスワードを入手し、これを用いて数ヶ月の間、のべ45時間にわたり電話回線経由で同センターのコンピュータにアクセスし無断で使用していた(使用料約16万円)ことが発覚した。1981年8月、某公団職員らが、全国高等学校野球選手権大会の試合に関して、現金合計16万円余りを賭けて、いわゆる「野球トトカルチョ」と称する賭博を行い、その際、賭け金の計算処理を行う特別のプログラムを作成した上、同公団のコンピュータを不正に使用していたことが発覚した。いずれも、コンピュータの不正使用については適用条文を欠くため立件されなかった(53)

このような利用権限のない者によるコンピュータの不正使用——マシン・タイムの盗用とも呼ばれる——は、一台のコンピュータを並行して同時に複数のユーザが利用できるタイム・シェアリング処理を用いて、本来の業務で稼働中の運転コストの高額なシステムを、不正に対価を支払わずに使用することとなる点で、ある種の「利益窃盗」とみることができる。そのため、発覚した事案のような大型のコンピュータでなくとも、勤務先のコンピュータを私的な目的で使用したり、外部から電話回線等を介して接続して使用したりする行為も含めて、処罰するためのいかなる刑罰法令も存在しなかったのである。しかし、この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべきであろう(54)

(54) 対価を払わずに他人の物を権限なく使用する行為一般を犯罪化する必要がないことはいうまでもない。たとえば、勤務先会社の機器を用いた仕事中の私用電話やファクシミリなどは、内部的ルール等に委ねられることで十分規律しうるのである。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁

コンピュータ無権限使用が不可罰であることが意外に思われるかもしれないが、もしこれを犯罪としてしまえば、会社のパソコンでゲームしただけでも犯罪ということになってしまう。このことについて、1985年のジュリストに掲載された鼎談「コンピュータ犯罪と刑事立法の課題」(大谷實・吉田佑紀・西田典之)では、以下のように語られていた。

(3) コンピュターの無権限使用

大谷 それでは第三番目のコンピュータの無権限使用ですが、これは実際上事件として例がありましたか。

吉田 一つの例としては、岡山大学で誰かがコンピュータを勝手に使っているという事件がありました。

西田 そうですね。マイコン教室の先生か何かが大学の助教授のパスワードをひそかに入手して、それで大学のコンピュータを無断で利用したという事件と、もう一つは公団の職員が賭博行為か何かの計算をするのに業務用のコンピュータを無断で使用したという事件がありました。

大谷 可罰的な使用窃盗の限界として、社会通念からすると、金を出して使用するのが当然であるというような態様の占有の取得について、可罰性を認めるべきではなかろうかという意見に私は賛成なのですけれども、そういう意味でとらえると、現行法のもとでもコンピュータの占有の取得が認められるような無権限使用については、必ずしも処罰できないわけではなかろうという気がするのです。

西田 私はこれは使用窃盗ではないと思うのです。なぜなら、窃盗というのはやはり占有の奪取が必要なので、汎用コンピュータの大きいのを自分の家に持って行って、使ってまた返したというわけではなくて、その場で使う、あるいは端末機等から使うわけですから、それはむしろ利益窃盗であって、使用窃盗ではないと思います。

大谷 占有をそこまで広げるわけにもいかないということですね。

吉田 金を出して買うのが当然だという点を強調すると、本屋での立ち読みとかはどうなるのでしょうか。

西田 金を払わなければ読めないようなものを本屋で立ち読みをしたという場合、そのときは本を自分の手に持っていますから、まだ占有の移転は若干あるかもしれません。しかし、コンピュータの無権限使用の場合は実体としてはいわゆる利益窃盗であって、一応窃盗罪の行為態様はあるけれどもどうか、という使用窃盗の問題ではないということです。

大谷 そうしますと、無権限使用についての処罰の間隙は明らかにあるということになりますが、この場合は財産犯的な観点からとらえることになりますか。

吉田 結論的にはそうだと思います。違法性をどこに求めるかについての考え方は二つありうるわけでして、一つは利益の不法な享受という考え方からいけば、財産犯になるでしょうし、もう一つはコンピュータの利用形態そのもの、あるいはコンピュータの能力ともからむ問題ですけれども、それによってほかの正当な権限のある者の使用が妨害されるという事態があるとすると、これは業務妨害的な捉え方もありうるかもしれません。しかし、相当大きな容量のコンピュータで、多数の端末から同時に使えるということになれば、業務妨害という点からはとらえにくい面があるように思います。

大谷 利益窃盗であるというのは、どういう意味ですか。

西田 ですから、まず、その企業なら企業が所有しているコンピュータであれば、結局夜間誰も使わないときに勝手に使った、あるいは使っている時でも、タイム・シェアリング・システムであるから、他人に別に迷惑をかけていないという場合であれば、電気代を浪費させたというぐらいだろうと思いますけども、これがレンタルのコンピュータで毎月いくらというレンタル料を払ったうえに、稼働時間あたりいくらというものを払うということになりますと、これは実害が生じるということになるだろうと思います。ですから、こういう事態は利益窃盗であると私は申し上げたわけですけれども、場合によっては、他人の事務処理者が任務に違背して財産上の損害を加えたという背任でいける類型もありうるかもしれません。

大谷 そうですね。大概そういう場合は権限があってやっているわけですから。要するに、利益窃盗的な範疇に属するものは現在では対処できないということになりましょうね。

吉田 ただ、これも先ほど大谷さんからご指摘があったように、コンピュータに特殊な問題かということになると、やや違った面があって、より広く自動設備と申しますか、そういう機構の不正利用みたいな問題とこれをどう分けて考えるべきか。あるいは同じ範疇の問題として考えるのか。その辺はいろいろ考えておかなければならないのではないでしょうか。

大谷實・吉田佑紀・西田典之「コンピュータ犯罪と刑事立法の課題」ジュリストNo.846(有斐閣、1985年)27頁

このように、従量課金制のシステムを無権限で使用した場合でも、利益窃盗にすぎず、刑法では不可罰とされていたわけで、定額課金制のシステムを(妨害にならない程度に)無権限使用する*2のは、電気を浪費させることになろうとも、さらに犯罪から遠いということが話されている。ましてや、課金されていないものはもっと遠いであろう。

こうしたことからしても、Coinhiveについて「Webサイトを訪れたら勝手にCPUを使われた」ということそれ自体を財産犯的に処罰することはできないのであり、このことはよく理解するべきである。

岡山大学計算機センターの件のような事案は、後に2000年から、不正アクセス禁止法により処罰されるようになる。これは、「刑法の不備によってたまたま不可罰になっているところを穴埋めした」というものではない点に注意したい。あくまでも、識別符号によるアクセス制御が行われているところを破るという行為が「アクセス制御機能に対する社会的信頼」を害したことをとらえて処罰されるのであり、その際に「従量課金16万円分を免れた」ということ自体は、可罰的違法性や犯情の軽重として評価されるにすぎない。

前掲の南部は、不正アクセス禁止法の制定の意義を2013年の時点で以下のように回顧している。

(1) 不正アクセス禁止法制定の背景

すでに見たように、1987年改正の際、コンピュータ・システムへの不法侵入(不正アクセス)行為については、今後の検討課題として犯罪化が見送られた経緯がある。そこでは、不正アクセスは結局のところ、データの不正操作・不正入手、コンピュータの無権限使用・破壊といった諸類型の予備的手段であり、コンピュータの情報処理機能に対する実質的加害とは必ずしも言えないということが理由とされた(74)。外部からのコンピュータへのアクセス行為が管理されている状態は、未だ刑罰的保護が必要なものとは評価されなかったのである。

しかし、1990年代半ば以降のインターネットの急激な普及により状況は一変する。(略)

1987年改正以来の状況の変化が、ネットワーク外部からのコンピュータへのアクセスが管理されている状態自体を刑罰で保護すべき、との認識を導いたといってもよい。無権限のアクセスを財産犯等の予備的な行為とする認識(78)は、ネットワーク社会の発展段階が、適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性を認めるほどに達していなかったからにほかならない。

なお、本罪が財産犯等の予備的性格のものではないとしても、本罪=不正アクセス行為を手段に、(それ自体は直接の罰則を欠く)コンピュータの無権限使用やデータの不正入手が行われる場合は、不正アクセス罪で捕捉可能となった段階で処罰が可能となるのは当然である。すなわち、情報の不正取得等の手段として行われた無権限のアクセスを処罰することにより、結果的に、ネットワーク上の情報に対する刑罰的保護として働くものとなっているともいえる。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(二)」日本法学第78巻第3号(2013年2月)33頁

つまり、昭和62年の刑法改正の際には、「財産犯罪等の予備的な行為」として検討され、今後の検討課題として見送られたが、そのような考え方に留まっていたのは、その当時はまだ「適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性」が「ネットワーク社会の発展段階」として「認めるほどに達していなかった」からなのであって、後にネットワーク社会が発展して状況が変わり、それが認められるに至ったのだと説明されている。

前掲の引用部で言われているように、「この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべき」ということなのである。

不正アクセス罪の代替としての不正指令電磁的記録供用罪

情報窃盗は不可罰であるけれども、不正アクセス行為によって情報を不正取得された場合には、不正アクセス行為を処罰すれば足りるわけであるが、不正アクセスを伴わない情報窃盗の手段として、スパイウェア等のトロイの木馬プログラムを用いたものがある。平成23年の刑法改正で不正指令電磁的記録の罪を新設したのは、結果的にこれをカバーすることになった*3といえよう。

そうすると、コンピュータ無権限使用についても、不正アクセス行為を手段としたものが不正アクセス罪で処罰されるのと同様に、不正指令電磁的記録の実行による無権限使用についても不正指令電磁的記録供用罪で処罰される*4のも自然なように思える。

しかし、上に見たように、コンピュータ無権限使用それ自体が可罰的なのではない。情報窃盗も、それ自体が可罰とされないのは、単に刑法の窃盗罪が有体物を対象にしているからという不都合を迂回するためというわけではなく、情報を勝手に取得する行為には正当な行為も多々あるから、一律に「窃盗」として犯罪化するわけにもいかないという事情もあるからであるのと同様に、コンピュータ無権限使用も、勝手に使用する行為に正当なものも多々あるから、やはりそれ自体を可罰的と言うわけにはいかないのである。

つまり、「俺のPCのリソースが無断で消費された」ということだけをもってして、不正指令電磁的記録供用罪に問えるわけではないと言いたいわけである。WebサイトをWebブラウザで閲覧するときに起きることは、まさにそのようなことの典型例である。

Cryptojackingの不正指令電磁的記録罪該当性

ここで、本来の意味でのcryptojacking(クリプトジャッキング)がどの罪に当てはまるかを検討してみる。

cryptojackingにもいくつかのタイプがあるが、単純にサーバに侵入してコインマイナーを設置し、サーバのCPUを使って計算したとしよう。これはまさに、1980年の岡山大学計算機センターの事案と同等である。プログラムの内容が何であるかは関係なく、これらは同等である。

コインマイナーが使用したプロセスが1つのみで、負荷(タイム・シェアリング・システムとしての負荷)を大して上昇させない(CPU使用率は100%となるわけだが)ものだったならば、前掲のジュリスト鼎談で言われていたように、妨害にならないものであれば業務妨害とはとらえ難く、利益窃盗それ自体も不可罰であるわけだが、今日では、サーバに侵入した部分をとらえて、(不正アクセス禁止法違反行為を手段としたものであるならば)不正アクセス罪で処罰される。

このとき、不正指令電磁的記録供用罪にも該当するのか。当然に該当するように思ってしまう向きもあるかもしれないが、そうとも限らない論点がある。不正指令電磁的記録の罪の保護法益は、「人が電子計算機を使用するに際してその意図に……べき不正な指令を与えるものではないという電子計算機のプログラムに対する社会一般の者の信頼」にあるところ、サーバ管理者の関与がないところで勝手に見知らぬプログラムが動いていたというだけで、この意味での「信頼」が害されたと言えるのかどうかに疑義がある。

2011年の刑法改正時に公表された「いわゆるコンピュータ・ウイルスに関する罪について」と題する解説文書(参議院法務委員会の附帯決議に従って法務省が一般向けに公表したもの)、また、後にその担当者が執筆した『大コンメンタール刑法第3版第8巻』(青林書院、2014年)340頁以下を見ても、例示されている不正指令電磁的記録の具体例には、電子計算機の使用者がプログラムの実行を開始させるに際してそれを信頼して実行開始させて良いか判断に直面しているものが多い。もっとも、「アイコンのダブルクリック等の使用者の行為が必要であるか否かは問わない」との解説もあるので、そのような場合に限られないようにも思われるが、これは、Webブラウザで閲覧するだけの場合や、ワープロで文書ファイルを開いて編集中に何か別のことが起きる場合など、直接の起動を要しないという趣旨のようにも見え、全く何らの関与もしていない場合まで含めると言っているのかどうかは、はっきりしない。

例えば、サーバに侵入した犯人が計算させていたプログラムが、円周率計算のプログラムだったら、不正指令電磁的記録にも当たると言うのであろうか。少なくとも解説書にはそのような例示はない。*5

次に、Coinhiveを他人が運営するWebサイトを改竄して埋め込むタイプのcryptojackingの場合はどうか。この場合は、Webサイトを改竄したという点で、電子計算機損壊等業務妨害罪にも当たり得るところ、(不正アクセス禁止法違反行為を手段としたものであるならば)不正アクセス罪でも処罰されることになる。

このとき、不正指令電磁的記録供用罪にも該当するのかは、Webサイト訪問者のコンピュータ上での実行の話であるので、今裁判で争われている、Webサイト管理者自身が意図してCoinhiveを設置した場合における不正指令電磁的記録供用罪該当性の当否と同じということになる。

ここで注意したいのは、Webサイトを改竄したという、電子計算機損壊等業務妨害罪や不正アクセス罪の犯罪性に釣られて、Webサイト訪問者のコンピュータ上で実行されるCoinhiveの不正性を評価してはいけないということである。これらはあくまでも独立に評価すべきものである。

これら2つのタイプのcryptojackingの場合、不正指令電磁的記録の罪に問わなくともそれ以前に明らかに犯罪であるので、「あれが処罰できなくなる」といった心配は無用である。

会社のWebサイトに管理者が図利目的でCoinhiveを設置した場合

では、Webサイトの正規の編集権限を持つ者が、当該サイト運営者の期待に反して、私的な利益の目的でCoinhiveを設置した場合はどうだろうか。具体的には、会社のWebサイトに編集担当の社員がCoinhiveを設置して、得られる仮想通貨(暗号資産)を自分の懐に入れていた場合である。この場合は不正アクセス禁止法に違反しない。

ここで、そのような行為を会社は許さないであろうという前提がある。許さない理由は2つに分解でき、一つ目は、収益を懐に入れていたことであり、二つ目は会社に損害を与える危険を生じさせたという点である。

一つ目の観点では、横領罪のようでもあるが、横領も窃盗と同様に有体物が対象であり、利益横領罪というものはない。背任罪のようでもあるが、もし元々会社が会社の口座でCoinhiveを設置していたのを編集担当社員が自分の口座に差し替えていたなら、会社に財産上の損害を与えることになり、背任罪ということになりようがあるが、元々が設置されていなかった場合にはその損害がなく、設置自体が直接に会社に損害を与えるわけではない。このことは、会社のWebサイトに編集担当が勝手にアフィリエイトや広告を貼って収益を懐に入れていたといった事案と同じであろう。

二つ目の観点は、会社のWebサイトにCoinhiveが設置されたことが会社に損害を与えるというのであるが、これは、「あの会社のWebサイト、マイニングしてやがる。もう行かねえぞ。」と世間で嫌われるようになったらという仮定がある。

「マイニングしているWebサイトが嫌われる」という社会が現実にありそうかというのは、現時点では未知である。もし、昨年の段階で、大手新聞社やテレビ局がCoinhiveを導入するなど、警察が手を出せない状況で普及し始めて行った並行世界を空想すると、その後に反発が起き、「マイニングしているクソサイトの一覧」のようなものが作成されて、自ら使わないようにしたり、人に使わないように呼びかけるといった社会運動が勃発していたかもしれない。

しかし、そのような並行世界の想定でも、会社によっては「そういうのは無視しておけばいい。当社はCoinhiveで収益化していく。」という選択をするところが出てくることもあり得るだろう。その場合には、上記の「二つ目の観点」で会社に損害が生じたと言えるかは、会社の方針次第ということになる。

このように、会社のWebサイト編集担当の社員がCoinhiveを私的に設置する行為は、会社の方針次第では背任罪を構成するかもしれないが、会社の方針がそうでない場合もあり得るし、そもそも「マイニングしているWebサイトが嫌われる」社会が到来しない可能性もあり、その場合には当該社員の行為(のうち会社に対して行ったこと自体)は刑事の問題ではないということになる。

ここで、Webサイト閲覧者に対する不正指令電磁的記録の供用罪が成立するかが問題となるが、前記と同様に、今裁判で争われている事案と同じであり、会社に迷惑をかける社員の問題とは切り離して評価するべきである。

Coinhiveはこのケースのように、こういう行為に出る社員を産みやすい(収益が得られ、容易に設置でき、かつ、アフィリエイト等と異なり会社にバレにくい*6)性質があることから、「良からぬ行為を助長させてけしからん」という怒りが湧く人たちもいそうであるが、そのような感情に釣られて、「これが処罰できなくなるからCoinhive自体が犯罪」などという短絡思考をしてはいけない。

ブログパーツの提供者が後からCoinhiveを内蔵させた場合

次に、ブログパーツに埋め込む場合はどうか。この場合はcryptojackingに含まれると思われる。

ブログパーツ(Web widget)とは、facebookの「いいね」ボタンなどがそれで、facebookが提供するJavaScriptコードを各自のWebサイトに埋め込んでおくと機能するというもので、ブログパーツ提供者が信頼できる者であることを前提に成り立っている仕組みである。怪しげなブログパーツを不用意に埋め込むと、セッションハイジャックされたり、コンテンツを改ざんされたりする被害(クロスサイトスクリプティング脆弱性があるのと同等の結果)が生じ得る。

ブログパーツが普及していく段階では、信頼できるコードであるか、各設置者によりある程度の検証が行われ、悪評が立たないことによって普及が広がっていくわけであるが、ここで、そのような信頼により既に広く普及しているブログパーツがあるとする。それがある日突然、その提供者によってCoinhiveが内蔵された場合はどうだろうか。

当該ブログパーツを設置していたWebサイトからすれば、自分のサイトの評判が低下することになりかねない。前記の会社のWebサイトの場合と同じで、「マイニングしているWebサイトが嫌われる」という社会が到来していたならば、読者に「マイニングしてやがる。もう行かねえぞ。」と嫌われることになる。

嫌われることを覚悟で自サイトの収益化のためにCoinhiveを自ら設置することはあっても、収益をブログパーツ提供者に持って行かれて嫌われるだけというのは、受け入れ難いことだろう。Webサイト運営者はそういうブログパーツは撤去することになるだろうが、気づいた時点では既に嫌われて読者が離れているかもしれない。

広く普及したブログパーツであれば、全体としてかなりの収益が得られることになるから、こういう行為は横行しそうである。これは犯罪的だと感じる人が多いだろう。しかし、この場合、どの部分が違法なのだろうか。

不正指令電磁的記録の罪に該当しそうに思えるのは、この罪の保護法益である「コンピュータプログラムに対する社会的信頼」を害しているように感じられるからであろう。しかし、具体的に信頼を害されたのは、ブログパーツを埋め込んでいたWebサイト運営者の信頼であるところ、プログラムはそのWebサイト運営者に対して実行の用に供されているわけではない。それでもこの罪は成立するのだろうか。

Coinhiveはこういう犯罪的行為を助長するので、不正指令電磁的記録の罪で処罰すべきという感情を持つ人は多いだろう。しかし、この罪が成立するとするためには、実行の用に供した先をWebサイト閲覧者のコンピュータとする必要があるように思われるので、閲覧者にCoinhiveを実行させる行為の全てが犯罪であるという短絡思考につながりやすい。「これが処罰できなくなるからCoinhiveは有罪」という発想は、こういうときに出てきそうである。

もう少し精密に、このケースに供用罪を適用できないかを検討してみよう。

不正指令電磁的記録の罪の保護法益である「コンピュータプログラムに対する社会的信頼」が害されるというのは、単に危険なプログラムを作り出したり実行の用に供したという客観的危険の発生を問題にしているのではなく、意図に反する動作をさせるつもりで実行の用に供する(さらにはその目的で作成する)という行為者の主観を要する(要するに、騙しが伴う必要がある)ものであるというべき(偽造罪に並んで創設されただけに)というのが、私の意見であり、2011年の刑法改正案の国会審議の際に、参議院法務委員会で意見陳述して確認を求めた点はこれであった。それを踏まえて附帯決議に「同罪の構成要件の意義を周知徹底すること」と書き込まれた*7わけである。

このことについては、2011年7月16日の日記「不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)」の「立法趣旨の理解についてのブレ」と「バグ以外で問題となるケース」の節に書いている。これが法務省見解に採用されたかというと、避けられた感じであり、そのことを「後編」で書くつもり(で結局書いていない)であった。Coinhiveの事件化は、まさにそこが法律論上の争点となったものと考えている。(このことについては、日を改めて書く予定。)

Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟でCoinhiveを設置している場合、「一部に嫌われてもなお見に来てくれてる閲覧者がいればいい」という考えで設置しているならば、閲覧者を騙しているわけではなく、「意図に反する動作をさせるつもりで実行の用に供する」わけではないことになる。Webサイトというのはサイト運営者の庭(あるいは展示会場)であって、嫌なら来なければいい*8のである。

そのようなことが成立する社会では、Coinhiveが設置されていないWebサイトの閲覧者は、「このサイトはマイニングしないから好んで閲覧する」ということになるだろう。

そういう状況で、ブログパーツにCoinhiveが埋め込まれた場合に何が起きるか。「Coinhiveが設置されていない」からと「好んで閲覧」していた閲覧者の信頼が裏切られることになる。そして、ブログパーツ提供者がCoinhiveを埋め込むのは、そのように信頼を害することを承知で埋め込んでいるのであり、そうした閲覧者らに対する「騙し」を伴って実行の用に供しているということになろう。「Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟」しているのとは異なる。

このような意味で、この行為は不正指令電磁的記録供用罪に該当(作成罪にも該当)し得るのではないだろうか。したがって、この行為がこの罪に該当し得るからといって、「Webサイト運営者が自分のサイトが嫌われてしまうことを覚悟でCoinhiveを設置している場合」までこの罪に当たることとなるわけではない。

ただし、これが「不正な」の要件をも満たすかはさらなる検討が必要である。CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。

なお、このような信頼を害する行為を犯罪とするなら、Coinhive以外の機能について後からブログパーツに追加する行為も同様であると言え、そのような行為はいくつか現に横行しているので、それらも処罰しなければ均衡を欠くことになる。その事例として、国内では、2012年にはてなブックマークのブログパーツに後からMicroAd社のトラッキングコードが金銭目的で追加された事案がある。

類似のパターンとして、ブログパーツ以外にも、Webブラウザの拡張機能(アドオン)や、スマホアプリの「SDK」(解析ツール等の)に後から機能追加された場合についても、同様の整理となるだろう。具体例として、イスラエルのSimilarWebが広く普及したアドオンを買収して後から履歴収集コードを追加した事案がある。これがもし犯罪であるなら、SimilarWebを利用する者たち(例として、知的財産戦略本部の「インターネット上の海賊版対策に関する検討会議第1次中間まとめ」での利用に対する批判がある。)の責任も問われる。

アプリストアの規程に違反してアプリにCoinhiveが埋め込まれた場合

2月17日に「「Microsoft Store」から8つの違法仮想通貨マイニングアプリが削除|ソフトウェア会社が発見」というニュース(CoinPost)があった。Symantecが通報してMicrosoftがMicrosoft Storeから削除したという話である。

この記事は、Coinhive自体が犯罪であるからそうなったのだと短絡思考で報道しているが、一般に、アプリストアにおいては、採録を認めるアプリの基準の規程を設けており、それに違反したアプリは排除されるのである。

この場合に不正指令電磁的記録の罪に該当し得るかを検討してみると、アプリストアの利用者は、そのアプリストアのアプリ採録基準を信頼してアプリを使用している。利用者が実際に規程を読むことがないにしても、世間の評判を前提に利用しているのであり、その世間の評判は再録基準によって造成される。

したがって、それに反するアプリを登録することは、アプリストア運営者を騙しているだけでなく、アプリストア利用者も騙しているわけであり、その意味において、前記ブログパーツの場合と同様に、「意図に反する動作をさせるつもりで実行の用に供し」ていると言え、不正指令電磁的記録供用罪に該当(作成罪にも該当)し得ると言えるだろう。(ただし、CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。 )

このようなケースを思い描いて「無罪になったらこれが処罰できなくなるじゃないか」と報じるのは、軽率である。

Symantec等のウイルス対策ソフト販売業者がこうした発見に血眼になるのが何を目的としてるのか知らないが、「ウイルス対策ソフト販売業者が指摘したもの=コンピュータウイルス」というわけではないし、刑法の不正指令電磁的記録に必ず当たるというわけでもない。

Coinhiveのサービス自体が犯罪とされる場合

しかし、最初に挙げたタイプの(本来の意味での)cryptojackingによるサイバー犯罪(不正アクセス罪や、電子計算機損壊等業務妨害罪)が近年ひどく横行しており、Coinhiveがそこで広く使われているのは事実であり、これは、Coinhiveが犯罪の収益化の手段として極めて適しているからであろう。(真っ当なセキュリティ会社がコインマイナーの犯罪事情をレポートするのはこのような観点からである。)

Coinhiveの運営者はその事実を知りながら、手数料として3割もの犯罪収益を自らの懐に入れているわけで、これらの犯罪(不正アクセス罪や、電子計算機損壊等業務妨害罪)の共犯(幇助犯)と言い得るように思われる。Coinhive運営者を摘発するという動きは、世界の動向として今のところ見えてこないが、日本の都会警察ならいかにも幇助犯として摘発するのを好みそうなどところだが、国外犯だから手が出ない*9のであろうか。

この場合に、不正指令電磁的記録作成・提供罪でも摘発できるかを検討してみると、上記で検討したいくつかのパターンにおいては、不正指令電磁的記録供用罪に該当する場合もあり得るとする余地がある(ただし、CPUを使用するだけでは「不正な」の要件を満たさないという考え方もあり得る。)ので、そのような用途に使用されることを目的として作成・提供した(立証は難しそうではあるが)のであれば、作成・提供罪に当たる。(ただし、不正指令電磁的記録の罪には国外犯の処罰規定がない*10。)

しかし、ここで注意しなければならないのは、仮に作成罪が成立したからといって、同一の客体の使用者に対してまで供用罪が必ず成立するわけではない点である。

不正指令電磁的記録の該当性は「相対的に決まる」というのは法務省の立案担当者も認めることころ(2012年4月21日の日記「法務省担当官にウイルス罪について質問してきたパート2」参照)であり*11、善用も悪用もできるプログラムについて、作成者に悪用して使用されることの目的(確定的な)があったとして作成罪に当たるとしても、善用した人まで供用罪に当たることになるわけではないのである。

まとめ

以上のように、Coinhiveが犯罪に使用されているからといって、どの部分が犯罪であるのかを見極めれば、不正指令電磁的記録の罪にも該当するわけではないと整理されることもあるし、別の形で、不正指令電磁的記録の罪に該当し得るような「騙し」行為のある犯罪パターンがあるとしても、それとは異なる形で使用している場合までもがこの罪に当たることになるわけではないのである。

結局、Coinhiveの使用が不正指令電磁的記録の罪に当たるかは、それ自体の「反意図性」と「不正性」を独立して評価しなければならない。その際には、保護法益に照らし、保護法益を害するほどの「反意図性」があるかを評価しなければならない。この点については、昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節の後半部分で既に書いたところであるが、新たな根拠も見つかっているので、日を改めて書くこととしたい。

*1 山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)はその冒頭で次のように説明している。

刑法235条の窃盗罪以下の財産犯の規定は財産を保護法益とするが、その財産は現行法上「財物」と(財物以外の財産である)「財産上の利益」の二つの形態に分けられている。強盗(236条)、詐欺(246条)および恐喝(249条)においては、1項で財物が、2項で財産上の利益がそれぞれ保護の対象とされ、この意味では財産は包括的に保護されている(「財産上の損害」を要求するに過ぎない背任(247条)においても同様である)。これに対し、窃盗(235条)、横領(252条以下)、賍物(256条)および毀棄(258条以下)においては財物(横領等における「物」も同様である)のみが保護されている。強盗、詐欺および恐喝においても、1項と2項のいずれを適用するかを決する点において財物の意義は問題となるが、窃盗や横領等においては、財物概念が処罰の範囲を決定するという点において重要な意味を有しているのである。

*2 不正アクセス禁止法が施行される直前の1999年ごろには、インターネット接続プロバイダのアカウントのパスワードが破られて、無断で誰かの回線が課金逃れ目的で使われていた事案が横行したものの、処罰できなかった。不正アクセス禁止法はそれを可罰化して止めることができたわけである。今日でも、家庭の無線LAN(暗号化なし又は事前共有鍵方式)に他人が無断で接続してインターネット回線としてタダ乗り使用すること自体は不可罰となっていることは、比較的よく知られているところだろう。

*3 立案当初の法制審議会での議論では、スパイウェアについて言及されておらず、情報窃盗に触れられることもなかったので、立案者らはこれをカバーすることを想定していなかったのかもしれない。それが法案が棚ざらしにされて6年が経過するうちに、この必要性が認識されたようで、2011年の国会提出時にはスパイウェアも想定に入れられていた。その後の法の運用においても、スパイウェアは摘発の対象となっており、有罪判決となる事例も出ている。

*4 この点も、立案当初の法制審議会での議論では出てきていなかった。その時点から20〜10年前の刑法学のシーンで盛んに言われていた「コンピュータ無権限使用」「情報窃盗」の概念が法制審議会で全く出てきていなかったのは意外ですらある。

*5 ただし、この点についてはさらなる検討の余地がある。この罪の運用実績として、ストーカー犯罪に付随してスパイウェア的なものを他人のスマホやPCに無断インストールしたケースで有罪判決が出ている。元はと言えば、改正刑法施行直後の2011年8月に「カレログ」が登場し、テレビのワイドショーなどを賑わせた際、私自身がNHKなどにおいて「不正指令電磁的記録供用罪に当たり得る」と注意喚起したのであった。この場合に、スマホ使用者の操作を前提としていないから、その意味で前記の「使用者がプログラムの実行を開始させるに際してそれを信頼して実行開始させて良いか判断に直面」していないと言い得る。もっとも、スマホにアプリをインストールできたのは、当該スマホを犯人である彼氏等に操作させる隙を与えたからであり、その部分を捉えて保護法益が侵害されたと言うことができるかもしれない。なお、これらの事案についてこの罪への該当性に疑義を唱えた論文として、鎮目征樹「ソフトウェアの無断インストールと不正指令電磁的記録に関する罪」研修792号(誌友会研修編集部、2014年)3頁以下がある。ただ、この論文の着眼点は、作成罪が成立しないような客体が供用罪に該当し得ない(私による理解)という以前からよくある指摘によるものであり、私の以前からの立場とは異なる。

*6 とはいえ、画面表示を伴わないトラッカーの設置もこの条件を満たすので、すでにそういう行為がこれまでに横行していた可能性もある。(後述のMicroAd事例参照。)

*7 具体的には、「政府は、本法の施行に当たり、次の事項について特段の配慮をすべきである。一 不正指令電磁的記録に関する罪(刑法第19章の2)における「人の電子計算機における実行の用に供する目的」とは、単に他人の電子計算機において電磁的記録を実行する目的ではなく、人が電子計算機を使用するに際してその意図に沿うべき動作をさせない電磁的記録であるなど当該電磁的記録が不正指令電磁記録であることを認識認容しつつ実行する目的であることなど同罪の構成要件の意義を周知徹底することに努めること。また、その捜査等に当たっては、憲法の保障する表現の自由を踏まえ、ソフトウェアの開発や流通等に対して影響が生じることのないよう、適切な運用に努めること。」(平成23年6月16日参議院法務委員会議決)とされた。ただ、この周知徹底すべしとされた構成要件の意義は、私が指摘していたことの半分しか書かれていない。指摘していたのは、「目的」の解釈の話と、「実行の用に供する」の解釈の話の2つだったのだが、1つ目しか明記されていない。「など」に含まれていると読めなくもないが。

*8 昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」で書いた通り。

*9 不正アクセス罪は国外犯も処罰できる(サイバー犯罪条約により刑法4条の2「犯罪条約による国外犯」が適用される)のだが。

*10 サイバー犯罪条約による国外犯を適用できないのは、日本の不正指令電磁的記録の罪が、サイバー犯罪条約に批准するために立法されたものであるにもかかわらず、サイバー犯罪条約が求めるものを超えて対象としている(このことは、立案段階の法制審議会の部会で事務局が「条約より広い」と認めていた。)ことによるものであろうか。

*11 ただし、前掲の鎮目征樹「ソフトウェアの無断インストールと不正指令電磁的記録に関する罪」研修792号(誌友会研修編集部、2014年)3頁以下は、このような考え方を認めていない。

検索

<前の日記(2019年02月11日) 次の日記(2019年03月07日)> 最新 編集

最近のタイトル

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|
<前の日記(2019年02月11日) 次の日記(2019年03月07日)> 最新 編集