追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 540   昨日: 984

2022年06月09日

競争政策が消費者の安全・詐欺被害耐性を破壊しに来た

内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応スラドの反応)。

中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題があればパブコメで意見がくるだろうという丸投げスタンスのようだ。

○成田審議官 (略)中間報告をまとめて外に出すことによって、それでパブコメもやりますし、そこでいろいろコメントをくださいねという言い方をしております。広告のときもそうでありましたけれども、中間報告の段階でそのプロセスをとろうとすると、いつまでも中間報告が出せなくなるという意味で、広い意味での関係者に広く問題意識を伝えて、広く意見を募っていくというプロセスを早い段階でやったほうがいいという意味で、今回、事前にこの案をプラットフォームと調整するということは我々のほうでは考えておりません。そういう前提の中で、先ほど御指摘のあったようなコミュニケーションのことをよく考えていく必要があるのかなと思ってございます。(略)

(略)

○増島議員 (略)ここはどうしても専門的なものになってしまうというのは、デジタル広告のときもそうだったのですけれども、仕方がないのかなと感じがしているところであります。

その結果、パブコメをかけて誰が回答をしてくれるのですかという話になると、回答をしてもらえる人たちというのは相当少なくなってくるように思うのですけれども、事柄の性質上これはやむを得ないとも感じているところであります。

具体的には、今我々として誰からコメントを欲しいと考えているのかということで言うと、例えばこれを出したときに、規模が小さい事業者からはあまり回答は期待できない。もしあるとすると、すごく大ざっぱな、ビッグテックの横暴はやめてほしい、そういう回答はあるのだと思うのですけれども、今回のレポートを全部ただしく消化したうえでの回答は基本的には考えにくいだろうということがまず一つ。

(略)それから、日本のデジタルの分野でそれなりの地位を占めている事業者ないし事業者団体が、自分たちのビジネスに影響が及びかねないところについて、大きな観点から何か意見してくるだろうということと、逆にビッグテックに煮え湯を飲まされているトピックについて、ここをもっとこうするべきだとか、これに賛成であるということを言ってくる。多分大きく言うと、そういうような分布になるのではないか、こんな感じがするのですね。

我々が世の中から欲しいコメントは基本的にそういうものでよかったのかどうかというところが、先ほど上野山委員がおっしゃったところの一つ、我々としての向き合い方ということなのではないかなと感じたところです。

例えば、消費者団体から、今回のトピックにつき、これをきちんと消化して、真意を酌んだコメントがもらえるような状態はあり得るのだろうかということを考えたときに、ふだん我々は消費者団体の方々といろいろな場面でお付き合いをしていますけれども、彼らの持っているエクスパタイズとの関係でもなかなか難しいところがあるのだろうなと感じておりまして、そこは彼らが勉強不足だとかリテラシーが足りないというよりは、扱っているトピックとの関係でどうしても限界というものがあるのではないか。逆に言うと、幾らこうした反応を欲しいセクターに答えてもらおうと思って書こうとしても、扱っているものの事柄上、そのようなプロダクトはつくりにくいのではないか、こういう感じがいたしました。

デジタル市場競争会議ワーキンググループ第34回議事録

これは甚だ面倒臭いが、私からは「サイドローディング」の部分についてだけ苦言を出しておこうと思う。

まず、「サイドローディング」という言葉は、Androidの方の用語のようだが、この中間報告では以下のように定義している。「OS事業者の提供するアプリストア以外のアプリストア」の利用も「サイドローディング」 に含めているようだ。(元のGoogleの定義(注16)では「ウェブサイトからダウンロード」の方だけのところ。)

7. アプリストアの拘束(Apple)

(1) 事実関係とそれを踏まえた課題と評価
1) 事実関係(サイドローディングの禁止)
○ iPhone向けのアプリは、Appleが運営するAppStoreでのみ配信されており、AppStore以外のアプリストアからアプリをダウンロードすること、又はウェブサイトから直接アプリをダウンロードすること(以下、OS事業者の提供するアプリストア以外のアプリストアやウェブサイトからダウンロードすることを総称して「サイドローディング」という。)についてはAppStoreのサービス開始以降、一切認められていない。

モバイル・エコシステムに関する 競争評価中間報告

中間報告が主張することは以下。法的に義務付けることが予定されている。

(3) 対応のオプションと主に御意見をいただきたい事項
1) 対応のオプション
上記のような競争上の懸念がある場合に、対応のオプションとして、以下のようなものが考えられるか。

オプションA:サイドローディングを許容する義務

○現状、iPhoneにはAppStoreのみがプリインストールされ、AppStoreがデフォルトのアプリストアとして設定されており、かつ、AppStore以外のアプリ配信方法が認められていない。その結果、全てのユーザーがAppStoreでiOS用アプリをダウンロードしている。

○その結果として、競争上の懸念が生じていると認められるときは、iPhoneユーザーがAppStore以外のアプリストアを利用できるようにするとともに、ウェブサイトからのアプリの直接ダウンロードも可能となるようにすることで、iOS用アプリの配信において競争が生じるようにすることが考えられる。

○そこで、一定規模以上のOSを提供する事業者がアプリストアを提供する場合には、ユーザーが
サードパーティのアプリストアをインストールでき、それをデフォルトとして選択できるようにする
ブラウザを使ってアプリを直接ダウンロードできるようにする
プリインストールされているアプリストアを非表示又はアンインストールできるようにする
義務を課す規律を導入することが考えられるのではないか。

○また、上記義務を課すとともに、サイドローディングを認めた場合でも、プライバシーやセキュリティを担保するための何らかの手段を検討することも考えられるのではないか。例えば、他のアプリストアの選択肢を排除するのではなく、当該他のアプリストアについても、自社のアプリストアにおけるアプリ審査と同水準の審査を実施することを担保する何らかの仕組み(例えば、関係事業者等による認証制度、ガイドライン等)を設けた上で、当該他のアプリストアのサービス提供を許容することも考えられるのではないか。

モバイル・エコシステムに関する 競争評価中間報告

「オプションA」とあるが、Bはなく、もうこれ一択になっている。

まあ、競争がないから手数料が高止まりしているという話は理解できるし、競争上の問題があることは、10年前にスマホが普及し始めた時にも、総務省の「スマートフォンプライバシーイニシアティブ」で、アプリストアの選択制は論点には挙がったし、もっと言えば、20年前のガラケー全盛期にも、iモードの公式メニューの運営や公式サイトの認定がdocomo独占なのがけしからんという業界の声があって、公式メニューを利用者が選択できるようにするとか、そもそも水平分業にするのだという計画が、総務省で検討されていて、頓挫した歴史がある*2

アプリストアの選択制は、まあ、やってみてもいいんじゃないの? でもやるところあるの? という感じだ。 選べるようになったとして、アプリ開発者側は複数のアプリストアに出品せざるを得なくなってかえって高コストになったりしない? といった疑問は湧く。(そういう話は10年前に済んでいたのではなかったのか?)

しかし、今回のデジタル市場競争本部の動きはそれに止まらない。「ウェブサイトからのアプリの直接ダウンロードも可能となるようにする」「ブラウザを使ってアプリを直接ダウンロードできるようにする」とも主張しているのだ。

Androidがまさにそれを可能にする機能を設けているので、まあ、それもやったらいいんじゃない?という声は、エンジニア界隈にはありそうだ。自己責任で選べるようになってたらいいじゃないの?というわけだ。

しかし、さらに、今回のデジタル市場競争本部の動きはそれに止まらない。Androidの方のサイドローディングについても、以下のように法的義務付けが計画されているのだ。

8.サイドローディングの制限(Google)
(1) 事実関係とそれを踏まえた課題と評価
1) 事実関係
(略)

(サイドローディング時にユーザーが実行する手順)
○Android端末は、初期設定ではサイドローディングは無効にされており、ユーザーが設定を変更することでサイドローディングが有効になる。
(略)

(サイドローディング時の警告表示や手順がサイドローディングを躊躇わせるおそれ)
(略)

○ しかしながら、「セキュリティ上の理由から、・・・インストールすることはできません。」、「お使いのデバイスに悪影響を与える可能性があります。」、「電話と個人データが攻撃を受けやすくなります。」などの表示がなされており、そのような表示に接したデバイスの仕組み等に詳しくないユーザー等は、セキュリティ上のリスクを恐れてサイドローディングを躊躇するおそれが高いと考えられる。

○ また、上記の警告は、ダウンロードしたアプリが有害なものかどうかをスキャンするGooglePlayProtect(GPP)によってPHAとして検出されていないアプリである場合でも表示される点では、注意喚起としては過剰であるとも考えられる

○ また、Android端末でアプリ・デベロッパのアプリをサイドローディングする手順については、GooglePlayからのダウンロードの場合と比較して手順が多く、それも、サイドローディングを使いにくくする方向に作用している懸念もある。

○ APKファイルをダウンロードするときは、さらにダウンロードフォルダに移動するといった追加的手順も必要になるとされており、以上の懸念は強まる。

○ 実際、以下の具体的な指摘がなされているところ。
サイドローディングをするに当たってはセキュリティ設定の変更が必要、警告の表示が仰々しい、警告に付された説明が難しいといったこともあり、ユーザーからするとそこまでしてアプリをサイドローディングしようとはならない。デベロッパの開発したアプリストアを利用する人はいない。
・サイドローディングの際には、警告が表示され、インストールされるまでの手順も多く、不安が煽られていることもあり、人々はサイドローディングのアプリはFraud等のリスクが大きく、Google Playは安全性があると考えている。
・サイドローディングの際の警告の表示や、煩雑な手続は不当だと思う。セキュリティ等の警告を出している中には既に信頼できるアプリであることは分かっているものも含まれるはずである。サイドローディングに対してそうした煩雑なプロセスを取らせることで、アプリストアからインストールさせるようにしている。AppleやGoogleの主張は、AppStoreやGooglePlayStoreを経由することでさらに安全になるというものだが、そうしたアプリストアの審査を経たところでより安全になるというわけではない。要するに、警告のメッセージはアプリストア外でのサイドローディングを思いとどまらせることに意味がある
・APKファイルのダウンロードは可能だが、APKファイルを一旦フォルダにダウンロードし、当該フォルダを開いてアプリをインストールするなどの手順が増え、また、その際にも警告が表示されるため、実際にはアプリストア経由の方がダウンロードしやすい
・アプリをサイドローディングする場合は、設定の変更も含めで15段階程度の手順が必要となるのに対し、GooglePlayでアプリをダウンロードする場合は少ない手順で済む。それでも敢えてサイドローディングを選ぶ人がいるかは疑問である18

(略)

(2) 現時点での競争上の評価
(サイドローディングの抑制)

(略)

○ しかし、警告の表示方法(表示頻度、警告の際の文字のフォントサイズ、警告の文言、メッセージの処理方法等)次第では、ユーザーにセキュリティ・リスクを過大評価させ、サイドローディングに対する警戒心を持たせて思いとどまらせるおそれがあり、結果的にサイドローディングを実質的に抑制する効果が生じることにもなり得る。

(略)

○ 実際にも、前記のとおり、サイドローディングがGooglePlayからのダウンロードと比べて大幅に少ないとする指摘がある。Googleからは、アプリの全ダウンロード件数に占めるサイドローディングの割合について、サイドローディングが低調であるという指摘に反証するデータが示されていない。

○ 以上のことから、警告の表示や手順などの要因が、ユーザーにサイドローディングを思いとどまらせているという疑念は払しょくできないのではないか。

(アプリ配信分野における事実上の独占による影響)
○ サイドローディングが抑制されれば、Android用アプリの配信は事実上、GooglePlayが専ら利用され、Android用アプリの配信分野における競争が機能し難い状態になり、その結果、Appleによるアプリストア拘束と同様に、手数料の競争価格より高い水準での設定、アプリストアのサービス面における競争による改善の阻害などの競争上の懸念が生じるおそれがあると考えられる。

○ また、ブラウザを使ったウェブ・サービスがOS環境に依存しないことに鑑みれば、ブラウザを使ったアプリの直接ダウンロードが警告表示などによって躊躇されることにより、ブラウザからのサイドローディングがGooglePlayからのダウンロードに対して競争上不利になることで、モバイルOS間の競争が減少するおそれもある。

(略)

1) 対応のオプション
上記のような競争上の懸念がある場合に、対応のオプションとして、以下のようなものが考えられるか。
(オプションA:サイドローディングによるアプリ配信を制限する行為の禁止)

○ サイドローディングによるアプリの配信を事実上制限するような警告表示、複雑な手順等の行為一般を禁止する必要があるのではないか。また、エンドユーザーの判断力を低下させたり、誤認させるような表記やデザインなど多様な行為によって、サイドローディングが事実上制限されることもあることから、サイドローディングに関してユーザーにとって不利な決定に誘導するような行為も禁止する必要があるのではないか。

○ そこで、一定規模以上のOSを提供する事業者がアプリストアを提供する場合には、サイドローディングによるアプリの配信を制限することを禁止する規律を導入することが考えられるのではないか。

モバイル・エコシステムに関する 競争評価中間報告

またしても「オプションA」しかない。

つまり、警告や余分なステップなしに任意のWebサイトからアプリをインストールできるようにしろというのである。エンジニア的発想からすれば、自己責任でセキュリティを解除して独自アプリを入れられたら楽しいと思うかもしれないが、これはそういう話ではない。これは、高齢者等の情報弱者を含めた一般の利用者に対して、公式ストアからの利用と「平等に」野良アプリも利用できるようにしろ、という話になっている。

それもそのはず、これは競争政策の話だからだ。どのストアも一切優遇されることなく任意に選べるべき、ということになるし、狭義のサイドダウンロードも、全く確認なしに即動くようにしろ、ということになる。これはトンデモだ。

「煩雑なプロセスを取らせることで、アプリストアからインストールさせるようにしている。」「警告のメッセージはアプリストア外でのサイドローディングを思いとどまらせることに意味がある。」のあたりに至っては、もはや陰謀論の世界。こんなのを真に受けた中間報告をよくもまあ委員は素通ししたものだ。恥を知った方がいいよ。

セキュリティをいったいどう心得てるのか? というと、どうもこの会議は以下のような認識らしい。

(サイドローディングの禁止がデバイスのセキュリティ確保に資する程度)
(略)

○ デベロッパの中には、iOSデバイスのセキュリティは、ハードウェアに組み込まれた数多くのセキュリティ対策(データの暗号化、ファイアーウォール、アンチウイルス等)と、アプリによるモバイル・デバイスのリソースへのアクセスを制限するサンドボックス・モデルによって実現されており、AppStore審査では、追加のセキュリティ機能はほとんどないと述べる者もいる。また、以下の指摘もなされている。

(略)
・Appleはプライバシーやセキュリティを理由にあげることがよくあるが、こういってしまえば、プライバシーやセキュリティを保護する必要性については否定できず、どういう点に問題があり得るかは技術的専門性やAppleのデバイスの詳細等も分からないと何とも言えず、それ以上突っ込めなくなるので、便利な口実になっているという印象を受ける。
(略)

○ アプリストア拘束が、セキュリティ、プライバシーの問題にどの程度寄与しているか疑問の声がある中で、アプリストアの拘束が様々な懸念や競争上の懸念を生じさせている状況にあることに鑑みれば、同拘束は、総合的にみて、弊害(コスト、リスク)の方が大きい可能性があるのではないか。

(サイドローディングが認容されているMacデバイスとの違い)
○ 同じAppleのコンピューティング・デバイスであっても、iPhoneではサイドローディングが禁じられている一方で、Macではサイドローディングを自由にすることができるようになっている

○ セキュリティを確保する必要性は、MacパソコンにもiPhoneにもあると考えられるが、サイドローディングが可能か否かについて、両デバイス間でここまで完全なる相違があることに正当な理由があるのかという疑問があるとの指摘もある。

モバイル・エコシステムに関する 競争評価中間報告

いやいやいや、あのねえ、 今やmacOSも主要なアプリはApp Storeから購入だし、野良でダウンロードしたものもそう簡単には起動できないようになってるんだよ。

そもそもMacでアプリを頻繁にインストールするものじゃない。基本的な作業環境を整えたら滅多に追加アプリを入れないというのが普通。それに対して、スマホのアプリ場合は、Webサイトとの中間に位置する。つまり、Webサイトは、SNSからのジャンプで初めて訪れるサイトも毎日閲覧するわけだけども、これはWebの機能が限定されていてどんな怪しいサイトを閲覧しても安全なように仕様が設計されているのに対して、それでは使える機能が少なすぎるからということで、スマホアプリという中間のものが登場したわけだ。なので、スマホアプリはWebサイトより危険なものであるし、Macの扱いと違って、わりと頻繁に新しいアプリをインストールする生活を送ることになる。ここにどうやって安心を確保するのかだ。

中間報告は、「リソースへのアクセスを制限するサンドボックス・モデルによって実現されており」というが、permissionモデルで足りると言うのであろうか。ボタン一発押したら即アウトなアプリが蔓延しても、高齢者にボタンを押すのは自己責任だと君らは言うのか?

今更「「署名済みActiveXコントロールのダウンロード」を有効にしてください」と同じ過ちを繰り返すの? もう17年前だよこれ? *3

何がどう危険なのか全く調べてないじゃないか。いちからか?いちからせつめいしないとだめか? めんどくさいわ。なんでこんな陰謀論報告書にいちいち我々が手弁当で意見を書いて出さないといけないんだ。💢💢💢

とりあえず、パブコメが終わったら、近頃のワームの実態を追いかけているリサーチャの証言や、警察庁の話を聞くべきだろう。

*1 パブコメが始まってだいぶ経ってから第34回の議事録だけ出てきた。

*2 この件については2007年6月30日の日記に書いてある。

*3 ちなみに、今日、これをやれと指示するのは、政府統一基準の遵守事項6.3.1(2)(a)(オ)「情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう……」違反である。

本日のリンク元 TrackBack(0)

2022年04月01日

個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解される

先日ようやく公開した「Cafe JILIS」のインタビュー記事は、9万字ほどの長文にも関わらず、おかげさまで、想定を超えて多くの読者に刺さったようだ。未だ研究当事者界隈からの反応は薄いものの、役所の偉い方々や業界の職業人の方々には届いている様子で、一般の方からも「目から滝のように鱗が」といった感想を頂くなど、一回読切の構成にした思惑通りであった。早速マスコミからも問い合わせが来ているので、これから大々的にこの方向性を打ち出していくことになるだろう。なぜ今「緊急で」だったのかは最後で述べている。情報公開学派・プライバシー学派との訣別の時来たれりなのである。

内容はこれで完結しているので、改めて加えることはほとんどないが、何箇所か、「既に書いたことなので」として省略したところがあった。そのうちの一つである以下のところ、……

なお、この達増の質問に、政府参考人の藤井昭夫内閣官房内閣審議官は次のように答弁しています。「あくまで基本原則の部分については、そういった効果というのは努力義務でございますし、5章の方は、先ほど来御指摘のような、IT処理される個人データということでございます。」と。「5章」というのは旧法案の5章で、現行法の4章のことです。つまり、個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象と言っていますね。ここ、重要なところです。ちゃんと「処理」の言葉を用いていますね。

—— おや?現行法4章は、15条から18条までは「個人データ」ではなく「個人情報」が対象なんじゃないんですか?

高木: そこですよ問題は。話が長くなるので今日はその話は省略します。内閣法制局の横槍でおかしくなったんだろうと推察していますが、詳しくは前出の「法とコンピュータ」34号69頁あたりから書いてあります。いずれにせよ、立案当局の政府参考人が4章の義務は「IT処理される個人データ」だと答弁して成立した法律なんですから、そう解釈すべきですよ。あ、マニュアル処理情報が「IT」かは疑問ですが、そこは目を瞑りましょう(笑)。

……この件について、実は、現行法のままでもそのように解釈できるという独自の新解釈がある。まだチラッとしか公言していなかった*1のだが、このところ、本気でその通りだと思えてきたので、4月1日という改正個人情報保護法施行日の今日を記念して書き留めておくこととしたい。

***

まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。


(定義)
第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(……)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

2 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(略)

5 この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

6 この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

7 この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。


これら4つは同じ構造をしていることがわかる。すなわち、「X情報」なる概念があって、それを含む情報の集合物であって特定のそれを電子計算機を用いて検索することができるように体系的に構成したものその他政令で定めるものを「X情報データベース等」と呼び、「X情報データベース等」を事業の用に供している者が「X情報取扱事業者」である。

「〇〇情報取扱事業者」の種別がこうも増えてくると、「当社は〇〇情報取扱事業者であろうか?」といった問いはほとんど意味をなさなくなってくる。平成27年改正より前では、5000件要件があったため、自社が個人情報取扱事業者であるか否かという問いには大きな意味があったが、平成27年改正でその要件もなくなり、今やどんな事業を行う者も個人情報取扱事業者であるから、そこを問う意味はなくなった。

となると、この用語は何のためにあるのか。それは単に、義務規定の「名宛人」にすぎない。日本法は、「X情報取扱事業者は、X情報を、Pしてはならない。」とか、「X情報取扱事業者は、X情報を、Qするときは、Rしなければならない。」といったスタイルの規定の羅列で成り立っている。

つまり、「Pしてはならない」という禁止規定を設けようとすると、義務対象の客体が「X情報」であれば、自動的に「X情報取扱事業者」が義務対象の主体として名宛人となるわけである。*2

したがって、「当社は仮名加工情報取扱事業者であろうか?」とか「当社は個人関連情報取扱事業者であろうか?」ということを気にする意味はほとんどない。気にすべきは、「仮名加工情報(仮名加工情報データベース等を構成するものに限る)」を取り扱うことがあるか否かであり、取り扱うことがあるならば、取り扱う際に義務規定において「仮名加工情報取扱事業者」に該当することになるというだけの話である。

さて、ここで興味深いのが、令和2年改正後に初めて現れることとなった「仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)」(41条3項)というフレーズである。「ガイドライン(仮名加工情報・匿名加工情報編)」では、「個人情報取扱事業者である仮名加工情報取扱事業者」というフレーズになっている。これはどのような意味であろうか?

おそらく、これまでの通説的解釈をしている人からすれば、ほとんどの事業者は(何かしらの個人情報データベース等を事業の用に供しているので)「個人情報取扱事業者」に該当するのであるから、したがって「個人情報取扱事業者である仮名加工情報取扱事業者」なる概念は単に「仮名加工情報取扱事業者」と違わないものだ(A解釈)と解釈するはずである。

しかし、これはそういう意味ではない。「個人情報取扱事業者である仮名加工情報取扱事業者」が名宛人になっている義務規定では、客体が必ず「個人情報である仮名加工情報」となっており、それに連動して名宛人が自動的に決まっているだけなのだ。

ここで「え?そんなバカな!」とプログラマーなら思うはずだ。一般に「法律のコードとコンピュータプログラムのコードは似ている」などと言われるが、このような捻れは、コンピュータプログラムではあり得ないことだ。概念の定義に失敗しており、意図したものとは別物になっている。それが法律の世界では、このような捻れが平然と許され、パブコメ回答や国会答弁は「一般的に現状の記述で御理解いただけるものと考えます。」となるわけである。

いや、ところが、そうでもないのである。私はこの規定ぶりを見た2年ほど前から、「いや、おかしくないぞ?」という理解に達した。それはどういうことなのか、というのが本題であり、以下である。

この「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである。

したがって、「X情報データベース等a」を事業の用に供する「X情報取扱事業者a」と、別の「X情報データベース等b」を事業の用に供する「X情報取扱事業者b」とは区別されるのであり、「X情報取扱事業者は、X情報について、Rしなければならない」という規定は、「X情報取扱事業者aは、X情報a1,2,3,…(X情報データベース等aの要素)について、Rしなければならない」とは解されるが、「X情報取扱事業者bは、X情報a1,2,3,…について、Rしなければならない」とまでは言っていないと解する(B解釈)ことになる。(実際、このように解釈しないと、仮名加工や匿名加工の規定を破綻なく説明できない*3。)

そうすると、このように解するならば、「個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報について、Rしなければならない」という規定は、次のように解することになる。

すなわち、まず、「個人情報である仮名加工情報」とのフレーズは、ある一つの要素について、それが個人情報に該当するし仮名加工情報にも該当するという状況を前提としているのだから、同一の客体である「個人情報データベース等a」兼「仮名加工情報データベース等a」の各要素である「個人情報a1,2,3,…」兼「仮名加工情報a1,2,3,…」のことを指している。したがって、「個人情報取扱事業者である仮名加工情報取扱事業者」とのフレーズも、「個人情報取扱事業者aである仮名加工情報取扱事業者a」と解することになる。それゆえ、これは「個人情報取扱事業者bである仮名加工情報取扱事業者a」を指すわけではない。なので前記のA解釈は誤りである——ということになるのである。

このような解釈(B解釈)は、平成27年改正の前では不可能だった。なぜなら、5000件要件は、ある一つの「個人情報データベース等」の本人の数を指しているのではなく、当該事業者が保有している全「個人情報データベース等」の本人の数の合計値であり、すなわち、個々の「個人情報データベース等」毎に個別に規制の有無を線引きする要件なのではなく、事業者が扱う全体の規模で線引きするものだった。それゆえ、例えば、作業服小売業の会社が、顔識別カメラで顧客データベースを構築し始めた際に、5000件を超えない「個人情報データベース等」であるから個人情報保護法の適用外だと主張しても、その会社の従業員数が5000人を超えていれば個人情報取扱事業者に該当し、5000件に満たない小さな顧客データベースにも個人情報保護法の義務は適用されると解されていた。(すなわち、従業員DBである「個人情報データベース等b」の存在によって、顧客DBに係る義務規定の名宛人である「個人情報取扱事業者a」の該当性が左右される解釈(A解釈)がなされていた。)

それが、平成27年改正で5000件要件が撤廃されたことから、そのような解釈(A解釈)を採る必要がなくなった。それと同時に、匿名加工情報の制度が創設されたことで、A解釈では説明がつかなくなり、B解釈を前提としていると解することで合理的に説明できる状況が生まれた。それがさらに、令和2年改正で「X情報取扱事業者」が4つに増えたことで、そのような合理的解釈が前提であることの確からしさが高まった。*4

そして、このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。

このように解釈すると、前掲の、2002年の国会で藤井昭夫内閣官房内閣審議官が「個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象」である旨の答弁をしたことは、現行法の条文上も辻褄が合っているのである。これが立法時から意図してのことなのかは定かでない*5が、少なくとも結果として、現在ではそうなっていると言えよう*6

「個人情報取扱事業者a」の義務対象の客体が、22条(令和3年改正後)以降では「個人データa1,2,3,…」であるのに対して、17条乃至21条(令和3年改正後)では「個人情報a1,2,3,…」となっていることの理由は、「個人情報a1,2,3,…」以外の「個人情報」までもを対象とする意図があるわけではなく、上の4つ目のtweetで引用した部分の記載にある通り、単に、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる。」という、法制執務上の法技術的な法制局の拘りにすぎない。(法目的の観点から言えばこのように区別する理由は立たない。)

つまり、個人情報取扱事業者aの義務対象であるところの(「個人データ」でない)「個人情報a1,2,3,…」とは、「いずれ個人情報データベース等aに記録され個人データa1,2,3,…となるもの」を言うのである。これは、EU法における「This Regulation applies to the processing of … personal data which form part of a filing system or are intended to form part of a filing system」(GDPR 2条1項)と同じことである。

***

いかがでしたか? おわかりいただけただろうか。

*1 去年か一昨年の、PFCだったか、JILISのTFミーティングだったかで、少し述べて、板倉先生から「そこまで言いますか」とツッコミを受けた記憶がある。意図は伝わったのだろうとは思った。それから昨年9月に一度、この説をtweetしている。

*2 これとは対照的に、公的部門では、名宛人は全て「行政機関等」又は「行政機関の長等」であり、客体の種別毎に名宛人を合わせるという規定スタイルを採っていない。なぜこの違いが生じているのだろうか。

*3 例えば、匿名加工情報の加工基準を示す施行規則34条(令和3年改正後)は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」としているが、これは、「個人情報aiに含まれる記述等と当該個人情報aiを含む個人情報データベース等aを構成する他の個人情報aj(j≠i)に含まれる記述等との差異その他の当該個人情報データベース等aの性質を勘案し」と解釈するほかなく、個人情報b1,2,3,…はこの規定に関係しないし、どの「個人情報データベース等x」にも関係しない裸の「個人情報」も関係しない。

*4 「X情報データベース等」の単位についても、解釈の変遷がある。平成27年改正前では、「個人情報データベース等」は事業者に1個と観念されるものと解されていた。それは5000件要件の数え方とも連動していたが、別の理由として、公的部門のように「個人情報ファイル」単位で利用目的を特定する義務を課すのは、民間においては酷だとの理由で、どんぶり勘定を許す緩い規制とするための配慮があった。それが平成27年改正で「匿名加工情報データベース等」が導入されると、「事業者に1個」と解することはできなくなった。匿名加工情報は、その加工方法の基準からしても、1つのテーブル(すなわち、公的部門の「個人情報ファイル」に相当する)を加工元として前提とするしか考えられないわけで、平成27年改正前までの「どんぶり勘定」の「X情報データベース等」の解釈には無理が生じた。平成27年改正で、「匿名加工情報データベース等」ではなく「匿名加工情報ファイル」と規定する道はあっただろうが、民間部門での統一性を重視してなのか、どのような理由かは定かでないが、「匿名加工情報データベース等」と規定された。そうすると、もはや平成27年改正後では、「X情報データベース等」の単位は「事業者で1個」ではなくなっているのであり、「個人情報ファイル」と同一概念となっているのか、あるいは、「個人情報ファイル」と同一概念と解することもできれば「事業者で1個」と解することもできるという概念に変遷しているのかもしれない。さらには、単純に「「X情報データベース等」は「X情報ファイル」の集合物である」という解釈が妥当となっているのかもしれない。

*5 そのように意図したところがあったとしても、他方では「どんぶり勘定」や5000件要件のための「事業者で1個」概念とする必要があって、混乱していたということであろう。その混乱を知っていて平成27年改正でその解決を図ったのか、それとも単に結果的にそうなったにすぎないのか、この点は未解明である。

*6 もっとも、これに矛盾した規定やガイドライン解説が多々ある。例えばこのtweetで示したもの。それは主に平成27年改正時に生じた。平成27年改正に際しては有識者も立案担当者も法制局も大いに混乱したということであろう。今ではその混乱は収まりつつあるものと信じたいところだが、平成27年改正までにそのような混乱に陥っていた原因は、それまでの識者がこのような図を解説書に載せ、多くの人がそれに引きずられた結果であろう。

本日のリンク元 TrackBack(0)

2022年01月19日

不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える

Coinhive事件の上告審判決言渡しが明日に迫ってきた。私としては、昨年4月のL&T91*1で自説を述べたところである。言いたいことは書き切ったのだったが、読み返してみると、紙幅の都合でギシギシに詰めてロジックを書き込んだため、いささか意味を理解されにくい箇所があるところに悔いが残った。どこかに補足を書いておきたいと思っていたのだが、本業に勤しんでいるうちにとうとう直前になってしまった。もはや書いても判決には何ら影響しないが、判決前のうちに書いてしまっておきたい。

私見の要旨

L&T91で述べた私の見解の根幹は、改めて要約(説明の順番を入れ替え単純化するなどして要約)すると以下の通りである。

一審判決が、「意図に反する動作」該当性(反意図性)を肯定し「不正な」該当性(不正性)を否定して無罪としたものであったところ、反意図性の評価において、「コンピュータプログラムに対する社会的信頼を害する」かという、この罪の保護法益の観点からの「規範的判断」が含まれていなかったことから、規範的判断をすれば反意図性も否定されるのではないか*2との見解を、前稿(L&T85*3)で指摘していたところ、控訴審判決は、同様の指摘をして、「原判決は、反意図性の判断を、もっぱら本件プログラムの機能の認識可能性を基準に判断し、本件プログラムの機能の内容そのものを踏まえた規範的な検討をしていないように解される」として、「刑法168条の2第1項の解釈を誤」ったものとした。

その上で、控訴審判決は、反意図性を規範的に評価しなおして、「使用者が、機能を認識しないまま当該プログラムを使用することを許容していないと規範的に評価できる場合に反意図性を肯定すべき」との判断手法により、「このようなプログラムの使用を一般的なプログラム使用者として想定される者が許容しないことは明らか」と判示して、反意図性を肯定したのであった。その理由は4点*4挙げられているが、それらの理由では、どんなWebサイトも該当してしまいそうであることから、多くの心配の声が挙がったように、犯罪行為と正当行為の弁別ができていない判決となってしまったところに問題がある。

控訴審判決がこのようになってしまったのは、「動作」と「機能」の概念を混同したのが原因である。刑法の条文は「動作」の語で規定されているのに、控訴審判決では「動作」の語が使われておらず「機能」の語で通されている。例えば、判決文中の、「一般的な電子計算機の使用者は、電子計算機の使用にあたり、実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラムが、電子計算機の使用に付随して実行されることは許容しているといえるから、一般的なプログラム使用者が事前に機能を認識した上で実行することが予定されていないプログラムについては、そのような点だけから反意図性を肯定すべきではなく、そのプログラムの機能の内容そのものを踏まえ、一般的なプログラム使用者が、機能を認識しないまま当該プログラムを使用することを許容していないと規範的に評価できる場合に反意図性を肯定すべきである。」との文に、「動作」の語は使われていない。

どこから「機能」の語が出てきたのか。一審と控訴審が拠り所としたと考えらえる大コンメンタール刑法*5(大コメ)の解説文中に「機能」の語が出てくるため、これに引き摺られたものと考えられる。しかし、大コメは、「機能」と「動作」の語を使い分けており、「意図に反する機能」という表現はなく、あくまでも「意図に反する動作」である。

では、大コメは「機能」の語をどのように用いているのか。これは、一般に使用者はプログラムの動作をすべて把握できるわけではないのに「意図に反する動作」とはどのような意味なのかが問われる(これは、立案時の法制審議会の部会でも質問と回答があった)ところ、「基本的な動作については当然認識しているもの」の、そうでない部分があるとしても、機能の説明があることによって、「仮に使用者がこのような機能を現実には認識していなくても」、動作が意図に反するものとならない場合があることを説明する部分においてである。(この辺がおそらくわかりにくい)

つまり、「機能」の話が出てくるのは、「動作」それ自体からでは反意図性を評価できないような場合(「基本的な動作については当然認識している」だけでは済まない場合)に「機能」が参考にされるとの説明においてであって、逆に言えば、「動作」それ自体で反意図性を判断できる場合には「機能」を検討するまでもないのである。

前者の例は、大コメにも書かれている「ハードディスク内のファイルを全て消去するプログラム」の例である。ファイルを消去するという「動作」をするプログラムの場合は、動作そのものを捉えて「プログラムに対する社会の信頼を害するか否か」を判断することはできず、「機能の内容や機能に関する説明内容、想定される利用方法等」から判断するほかないわけである。それに対し、そのような「機能からの判断」を要しない、「基本的な動作については当然認識しているもの」とされる「動作」のみからなるプログラムも存在するし、逆に、「動作」のみでウイルスと即断できるものもあるわけである。大コメが「機能」の語を用いるのは、そういうことを言っているだけであって、「機能」の許容性を反意図性の判断基準とするなどとは言っていないのである。

したがって、判決文は「実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラム」(前掲下線部)と書いているけども、これは「実行されるプログラムの全ての動作を認識しているわけではないものの、特に問題のない動作のプログラム」を想定するべきである。

この点、L&T85では、「『意図に反する動作』か否かの区別は、プログラムの使用目的によって判断されるものではなく、指令の挙動のみによって判断されるべきもの」と指摘していたが、改めて言い換えると、プログラムに対する社会の信頼を害するのは「意図に反する機能」ではなく「意図に反する動作」であるということである。

それなのに、控訴審判決は「動作」の許容性ではなく「機能」の許容性によって判断してしまっている。前掲下線部の「実行されるプログラムの全ての機能を認識しているわけではないものの、特に問題のない機能のプログラムが、電子計算機の使用に付随して実行されることは許容している」との文は、本来は「実行されるプログラムの全ての動作を認識しているわけではないものの、特に問題のない動作のプログラムが、電子計算機の使用に付随して実行されることは許容している」と言うべきものである。

ここで「機能」と「動作」の違いは何か。L&T85では、一般に、プログラムの仕様を説明するには抽象度の高いレベルから低いレベルまで多様な見方ができ、「仮想通貨の採掘作業」(マイニング)と説明するのは高レベルな見方、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」と説明するのは低レベルな見方であると述べたが、改めて言い換えれば、前者はプログラムの「機能」のことであり、後者こそがプログラムの「動作」である。

Coinhiveにおける「動作」は、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」あるいは「CPUがある程度使用されること(多少の通信をサーバと行うことも含め)」を指すと言うべきであり、L&T85で指摘していたように、このような動作は、ウェブブラウザを使ってどこかのウェブサイトを訪れる限りはそれに随伴するものであり、ウェブブラウザの利用者がそのことにつき一般に認識すべきことである。つまり、Coinhiveは、前記下線部の、「基本的な動作については当然認識しているもの」とされる「動作」のみからなるプログラムに当たるのではないか。

控訴審判決の反意図性を肯定する理由(前掲の(1)〜(4))から、機能(あるいは用途、目的)に対する評価を排して、動作に対する評価に絞ると、(1)閲覧に必要なものでない点と(4)無断で電子計算機の機能を提供させて利益を得ようとする点のみが残る。このような場合を罪とするのは、利益窃盗*6を可罰化するもの(プログラムを実行の用に供するとの手段によるものに限って、社会的法益の形に転換して)ということになるが、刑法平成23年改正に際して、法制審議会でも国会でもそのような議論はなされておらず、そのような趣旨は想定されていなかったはずではないか。

結局、控訴審判決は、反意図性を規範的に判断する際のプログラムに対する社会の信頼を害するか否かの評価を、「そのプログラムの機能の内容そのものを踏まえ」(前掲下線部)て、「許容していないと規範的に評価」したため、マイニングという機能の総体(用途、目的まで含む)それ自体について真正面から規範的判断を迫られることとなって、「閲覧者には利益がもたらされない」ことを理由の中心に据えて「許容しないことは明らか」とする、いわば「Coinhiveだから違法」としか言っていない同語反復的判断になってしまった。

その点、「動作」を評価することとすれば、一般的にどのような動作がプログラムに対する社会の信頼を害するかを客観的に弁別することができるように思われる。しかし、その弁別の基準は、条文上何らのヒントもなく、立案担当者解説もその類の要件を何ら示していないだけに、もとより(立法時点から)、記述されざる構成要件要素として判例により確立させていくほかなかった(言われていた*7)のである。

従前より、不正指令電磁的記録の処罰範囲をサイバー犯罪条約6条が求める範囲に限るべきとする見解が散見されるが、刑法改正の立案段階から、条約の範囲を超えた立法とされているだけに、立法的解決なしには困難と考えられてきた。しかし、岡部説*8が、現行法も「条約6条1項(a)(i)に匹敵する処罰範囲を備える犯罪類型群として不正指令電磁的記録関連罪を創設したものと考えられる」とし、「使用者の意図に反して、条約2条乃至5条に相当する実害を惹起するような動作(不動作)に至らしめるべきものではないということについての社会一般の者の信頼を保護しているものと解される」とする説は、「意図に反する動作」の隠れた構成要件を炙り出す有力な説となるのではないか。

控訴審判決が、「賛否が分かれていること」は社会的許容性を「むしろ否定する方向に働く」としたことは、当初は驚きを禁じ得なかったが、判決文をよく読むと、判決がそのように説示しているのは、不正性を否定する(例外適用事由としての)社会的許容性についてであって、例外適用事由なら確かにそう言えそうであるが、判決は、反意図性の判断要素として賛否が分かれていることは単に検討していない状況となっている。反意図性の評価においてこそ、賛否が分かれていることを加味するべきである。

しかも、賛否は「機能」に対してではなく、「動作」に対しての賛否である。本件でいえば、「サーバから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバに報告する処理」あるいは「CPUがある程度使用されること(多少の通信をサーバと行うことも含め)」が閲覧者の同意なく実行されることの賛否である。

その点、警察庁が、事件が表沙汰になった直後に、「ウェブサイトの閲覧者の皆さまへ」と題して「ブラウザを閉じ、同サイトへのアクセスを控えてください」と警告していた件が参考になる。CPUが使われるだけであるなら、アクセスを控える理由などないし、ましてやブラウザを閉じよと指図される謂れもない。Coinhive設置サイトを見に行っても、そのこと自体は何ら問題がないわけである。つまり、真に「アクセスを控える」必要があるような「動作」をさせるもの(実験用の仮想環境を用意したり、不都合な通信をブロックしておくなど、対策を施してからでなければ見に行けないようなもの)である場合に限り、プログラムに対する社会の信頼を害する「意図に反する動作」をさせる指令と解することが妥当といえるのではないか。

補足1: 大コメが言う「機能」と「動作」の関係、「規範的に判断」の意義

前記で「(この辺がおそらくわかりにくい)」とした部分、これは大コメの原文の全体を見ないとわかりにくい。以下に該当部分を引用する。

(3)「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」  不正指令電磁的記録に関する罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、あるプログラムの使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」(ここにいう「動作」とは、電子計算機の機械としての働き、すなわち電子計算機が情報処理のために行う入出力、演算等の働きをいう(米澤・前掲102頁))ものであるか否かが問題となる場合における、その「意図」についても、そのような信頼を害するものであるか否かという観点から規範的に判断されるべきであると考えられる。 すなわち、その「意図」については、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。

したがって、例えば、市販されているソフトウェアの場合、電子計算機の使用者は、そのプログラムの指令によって電子計算機が行う基本的な動作については当然認識しているものと考えられる上、それ以外の詳細な機能についても、使用説明書等に記載されるなどして、通常、使用者が認識し得るようになっているのであるから、そのような場合に、仮に使用者がこのような機能を現実には認識していなくても、そのプログラムによる電子計算機の動作は、「使用者の意図に反する動作」には当たらないこととなる。

他方、フリーソフトの中には、使用説明書が付されていないものもあり得るが、その場合であっても、当該ソフトウェアの機能は、その名称や公開されているサイト上での説明等により、通常、使用者が認識し得るようになっていることから、使用説明書が付されていないというだけで、「使用者の意図に反する動作」に当たることとなるわけではない。

また、いわゆるポップアップ広告(……)についても、通常、インターネットの利用に随伴するものであることに鑑みると、そのようなものとして一般に認識すべきと考えられることから、基本的に、「意図に反する動作」には当たらないと考えられる。

(4)(略)

(5) 若干の具体例と基本的な考え方  ……例えば、ハードディスク内のファイルをすべて消去するプログラムが、その機能を適切に説明した上で公開されるなどしており、ハードディスク内のファイルをすべて消去するという動作が使用者の「意図に反する」ものでないのであれば、処罰対象とならない。 他方、そのプログラムを、行政機関からの通知文書であるかのように装って、その旨の虚偽の説明を付すとともに、アイコンも偽装するなどして、事情を知らない第三者に電子メールで送り付け、その旨誤信させて実行させ、ハードディスク内のファイルをすべて消去させたというような場合には、そのプログラムの動作は、使用者の「意図に反する」「不正な」ものに当たり、不正指令電磁的記録として処罰対象となり得ると考えられる。

大塚仁ほか編『大コンメンタール刑法〔第三版〕第8巻』(吉田雅之)345頁、347頁

まず、「動作」の語義については、昭和62年刑法改正時の立案担当者解説を参照して、電子計算機損壊等業務妨害罪(234条の2)における「動作」と同じく、「電子計算機の機械としての働き、すなわち電子計算機が情報処理のために行う入出力、演算等の働き」とされている。

そして「機能」については、やはりこのように、機能そのものの許容性を言っているわけではなく、前記の通りである。控訴審判決は「そのプログラムの機能の内容そのものを踏まえ」(前掲下線部)と言っているが、大コメは「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して」と言っていて、それはあくまでも「動作」が使用者の意図に反する事態となっていないかの前提要素であり、機能そのもので判断するとは言っていないのである。

この解説文は、いささか誤読に無警戒な文章であったのかもしれない。「その機能につき一般に認識すべきと考えられるところを基準として規範的に判断する」の部分だけ取り出すと、違う意味に誤解してしまいやすいのではないか。

この点は、他の評釈者にも誤解があるように見受けられた。L&T91注28で以下のように書いたが、何を言わんとしているのか、意味がわかりにくかったのではないかと悔いが残っていたので、少し補足しておきたい。

29) なお、白鳥は、この記述の前(214頁)で「原判決もその旨判示しており、本判決も同様の考え方に立っている」と述べており、これは、大コンメにおいて反意図性が「規範的に判断するものとされている」ことについて述べたもので、前記の批判(前掲注27の参照元)と矛盾するかのようであるが、要するに、規範的に判断するべきではあるが許容性の要素を入れるべきでないとする説が唱えられている。その場合の「規範的に判断」の意味は、「個別具体的な使用者の実際の認識を基準として判断するのではなく」(大コンメ345頁)という一般人基準を指すものとして捉えているように見受けられる。

まず、前提として、白鳥*9は、有罪判決は歓迎しつつも、控訴審判決の反意図性の判断手法について「許容性という要素は、むしろ後述する『不正性』における判断において考慮されるべきもの」(216頁)と批判し、反意図性の判断は、許容性を評価するまでもなく、「問題となっている電子計算機のプログラムが有する実際の機能と、その機能につき一般に認識すべきと考えられるものとの間に不一致があると認められる場合は、反意図性が肯定される」(215頁)と、独自の見解(要するに検察側の主張)を展開していた。その一方で、白鳥は、一審判決も控訴審判決も、大コメが言うように反意図性が「規範的に判断」されているとして、「原判決もその旨判示しており、本判決も同様の考え方に立っている」(214頁)と述べている。これは一見すると、反意図性に許容性を入れるべきでないとする主張と矛盾しているかのようなのだが、実は、ここから見えてくるのは、大コメが言う「規範的に判断」には複数の要素があるということである。

前掲大コメ引用の2つの下線部にあるように、「規範的に判断」は2回出てくる。1つ目の「規範的に判断」は、保護法益であるところの、プログラムに対する社会一般の「信頼を害するものであるか否かという観点から」評価という意味での「規範的に判断」の意味であり、2つ目の「規範的に判断」は、「個別具体的な使用者の実際の認識を基準として判断するのではなく」「その機能につき一般に認識すべきと考えられるところを基準として」評価という意味での「規範的に判断」の意味である。白鳥は、後者だけ首肯して、前者を無視しているようなのである。(控訴審判決が両方の意味で「規範的に判断」しているのに。)

これと同様に、大コメの「規範的に判断されるべき」の意義を、「個別具体的な使用者の実際の認識を基準として判断するのではなく」「その機能につき一般に認識すべきと考えられるところを基準として」という意味でのみ解釈している評釈が、他にも見られる。この2つの「規範的に判断」は同一概念ではないはずのところ、大コメ上記引用部の「すなわち、」との接続詞が誤解させているように思われる。

大コメが言う「意図に反する動作」の「意図」について保護法益の観点から「規範的に判断されるべき」というのは、「動作」が「意図」に反するかは、保護法益の観点で「特に問題のない動作のプログラム」であれば「意図に反しない動作」と解するべきという意味であろう。

補足2: 岡部説とはどのようなものか

前記のように、L&T91では、「意図に反する動作」の隠れた構成要件の候補として岡部説が有力な候補ではないかと書いた。その内容をL&T91注54で以下のように紹介した。

54) 岡部は、「わが国の国内法規定によって捕捉される行為の領域は、条約2条乃至5条が予定している行為の領域よりも大幅に矮小化されている」と指摘し、それは「それらに完全に対応し得るだけの処罰範囲を確保できないという事態があったとしても、あくまでも既存の規定によって担保するというのが、当局の徹底した方針であった」ことによるものとした上で、不正指令電磁的記録罪が「条約6条1項(a)(i)と大幅に異なるかたちで規定された根拠」が「予備罪的構成の場合には当罰性のあるプログラムが客体から外れてしまうこと」とされている点について、「大幅に矮小化されている」行為の予備罪構成とすればそうなるのであり、それゆえに予備罪構成としなかったのであって、「決して条約6条1項(a)(i)が予定するプログラムよりも広い範囲のプログラムを捕捉するためではない」とし、立法者は「条約2条乃至5条の担保を既存の国内法規定によって達成するという方針を貫きつつも、少なくともプログラムに関しては、条約6条1項(a)(i)に匹敵する処罰範囲を備える犯罪類型群として不正指令電磁的記録関連罪を創設したものと考えられる」との説を唱えており、合理的な見解と思われる。

これも縮めすぎて理解困難だったろうと悔いが残った。そこはぜひ原典の論文を(オープンアクセスになっているので)ご覧いただきたいところ、僭越ながら若干の私なりの理解で補足をしておきたい。

まず、障害となる問題点は、不正指令電磁的記録の処罰範囲をサイバー犯罪条約6条が求める範囲に限るとすると、刑法改正の立案段階から条約の範囲を超えた立法とされていることと整合しないところにある。

岡部が指摘する「わが国の国内法規定によって捕捉される行為の領域は、条約2条乃至5条が予定している行為の領域よりも大幅に矮小化されている」というのは、例えば、不正アクセス禁止法は、条約2条の違法アクセス(illegal access)に対応するものであるが、条約が予定している行為の領域よりもその射程は大幅に縮小化されているという話であり、それで許されているのは、「それらに完全に対応し得るだけの処罰範囲を確保できないという事態があったとしても、あくまでも既存の規定によって担保するというのが、当局の徹底した方針であった」(岡部1170頁)からだという。

そして、不正指令電磁的記録罪が「条約6条1項(a)(i)と大幅に異なるかたちで規定された根拠」は、「当罰性のあるプログラムが客体から外れてしまう」(例えば、20年前には流行していた、メールを自動送信するワームが外れてしまう旨が、法制審議会の部会でも示されていた。)からとされているけれども、それは、「条約2条乃至5条を担保する国内法規定の予備罪というかたちである限り、これらのプログラムは規制の対象外に置かれることになってしまう」(岡部1171頁)のであって、「わが国の不正指令電磁的記録関連罪が予備罪的構成を採用しなかったのは、決して条約6条1項(a)(i)が予定するプログラムよりも広い範囲のプログラムを捕捉するためではないのである。」(同)とする。

このことから、「条文上明らかではないものの、わが国における不正指令電磁的記録概念においても、条約2条乃至5条において予定されている実害との結びつきが要求されると解するのが適切であろう。」(同)と主張する。

なるほど、確かにそのように理解すると、本罪の処罰範囲をサイバー犯罪条約6条が求める範囲に限るとすることと、条約の範囲を超えた立法であるとされていること(条約2条乃至5条に対応する国内規定の予備罪の範囲は超えているという意味にすぎない)とは矛盾しないわけである。

その他の可能性

以上のように私は最高裁判決に期待するのであるが、別の展開も考えられる。

一つには、大コメ説を否定して、渡邊*10の、反意図性と不正性の判断は連動するものとする説が採用される展開。この場合、上記の論点は、反意図性と不正性を合わせて一体的に評価する際の指標ということになるのではないか。

もう一つは、保管罪の適用は訴因の誤りであるとして、差し戻しとなる展開。この点については、L&T91拙稿の「(3)客体はプログラム本体か呼び出しコードか」に書いた。被告人は呼び出しコードを保管していただけであるから、供用未遂罪には問えても、保管罪は無理があったのではないか。控訴審では、弁護人の控訴答弁書も「検察官は訴因変更前のように、マイニングを実施するスクリプト本体を『本件プログラムコード』ととらえているかのようである。仮にそうだとすると、被告人は当該スクリプトを『保管』していないから、端的に無罪である」と主張していた。一審判決も控訴審判決もこの点に触れていないが、判例時報2446号78頁の囲み解説は、このことに触れ、「この呼び出しタグをスクリプト本体と同等のものと当然視してよいか、特に有罪認定の場合には一考を要する」と言及している。保管行為を処罰する趣旨は何か、保護法益の観点から問い直す余地があるように思われる。

また、「実行の用に供する目的」の否定のみで無罪とされる展開もあり得なくもない。これについてはL&T91拙稿の「(5)「実行の用に供する目的」の解釈」に書いた。(詳細は省略)

さらに、最高裁で弁論が開かれたことから控訴審判決が見直される可能性が高いと言われているが、有罪とする理由が変更されるだけで、有罪となる展開もあるのかもしれない。この場合は、不正指令電磁的記録の罪は利益窃盗を可罰化するもの(プログラムを実行の用に供するとの手段によるものに限って、社会的法益の形に転換して)であったということになるのかもしれない。法制審議会でも国会でもそのような議論がなされていなかったにせよ、最高裁がそのように決めてくる余地はある。

追記(21日)最高裁判決は検察控訴棄却(一審の無罪が確定へ)

早速、判決文がWeb公開されている。

上記の「その他の可能性」も含め私の予想・期待は不発という結果となった。この最高裁判決は、端的に言えば、大コメ説が否定され、渡邊説でもなく、大コメに書かれている「意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性がある」「『不正な』指令に限定することとされたのは……社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである」が否定された判決と言えるのではないか。

一審判決では、「当裁判所の判断」の中で、「(2)次に、本件プログラムコードが、不正な指令を与えるものであるかどうか、検討する。」として、「この点、『不正な』指令に限定することとされた趣旨は、電子計算機の使用者の『意図に反する動作をさせる』べき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして、その保管等の行為に当罰性があるようにも考えられるものの、そのような指令を与えるプログラムの中には、社会的に許容し得るものが例外的に含まれることから、このようなプログラムを処罰対象から除外するためである。よって、……」と、大コメ同様の判断構造を示した上で、不正性をどうにか否定したものであったため、首の皮一枚の無罪判決となっていた。検察の控訴趣意書でも不正性が否定されるのは例外的な場合に過ぎない旨が繰り返し強調されており、控訴審で大した根拠なく不正性判断をひっくり返されかねない、危うい状況にあった。

私としては、大コメ説(立案担当者解説)に歯向かっても風車に突撃するようなものなので、不正性は例外適用事由と認めて、大コメ説に立って、反意図性から否定されるはずであるとする立論をしてみたのであった。その根幹は、反意図性の「規範的判断」は、単に「個別具体的な使用者の実際の認識を基準として判断するのではなく……その機能につき一般に認識すべきと考えられるところを基準として」という一般人基準のことを指すのみならず、加えて、プログラムに対する社会一般の「信頼を害するものであるか否かという観点」での実質的評価を含むとする説であった。

しかし、最高裁判決は、反意図性の判断方法を、「反意図性は、当該プログラムについて一般の使用者が認識すべき動作と実際の動作が異なる場合に肯定されるものと解するのが相当であり、……」と、保護法益侵害の実質評価を含まず、上記の白鳥説(法務省刑事局担当者?説)が言っていた、「『意図に反する動作をさせるべき』という規定振りに照らせば、このように判断された『意図』に対し、問題となっているプログラムの実際の機能が反するものと認められるのであれば、反意図性を肯定してよいと考えられる。換言すれば、問題となっている電子計算機のプログラムが有する実際の機能と、その機能につき一般に認識すべきと考えられるものとの間に不一致があると認められる場合は、反意図性が肯定されるものと言えよう。」としていた、単に一般人基準を指す説が採用されているようである。*11

この判断方法と、大コメが言う不正性例外適用事由説を組み合わせると、巷のほとんどのプログラムは犯罪ということになってしまうわけである。白鳥説も「『不正性』が否定されるのは例外的な場合に限られるという点に留意する必要がある」「不正性が否定される場合をあまりに広く認めるような解釈や当てはめは、法の趣旨に反し相当でない」と強調していた。法務省刑事局が本気でそれでいいと思っているとすれば、唖然というか、失望というか、恐ろしい話である。

反意図性を保護法益侵害の実質評価を含むものとするか、不正性要件を例外適用事由とするのをやめるか、どちらかにしないと現実に合わない。最高裁判決は、不正性要件を「例外」とせず、反意図性とは独立に一からその社会的許容性を判断して、「社会的に許容し得る範囲内」と判断した。なるほど、そっちの道もあり得たのか。

こうなってから振り返ると、私も事件発覚当初の時点までは、「意図に反する」には該当しても「不正な」に該当しないはずという主張をしていた*12のであった。裁判で争うなら反意図性も否定していくとよいと考えたが、反意図性から否定しないといけないとの確信に変わったのは、一審の検察官論告を傍聴して、「不正な」で除外されるのは「例外的なものに過ぎない」と言われているのを聞いてからだった*13。たしかに大コメを読み直すと、そういう文章がある。しかしそれは、一部を抜粋することによる誤読だということで、2019年3月19日の日記「検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)」の分析となり、L&T85にそれを書いたのであった。

そこに、最高裁判決があっさり大コメの不正性例外適用事由説を否定してきたことで、初心に帰った感がある。

L&T85を書いたと報告した2019年10月5日の日記に対して、はてなブックマークに「高木博士の「意図に反する」の読替えは大コンメと異なる独自説である点に注意。……」というコメントが付いていて、「あんた誰や?」と気になっていたが、ご指摘の大コメの小さい文字で書かれた括弧書き部分は以下のように書かれており、「重なるようにも思われるが」の部分が、反意図性に保護法益侵害の実質評価を含むからこそ「重なる」と言っているように読めた(渡邊説は重なる説)のだが、最高裁判決を踏まえて理解し直してみると、この文は「思われるが」として(他人の説として)続く文でそれを否定しているとのだとも読める。(私としては、どちらも保護法益侵害の実質評価を含んでいるが、動作と機能の違いのような話(L&T91注43)と理解していて、だからこそここの文は「必ずしも完全に重複するものではない」との表現になっていて、重複がないとは言っていないのだと理解していたのだが……。)

(「意図に反する」か否かは規範的に判断するため、同じく規範的な要件である「不正な」に当たるか否かの判断と重なるようにも思われるが、前者は、あくまで、電子計算機の使用者にとって認識し得べきものであるか否かという観点からなされるのに対し、「不正」か否かの判断は、電子計算機の使用者の認識という観点ではなく、そのプログラムが社会的に許容し得るものであるか否かという観点からなされることとなる。例えば……。このように、「意図に反する」か否かの判断と「不正」か否かの判断は、個別の観点からなされるものであり、両者は必ずしも完全に重複するものではない)

吉田雅之「第19章の2 不正指令電磁的記録に関する罪」『大コンメンタール刑法第8巻第3版』(青林書院、2015)346頁

そうだとすると、大コメが「意図に反する動作をさせるべき指令を与えるプログラムであれば、多くの場合、それだけで、その指令の内容を問わず、プログラムに対する社会の信頼を害するものとして……当罰性がある」と書いたのが誤りで、最高裁判決を受けて書き直しが必要となるのではないだろうか。

控訴審判決が、「原判決は、反意図性の判断を、もっぱら本件プログラムの機能の認識可能性を基準に判断し、本件プログラムの機能の内容そのものを踏まえた規範的な検討をしていない」としたのは、L&T85が影響したのかもしれない。回り道をさせてしまったかもしれないが、おかげで、有罪判決を出す場合の理由の理不尽ぶりが炙り出され、争点が明確になったのではないだろうか。

なお、構成要件該当性を客観的に弁別できるようにすることを求め、処罰範囲をサイバー犯罪条約6条が求める範囲に限るしかないと追い詰める試みは、成功しなかった。最高裁判決は、そうした一般的基準を示すことなく、本件事案について個別に不正性を否定するだけで済ませた。したがって、本件事案と条件が異なれば、CPUを使うだけのプログラムも不正指令電磁的記録に該当する余地が残ってしまった。

とはいえ、「社会的に許容し得るものが例外的に」(大コメ)から「社会的に許容し得ないプログラムについて肯定される」(最高裁判決)に要件が反転されたのは大きな前進であり、この要件は、もしかすると、拙稿L&T91が主張した「賛否がある場合には……否定される」に近い(*14)のかもしれない。

*1 高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」Law & Technology 91号46頁 (2021.4)

*2 2019年10月5日の日記「続・検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その4)」参照。

*3 高木浩光「コインハイブ事件で否定された不正指令電磁的記録該当性とその論点」Law & Technology 85号206頁 (2019.10)

*4 (1)ウェブサイトの閲覧のために必要なものではないとする点、(2)閲覧者には利益がもたらされないとする点、(3)知る機会や拒絶する機会が保障されていないとする点、(4)無断で電子計算機の機能を提供させて利益を得ようとするものとする点。

*5 大塚仁ほか編『大コンメンタール刑法〔第三版〕第8巻』(吉田雅之)343頁。

*6 2019年2月19日の日記「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」参照。

*7 第177回国会参議院法務委員会第16号(平成23年6月14日)にて前田参考人発言。(なお、ここでは「不正な」の要件が話題にされているが、大コメの解説が「不正な」を例外適用事由だとしたことから、話が違ってきている。「意図に反する」こそが規範的構成要件として、その曖昧性が国会で問われるべきだったが、この時点では皆気づいていなかったようだ。)

○参考人(前田雅英君) この不正なというのはどうしても規範的基準ですのでね。ただ、先ほど申し上げたんですが、あらゆる構成要件はその意味では規範的で、髪の毛一本抜いても傷害なんですかと。でも、髪の毛一万本抜けば傷害なんですね。じゃ、何本から傷害かというのは法律で書けるかといえば、それは書けないんですよね。

今回のものも、やはり国民の目から見て処罰に値するだけの違法性があるもの、そこのところで捜査官が恣意的にそれをつくり上げて基準を動かすというようなことがどれだけあり得るかということだと思うんですけれども、私はやっぱり、それが事件化して、いろいろな段階で、起訴の段階、裁判の段階、司法全体の中でのチェックが働いて、マスコミのチェックも入ります、そういう中で最終的には国民の目から見てこの程度のことをやればウイルスと言われたってしようがないでしょうというのがだんだん形成されていって、初めはやっぱり明確に、先ほど何回も御説明ありましたトロイの木馬型のものとか明確なものから徐々に広がっていくんだと思いますね。常に新しいものが出てきますから、この領域は、特に初めからきちっと書き込むというのは難しいと思います。

ただ、だから今これを放置していいかと。そうではなくて、やっぱり動かすことがまず第一ということだと私は考えております。

*8 岡部天俊「不正指令電磁的記録概念と条約適合的解釈 : いわゆるコインハイブ事件を契機として」北大法学論集70巻6号155頁(2020.3)

*9 白鳥智彦「刑事判例研究(513)判批」警察学論集73巻9号206頁(2020.9)

*10 渡邊卓也『ネットワーク犯罪と刑法理論』269頁 (2018.11)、同「不正指令電磁的記録に関する罪における反「意図」性の判断」情報ネットワーク・ローレビュー19巻16頁(2020.12)

*11 なお、最高裁判決は「機能」ではなく「動作」の語で書かれている。大コメでも「機能につき一般に認識すべき」と「機能」で書かれていた部分(ここは気になっていた)も、最高裁判決では「一般の使用者が認識すべき動作」と「動作」になっている。

*12 2018年06月10日の日記「懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」の「なぜ不正指令電磁的記録に該当しないのか」では、「「意図に反する動作をさせる」ものなのか。これ自体、否定する論も主張できる(後述する)が、ひとまず仮に、意図に反する動作をさせるものだということにしよう。……」として不正性を先に論ずるという認識だった。

*13 この経緯は、2019年3月19日の日記「検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)」の「なぜこのような誤解が生じるのか」で、「実は、私自身も、改正法が成立して以来、「意図に反する動作をさせるプログラム」は、ほとんどのプログラムが該当してしまうが、「不正な」の要件でほとんどが落ちるという、……発想をしていた。その考えを改めたのは、……改めて調べ直したところ、次のことに気づいたのであった。……」と書いていた。

*14 2019年5月の日本ハッカー協会の講演時には、「『誰にとっても実行の用に供されたくないものだけ』が不正指令プログラムに該当するべき」と述べていた。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|
追記