追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1310   昨日: 4655

2019年05月12日

アクセス警告方式(「アクセス抑止方策に係る検討の論点」)に対するパブコメ提出意見

総務省総合通信基盤局電気通信事業部消費者行政第二課から「アクセス抑止方策に係る検討の論点」に対する意見募集が始まっている(締切は5月14日17時)。ブロッキングの身代わりに提案されていた「アクセス警告方式」の是非を問うものである。

アクセス警告方式については、提案が出た直後から身を削って批判してきたところ*1であるが、先月の「インターネット上の海賊版サイトへのアクセス抑止方策に関する検討会(第1回)」を傍聴したところ、構成員からも反対の声は多い様子だったので、力を入れて批判するまでもないかと安堵していたが、このパブコメの募集の様子からして、国民からの意見として反対の声を必要としているように見えたので、改めて意見書を作成した。油断せず皆で意見を出しておいた方がよいように思う。

意見募集の対象となるのはこの文書「アクセス抑止方策に係る検討の論点」である。


「アクセス抑止方策に係る検討の論点」に対する意見

意見1(論点2:あるべきネットワークの姿は何か)

アクセス警告方式やブロッキングの導入の可否の検討に際して「インターネットの特徴」を考慮するのであれば、記載されている「自律分散協調」云々よりも、ネットワーク中立性の論点の一つともなっている「エンドツーエンド原則」(end-to-end principle)に着目すべきである。

エンドツーエンド原則(あるいは主義)は、コンピュータネットワーク設計の基本方針の一つであり、アプリケーションの機能はネットワーク終端のホストで実装するのが適切とするもので、この方針の下では、ネットワーク内の中間ノードは余計な介入をしない「ダム・ネットワーク」であるべきとされる。インターネットの基本プロトコルであるTCP/IPは、この方針に基づいて設計されて広く普及したものであり、WebにおいてもHTTPプロトコルのトランスポートとして用いられている。

エンドツーエンド原則を前提としたWebにおいて、ネットワーク内の中間ノードで「余計な介入」を挟まれると、設計の前提が崩れてアプリケーションに不測の不具合が生じかねない。具体例を二つ挙げると、第1に、日本でも2010年に問題視された「DPI広告」(deep packet inspectionを用いたターゲティング広告、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言を参照)は、インターネット接続サービス事業者のルータ上でHTTPレスポンスを改ざんしてcookieを挿入するものであった(https://togetter.com/li/27198)ことから、想定していないWebサイトに不具合が生じた事例があるほか、第2に、携帯電話会社が「通信の最適化」と称して、画像ファイルをダウンロードするHTTP通信のTCPペイロードをモバイルネットワーク上で改ざんした結果、スマホ用のゲームアプリが動作しなくなる不具合が生じる事故が国内で発生した事例(https://togetter.com/li/839917)がある。

「検討の前提について」で示されているアクセス警告方式は、警告の表示とその後の「本当にアクセスしますか」に「はい」と答えた場合の処理においてネットワーク内の中間ノードで「余計な介入」を挟む必要があることから、エンドツーエンド原則に反してアプリケーションに不測の不具合を生じさせかねないものと認識するべきであり、エンドツーエンド原則を壊してまで日本のインターネット接続サービスに広く普及させることがはたして我が国の将来にとって相応しいものなのかという観点から検討するべきである。

意見2(論点7:アクセス警告方式実施の前提としての法的整理)

法的整理として「通信の秘密の規定との関係が問題となる」と記載されているが、検閲の禁止(電気通信事業法第3条)との関係を問題としなければならない。

通信の秘密について、「ISPが各ユーザの同意を得た上で実施すれば、通信の秘密の問題をクリアすることが可能」「通常のユーザであれば同意することが想定し得る」場合には「包括同意で足りると認められる」などと記載されているが、検閲の禁止は、common carrierたるインターネット接続サービスの社会的信頼を保護するための規定であるから、ユーザ各個人の都合による同意(真の意味を理解していないユーザによる同意)があるからといって、そのような信頼を害する検閲が許されることにはならない。

検閲の禁止がユーザの同意によって解除されると言うには、common carrierたるインターネット接続サービスの社会的信頼が害されない程度に、どのような場合に遮断がなされるのかが公正に決定されるものでなければならず、その明確な基準が事前にユーザに理解されていることを要する。

検閲は必然的に通信の秘密を侵して行われるものであるから、検閲の禁止義務違反は同時に通信の秘密侵害に当たるのであり、通信の秘密が解除されると言うには、検閲の禁止が解除されるための要件である上記の点を検討しなければならない。

それにもかかわらず、「既存の類似の施策に係る法的整理」を含むこれまでの検討においては、通信の秘密をあたかもユーザのプライバシーの問題に過ぎないかのように矮小化して検討してきたことから、セキュリティ対策であれば通常のユーザば同意することが想定し得るなどといった杜撰な基準で、通信の秘密が放棄されるかのような誤った結論を導いていた。

実際、既に実施されている「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」に基づく「マルウェア不正通信ブロックサービス」では、何を遮断するものであるかが「C&Cサーバーへの通信」などという曖昧な記述でしか説明されておらず、遮断対象が公正に決定されるための明確な基準が存在しないまま、約款改定による包括同意で強制的に行われている実態があり、これがプライバシーの観点からは認められ得るものであり得ても、検閲の禁止というcommon carrierの社会的信頼の保護の観点からは、正当な通信が遮断されかねない点でその信頼を害するものとなっており、問題がある。

例えば、coinhive.comへの接続は、外形的にまさにC&Cサーバへの接続と見做すこともできるものであり、現にこれをマルウェア通信として検知対象としているアンチウイルスベンダーも存在している一方で、正当なユーザも存在するサービスであった。こうしたケースがインターネット接続サービスの検閲対象とならないことが保障される客観的な基準が存在していなければならない。

同様に、海賊版サイト対策として遮断を実施する際にも、遮断対象を明確に画定する基準を要するところ、例えば「著作権を侵害する自動公衆送信」を行うサイトといった基準(平成31年に国会への提出が見送られたダウンロード違法化拡大及びリーチサイト規制の著作権法改正法案ではこの基準が示された)では、過剰な検閲となるのは明らかであるから、より限定的な客観基準が必須である。その結論を導くには、検閲の禁止の観点からの検討が必要であり、通信の秘密を単にプライバシーの問題と捉える誤った検討の方向性は改められなければならない。

意見3(論点4:民間部門において主体的・主導的に進めるべきか)

論点7に対する意見で述べたように、検閲により遮断する対象は客観的な基準により公正に判断されることが求められるところ、現に「マルウェア不正通信ブロックサービス」が対象の基準を不透明にしたまま実施されている現状からすれば、「民間部門の主体的・主導的」な実施では公正さを期待できない状況にある。

海賊版サイトを対象にしようとする本件の場合には、その公正さの確保はさらに難しいものとなる(実際、平成31年に国会への提出が見送られたダウンロード違法化拡大及びリーチサイト規制の著作権法改正法案は、対象の要件を適切に絞ることができずに頓挫したのであるし、「著作権を侵害する自動公衆送信」を行うサイトといった基準では、過剰な検閲となるのは明らかである。)ことから、検閲の禁止を適法に解除するためには、法律に定めるところにより実施し、司法判断によって対象を決定する手続きを介するものとするべきである。

意見4(論点5:ダウンロード行為が違法か否かによる違いがあるか)

「ユーザによる海賊版コンテンツのダウンロード行為が違法とされている場合とされていない場合とで、アクセス警告方式の意義(略)に相違があるか?」との記載があるが、仮にダウンロード行為が違法化されても、複製が行われない単なる閲覧行為は違法化され得ないのであるから、単に閲覧しようとしているだけのユーザからすれば、「あなたは海賊版サイト(略)にアクセスしようとしています。海賊版サイトにアクセスしてマンガのファイルをダウンロードすることは違法であり(略)」との警告画面が表示されることは、余計なお世話でしかなく、閲覧するだけのつもりが誤ってダウンロードしてしまう事態も起きにくいことからすれば、ユーザがそのような機能を欲することが通常であるとは言えない。したがって、このような機能の強制に「通常のユーザであれば同意することが想定し得る」とは言えない。

なお、ユーザが単なる閲覧ではなくダウンロード行為に及ぼうとしている場合にのみ警告画面を表示させることは、インターネット接続サービスの側からは技術的に区別できないため、実現不可能である。

意見5(論点3:ユーザの受け止め方)

アクセス警告方式は、知的財産戦略本部での検討で合意に至らなかったブロッキングの代替案として提案された経緯があるが、その検討でブロッキングが反対された理由が、通信の秘密が侵されてユーザのプライバシーが侵害される懸念にあったことからすれば、「あなたは(略)しようとしています」との警告画面を突き出すアクセス警告方式の方がよほどプライバシー侵害的であり、問題が大きい。このような措置は、まさに「Big brother is watching you.」と、監視されている意識をユーザに植え付けるものであり、「通常のユーザであれば同意することが想定し得る」などというフィクションに基づく約款改訂による包括同意で強行することは、国民を監視に慣れさせ文句を言わせなくする反プライバシー施策に他ならず、到底許容されるものではない。

むしろ、海賊版サイトをDNSエントリから削除するだけのブロッキングの方が、本当はプライバシー侵害がない。ブロッキングが反対された理由は通信の秘密侵害であったが、本来は、プライバシーの観点よりも、論点7で述べたように、検閲の禁止への抵触(結果として通信の秘密をも侵害する)の問題として検討するべきであった。この点ではブロッキングもアクセス警告方式も同等であり、検閲対象を画定する客観基準と公正な判断の運用の困難性こそが、ブロッキングを躊躇させる真の理由だったと言うべきである。

プライバシーを実質的には侵害しないDNSサイトブロッキングをプライバシー侵害だと批判して反対しながら、同時に「通常のユーザであれば同意することが想定し得る」などというフィクションに基づいてアクセス警告方式を合理化したことは、態度に一貫性がないか、辻褄合わせに終始したに過ぎず、本当に国民のプライバシーを尊重しているのかと首を傾げざるをえない。ブロッキングに反対する理由から誤っていたのであり、そこから検討し直すべきである。

意見6(論点6:アクセス警告方式の効果)

アクセス警告方式はただの脅しでしかない。ダウンロードによる複製が違法化されても、単なる閲覧は違法化され得ないのであり、複製が行われたか閲覧のみに止まったかは、サイト側からもインターネット接続サービス側からも判別不可能なのだから、こうした状況を理解しているユーザに対しては、警告は何ら抑止効果をもたらさない。

それどころか、実際には危険でないものを危険であると脅すような行為が横行することは、国民のリテラシーを低下させるばかりか、無用な不安感を植え付けるものである。

同様のことは、他の海賊版サイト対策キャンペーンにも見られる。出版広報センターの「海賊版緊急対策ワーキンググループ」が2018年9月に展開した「海賊版であなたが危ない」「忍び寄る4大リスク!!」と称するキャンペーン(https://shuppankoho.jp/damage/tokusetsu-2.html)は、海賊版サイトについて、「アクセスしただけでウイルスに感染する被害が拡大している」だの、「個人情報を盗み出すフィッシング詐欺の主要な舞台」だの、「仮想通貨のマイニングへの強制参加で通信費が膨れ上がる」だのと、ありもしない虚構の脅威を振りかざして、知識の低い階層の民衆の恐れ・偏見・無知に訴えることによって海賊版サイトに対抗しようとする、悪質なデマであった。いかに目的が正当であろうともデマが正当化されることはない。

アクセス警告方式の提案もこの類のデマに感化されて発案された疑いがある(知的財産戦略本部インターネット上の海賊版対策に関する検討会議(第6回)宍戸委員提出資料「アクセス警告方式について(補足)」には、「海賊版サイトの閲覧行為がマルウェア感染等別の形で利用者本人の不利益になる恐れが一般的にあるかどうかによることになる」との記載がある。)ので、デマの再生産とならないよう注意が必要である。

意見7(論点8:アクセス警告方式の技術的課題)

「検討の前提について」で示されているアクセス警告方式は、技術的に言って実現できない。「警告画面」を表示させるとのことであるが、閲覧者がアクセスしようとしている対象が「https://」で始まるURLのサイト(以下「HTTPSサイト」と言う。)である場合には、このような画面を出現させることが技術的にできないからである。

「検討の背景」で引用されている「インターネット上の海賊版対策に関する検討会議(第7回)宍戸委員提出資料」は、2013年から一時実施されていた官民連携プロジェクト「ACTIVE」の取り組みを参考にしたとされているものであるが、2013年当時は、非HTTPSサイト(「http://」で始まるURLのサイト)の割合が十分に大きかったことから、このような警告を出現させることができた。しかし、2012年ごろからインターネットコミュニティは、全てのWebサイトをHTTPSサイト化するべきであるとする方向性を打ち出し、徐々に実施されていった。日本は長らくこの動向に取り残され、10か国中で最もHTTPSサイト化が遅れており、2017年4月まで改善の兆しも見られない特異な国であることがGoogle社の調査により指摘される(https://transparencyreport.google.com/https/overview?lu=load_os_region)ほどであった。ACTIVEの取り組みは、このような技術トレンドに無頓着な時代遅れのピント外れ施策であったと言うべきである。

HTTPSサイトにおいて必要となるTLSのサーバ証明書は、ドメイン名所有者であれば実在性の審査なく誰でも自動的に取得できるものとなっていることから、ACTIVEが対象としたマルウェアのC&Cサーバのみならず、海賊版サイトにおいても、HTTPSサイト化が容易に可能となっている。海賊版サイトの代表例に挙げられた「漫画村」や「Anitube」は、当時は非HTTPSサイトであったが、閉鎖後に復活したと言われる後継サイトの一部は現にHTTPSサイト化されていた。

技術的に言って、可能なことはせいぜい接続できなくすることまでである。ISPが対象サイトのDNSエントリを差し替えて、警告表示用サイトのIPアドレスを設定したとしても、ユーザのWebブラウザは、HTTPSサイトへの接続時には警告表示用サイトに接続できない(TLSハンドシェイクの段階でエラーとなる)ので、ユーザは接続エラー画面しか目にすることがない。

DNSエントリの差し替えとは別に、deep packet inspection手法を用いてHTTPプロトコルに対する改ざんにより実現しようとしても、WebブラウザとHTTPSサイトとの間の接続は、TLS暗号化通信で保護されているので、改ざんすることはできない。どうしても改ざんするなら、「警告画面」表示用の偽造サーバ証明書を自動発行するためのルート認証局証明書を、ユーザのWebブラウザやOSにインストールさせて行う手法があるが、そのようなインストールを促すこと自体が国民のセキュリティリテラシーを低下させるものであり、到底認められない。そのインストールをISP等が提供するソフトウェアで密かに行うなら、不正指令電磁的記録供用罪(刑法168条の2)を犯すことになるだろう。Webブラウザに初めからそのようなルート認証局証明書を組み込んでもらうようWebブラウザのベンダーに交渉したとしても、拒否されるのは必然であり、そのような交渉をすること自体が、インターネットコミュニティの常識に反するものとして嘲笑の的となるであろう。

以上


推敲して明日までに出しておこう。

追記(13日)

若干、拙い表現だった部分を直して、提出した。上の文も差し替えた。

*1 その様子は、「海賊版サイト対策、ブロッキング賛成・反対の関係者が激論…川上氏発言に注目集まる」(弁護士ドットコム, 2018年9月2日)において、「高木氏、「アクセス警告方式」に異議をとなえる」との小見出しで報じられていた。

本日のリンク元 TrackBack(0)

2019年03月19日

検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)

先月の「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」の続きである。

検察官の論告に対する世間と国会の反応

Coinhive事件の公判は、2月18日に結審を迎え、検察官から論告・求刑があった。その模様は報道と傍聴者のレポートで伝えられた。

このうち、モッチー氏のツイートに「社会的に認められていないことを試すのが罪になると、日本のITは世界的に認められたことしか出来なくなり、IT分野で世界に後れをとることになります。」というものがあったが、これは、そのように受け取られて仕方ないようなことを検察官が論告で述べたからであった。その後、国会でも3月8日の衆議院法務委員会でCoinhive事件についての質疑があり、以下のように質問されるに至った。

○葉梨委員長 これより会議を開きます。裁判所の司法行政、法務行政及び検察行政、国内治安、人権擁護に関する件について調査を進めます。(略)質疑の申出がありますので、順次これを許します。松平浩一君。

○松平委員 (略)きょうは、コインハイブ事件、それからネット上の名誉毀損についてお伺いしたいなと思っています。まず、コインハイブ事件についてお伺いいたします。

(略)

罪刑法定主義、踏まえているとはっきりおっしゃっていただきました。とすると、私、この罪刑法定主義に照らすと、無断でPCのCPUを使う動画広告はよくて、なぜこちらがだめなのか、なぜ今回は構成要件に該当して、動画広告の場合は構成要件に該当しないのか、これは該当性がやはり不明確であって、この罪の条文、改善の必要性があるというふうに思っているんですが、これはいかがでしょうか。

○小山政府参考人(法務省刑事局長) お答えをいたします。お尋ねは、特定の事案を念頭に置いて構成要件該当性をお尋ねになっておりまして、犯罪の成否は捜査機関に収集された証拠に基づき個別に判断されるべき事項でございまして、お答えはできないところでございます。なお、一般論で申しますと、刑法第168条の2、不正指令電磁的記録作成等の罪及び刑法第168条の3、不正指令電磁的記録取得等の罪についてでございますが、この電磁的記録の意義につきましては、委員も資料に掲示されております条文にございますように、この電磁的記録について、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」等とされているところでございまして、これらの構成要件は、通常の判断能力を有する一般人において、その意義を十分に理解し得るものであって、明確性の点で問題はなく、罪刑法定主義に反するものではないと事務当局としては考えております。

○松平委員 今、明確性の点で問題ないというふうにおっしゃっていただきました。この不正指令電磁的記録作成、保管、供用罪について、今言及の方はなかったんですが、この解釈について、法務省さんは資料を出されていらっしゃいます。(略)これは法務省ホームページに記載されておりまして、タイトルが「いわゆるコンピュータ・ウイルスに関する罪について」という資料です。そこでは、何が不正に当たるかは、(略)その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断というふうに解釈していらっしゃいます。

私、この社会的に許容し得るものであるかどうかという部分の解釈なんですけれども、社会的に許容しているかどうか。コインハイブは新しい技術、新しい仕組みなので、判断できる材料がそもそもないというふうに思っているんです。新しい技術というのは、新しいので周りが理解できないので、時がたつにつれて評価も変わってくるんじゃないかなと。なので、社会的に許容されるかどうかなんてわからない場合もあると思いますし、往々にして、もしかすると、新しい技術というのは理解されない場合も多いんじゃないか新しい技術というのは理解されないので許容されないところから始まる場合も多いんじゃないのかな、過去、そういうことも往々にしてあったんじゃないかなというふうに思っているんです。この点、いかがでしょうか。

(略)

こういった、社会的に許容し得るものかどうかという、新しい技術をもしかしたら否定させてしまう根拠となるような解釈をさせる、そういうもととなる規範をホームページ上に掲載するというのは、これはいかがなものかなというふうに思っているんです。

第198回国会衆議院法務委員会会議録第2号(平成31年3月8日)

このように、すっかり、不正指令電磁的記録の該当性それ自体が、「その機能を踏まえ社会的に許容し得るものであるか否かという観点から判断」されるものであるかのように語られているわけだが、2月18日の公判で、私も傍聴していて、検察官の論告を聞いていたが、確かに検察官はそのような言い草だった。

しかし、傍聴していて気になったのは、検察官がその辺りを読み上げているとき、「ああ、『大コンメンタール刑法』(青林書院)に書いてある解説をそのまま引き写しているんだな」と思ったものの、「あれれ?ちょっと違うことを言っているぞ?」と気づいたところがあったのだ。

検察官の論告は大コンメンタール刑法の解説を読み違えている

聞き違いがあってはいけないので、後日、弁護人に検察官の「論告要旨」を閲覧させて頂いたところ、論告要旨のその部分は、以下の文章になっていたことを確認できた。

3 本件プログラムコードが不正指令電磁的記録に該当すること

(1) 閲覧者の意図に反していること

ア 不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるところ、閲覧者の意図に反するプログラムは、当然、その保護法益を侵害するものといえる。そして、閲覧者の意図に反するか否かについては、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識されていると考えられるところを基準として判断するべきである(大コンメンタール刑法第8巻第3版345頁)。

(略)

(2) 「不正」なものであること

ア 「不正」なものであるか否かについては、社会的に許容し得るものか否かの観点から判断されることとなるところ、以下のとおり、本件プログラムコードは、社会的に許容されるものではないことは明らかで、「不正」なものと認められる。

イ 電子計算機の使用者の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき指令を与えるプログラムであれば、通常、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があると考えられる。ただ、ソフトウェアの制作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストールした場合における当該修正プログラムなど社会的に許容し得るものが例外的に含まれることがあり得るため、不正性の要件が設けられたものであり、不正性の要件に該当しないとして構成要件該当性が否定されるのは、そのようなプログラムの中で例外的なものに過ぎない大コンメンタール刑法第8巻第3版346頁)。

ウ そもそもマイニング自体が社会に広く知られ、許容されているわけではない状況であったことは公知の事実であって、ウェブサイトを閲覧しただけで、閲覧者が知らない間に自己の電子計算機の中央処理装置を利用され、勝手にマイニングされても構わないという社会的合意がなかったことは明らかである。

論告要旨より

強調した部分のように、検察官は、意図に反する動作をさせるプログラムであれば「それだけで」当罰性があり、「不正な」で除外されるのは「例外的なものに過ぎない」と言っている。

これを聞けば、国会での質問にもあったように、「新しいものは最初は許容されないものだから、そんなこと言ったら存在不可能になってしまう。」といった感想が出てくるのも頷けるところだ。

そして、やはり「大コンメンタール刑法第8巻第3版」が参照されているわけだが、では、参照された「大コンメンタール刑法」ではどのように書かれているだろうか。参照されたと考えられるのは以下の部分である。このように、個々の文は同一の部分もあるが、文章全体としては同一ではないことがわかる。

(3)「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」

不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、あるプログラムが使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」(略)ものであるか否かが問題となる場合における、その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきであると考えらえる。

すなわち、その「意図」については、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。

(中略)

(4)「不正な指令を与える電磁的記録」 (a)「不正な」指令に限定することとされたのは、電子計算機の使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」べき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があるようにも考えられるものの、そのような指令を与えるプログラムの中には、社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである。

したがって、あるプログラムによる指令が「不正な」ものであるか否かは、その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断することとなる。

このように、電子計算機使用者の「意図に反する」ものに当たり得るものの、不正ではない指令を与える電磁的記録としては、例えば、ソフトウェアの製作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストールした場合における当該修正プログラムがこれに当たると考えられる「意図に反する」か否かは規範的に判断するため、同じく規範的な要件である「不正な」に当たるか否かの判断と重なるようにも思われるが、前者は、あくまで、電子計算機の使用者にとって認識し得べきものであるか否かという観点からなされるのに対し、「不正」か否かの判断は、電子計算機の使用者の認識という観点ではなく、そのプログラムが社会的に許容し得るものであるか否かという観点からなされることとなる。例えば、ソフトウェアの製作会社が修正プログラムをユーザーの電子計算機に無断でインストールした場合、当該修正プログラムによる動作は、その「意図に反する」ものには当たり得るが、それでもなお、このようなプログラムは、社会的に許容し得るものであり、「不正」には当たらないと考えられる。このように、「意図に反する」か否かの判断と「不正」か否かの判断は、個別の観点からなされるものであり、両者は必ずしも完全に重複するものではない)

吉田雅之「第19章の2 不正指令電磁的記録に関する罪」『大コンメンタール刑法第8巻第3版』(青林書院、2015)340頁以下、345頁、346頁

両者を比較してみると、まず、紫色で強調した文「社会的に許容し得るものが例外的に含まれることがあり得るため、不正性の要件が設けられたもの」のところは、同じ内容だ。ピンク色で強調した文「(意図に反する動作をさせるプログラム)であれば、(略)、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性がある」という部分も、ほぼ同一だ。

しかし、決定的に異なるのは、大コンメンタール刑法に書かれている緑色で強調の部分が、検察官の論告には欠けていることである。

緑色で強調の部分が言っていることは、「あるプログラムが使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものであるか否か」は、この罪の保護法益であるところの「電子計算機のプログラムに対する社会一般の信頼」について「そのような信頼を害するものであるか否かという観点から規範的に判断されるべき」ものとされている。

「規範的に判断」というのは、「意図に反する」という文が、単に字面通りに(該当するか否か)解釈されるのではなく、一定の規範に基づいて判断される(それは裁判官が判断する)ものである(したがって、字面上は「意図に反する」と言えても、規範的には「意図に反する」とは言えない場合が存在する)ことを意味しており(「規範的構成要件要素」と呼ばれる。)、本件の場合、その規範は、保護法益であるところの「電子計算機のプログラムに対する社会一般の信頼」を害するほどまでに「意図に反する」のかという観点から判断されるものであるわけである。

それにもかかわらず、検察官の論告では、赤で強調した部分の通り、「不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるところ、閲覧者の意図に反するプログラムは、当然、その保護法益を侵害するものといえる。」などと言ってしまっている。規範的構成要件要素であるにもかかわらず、それを無視し、字面解釈で「閲覧者の意図に反するプログラム」に該当すれば「当然、その保護法益を侵害するもの」などと、大コンメンタール刑法とは逆さまのこと*1を言ってしまっているのである。

これは驚きであったのと同時に、「なるほど、解説書の文章をこのように読み違えたから、Coinhive有罪と思えてしまったのか!」と腹落ちしたのであった。(傍聴を終えた日のツイート

この読み違えは、結果として、不正指令電磁的記録の罪の対象範囲が大幅に異なるものとなる。これをベン図で示すと以下の図1のようになる。

ベン図
図1: 大コンメンタール刑法の解説 vs 検察官の論告での解釈

右の検察官の解釈では、「同意なく実行されるプログラム」はそれ自体がほとんどイコールで*2「意図に反する動作をさせるプログラム」(赤の部分)であり、そのうち「社会的に許容し得るもの」が「不正でない」ものとしてホワイトリスト的に除かれ、「広告」などのWebで動いているものの大半がそこ(内側の青の部分)に入るという解釈になっている。

これに対し、大コンメンタール刑法の解説では、「同意なく実行されるプログラム」のうち、「プログラムに対する社会一般の信頼を害する」程度に「規範的な」意味で「意図に反する動作をさせる」ものだけがブラックリスト的に該当する(「広告などのWebで動いているものの大半はその外側の青の部分に入る)というもので、「不正な」の要件で除外されるのはあまり重要でないオマケ程度のもの(これについては後述する。)ということになる。

Coinhiveがどこに入るかは、図のように、大コンメンタール刑法の解説の解釈では(筆者の見解ではあるが)青の部分に、検察官の論告での解釈では赤の部分に入る。

しかし、改めてこうして分析してみると、検察官は解説書を誤読したというよりも、わかっていながら有罪とするために、あえて解説書と違うことを論告で言わざるを得なかったのかもしれない*3と思えてきた。そのことは、以下の両者の文章の比較から窺える。

左が大コンメンタール刑法の元の文章、右がこれを引き写したはずの論告要旨の文章である。これは、上の引用で、ピンク色で強調した文だが、微妙に変更されているのがわかる。

電子計算機の使用者の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があるようにも考えられるものの

大コンメンタール刑法第8巻第3版 345頁

電子計算機の使用者の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき指令を与えるプログラムであれば、通常、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があると考えられる。

論告要旨より

変更点を強調表示したが、このようにほぼ同一の文であるにも関わらず、「多くの場合」をわざわざ「通常」に変更しており、これは意識しなければ起きないことであるから、「多くの場合」では都合が悪かったのであろうと推察できよう。

なお、ここで、左の「……意図に反する……であれば、それだけで、……の信頼を害するものとして当罰性がある」の文は、前提として「信頼を害するもの」だけが「意図に反する」と解釈することにしているから当然に「であればそれだけで当罰性がある」となるわけだが、右の同じ文は、その前提を欠いているために、同じ文でありながら「「意図に反する」ものは信頼を害する」という別の意味になってしまっている。

そしてもう一箇所、次の箇所(上では強調表示しなかった部分にある)も興味深い変更が施されている。

すなわち、その「意図」については、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる

大コンメンタール刑法第8巻第3版 345頁

閲覧者の意図に反するか否かについては、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識されていると考えられるところを基準として判断するべきである

論告要旨より

ここも、ほぼ同一の文であるにも関わらず、「すべき」がわざわざ「されている」に変更されているのがわかる。

元の文の「その機能につき一般に認識すべきと考えられるところを基準」がどういう意味かと言えば、「意図に反する」といっても、その「意図」というのは字面通りの個々の利用者の意図のことではなく、保護法益を害するほどまでに「意図に反する」と言えるほどの、「利用者が当然に想定すべき意図」を超えた「反する」ものであるか否かという文脈の中での「一般に認識すべきと考えられる」「意図」のことを説明しているのであり、「意図に反する」の「意図」自体も規範的に判断されるものだと解説されているわけである。

それに対して、検察官の論告が、「認識すべき」を「認識されている」に変更したのは、「その機能につき一般に認識すべき」とそのまま引き写してしまうと、規範的構成要件要素であるニュアンスが出てしまうので、そこを避けて、あたかも多数決あるいは現実の実態状況で決まるかの如き「その機能につき一般に認識されていると考えられるところ」との表現に変更したということではないか。最後の「規範的に」も削除されている。

Coinhiveの事例に当てはめて言えば、見ず知らずのWebサイトを訪れれば、そこで断りもなくCPUを使われてしまうことは、「Webとは元々そういうものである」という閲覧者の理解が「一般に認識すべきと考えられる意図」であり、Coinhiveはそのような意味での「意図」に反していないと言うべきであろう。このことは、現実に多くの人々が「Webとは元々そういうものである」ということを知らなかったとしても、規範的に「Webとは元々そういうものである」と認識していて然るべきというのが、規範的構成要件要素であるところの「意図に反する」の「意図」なのであり、だからこそ「一般に認識すべきと考えられる」と解説されるのである。(なお、「考えられる」とは裁判官が判断する規範のことである。)

検察官の論告は、そのような解釈になってしまうのを嫌がり、「一般に認識されている」という別の表現を使うことで、現実に多くの人々にとって「意図に反する」という事実があれば構成要件を満たすかの如く、大コンメンタール刑法とは異なる説を唱えたようである。

裁判官は、判決に際して、論告のこの解釈をまず否定すべきである。

ところで、このような「意図に反する」の解釈への誤解は、今月から問題となっている、兵庫県警が「無限アラート」が出るだけのジョークサイトへのリンクを掲示板に掲載した行為を、不正指令電磁的記録供用未遂罪に当たるとして、複数名を家宅捜索した事案(16日の日記「しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか」参照)にも、共通するところである。

すなわち、「無限アラート」は、サイトを閉じるか前のページに戻れば元通りになるのであり、当該サイト内での表現行為にすぎない。「プログラムに対する社会一般の信頼を害する」程度に「規範的な」意味で「意図に反する動作をさせる」ものではない(アラートが出ることや、それが延々繰り返される事態は、見ず知らずのWebサイトを訪れるからには起き得ることとして「(Webの機能につき)一般に認識すべき」ところである)と言うべきである。*4

兵庫県警(と神戸地検の検事)が「無限アラート」を不正指令電磁的記録として扱った背景には、今回の横浜地検の検事と同様の勘違いがあるのではないか。

なぜこのような誤解が生じるのか

さて、このような誤った解釈がなぜ広まったかについて、以下、少し検討を加えておきたい。

実は、私自身も、改正法が成立して以来、「意図に反する動作をさせるプログラム」は、ほとんどのプログラムが該当してしまうが、「不正な」の要件でほとんどが落ちるという、まさに今回の横浜地検の検事と似たような発想をしていた。その考えを改めたのは、今回のCoinhive事件で、モロさんの弁護人である平野敬弁護士から相談があった際に、平野弁護士が開口一番「意図に反するに当らないのでは」とおっしゃったのを契機に、改めて調べ直したところ、次のことに気づいたのであった。

まず、度々参照されている、法務省のWebサイトに掲載されている「いわゆるコンピュータ・ウイルスに関する罪について」(参議院法務委員会附帯決議の「政府は周知徹底に努めること」に基づき作成・公表されたもの)を改めて読んでみると、「意図に反する動作をさせる」の解説部分で、「規範的に判断される」とは書かれていないのである。該当部分は以下の文章になっている。

あるプログラムが,使用者の「意図に沿うべき動作をさせず,又はその意図に反する動作をさせる」ものであるか否かが問題となる場合におけるその「意図」は,個別具体的な使用者の実際の認識を基準として判断するのではなく,当該プログラムの機能の内容や,機能に関する説明内容,想定される利用方法等を総合的に考慮して,その機能につき一般に認識すべきと考えられるところを基準として判断することとなる。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」, 2011年7月

私はこれにつられてしまい、「不正な」だけが規範的構成要件要素で、「意図に反する」のところは規範的構成要件要素ではないと思ってしまっていた。(もっとも、この文書は、「不正な」の解説のところにも、規範的に判断されるものとの説明はない。)

ところが、改めて、法制審議会の刑事法部会での立案時の議事録を確認したところ、保護法益の観点から規範的に判断されるべきものと書かれていた。

本罪は,ただいま御説明いたしましたとおり,電子計算機のプログラムに対する社会一般の信頼を保護法益とする罪でございますので,電子計算機を使用する者の意図に反する動作であるか否かは,そのような信頼を害するものであるかどうかという観点から規範的に判断されるべきものでございます。すなわち,かかる判断は,電子計算機の使用者におけるプログラムの具体的な機能に対する現実の認識を基準とするのではなくて,使用者として認識すべきと考えられるところを基準とすべきであると考えております。

法制審議会刑事法(ハイテク犯罪関係)部会第3回会議 議事録, 2003年5月15日

そして、実は入手していなかった「大コンメンタール刑法」を購入して、前掲の解説文に「その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべき」と書かれているのを知ったのであった。

改めて調べてみると、改正法成立直後(2011年)に法学雑誌に掲載された立案担当者ら(吉田雅之検事と檞清隆検事)の解説でも、いずれも、「保護法益から規範的に判断されるべき」との記述はなく、「いわゆるコンピュータ・ウイルスに関する罪について」とほぼ同じ説明が繰り返されていたのだが、2012年に出版された記事、杉山徳明・吉田雅之「「情報処理の高度化等に対処するための刑法等の一部を改正する法律」について(上)」法曹時報64巻4号(法曹会、2012年)では、「その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきである」と、大コンメンタール刑法(2015年出版)の前掲の引用部と同じ文章に変わっていたことがわかった。

他にも、最高裁判所事務総局刑事局による「刑事裁判資料」に掲載の記事「「情報処理の高度化等に対処するための刑法等の一部を改正する法律」及び「刑事訴訟規則の一部を改正する規則」の解説」刑事裁判資料第290号(最高裁判所事務総局、2013年)においても、同様に大コンメンタール刑法と同じ説明方法が採られている。

このことから、立案担当者だった吉田検事において、何らかの機会により、このように「規範的に判断される」と書く必要性に気づかされて変更されたものと思われる。それだけに、この違いは重要なところなのではなかろうか。

次に、上記で「後述する」とした、図1の「大コンメンタール刑法の解説」の方(左)の「不正でない」の枠をかなり小さく描いており、「あまり重要でないオマケ程度のもの」としたことについて。

大コンメンタール刑法の解説によれば、前掲の通り、意図に反する動作をさせるプログラムであれば「多くの場合、それだけで」当罰性があるとされている。それは、「意図に反する動作をさせる」の解釈が、字面通りではなく、保護法益を害する程度に「意図に反する」と規範的に判断されるものとして、既に十分に限定されているからこそ、それだけでもう既に当罰性があるという意味であって、逆に言えば、当罰性があるほどまでに「意図に反する」は限定的に解釈されるべきなのだろう。

そうすると、そのようなもののうち、「不正な」の要件を満たさずに除外されるものに、いったいどんなものがあるのだろうか?という疑問が湧く。おそらく、ほとんどないのではないか。少し考えてみたが、思い当たる例がない。そのような意味で、図1の「不正でない」の枠を相当小さく描いた。

しかし、そのような、意図に反するが不正でないプログラムの例として、大コンメンタール刑法は、前掲の通り、以下のように説明しているのである。

このように、電子計算機使用者の「意図に反する」ものに当たり得るものの、不正ではない指令を与える電磁的記録としては、例えば、ソフトウェアの製作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストールした場合における当該修正プログラムがこれに当たると考えられる(略)

吉田雅之「第19章の2 不正指令電磁的記録に関する罪」『大コンメンタール刑法第8巻第3版』(青林書院、2015)340頁以下、346頁

この例が誤解の元になっているように思える。*5

つまり、この例からすれば、自動アップデートプログラムは「意図に反する動作をさせるプログラム」ということになっている。しかし、思うに、前記の通り、「意図に反する」の意義を保護法益を害するほどのものとして「規範的に」判断されるものとして解釈すれば、今日において、自動アップデートプログラムごときは「意図に反する動作をさせるプログラム」ではないと言うべきであろう。自動アップデートプログラムが無断で作動することは「その機能につき一般に認識すべき」ものである。

それなのになぜこの例が書かれているかは、法制審議会刑事法部会で揉まれていた原案の時点から、説明に例として挙げられていたからだろう。第1回会議で事務局から以下のように説明されていた。

また,意図に反するものであっても,正当なものがあるのではないかというような御質問もあったかと思いますが,その観点からは,この要綱の案におきましては,対象とする電磁的記録を「不正な指令に係る電磁的記録」に限定しておりまして,例えば,アプリケーション・プログラムの作成会社が修正プログラムをユーザーの意図に基づかないでユーザーのコンピュータにインストールするような場合,これは,形式的には「意図に反する動作をさせる指令」に当たることがあっても,そういう社会的に許容されるような動作をするプログラムにつきましては,不正な指令に当たらないということで,構成要件的に該当しないと考えております。

法制審議会刑事法(ハイテク犯罪関係)部会第1回会議 議事録, 2003年4月14日

ここからして間違いだったと思うが、よく見ると「当たることがあっても」と言っていて、当たるとは言っていない仮定の話なわけである。おそらく、法制審議会にかけられるまでに原案が練られた時点で、何らかの理由で「不正な」で限定することになったものの、その具体例の捻出に困ったのだろうと推察する。結局その後もずっと、ここの説明の例として自動修正プログラムだけが挙げられている。

大コンメンタール刑法の前掲の引用部の「(略)」の部分には、括弧書きで、「(「意図に反する」か否かは規範的に判断するため、同じく規範的な要件である「不正な」に当たるか否かの判断と重なるようにも思われるが、前者は、あくまで、(略)のに対し、「不正」か否かの判断は、(略)という観点からなされることとなる。(略)このように、「意図に反する」か否かの判断と「不正」か否かの判断は、個別の観点からなされるものであり、両者は必ずしも完全に重複するものではない)」と書かれていて、これは以前の解説にはなかったものであるだけに、こんなことをわざわざ書いているのは、そこへのツッコミがどこかからあったのではないかと推察する。「不正な」で除く意義がどこにあるのかについて、どこかしらで疑問視されているのではないだろうか。

そういえば、法制審議会刑事法部会の議事録でも、「「不正」というのは余り意味がない」のでは?との問い掛けがあって、以下のように議論されていたのだった。

●その「害」というのをどういうふうにとらえるかでございましょうけれども,いずれにいたしましても,プログラムに対する信頼と申しますか,それによって,コンピュータによる情報処理が営まれるわけでございますので,保護法益との関係からまいりましても,そういう信頼というものをその意味で害することになるようなものに限られているということではございます。

●いかかでしょうか。ただいまの点に関連して何かございましたら。

●○○委員が今おっしゃった,後で議論するおつもりだったのかもしれないのですが,今のことを聞いていると,不正な指令の「不正」というのは余り意味がないということになるのですか。ちょっと言い方はおかしいのですけれども。意図に沿うべき動作をさせずということと,意図に反する動作をさせるということがあれば,そういう指令なら,不正な指令であると。だから,不正という概念が,これまた何が不正かという議論になるのでしょうけれども,正,悪というのが何か基準があって,社会的に是とされるもの,社会的に非とされるもので正,不正というのが分かれているという意味よりも,人の使用する電子計算機について,その意図に沿うか沿わないかという,そこで全部分けているというふうになると。正,不正というのは,ただ,飾り文句と言うと言葉はおかしいのですけれども,そうなるんじゃないかというふうな気がして今聞いていたのですが,そういうことでよろしいのですか。

●先ほどの○○委員の御発言もそういう趣旨ではなかったかと思うのですけれども,要するに,「意図」と「不正」とは一連のものではないかという御発言でございましたが,その辺いかがでしょうか。

●基本的に,コンピュータの使用者の意図に沿わない動作をさせる,あるいは意図している動作をさせないような指令を与えるプログラムは,その指令内容を問わずに,それ自体,人のプログラムに対する信頼を害するものとして,その作成,供用等の行為には当罰性があると考えておりますが,そういうものに形式的には当たるけれども社会的に許容できるようなものが例外的にあり得ると考えられますので,これを除外することを明らかにするために,「不正な」という要件を更につけ加えているということでございます。

●いかがでしょうか。議論のあるところだと思いますが。

動作をさせないということと,その意図に反する動作をさせるということ,両方合わせまして,それだけでは限定がつけられないので,更に「不正」というものが必要であるという御意見なのですが,この点いかかでしょうか。

法制審議会刑事法(ハイテク犯罪関係)部会第3回会議 議事録, 2003年5月15日

やはり、「不正な」よりも「意図に反する」の方で、犯罪としての構成要件が絞られるのだという理解で正しいように思える。

それにもかかわらず、今回の検察官の論告でも、この自動アップデートの例が嬉々として引用され、以下のように書かれているのは、「同意なく実行されるプログラム」=「意図に反する動作をさせる」という誤解を強化してしまっているのではないだろうか。

イ 電子計算機の使用者の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき指令を与えるプログラムであれば、通常、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があると考えられる。ただ、ソフトウェアの制作会社が不具合を修正するプログラムをユーザーの電子計算機に無断でインストールした場合における当該修正プログラムなど社会的に許容し得るものが例外的に含まれることがあり得るため、不正性の要件が設けられたものであり、不正性の要件に該当しないとして構成要件該当性が否定されるのは、そのようなプログラムの中で例外的なものに過ぎない(大コンメンタール刑法第8巻第3版346頁)。

論告要旨より

ここで「例外的に含まれる」の意味が、大コンメンタール刑法に記載の「例外的に含まれる」と、文は同じでありながら、前提(「意図に反する」の意味)が異なるため、違うものになってしまっている。大コンメンタール刑法では、「例外的に」は「ほとんどないが稀に」という意味であるのに対し、検察官の論告では、「例外的に」は「ホワイトリストとして」的な意味になっている。

というわけで、この悪しき自動アップデートの例を解説に使うのをやめない限り、今後もこの誤解は再生産されて続けてしまうだろう。

法案再提出時の法令協議の様子

ここで一つ参考になる資料を提供しておく。情報法制研究所(JILIS)では、Coinhive事件の把握を契機に、その妥当性を研究すべく、不正指令電磁的記録の罪の適用状況を把握するために、昨年7月に以下の文書の情報公開制度に基づく開示請求を行った。

  • 「平成22年度情報処理の高度化等に対処するための刑法等の一部を改正する法律案」に係る法務省との法令協議その他の協議文書

このうち、経済産業省から開示された文書(8月30日開示決定)に、経済産業省が法務省に対して、不正指令電磁的記録として何が該当し得るのかについて質問したやりとりが記載されていた。

開示資料のスキャン画像 開示資料のスキャン画像 開示資料のスキャン画像 開示資料のスキャン画像
図2: 経済産業省から法務省への法令協議での質問

2011年3月1日付の経済産業省の質問に、以下のものがある。

【問6】電子計算機を使用する人の「意図」

第168条の2第1項1号の「その意図に沿う」又は「その意図に反する」の意図とは、使用者のリテラシーに関わらず(使用者の現実の意図ではなく)、使用者として認識すべきと規範的に考えら得るところが基準となると解するが、いかがか。

このように解して差し支えない場合、以下のプログラム等は、利用者の意図に反する動作をさせる指令を与えるものと評価されるか。(作成行為、提供行為について本項の適用の有無を確認する意図ではなく、本項1号の電磁的記録に該当するか否かを問うものであって、不正な指令を与えるものか否かは問わない。)

(1) 脆弱性の検査ツールやリモートアクセスツールが、利用方法の説明不足等により、使用者のデータを破壊したり、情報漏えいを引き起こしたりする場合

(2) 利用者に無断で電話帳などの個人情報を送出する携帯電話のプログラムや、利用者に無断で位置情報を送出する同プログラム、利用者に無断で携帯電話の機体識別番号を送信する同プログラム
(cf. アプリがあなたを監視中─スマートフォン・アプリがプライバシーを侵害(ウォールストリート・ジャーナル、2010年12月)http://jp.wsj.com/IT/node_162281

(3) コピーコントロール等一定の目的に資するよう提供された複数のモジュールから構成されるソフトウエア群において、その一部に、利用者に無断でコンピュータのセキュリティ設定を脆弱にする等、ウイルス相当の機能を備えているプログラムが含まれていた場合
(cf. ソニーBMG製CD XCP問題 http://ja.wikipedia.org/wiki/ソニーBMG製CD_XCP問題

(4) 行動ターゲティング広告システム(人々のWebサイト閲覧履歴や検索語句を参照することで、ユーザー興味や関心に合致した広告を自動的に掲載する等)を実現する等一定の目的に資するよう提供される、利用者に無断で利用者のWebサイト閲覧履歴を収集するWebページ(に埋め込まれたスクリプト)やプログラム (cf. http://ja.wikipedia.org/wiki/楽天ad4U

(5) 利用者に無断で、他のWebサイトにリダイレクトするWebページ(に埋め込まれたスクリプト)やプログラムであって、
.螢瀬ぅ譽ト先がコンピュータウイルスを自動的にダウンロード(インストール)させるサイトである場合
▲螢瀬ぅ譽ト先が顧客登録等の業務の委託先のサイトである場合
(cf. Gumblarウイルス,twitterワーム,リダイレクト機能)

(6) 利用者の意図しないアクセス要求(掲示板への書き込みや、オンラインショッピングサイトでの発注処理、個人情報登録画面での登録情報変更処理等のアクセス要求)を自動的に送らせるWebページ(に埋め込まれたスクリプト)やプログラム(cf. CSRF (Cross site request forgeries)攻撃)、Webサイト上で偽った画面上の表示を掲出する(画面上は別の機能を実行する為のボタンをクリックするようにみせかける)ことにより利用者に意図しない動作を導く操作をさせるWebページ(に埋め込まれたスクリプト)やプログラム(cf. clickjacking攻撃)

(7) 利用者に無断で広告ページを表示するWebページ(に埋め込まれたスクリプト)やプログラム

(8) コンピュータウイルスを電子メールに添付し、添付のファイルはコンピュータウイルスである旨及び動作内容を電子メールの本文中に説明して、送信した場合において、その説明どおりに動作するコンピュータウイルスのプログラム。

これに対しての法務省の同日付の回答が以下のように記載されていた。

問6について

刑法168条の2台1項第1号の「意図」について、使用者の現実の意図ではなく、使用者として認識すべきと規範的に考えられるところを基準として判断することとなるとの点については、貴見のとおり。

(1)から(8)までのいずれについても、個別具体的な事実関係に基づいて判断すべきものであるので、一概にお答えすることは困難な面もあるが、一般には、次のように考えられる。

すなわち、(1)から(8)までについては、いずれも同号の「意図に反する動作をさせるべき」指令を与えるものに該当し得るが、(1)については「人の電子計算機における実行の用に供する目的」が欠ける場合があると考えられるほか、(7)については、一般的に許容されるものであれば、同号の「意図に反する動作をさせるべき」指令を与えるものに該当しないと考えられ、また、(8)については、コンピュータ・ウイルスの研究者間におけるやり取りである場合も同様と考えている。

この回答では、(4)の「行動ターゲティング広告のシステム」が該当しないものとして否定されておらず「該当し得る」との回答になっている。経済産業省は翌3月2日付で「再質問」を送っており、この問6についての再質問として、以下のことが書かれていた。

(再質問6)

【上記(2)関係】
本問、問7及び問13の(4)への回答を総合すると、利用者に無断で位置情報を送出する携帯電話のプログラムや利用者に無断で携帯電話の機体識別番号を送信するプログラムを作成、提供、実行の用に供する行為は、第168条の2の罪に該当する可能性があると評価されることになると考えられるところ、このような機能を利用者の明示的な承諾なしに提供するサービスは現在も実際に提供されており、このような解釈が行われるということであれば、それらのサービス提供事業者は、本改正法の施行に先立ち、利用者に対して確認を求めるステップを設ける等の改善策を講じることが必要となる(講ずる機会を与えられることを欲する)と考えられる。本改正法の施行は公布後20日とされており、公布後にこのような解釈が示されても、事業者には十分な改善の機会が与えられない可能性が高いことから、直ちにこのような解釈を公開した上、関係事業者やアプリケーションの開発者等に対策を講じるための十分な機会を提供すべきであると考えられる。市場に当たるインパクトも大きいと考えられるところ、このような解釈の早期公開についてどのように考えるか。

【上記(4)関係】(2)の部分と同じ趣旨
本問、問7及び問13の(4)への回答を総合すると、行動ターゲティング広告システムの一環として利用者に無断で利用者のWebサイト閲覧履歴を収集するWebページ(に埋め込まれたスクリプト)やプログラムを作成、提供、実行の用に供する行為は、第168条の2の罪に該当する可能性があると評価されることになると考えられるところ、このような機能を利用者の明示的な承諾なしに提供するサービスは現在も実際に提供されている可能性がありこのような解釈が行われるということであれば、それらのサービス提供事業者は、本改正法の施行に先立ち、利用者に対して確認を求めるステップを設ける等の改善策を講じることが必要となる(講ずる機会を与えられることを欲する)と考えられる。本改正法の施行は公布後20日とされており、公布後にこのような解釈が示されても、事業者には十分な改善の機会が与えられない可能性が高いことから、直ちにこのような解釈を公開した上、関係事業者やアプリケーションの開発者等に対策を講じるための十分な機会を提供すべきであると考えられる。市場に当たるインパクトも大きいと考えられるところ、このような解釈の早期公開についてどのように考えるか。

つまり、行動ターゲティング広告システムが履歴を無断収集することが不正指令電磁的記録供用罪に当たり得るとする法務省の回答に対して、現にそのようなことがビジネスとして行われているのに、改正法の施行が公布後20日とされているのはおかしいのではないか?と問うているわけである。

ここで私見であるが、刑法の改正法の施行期日が公布からたった20日というのは、そもそも刑法に規定された罪は、自然犯的なものであり、元より犯罪的なものを罰するものとして改めて規定されたにすぎないからこそ、周知期間は不要だということではなかろうか。それに対して、行政規制による罰則(自然犯ではなく法定犯)は、施行期日に十分な間を置いて周知期間を置くのが一般的であろう。そのことからしても、公布後20日で施行するなら、行動ターゲティング広告のケースが「意図に反する動作をさせる不正な指令」に当たり得るとする解釈の方が間違っているのではないか?という疑問が湧く。

これに対しての法務省の同日付の回答が以下のように記載されていた。

4 再質問6について
【(2)関係】
御指摘のプログラムについては、個別具体的な事実関係に照らし、社会通念上、一般に許容されるものであれば、不正指令電磁的記録作成等の罪には当たらないと考えられる。

このような解釈は、今後、国会審議等を通じて明らかになるものと考えている。

なお、本法案の内容及び解釈については、前回、平成17年の法案提出時から基本的な変更はないものであることはご理解いただきたい。

【(4)関係】(2)の部分と同じ趣旨
上記(2)についての回答と同様。

回答がいずれも当日中に行われていることから、あまり熟考せず回答したものであろうが、最初は該当し得るとしていたものが、周知期間は?と問われて、「社会通念上一般に許容されるものであれば当たらない」という回答に変わっている。

ここから思うに、「意図に反する動作をさせる」というのは、自然犯的に犯罪と言えるほどまでに「プログラムに対する社会一般の信頼」を害する程度という、相当狭い範囲を指すものとして「規範的に」判断されるべきものではないだろうか。

現在の法務省の理解は大丈夫なのか

さて、最初に挙げた今年3月8日の衆議院法務委員会での質疑だが、前掲の松平委員の質問に、法務省刑事局長は以下のように答弁していた。

○松平委員(略)こういった、社会的に許容し得るものかどうかという、新しい技術をもしかしたら否定させてしまう根拠となるような解釈をさせる、そういうもととなる規範をホームページ上に掲載するというのは、これはいかがなものかなというふうに思っているんです。この点、いかがでしょうか。

○小山政府参考人(法務省刑事局長) お答えをいたします。まず、前提といたしまして、この不正指令電磁的記録に関する罪の要件である不正な指令の解釈がございました。こちらでございますが、同罪の対象を不正な指令に限定することといたしましたのは、その前提となる要件を満たす電子計算機の使用者の意図に沿うべき動作をさせず、又は意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その作成、供用等の行為に当罰性があるようにも考えられてしまいますところ、そのような指令を与えるプログラムの中には、議員の問題意識にもあるかとは思いますが、社会的に許容し得るものが例外的に含まれるところでございまして、このようなプログラムを処罰対象から除外するためのものでございます

「不正な」との文言は、このような趣旨で設けられたものでございまして、あるプログラムによる指令が不正なものであるかどうかにつきましては、そのプログラムの機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断するということになるものでございまして、それ自体、明確性を欠くものではないと我々としては考えております。

また、刑法上、構成要件に「不正な」あるいは「不正に」との文言が用いられている例はほかにも複数ございまして、その意味でも問題がないものと考えております。したがいまして、インターネット上といいますか、ホームページ上に載せているこの解説も、こういう考えに基づいて、させていただいているところでございます。

第198回国会衆議院法務委員会会議録第2号(平成31年3月8日)

これは……。この答弁は横浜地検の検事の論告と同じ間違いに陥っているように聞こえる。強調部分は、大コンメンタール刑法の解説からの引き写しのように見えるが、肝心の、前掲で緑で強調した「その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきである」という前提を飛ばしてしまっている。「不正な」について質問されたから、「意図に反する」について答えなかったというだけならいいのだが……。

そこを示さないから、議員の質問のような疑問が出るわけで、そこを答えなかったというのは、現在の法務省刑事局の理解が、「意図に反する」の解釈を誤っていて気付いていないのかもしれず、そうだとすれば大変深刻な事態であろう。大丈夫だろうか。

*1 大コンメンタール刑法は、保護法益を侵害するものを「意図に反する」と解釈するとしているのに対し、検察官の論告は、「意図に反する」ものは保護法益を侵害するのだと言っている。

*2 論告要旨にある「閲覧者の意図に反するプログラムは、当然、その保護法益を侵害するものといえる」との文(赤で強調した部分)が端的にそのことを表している。

*3 一般に、起訴を担当した検事とは別の検事が公判を担当するものらしい。起訴を担当した検事は、解説書をこのように誤読した理解で有罪にできると判断したところ、公判を担当する検事が、大コンメンタールを引き写ししようとした際に、その誤読に気づいたとしても、それでもなお有罪にするための理屈を組み立てなければならないから、都合の悪い部分(「意図に反する」が規範的構成要件要素であるとされる部分)をすっ飛ばしてあえて曲解した法解釈を示すしかなかった(判決で覆されてしまうとわかっていても)のかもしれない。

*4 なお、16日の日記「しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか」で示した、「while(1){fork();}」の事例は、Webのプログラムではなくnativeアプリのプログラムであるが故に生じ得るものであるが、「一般に認識すべきと考えられるところ」を超えると言い得るかもしれないものであり、「プログラムに対する社会一般の信頼を害する」程度に「規範的な」意味で「意図に反する動作をさせる」ものに当たり得るかもしれない。しかし、16日の日記中に書いたように、「人の電子計算機における実行の用に供する目的」(すなわち供用罪や供用未遂罪を犯すような目的)がなければ、作成罪も提供罪も保管罪も構成要件からして成立しない。

*5 私もずっと(法制審議会の議事録を読んだときから)これが原因で誤解していたように思う。

本日のリンク元 TrackBack(0)

2019年03月16日

しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか

兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。

この2年足らずで急速に不正指令電磁的記録の罪の運用が怪しくなったが、その原因追求は今後の課題とするとして、現状分析としては、以下のように3つの面から箍が緩んだと言えるだろう。

  1. 「意図に反する動作をさせる」解釈の勘違い*1 —— 神奈川県警のCoinhive事件がこれ。(兵庫県警の無限アラート事件はこの面も含む。)
  2. 「不正な指令」の程度問題 —— 兵庫県警の無限アラート事件がこれ。ジョークサイトは対象外であろうという問題。
  3. 「実行の用に供する目的」の無視 —— 宮城県警・福井県警のWizard Bible関連事件。目的犯の目的要件を無視した事案。

さてここで、私からは別の材料を提供したい。

情報法制研究所(JILIS)では、Coinhive事件の把握を契機に、その妥当性を研究すべく、不正指令電磁的記録の罪の適用状況を把握するために、昨年5月1日に以下の文書の情報公開制度に基づく開示請求を行った。

  • 行政文書ファイル管理簿に記載の、警察庁生活安全局情報技術犯罪対策課が作成・取得し保有する、大分類「事件指導」中分類「申報」名称「各都道府県からの申報(不正指令電磁的記録罪)(平成24年)」及び同「平成25年、26年、27年、28年、29年」と題する文書

5月31日に延長通知があり、7月2日付で開示決定があったものの、特例延長(情報公開法11条)を適用され、2020年までかかると言われ、少しずつ(200ページ前後)分割して半年間隔で開示という牛歩戦術をとられているようであるため、未だその全貌を確認できていない。しかし、これまでに開示された分(平成29年5月から平成30年3月まで)に、Wizard Bible事件に関する「申報」が含まれており、ここに有用な情報があった。

まず、この「各都道府県からの申報」という文書がどういうものかというと、都道府県の警察本部が、サイバー犯罪を検挙した際に、警察庁と各都道府県警察に報告し情報共有するもののようで、「第1報」から「第2報」……「終報」と同一事件の経過を報告する形になっており、「(不正指令電磁的記録罪)」の他に、「(不正アクセス)」「(インターネットバンキング)」「(教養)」「(その他)」*2があるようで、行政文書ファイル管理簿に記載されている。

Wizard Bible事件が記載されているのは、「LINEグループによる不正指令電磁的記録作成・保管等事件の合同捜査について」と題する部分で、第3報、第5報、第6報、第7報、第8報、第9報、第10報が含まれていた。第1報と第2報がないのは、事件名が途中で変更されたからであろうか、第3報に「旧事件名:フィッシングサイトの公開による不正アクセス禁止法違反事件」と書かれている*3

Wizard Bible事件は、既に知られていたように、問題とされた記事(Wizard Bibleに掲載された)の寄稿者であった少年が、前年にフィッシングサイトの開設をしたとして逮捕されていたことが関係している。「旧事件名:フィッシングサイトの公開による……」とはそのことを指しているようである。

そのフィッシングサイト(Twitterのログイン画面らしい)を開設して逮捕された少年は、その事件では処分保留となったものの、勾留中に、不正指令電磁的記録の作成が見つかり、再逮捕となっていた*4。その様子がこの資料から窺える。

開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真
図1: 開示資料「LINEグループによる不正指令電磁的記録作成・保管等事件の合同捜査について」(第3報の1ページ目、第5報の一部)

事件の詳細はほぼ全面的に墨塗りで不開示となっているが、どの事件かを識別できる程度の情報と、概ね何が違法とされたのかがわかる程度には開示されており、報道の様子を貼り付けたものがそのまま開示されている。

この資料によると、フィッシングサイトを開設していた少年(千葉市在住)による不正指令電磁的記録(「10種類以上に及ぶ」とある)作成が確認され、そのうち、遠隔操作プログラムについて、別の少年(川崎市在住)が作成に協力したとして、宮城県警と福井県警が「事件競合」を起こしたことから合同捜査本部が設置されて捜査が進められたとされている。事件の名称が「LINEグループによる」となっているのは、2人がLINEグループを通じて知り合ったからのようである。

第5報で、千葉市の少年を作成罪で再逮捕したのと同時に、川崎市の少年を作成の幇助犯で書類送致したとされている。詳細は墨塗りされていて不明だが、添付されている報道記事(河北新報2017年7月14日)によれば、「千葉市の少年がつくった他人のパソコンを遠隔操作するウイルスを自分のパソコンに取り込み、改善点を助言するなどした疑い。(略)男子高校生は『ウイルスがどんな動きをするのか興味があり、手伝った』と容疑を認めている。」とされている。

ここで疑問に思えるのは、「人の電子計算機における実行の用に供する目的」(供用目的)が見えないことである。

添付されている新聞記事では、「少年は『悪いことは分かっていたが、セキュリティーを突破するのが楽しかった。いずれ企業をハッキングしたかった』と容疑を認めているという。」(河北新報2017年7月12日)、「少年は感染するとデータが消去されるものや、パソコンのソフトを多重に起動させる種類のウイルスを作成しており、『セキュリティーを突破するのが楽しかった。インターネットで独学し、ネット上の知人に手伝ってもらった。いつか企業をハッキングしたいと思っていた』などと供述している。」(産経新聞同日)、「調べに対し『いずれは企業などのパソコンをハッキングしたかった』と供述しているという。被害は確認されていない。」(読売新聞同日)とある。

供述の「いずれ」「いつか」というのは、このプログラムを使って行うという話ではなく将来の希望に過ぎないように見えるがどうだろうか。もし、発見されたプログラムがいずれも不正指令電磁的記録としては未完成のもの*5、あるいは完成しているとしても、それ自体を用いて「人の電子計算機における実行の用に供する目的」があったわけではないのなら、不可罰である。少なくとも、幇助で書類送致された別の少年については、その供述からは、全く目的犯としての要件を満たしていないように見えるがどうだろうか。

第3報には「10種類以上に及ぶ」とあったが、第5報に添付されている新聞記事によれば、「逮捕容疑は2015年8月ごろから16年12月ごろの間、自宅で、パソコンを使い、感染させたパソコンを遠隔操作できる機能などがあるコンピュータウイルス10個と、ウイルスの設計書にあたるソースコード6個を作成した疑い。」(福井新聞2017年7月12日)とあり、なぜかコンパイルしていないものが6個もあったというのだから、手書きで書いたスケッチ程度のものであった疑いがある。特に、NHKに報道させた押収物の映像に以下のものがあった点が気になる。

開示資料のスキャンの一部
図2: 第5報の8ページ目に掲載されているNHK報道(Weyback Machineによる記録)の画面写真

このシーンをあえて掲載しているのだから、この無限forkのスケッチも2号不正指令電磁的記録として扱ったということではないか。

しかし、これがキャンパスノートの表紙であること、周辺に「Hello, world」とか「256」とか「Null」などがバラバラに書かれていること、書いたのが子供であることからすれば、これは、初学者がネタ帳の表紙を飾った「好きなアイテムを散りばめたデザイン」に過ぎないものであることは誰の目にも明らかだろう。(誰しも、小中学生のとき何らかの趣味を持った者は、このようなお気に入りノートを作った経験があろう。)

こんなものまで2号不正指令電磁的記録として扱ったなら、宮城県警と福井県警は狂っているとしか言いようがない。君らは子供のときに趣味すら持ったことがないのか。こんなものに目的犯としての目的は認められない。

こんな調子で検挙していたなら、報道にある「感染するとデータが消去されるもの」というのも、「rm -rf /」程度のメモ書きだったのではないかと疑われる。刑法168条の2はこんなことを処罰するために創設されたものではない。

しかも、フィッシングサイト開設で逮捕した件が何らかの理由で処分保留となったところで、この件で再逮捕したというのだから、押収したノートにたまたまこれらの記述があったのを発見して、不正指令電磁的記録作成罪に切り替えたように見える。これらのプログラムを外部に出していなかったなら、外形的な「人の電子計算機における実行の用に供する目的」の裏付けが無いわけであり、供述の「いずれ」「いつか」「企業などのパソコンをハッキングしたかった」では、供用目的があったとは言えない。

「while(1) {fork();}」と書いたらウイルス作成罪が成立するというのは、素人の初歩的な勘違いである。そもそも、作成罪が「rm -rf /」程度のプログラムでも該当し得るのは、人を騙して実行させれば供用罪が成立し得るのを前提に、その作成段階をも処罰しようというものであり、供用罪と切り離して作成罪が成立することはないのである。言い換えれば、供用未遂罪が誰にも成立しないような状況で、作成罪は(現実には)成立しようがないのである。

どうしてもそのような初歩的勘違いをする人が出るので、作成罪は要らないのではないか?(供用罪と供用未遂罪だけで足りる)という話は、13年前の日記「「不正指令電磁的記録に関する罪」に「作成罪」はいらないのではないか」に書いていた。このような考えは、後に、刑法学者から諭されて、刑法の偽造罪についての理解が足りないからそう感じるのだと知った。文書偽造罪や通貨偽造罪(これらは不正指令電磁的記録の罪と並んでいる)も同様で、行使する目的がなければ偽造しても偽造罪は成立しない*6。偽造した時点を捉えて処罰する必要があるということになっているけれども、現実には、行使したとか、行使しようとした形跡があるとか、誰かが行使するのを認識していたとか、そういったものがない限り、偽造罪は成立しようがない。それならば行使罪と行使未遂罪だけあれば足り、偽造罪は不要であるようにも思えるが、それでもなお偽造の時点を処罰すべく偽造罪が設定されているというのは、刑法の偽造罪が「そういうもの」だからである。*7

千葉市の少年は、フィッシングサイト開設で逮捕されていることから、犯罪傾向があるのには違いない(それも処分保留になっているのだから、本当に不正アクセス禁止法7条の構成要件を満たしていたのかも疑わしいところだが)のかもしれない。若者の悪い心の芽は早めに摘むのが正義だとど田舎警察は思っているのであろうか、単に犯罪傾向のある者だからという理由で、ハッカーワナビーが「while(1) {fork();}」と記述した行為(供用目的がない)を捉えて不正指令電磁的記録作成罪で検挙するというのなら、それは「ハッカーワナビーを許さない」という思想の取締りに他ならず、憲法19条の思想・良心の自由を侵す違法な捜査である。*8

こうした勘違いは、Wizard Bible事件にも表れている。前掲の開示資料の第7報(2017年11月21日付)と第10報(2017年12月6日付)に、相馬市の「作家」として、Wizard Bible編集者だったIPUSIRON氏のことらしき記述が出てくる。

開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真
図3: 開示資料「LINEグループによる不正指令電磁的記録作成・保管等事件の合同捜査について」(第7報、第10報)

ほとんどが墨塗りで、新しい情報は得られないが、開示された範囲に、供用目的に係る記載がない。添付されている新聞記事(河北新報2017年12月2日)にも、「男性が管理するインターネットサイトの掲示板に、他人のパソコンを遠隔操作するウイルスの設計図(ソースコード)を載せ、不特定多数に提供した疑い。合同捜査本部は6、7月、不正アクセス禁止法違反容疑などで千葉市の男子高校生=当時(16)、保護観察処分=を逮捕。高校生が男性に電子メールでソースコードを送っていたことなどから関連を調べていた。」と書かれているだけで、供用目的を窺わせる記述が一切ない。

Wizard Bibleの事案が不正指令電磁的記録の罪に該当しないとする意見は、既にあちこちから出ているところだが、繰り返して言えば、当該プログラムそれ自体は単なるSocket通信プログラムにコマンド実行機能が付いたものであり、遠隔操作サーバとして善用も悪用もできるものだから、単に作成されただけでは、「rm -rf /」と同様に、不正指令電磁的記録作成とは言えない。人を騙すところまで加えられてはいなかったわけである。

ただ、記事の表題が「トロイの木馬型のマルウェアについて」となっていて、本文の「はじめに」に「このレポートでは、トロイの木馬型のマルウェアについての解説をしていきたいと思います。」と書いていたことからして、著者本人としてはトロイの木馬のつもりだったのかもしれない。ソースコードのコメントにも「侵入成功後の処理」*9と書かれていて、中立的なものとして書かれてはいなかった。一方で、本文に「コードの悪用は厳禁です。」と書かれていたわけであるが、これが書いてあるからといって供用目的が否定されることにはならない。しかし、供用目的があったと言える要素もないわけである。

私の意見としては、ワームや自己増殖機能を持つ狭義のコンピュータウイルスについては、コードを記述しただけで危険が発生するので、作成罪についての供用目的は、「誰かが実行の用に供してしまうかもしれない」という「未必的認識」で足りると解釈すべきである一方、善用も悪用もされる中立的なプログラムの場合には、悪用されることについての「確定的認識」*10がなければ目的犯としての目的が欠け、構成要件を満たさないと解釈するべきであると考えている。今回のものは後者に当たる。

Wizard Bibleの当該記事の「マルウェアを解説する」的な記述は、いかにも子供らしいワナビー願望に過ぎず、この事例はいわば不能犯のようなものと言うべきだろう。そのような寄稿をそのまま載せてしまうWizard Bibleの編集について、「そんなションベン臭いの掲載するのやめたら?」という気がしないでもないが、これを掲載したのが犯罪かという話になれば、提供罪と言うには、編集者に供用目的(意図に反して実行されるような実行の用に供する目的)があったと言える要素が必要であるところ、そのようなものは見えない。

前記のように、宮城県警と仙台地方検察庁の検事は、そもそも供用目的の要件を最初から無視していた様子が窺えることから、Wizard Bible事件においても目的犯の目的要件を無視して立件した疑いがある。略式起訴で済まされたから、裁判所は全自動で罰金の略式命令を出してしまったが、正式裁判に移行していれば、供用目的を立証できず、無罪となるべきだった事案であろう。

さて、ここからが本題である。

この開示資料の第6報(2017年9月11日付)に、「同イベントを主催する〓〓〓〓に対し、同種事案発生防止に向けて改善を要請した結果、倫理教養の充実を図るとともに、参加受講者から『誓約書』を徴収することを決定」「主催者からの要望により、本年開催された〓〓〓〓において、サイバー犯罪捜査官が講話を実施」と書かれている。

開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真 開示資料の写真
図4: 開示資料「LINEグループによる不正指令電磁的記録作成・保管等事件の合同捜査について」(第6報、第9報)

肝心の部分が墨塗りで不開示となっているため、何があったのか確認できないが、一連の事件の一部として報告されていること、「同種事案発生防止に向けて改善を要請」と書かれていること、「実施の経緯」の節に、大幅な墨塗りの後に「全国の高校生、大学生を対象として毎年開催するCTF(Capture The Flag)であるが」と書かれていることから推測して、前掲の千葉市の少年(又は川崎市の少年)がこのCTFに参加していて、参加したことがきっかけの一つとなって、最初のフィッシングサイト開設事件の犯行に及んだとか、不正指令電磁的記録の作成に興味を持つようになったとか、ハッカーワナビーになったとか、もう一人の少年と知り合ったという話ではなかろうか。*11

この種の若年者向けのイベントで、法律面での注意を促すことは、重要なことだと私も昔から常々言っていたところではある*12が、上記のように、不正指令電磁的記録の罪の目的犯の解釈もろくにわかっていない、「while(1) {fork();}」と手書きしただけで作成罪に当たると勘違いしているようなど田舎警察がやってきて、「講話を実施」だなんて、正確性に欠くしょぼい講話であったろうことは容易に想像がつく。どんなにつまらない講話であろうとも、こんなふうに主催者に対して「改善を要請」がなされれば、主催者からしたら「共犯者に仕立て上げられかねない」恐怖から、県警に対して「主催者からの要望」が出されることも必然だし、終わった後の「反響」として「謝意」が寄せられるのも必然だろう。

最初の話に戻ると、昨日「すみだセキュリティ勉強会」が活動を休止したわけであるが、そうした勉強会は、皆、素人警察の講話とやらをヘイコラと受け入れないと、共犯者にされてしまうの?という疑問が湧いてくるわけである。

図4のCTFがどこのイベントだったのか不明だが、これにとどまらなかったようで、宮城県警は、第8報(2017年12月4日付)によれば、他にも2つのセキュリティイベントに対して「サイバー犯罪対策課員による倫理講話」を実施したらしい。

開示資料の写真 開示資料の写真 開示資料の写真
図5: 開示資料「LINEグループによる不正指令電磁的記録作成・保管等事件の合同捜査について」(第8報)

曰く、「鋭意捜査中のところ、被害拡大防止対策として、〓〓〓〓2つの情報セキュリティイベントに対する要請及び倫理講話を実施した」という。どこのイベントでどんな要請、講話がなされたのであろうか*13。「これら情報セキュリティイベントでは参加者に対する倫理教育の不備が露呈したところである」と書かれているが、そんな事実があるのだろうか?

何が犯罪であるかを解説し周知することは重要であるが、犯罪に当たらないその手前の行為まで、すなわち、「while(1) {fork();}」や、通信プログラムを書いて、自分のコンピュータで動かしてみるとか、ネット上の知人と一緒に実験して改善してみるとかいう行為まで、「ハッカー気取りの行為だからけしからん」「犯罪の入り口に向かっているから少年を保護する」としてそれらをやめさせようと田舎警察が介入してくるのであれば、「ハッカー気取りを楽しみたい」という人々の思想・良心の自由を侵すものであり、むしろ田舎警察の方が思想警察の入り口に差し掛かっているのである。そういうのは危険な兆候として我々は拒否の姿勢*14を突きつけていかなければならない。

*1 これについては次の日記で明らかにする。

*2 これらは開示請求していない。

*3 第1報、第2報、第4報は「(不正アクセス)」の文書の方に含まれているのであろう。

*4 河北新報が2017年7月12日の記事で、「宮城、福井両県警合同捜査本部は11日、不正指令電磁的記録作成の疑いで、千葉市、定時制高校2年の少年(16)を再逮捕した。(中略)少年は6月20日、他人のツイッターのIDやパスワードを盗む目的でフィッシングサイトを開設した不正アクセス禁止法違反容疑で逮捕され、今月11日、処分保留となっていた。」と報じていた。

*5 不正指令電磁的記録は、2号のもの(ソースコードのファイルや、紙に書いたもの)であっても、実質的に完成しているものであることを要する。

*6 ただし、通貨偽造の場合は、別途「通貨及証券模造取締法」(明治28年法律第28号)があるため、行使の目的がなくても、模造した程度の偽造であっても、処罰される。このことと通貨偽造罪が目的犯であることとを取り違えてはならない。

*7 最近は、一周回って、不正指令電磁的記録の罪については、やっぱり作成罪は要らなかったんじゃないか、偽造罪からの類推で設計したのは無理があったのではないか、という考えが頭をよぎりつつある。

*8 どんなに人を殺すことに魅力を感じる性癖のある人であろうとも、殺人に係る行為に出ない限りは、内心の問題であって、警察にとやかく言われる筋合いはない。ハッカーワナビーもそれと同じだ。

*9 実際には、侵入のためのコードは存在しないプログラムであった。侵入か何かの別の手段で既にこのサーバプログラムが対象に設置されていたときに、外部からの接続を受け付けた直後を「侵入成功後」と書いていただけの話で、子供ならではの表現であるにすぎない。

*10 目的犯が、未必的認識で足りるか確定的認識を要するかについて、従前の刑法の判例と学説からの分析整理が、伊藤亮吉「目的犯の目的の内容(1) ——わが国における判例学説の状況——」名城法学63巻2号(2013年)でなされており、興味深い。(不正指令電磁的記録の罪については検討がない。)

*11 第9報には、「鋭意捜査中の事件につき、被害拡大防止対策の一環として、〓〓〓〓を要請したところ、〓〓〓〓されるようになった」とある。どこに要請したのか、何があったのか不明だが、「要請理由」のところに「被疑者等の言動について」と言う節があり、何らかの言動が問題とされた様子だが、全て墨塗りになっていて、不明である。

*12 最初の「ハッカー甲子園」企画には否定的な見解を示した経緯がある。

*13 これらについて何かご存知の方は、blog@takagi-hiromitsu.jp まで情報をお寄せください。

*14 講話受け入れの強制を拒否するには、具体的なそれぞれの行為について不正指令電磁的記録の罪に該当するか否かを、文書で警察に回答させるのがよい(講話の際の資料としてお願いすればよい)だろう。それに回答できないとか、回答が法的に間違っているならば、講話をする適格性を欠くとしてお断りすればよい。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|
追記