ウェブサイトにおけるクッキー使用に関する質問に対する答弁書

ウェブサイトにおけるクッキー使用に関する質問に対する答弁書が、でています。って

全文で
「お尋ねについては、政府のウェブサイトにおけるいわゆるクッキーの取扱いの状況に係る調査に膨大な時間を要することから、お答えすることは困難である。」
ということだそうです。

アカデミズム的におもしろそうと思っていたのですが、回答が出てこなくて、残念。

欧州議会、著作権新指令案否決 条項見直し9月に再投票へ

欧州議会、著作権新指令案否決 条項見直し9月に再投票へhttp://www.itmedia.co.jp/news/articles/1807/05/news140.html
となったそうです。

この指令案の正式名称は、「デジタル単一市場の著作権に関する欧州議会および委員会指令提案」( Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on copyright in the Digital Single Market)です。

同指令は、6月20日に欧州議会・法務委員会において可決されていたものです。

この著作権指令改正案は、「デジタル技術の進展が著作物やその他の作品の創作方法、生産方法、配信方法、悪用方法を変えている、新しい使用は、新しいプレーヤー、新しいビジネスモデルともに、出現している。デジタル環境において、国境を越えて利用されており、消費者にとって、著作権保護されたコンテンツにアクセスする機会が重要になっている。著作権枠組によって設定された目標と原則は、健全なものであるが、新しい現実に適応する必要が存在するのである」ということから、改正案が提案されていたものです。

特に、ISPとの関係で、問題となるのは、13条にとなります。

同指令13条は、ネットワークにおける通信に対する関与を是としない立場からは、検閲マシーン条項と揶揄されています。
13条の条文は、

ユーザによるアップロードされる大量の作品等を保存し、アクセスをなす情報社会サービスプロバイダーによる保護されたコンテンツの利用(Use of protected content by information society service providers storing and giving access to large amounts of works and other subject-matter uploaded by their users)

1. 大量の作品や利用者がアップロードしたその他の主題を一般市民に保存して提供する情報社会サービス提供者は、権利者と協力して、権利者と作品の使用について締結した契約の機能を確保するための措置を講じる/またはサービス提供者と協力して権利所有者によって特定された作品またはその他の対象物に関するサービスの利用可能性を防止する(shall)。 効果的なコンテンツ認識技術の使用などの措置は、適切かつ比例していなければならない。サービス提供者は、関連する場合には、措置の機能および実施について作品およびその他の対象物の承認および使用に関する適切な報告について適切な情報を権利者に提供しなければならない。

2. 加盟国は、パラグラフ1で言及された措置の適用に関する紛争の場合、利用者が利用できる苦情および救済メカニズムを、第1項に記載のサービス提供者が適所に置くことを確実にしなければならない。

3. 加盟国は、適切な場合には、情報社会サービス提供者と利害関係者の対話を通じて、とりわけサービスの性質、技術の進歩に照らしたその有効性と効果を考慮にいれて、適切かつ比例するコンテンツ認識技術などのベストプラクティスを定義するために協力を促進する。

です。

この趣旨については、同指令改正案の前文(37)ないし(39)に詳述されています。
具体的には、

(37)過去数年間、オンラインコンテンツ市場の機能は複雑さを増している。権利保有者の関与なしにユーザーによってアップロードされた著作権保護されたコンテンツへのアクセスを提供するオンラインサービスは、盛んになり、オンラインコンテンツへの主なアクセス元になっています。これは、権利の保有者が、自分の著作物や他の対象物が使用されているかどうか、またどのような条件の下で、適切な報酬を得る可能性を判断する可能性に影響する。

(38)情報社会サービス提供者が、ユーザがアップロードした著作権保護された作品またはその他の対象物に公共のアクセスを提供する場合、物理的設備の単なる提供や一般に伝達する行為を行うことを超えており、欧州議会および理事会の指令2000/31 / ECの第14条に規定されている責任免除の対象とならない限り、権利者とのライセンス契約を締結する義務がある。
第14条に関しては、アップロードされた作品や対象物の提示を最適化すること、またはそれらを促進することを含む、サービスプロバイダが積極的な役割を果たすかどうかを、その手段の性質にかかわらず検証することが必要である。
許諾契約の機能を確実にするために、大量の著作権保護された作品またはユーザーがアップロードしたその他の主題に公衆へのアクセスを保管し提供する情報社会サービスプロバイダは、著作物の保護を確実にするために、効果的な技術の実施など、その他の主題を含む。この義務は、情報社会サービス提供者が指令2000/31 / ECの第14条に規定されている免責免除の対象となる場合にも適用されるべきである。

(39)ユーザと権利者によってアップロードされた大量の著作権保護された作品やその他の対象物に対して、一般にアクセスしてアクセスを提供し、提供する情報社会サービスプロバイダと、権利者が、協力することは、コンテンツ認識技術などの技術が、機能を果たすことにとって不可欠である。そのような場合、権利者は、サービスがコンテンツを識別できるようにするために必要なデータを提供し、権利者が、適切な評価をすることを可能にするために実際に利用されたテクノロジに関する透明性を有する必要がある。このサービスは、特に権利者に、使用される技術の種類、操作方法、および権利者のコンテンツ認識成功率に関する情報を提供する必要がある。これらの技術は、権利者が情報社会サービスプロバイダから、コンテンツの使用についての情報を入手することも契約によって認められるべきである。

ということです。

なお、この前文のなかの著作権指令14条というのは、ホスティングプロバイダの規定です。

第14条 ホスティング
1. サービスの受取人により提供される情報の保存からなる情報社会サービスが提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーが、サービスの受取人の求めにより保存した情報に対しては責任を有しないことを、保証しなければならない。
(a)そのプロバイダーが、損害賠償の請求に関する違法な行為又は情報を実際に知らないこと、そして、違法な行為又は情報が明白である事実又は状況に気付いていないこと、又は
(b) プロバイダーが、そのようなことを知り、かつ、気付いたときに、その情報を除去するか又はそれへのアクセスを不可能にするために、迅速に行動すること。
(略)

諸外国の状況-「海賊版サイトブロッキング」の現状報告と法的整理等

「海賊版サイトブロッキング」の現状報告と法的整理等のセッション(沖縄ICTフォーラム2018in名護 プログラムはこちら)で、「諸外国の状況」のスライドを作成しました。

こちらからpdf版をダウンロードできます。

(706追記)実際の講演に用いた版をアップしました。

18Jaipa705rev

 

2016年2月段階で調査が終了し、納品しているものですので、現在からすると、調査が未完になっています点については、ご容赦ねがいます。
また、フランスは、曽我部先生、ドイツは、笠原先生の調査をもとにまとめております。両先生の調査にそのまま準拠しまとめているつもりですが、もし、まとめたことによって不十分なところがございましたら、ひとえに責任は、私にあります。ご容赦ください。

このテーマは、きわめて重要なものと認識しておりまして、もし、できることであれば、ご予算をいただければ、完成の上、報告書形式で公表させていただきたいと思います。

ネットワーク法を学ぶものとして未完のものを提供するのは、忍びがたく、完成のための予算集めをさせていただくつもりです。関係者の方々、なにとぞ、ご協力のほど、よろしくお願いします。

導管プロバイダと特定電気通信事業者

来週、名護市で、外国における通信の秘密とブロッキングについてお話しさせていただくことになりました。(沖縄ICTフォーラム2018in名護

いままでに、外国の通信の秘密について調べてきたものを、著作権に基づくブロッキングが世間での話題になったのを機会にもう一回まとめてみようかと考えてみました。

プロバイダが、違法の内容の通信について、その通信が違法内容である場合に、送信停止措置をとることができるのか、という問題があるわけです。他者の権利(著作権)が侵害された時、「技術的に対処可能」かつ「他⼈の権利が侵害されていると知っていた」という条件を満たしている場合、⽣じた損害について賠償する責任があることが抽象的に認められています(プロバイダ責任制限法3条)のだから、逆に、技術的に対処可能で、悪意になったのであれば、対処してもいいではないか、という論点があることになります。

通常は、プロバイダは、通信の内容が違法であるかを積極的に探知してはいけないよ、という禁止の義務付けなわけですが、違法だと知ってしまったときに、その通信を、約款等に基づいて停止することはできるのか、という問題は、厳密には、別ということができるわけです。解釈論としては、事業法4条は、禁止のみですから、この警告後の作為義務の部分をカバーするということはいえないでしょう。(法的には、電子メールのモニターと、不祥事発覚後の電子メールの調査が違うのと原理は同様です)

ここで、参考になるのが、脅迫電報事件(大阪地裁平成16年 7月 7日.大阪高裁平成17年 6月 3日)ということになります。

事案は、森先生のスライドでよくでているので、そちらを参照ください

判決文としては、「民法90条は,そもそも公序良俗違反の法律行為を無効とする規定に止まるのであり,それを超えて何らかの法的作為義務を根拠づけるものと解することはできない。
また,原告らが条理として主張するところは,他者に対し危害を加えてはならないという観念的,抽象的なものに過ぎず,具体的にどのような事実関係を前提としていかなる行為義務が発生するのか,その主張の根拠とするところが全く不明であって,法的作為義務の発生原因とはなし得ない」といいます。

また、「仮に,被告らに条理上何らかの作為をなすべき一般的義務が発生すると解する余地があるとしても,本件において原告らの求める行為の内容は,通信事業者たる被告らに求めることが適当でないのみならず,かえって公共的通信事業者としての職務の性質からして許されない違法な行為を内容とする」としています。

内容を覚知した場合に限るとした主張に対しても「特定の電報の内容を覚知する前提として,必然的に全電報の内容を審査の対象とせざるを得なくなることは,前示のとおりである」としています。
だとすると、事業法4条は、禁止のみを定めるものの、さらに、個別の場合における停止の権利さえも否定するということになると解されます。

現在ですと、特定信書便とかでの電報サービスもあるわけですが、その約款では、信書の内容に関する規定は、はいっていないわけです。これは、逆に、個別の場合における停止の権利さえも定めてはいけないという趣旨なのかと思われます。

すると、上の技術的に対処可能な場合の特定電気通信事業者の(抽象的)責任と、上の判決の法理との関係が、気になるわけです。電報は、そうかもしれませんが、インターネットもそうなのか、ということになるかと思います。「必然的に全電報の内容を審査の対象とせざるをえなくなる」わけでなければ、上の脅迫電報事件の論理が及ばないのではないか、と考えられるわけです。

日本法だけながめてもインスピレーションがわかないので、頭の体操で、EUにおけるプロバイダの三つの種類をみていきます。

EUにおける電子商取引指令(域内市場における情報社会サービスの法的側面、特に電子商取引の法的側面に関する欧州議会及び理事会指令2000/31/EC(DIRECTIVE 2000/31/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of on certain legal aspects of Information Society services、 in the Internal Market (‘Directive on electronic commerce’)の12条から15条において、オンラインの媒介者に対する責任についての要求に関する基準となる要素(閾値-threshold) を定めています。

同指令は、単なる伝送路、キャッシング、ホスティングに分けて、責任を論じています。具体的規定と、その具体的な例は、以下のとおりになります。(訳として大仲末雄「電子商取引に関する法制度の研究」(http://www.ne.jp/asahi/ohnaka/e-commercelaw/sub1.pdf)343頁以下がある)。

第4仲介サービスプロバイダーの責任

第 12 条 単なる伝送路

1. サービスの受取人が提供する情報の通信ネットワークにおける伝送、又は、通信ネットワークへのアクセスの提供からなる情報社会サービスが提供される場合には、加盟国は、サービスプロバイダーは、次の各項に掲げる条件を満たす限り、サービスプロバイダーは、伝送された情報に対して責任を有しないということを保証しなければならない。

(a)サービスプロバイダーは、自ら伝送を開始しないこと。

(b)サービスプロバイダーは、伝送の受信者を選択しないこと。

そして(c)サービスプロバイダーは、伝送に含まれる情報を選択又は変更しないこと。

(略)

通常の電気通信会社、接続プロバイダは、この単なる伝送路に該当するものとなります。

第13条 一時保存(キャッシング)

1. サービスの受取人が提供する情報通信ネットワークにおける伝送からなる情報社会サービスが、提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーは、サービスの受取人からの求めに応じて、単に、その情報のさらなる伝送を効率的にする目的ためになされる、当該情報の自動的、中間的かつ一時的保存に対して、責任を有しないということを、保証しなければならない。

(a)プロバイダーは、情報を変更しないこと、

(b)プロバイダーは、情報へのアクセスに関する条件を遵守すること、

(c)プロバイダーは、産業界で広く認識され、かつ、使用される方法で指定された情報のアップデートに関するルールを遵守すること、

(d)プロバイダーは、情報の使用に関するデータを得るために、産業界で広く認知され、かつ、利用される技術の合法的な使用を妨げないこと、そして

(e)プロバイダーは、伝送における最初の発信元での情報がネットワークから取除かれた/アクセスが困難になった/裁判所又は行政当局がそのような除去又はアクセスの不能化を命じたというという事実を実際に知り得た場合には、保存された情報を除去し、アクセスを不可能にするために、迅速に行動すること。

(略)

インターネットにおいて通信を高速化するために、通信を一時的に保存するサービスが存在する。アカマイなどが代表的なものである。これらは、このキャッシングに該当します。この規定は、このようなサービスにおいて、そのような一時的な保存が、侵害行為に当たらないということを明らかにする趣旨になります。

第14条 ホスティング

1. サービスの受取人により提供される情報の保存からなる情報社会サービスが提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーが、サービスの受取人の求めにより保存した情報に対しては責任を有しないことを、保証しなければならない。

(a)そのプロバイダーが、損害賠償の請求に関する違法な行為又は情報を実際に知らないこと、そして、違法な行為又は情報が明白である事実又は状況に気付いていないこと、又は

(b) プロバイダーが、そのようなことを知り、かつ、気付いたときに、その情報を除去するか又はそれへのアクセスを不可能にするために、迅速に行動すること。

(略)

となります。

この具体例としては、電子会議室機能を提供しているプロバイダということになります。

ここで、見たときに、ホスティングプロバイダーは、現実に悪意になった場合には、情報の除去等をしない場合には、責任を負うということが明らかにされています。その一方で、導管プロバイダーは、責任をおわないことが明らかにされています

ここで、ふと、わが国の「特定電気通信」の定義を見てみるわけです。特定電気通信とは、「不特定の者によって受信されることを目的とする電気通信(略)第二条第一号に規定する電気通信をいう。」わけです。そして、これには、「特定電気通信設備の記録媒体に記録された情報が不特定の者に送信される形態で行われるもの(蓄積型)と送信装置に入力された情報が不特定の者に送信される形態で行われるもの(非蓄積型)」とがあるとされています。

さらに、この悪意になった場合の責任の根拠については、この場合、プロバイダーが、いわば、公表者と同様の立場になるので、一定の場合で責任を負うことが起こりうるということになります。

ホスティングプロバイダーに該当するものが、特定電気通信事業者になることは間違いないので、現実の悪意なのか、善意の拡散なのかで責任をわけるということは、分かりやすいです。

では、導管プロバイダは、どうなのか。インターネットについては、「必然的に全電報の内容を審査の対象とせざるをえなくなる」わけでは、ありません。そして、技術的に対応が可能であるということであれば、現実の悪意以降の拡散について、作為義務を認定することも理論的には、可能ですね。また、作為義務の前に、自主的に対応するのは、可能なのではないか、ということはいえます。

各プロバイダが、他のプロバイダと契約を結んで、インターネットのトラフィックを伝達してる、そこで、具体的に違法なコンテンツが流通されている、「特定電気通信による情報の流通により他人の権利が侵害されている」場合になったときに、「現実の悪意」になった以降において、契約上の権限にもとづいて、これを拡散しないように、合理的な対応をとる。これが許容されないと解釈するためには、上記の脅迫電報事件を一歩進めるということになりそうです。(外国の文献だと、プロバイダの契約をもとに停止しますと問題なく記載している記述をみることがあります)

すくなくても、解釈論としては、契約上の権限にもとづいて、これを拡散しないように、合理的な対応をとる、この行為が、電気通信事業法上、禁止されるといえるかは、ニュートラルというような気がします。拡散の停止の作為義務があるとはいえないが、停止の権利はあるといえそうです。

ここで、この解釈論は、諸外国の実務や動向で裏付けられることになるのでしょう。ということで、来週までにスライド作っておきましょう。

(株)MTGOX~破産から一転、民事再生開始決定~

(株)MTGOX~破産から一転、民事再生開始決定~ 破産手続き中だった(株)MTGOXが6月22日、東京地裁から民事再生開始決定を受けました。

東京商工リサーチの記事は、こちら

管財人のアナウンスは、こちら

破産法103条は、
「破産債権者は、その有する破産債権をもって破産手続に参加することができる。
2 前項の場合において、破産債権の額は、次に掲げる債権の区分に従い、それぞれ当該各号に定める額とする。
一 次に掲げる債権 破産手続開始の時における評価額
イ 金銭の支払を目的としない債権
ロ 金銭債権で、その額が不確定であるもの又はその額を外国の通貨をもって定めたもの
ハ 金額又は存続期間が不確定である定期金債権」
と定めています。従って、日本の破産法上、届け出られた日本円以外の外貨及びBTCは、全て日本円に換算する必要があるということになります。

Mt.Gox事件においては、換算レートは、東京地方裁判所と協議の上、日本の破産法にしたがって、破産手続開始日の直前(2014年4月23日日本時間23時59分)(日本時間)のCoinDesk BITCOIN PRICE INDEXのビットコイン相場(1ビットコイン=483ドル=50,058.12円になると破産管財人はしていました。現在では、市場価格が高騰したこともあって、このまま手続を進めると、100%の配当で残余は、株主に返還されるということになると考えられました。

民事再生の申立てがあると、裁判所は、破産手続・会社整理手続・特別清算手続を中止することができます(民事再生法26条1項)。また、すでに破産手続中の場合には、破産手続は効力を失うことはないが、手続が中止となり(同39条)、再生計画の認可決定が確定した段階で、初めて中止していた破産手続が失効することになります(同184条1項)。

政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。

仮想通貨の差し押さえと強制執行

「仮想通貨、差し押さえ強制執行できず 「技術的に困難」」という記事(日経新聞6/13) がでています。が、実際には、この記事自体は、きわめて誤解を招きやすいので、注意が必要です。

「仮想通貨交換会社が「技術的に困難」として対応せず、強制執行できない状態になる事例があった」としています。
この論点についての法律論文としては、藤井裕子「仮想通貨等に関する返還請求権の債権差押え」金融法務事情2079号 7頁・高松志直「電子マネーおよび仮想通貨に対する強制執行」金融法務事情2067号 50頁 があります。

新聞記事で扱っている事件は、どうも、上の藤井論文で、紹介されている事案そのままのようです。
さて、この場合、通常のとおり、
「債務者が、第三債務者に対して有する債権を差し押さえる」として「債務者が第三債務者に対して有する仮想通貨等の返還請求権」を差し押さえて、この仮想通貨等について「Rippleウォレット」等という記載がされています。(同 金融法務事情9頁)

でもって、この返還請求権について、差し押さえた場合に、交換会社は、「交換会社が被害金を代わりに支払った場合、業者側から回収できずに損失を被る恐れがあることなどを理由に対応を見送ったという。」のだそうです
たとえば、離婚の場合に、(夫が会社を営んでいた場合に)会社の代表者の報酬請求権を差し押さえたとしますよね。それを会社が、拒んだとしても、報酬請求権が強制執行できない状態にあるとはいわないです。会社に対して、取立訴訟を提起すればいいわけです。法的な仕組みは、整備されているわけです。

この報道の場合においては、法的な枠組みとしては、債権者が、交換会社に対して取立権を取得することになるのではないか、と考えています。
そうだとすれば、これは、「仮想通貨を確実に強制執行する仕組みは未整備で、専門家は「差し押さえ逃れや資産隠しに悪用される恐れもある。対策が必要だ」と指摘している。」というのは、正確ではないということになります。

ただし、問題は、その先にあって、もし、この業者が、強制執行を予測して、交換会社に対して有する口座から、仮想通貨をブロックチェーン上のウォレットに移転していたらどうか、という問題があります。もしかすると、この事案は、そうだったのかもしれません。そうだとすると、すでに、問題は、債権差押えという構成の問題を超えてしまいます(すでに、預金が引き落とされていたという単なる「空振り」の場合ですね)。これは、まさに管理するものがいない分散型仮想通貨の根本的な問題になります。この場合については、「仮想通貨を確実に強制執行する仕組みは未整備で、専門家は「差し押さえ逃れや資産隠しに悪用される恐れもある。対策が必要だ」という指摘は、そのとおりになります。

この点を指摘するのは、高松論文になります。

この場合については、「第三債務者のないその他財産の差押え」となり、「債務者である仮想通貨保有者に差押命令を送達する」ことになります。そして、換価手続については、譲渡命令(または、売却命令)によるしかないだろうとしています。しかも、
「譲渡命令が発令されても、差押債権者としては、債務者が差押債権者に秘密鍵情報を開示しなければ実際に仮想通貨を差押債権者に帰属する形で移転することができない。また、売却命令に基づき執行官が仮想通貨を売却(移転)する場合にも同様に秘密鍵情報がなければ仮想通貨を移転できない。以上からすれば、仮想通貨自体の強制執行を検討したとしても、秘密鍵情報が債務者から任意に開示されない場合には間接強制の方法によらざるをえず、金銭債権について債権者が満足できる強制執行の実現は困難となるものと思われる。」
と分析しています。まさにこのとおりの分析ということになるかと思います。

対ボットネットの法律問題の総合的考察 その8-ドイツにおける乗取り、ボット中立化技術

ドイツにおける乗取り、ボット中立化技術にわけて、具体的な法的問題を分析しようと考えています。このシリーズのエピソード8になります。
なんといっても、セキュリティの防衛のために、侵入・改変というハッカー技術をつかうことができるのか、使ってでも防衛すべきなのではないか、というダークサイドとライトサイドのせめぎ合いが、その本質的な問題を提起するものといえるでしょう。
というか、エピソード8というのは、このようなものでなければならないはずですね。

ボットネットの乗っ取り

ハニーポットが、通信の当事者、テイクダウンが、通信停止に比較すると、「乗っ取り」というのは、防御側がボットへの侵入に成功し、偽のC&Cサーバからの通信を受けいれるように成功することに特徴があります。

「乗っ取り(takeover)」のためには、暗号を破り、マルウエアやC&Cサーバのソフトウエアのリバースエンジニアリングをします。ホストの感染を解毒することで、効果的、かつ早急にボットネットを破壊することができるようになります。感染したワークステーションにパッチを配布することでセキュリティ脆弱性を除去することができ、感染から予防/停止することができます。
しかしながら、遠隔で、除去をはかることは、処理の誤動作やシステムクラッシュを招きかねません。その意味で、種々の法律問題を惹起するといえるでしょう。

ドイツ刑法において、ボットネットの乗っ取りは、データスパイと「ハッキングツール」の利用に関する202a条(データエスピオナージ)と202c条(データの探知及び取得の予備-ハッキングツール利用)の問題を惹起します。
202a条は、でふれました。

刑法202条c データの探知及び取得の予備
 1 データ(第202条a第2項)へのアクセスを可能にするパスワード若しくはその他のセキュリティ・コード、
又は
2 これらの行為の遂行がその目的であるコンピュータプログラム
を作成し、自ら入手し又は他の者に入手させ、販売し、他の者に譲渡し、頒布し又はその他アクセスさせることにより、第202条a又は第202条bに定める犯罪行為の予備を行なった者は、1年以
下の自由刑又は罰金に処する。
第149条第2項及び第3項が準用される。

とされています。これらの犯罪の成否については、行為者の意図(benevolence)は、関係がないとされている。なので、いかに防御の趣旨であるとしても、202a条(データエスピオナージ)と202c条(ハッキングツール利用)に該当するものと考えられるのです。実務は、不確実性があるとされていて(Liis論文 42頁)、起訴の可能性は存在しうるとされています。

また、そのような乗っ取りについては、機密メッセージの侵害(ドイツ刑法206条)などの懸念も起こりうるとされています。

ボットネットの乗取りの手法としては、遠隔解毒と自動的解毒があります。

ドイツ法のもとでは、遠隔解毒は、刑法202a条(データの探知), 303a条(データ改変)および 303b条 (予備においても処罰規定がある)に該当します。また、侵入と感染解除は、データ改変(303a)に該当します。元の状態に戻すためであろうと、さらなる罪を犯すためであろうと、そのような心理状態は、犯罪の成否に関係ないとされています。

また、予期せぬ被害を惹起したとすれば、ドイツ刑法303b条(コンピュータサポタージュ)にも該当します。感染解除が、プログラムもしくはOSへのダメージを惹起しうることの未必の故意(Dolus Eventualis)で足ります。

 自動的検疫/解毒(Automated Immunisation or Disinfection)

ホストの感染解除の方法として侵入して、ボットネットを乗っ取ってしまうことは一つの方法になります。しかしながら、マルウエアの特定の挙動を分析して、特に感染の機能を見る場合には、感染を広げる脆弱性を明らかにすることができます。
特に、拡散に利用されるの脆弱性というのは、限られたグループになっているのが、一般的です。そこで、問題の脆弱性を標的とする自己増殖機能をもつ「ホワイトワーム」を開発することができます。ホワイトワームは、感染が探知されると、ホストの感染を検疫し、脆弱性を修補してきれるものです。

このような自動的手法については、具体的なデータの認識がないとされるので、感染したシステムについて、202a条(データの探知)と202c条の適用の可能性はありません。
もっとも、いわゆるコンピュータサポタージュ(ドイツ刑法303b条)およびデータ改変(303a条)について該当の可能性があります。
ホワイトワームは、プログラムや機能についてダメージを与える影響があります。その結果、自動的検疫/解毒は、正当化事由が適用される可能性がより低くなり、刑罰的行為といえます。

 脆弱性を修補するといういわば、相当の理由があるとしても、「解毒」(一方的な脆弱性の修補によるボット感染の解除)が、同意によるものとするわけではないことは、留意が必要です。
暗黙の同意自体は、正当化事由となるものの、上記のように正当化事由が認めがたいということがあれば、訴追されるリスクが残存している(303C条)ということになります。

データを変更することになって、それが、OSの機能やプログラムを損なう可能性があるとすると、同意は、認められることは、ありそうにはないでしょう。ボットネットが、緊急の危難の要件を満たした場合には、緊急避難の原則が認められるけれども、特に第三者が影響を受ける場合においては、そのような緊急避難が、適用されないということは十分に起こりうることになります。

これは、保有者に対して、自分で、解毒するようにと促すというより侵入的ではない手段がある場合には、なおさらそういえます。
 なお、これらの罪に対しては予備の罪も存在してます(データ改変に関して、303a(3)、202c コンピュータサボタージュについて303b (5), 202c)。

例外的事情のもとでのボット中立化技術

緊急事態状態もしくは国家緊急においては、国民の憲法上の権利を侵害するので、通常の状況のもとでは、認めがたい手法であっても、許容される余地が生じうることになります。Liis論文では、46頁以下で検討されています。

ドイツの基本法においては、緊急原則は、国家が防衛の自体における場合のみ認められます(基本法115条a(1))。
第115a条(概念および確認)
1 連邦領域が武力で攻撃された、またはこのような攻撃が直接に切迫していること(防衛事態)の確認は、連邦会議が連邦参議院の同意を得て行う。確認は、連邦政府の申立てに基づいて行われ、連邦議会議員の過半数かつ投票の3分の2の多数を必要とする。
2 即時の行動が不可避とされる状況で、かつ、連邦議会の適時の集会に克服しがたい障害があり、または議決不能のときは、合同委員会が委員の過半数かつ投票の3分の2の多数をもって、この確認を行う。
3 確認は連邦大統領により、第82条に従って連邦法律官報で公布される。これが適時に可能でないときは、他の方法によって公布されるが、可能な状況になったときは、直ちに連邦法律官報で追完しなければならない。
4 連邦領域が武力で攻撃され、かつ、権限を有する連邦機関が1項1段による確認を即時に行うことができる状況にないときは、この確認は行われたものとみなされ、かつ、攻撃が開始された時点で公布されたものとみなされる。
5 防衛事態の確認が公布され、かつ連邦領域が武力で攻撃されたときは、連邦大統領は、連邦議会の同意を得て、防衛事態の存在についての国際法上の宣言を発することができる。2項の条件のもとにおいては、合同委員会が連邦議会に代わるものとする。

基本法115条a(1)の定めによれば、防衛状態かどうかは、ドイツ連邦議会(Bundestag )および連邦参議院(Bundesrat)によって定められます。

表現の自由/情報の自由は、公共の安全/秩序に対して危険が生じる場合のみに制限される。これらの場合は、ドイツ刑事訴訟法および16の警察法において述べられています。それらの例外は、非常に保守的であり、それぞれの場合において必要な事実を考察しています。

対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性

Liis論文をもとに、ドイツにおけるボットネット対応手法の法的位置づけを考えるというマニアックなメモも、やっと個別の手法の分析です。(Liisさんは、エストニア法の担当で、ドイツの担当は、他の方かもしれませんが、それは、ご容赦のほどを。)

Liis論文ですと、26頁から、データ保護についての分析が加わります。IPアドレスは、個人データと解されることが明らかになってきているので、EU域内において、サイバーセキュリティの法律問題を考えるときに、個人データ保護との相剋というのは、きわめて重要な問題になってきているところです。ただ、わが国だと個人情報保護法の執行が微妙なところもあるので、今回は、この部分の比較分析は、省略します。またの機会にしたいと思います。

(1)ハニーポット

33頁からハニーポットの手法による検討になります。

「ハニーポットとは、資源が、無権限で、あるいは、不正に利用されることに価値がある情報システムリソースである」と定義されています(「ハニーネットプロジェクト-汝の敵を知れ」15頁参照)

『カッコウはコンピュータに卵を産む』にある「SDIネット」が代表的なもの、ということになります。この仕組みは、あえて、通信の当事者となるように設置されている点がその余の攻撃者の行為を探知する仕組みと異なっているということができます。(法律家的には、そうならば、「ハニーポットとは、攻撃者の動向等の調査のために、セキュリティ的に脆弱に維持された通信の当事者である端末、もしくは、リソースをいう」とかのほうが、正確なような気がしますが、それは、それで、上のハニーネットプロジェクトの定義が一般化しているので、そこは触れないことにします)

ハニーポットを用いた情報の収集行為の法的問題については、わが国においては、あまり論じられていません。上記ハニーネットプロジェクトの8章がアメリカの法律について触れており、また、付録Gで園田さんの解説があります。が、それ以外には、正面から論じた論文は、すぐにでてきません。

ハニーポットをこのような見地からみるときに問題となるのは、一つは、ボットマスターからのメッセージを含むのみではなく、他のメッセージ(トラフィックを拡散するように命じられたボットオーナーのもの)を含むということになります。その意味で通信の機密性を侵害する(宛て先とされていないで託されたメッセージを送信者の意図に反してなすこと)リスクがあるとされています。いま一つは、プライバシの懸念ということになります。この場合は、データ保護に反するということです。

Liis論文は、これらの問題をドイツ法に基づいて分析しています。

ボットマスターやボットが一方当事者であって、サービスプロバイダーのがもう一方である場合において、サービスプロバイダーが、通信データを分析することは、電気通信システムの妨害等を認識し、制限し、除去するために限って認められます。さもないと、ドイツ刑法206条に基づいて「電気通信の秘密」侵害/電気通信法88条.テレメディア法7条(2)の義務違反/個人データ保護法違反に該当することになります。特定のボットネットの活動の場合に限って、電気通信システムが妨害されるときといえると解されています。その結果、ドイツにおいて、ハニーポットでのパケットやトラフィックデータの分析が合法的になしうるのは、限定された場合ということになります。

プロバイダーの観測の結果を、独立の研究者に開示することが許されるかというのもハニーポットの調査においては、問題になります。この場合、通信当事者の同意がある場合、データの匿名化がなされた場合、裁判所命令等が存在する場合、などに限って許容されるということになります。

ボットマスターやボットが一方当事者であって、独立の研究者がもう一方の当事者である場合においては、みずからに向けられた通信データをモニターすることは、データ傍受(ドイツ刑法202b条)には、該当しません。また、「特別に無権限アクセスから保護された」ものではないので、その点からもデータ傍受に該当しません。
もっとも、データ保護法の問題点があり、研究者は、その研究によって、データ保護法の取扱・利用規定から除外されるべきという利益を明らかにする必要があります。

(2)C&Cサーバのテイクダウン

Liis論文35頁からは、C&Cサーバのテイクダウンの法的問題についての考察をしています。

ここで、テイクダウンと一般的に表現していますが、手法としては
ア)DNS名称の消去( disconnecting the identified C&C server(s) by deleting its DNS name)
イ)宛先トラフィックのブラックホールへの移動による利用停止( making the C&C server(s) unavailable by black-holing the traffic directed to it)
ウ) 物理的差押(physically seizing the C&C server(s))
エ) ISP等のプロバイダによる接続停止(disconnecting the C&C server(s) by the ISP or the cloud service provider hosting it)
があることになります。

コマンド・コントロールサーバのテイクダウンの法的位置づけについては、テイクダウンの法的な根拠があるのかということとコマンド・コントロールサーバの場所に左右されることになります。

法的な根拠としては、まず、CERT は、それ自体としては、C&Cサーバのテイクダウンを命じる権限を有することはありません。これに対して、ISPは、一定の資源に対して、一般的なセキュリティ義務について、消費者保護、利用契約における制限の可能性を用いてそれをなしうることになります。また、法執行機関からの要請がある場合には、ISPは、制限をなすことを義務付けられます。

法執行機関が、それ自体法律の根拠に基づいてテイクダウンする場合については、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」で検討しておきました。

ドイツにおいては、C&CサーバがホストされているISPは、民法314条に基づいてサーバを遮断/利用契約を終了させる権限を有しています。
この314条については、谷口 聡「ドイツ民法典314条の規定とその民法体系上の位置−ドイツ債務法における「継続的債務関係」諸規定の構造−」という論文があります。
ドイツ民法314条 重大な事由による継続的債務関係の告知
(1)継続的債務関係は、両当事者が、重大な事由により告知期間の遵守なしに告知しうる。告知する当事者にとって、個別事例のすべての事情を考慮し、かつ、両当事者の利益を考量して、合意された終了時までの、または、告知期間徒過の時までの契約関係の存続を要求しえない場合は、重大な事由が存在する。
(2)重大な事由が、契約に基づく義務違反にあるときは、告知は、除去のために定められた期間の徒過の後、または、催告がなされても不奏功に終わった後に初めて許容される。323条 2 項が準用される。
(3)権利者は、彼が告知原因を知った時、相当な期間内においてのみ告知をなしうる。
(4)損害賠償を請求する権利は、告知により排除されない。
と定められています。(条文は、上記谷口論文から引用です)

実際にも利用契約に記載されているのが一般であるとされています。

上記のような法的権限を有しないで、テイクダウンを行うという場合においては、刑法等に該当しないことを確かにしないといけないことになります。具体的には、ドイツ刑法303a条(データ変造)、
303b条(コンピュータサボタージュ)の違反について検討しなければなりません。
これらの罪の構成要件は、
ドイツ刑法303a条(データ変造)
(1) データ(第 202 条 a 第 2)違法に消去し、隠蔽し、使用不能にし、または変更した者は、2年以下の自由刑または罰金に処する。
(2) 本条の未遂は罰する。
303b条(コンピュータサボタージュ)
(1) 他人にとって本質的に重要であるデータ処理を第 303 条 a 第1項の行為をおこなうことによって妨害した者/損失を与える意図をもって202a条(2)のデータを入力し、送信する者/データ処理システムまたは、キャリアを破壊し、毀損し、使用不能にし、除去しまたは変更する者は、何人も、3年下の自由刑または罰金に処する。
(略)
となります。

C&Cサーバのテイクダウンは、データ処理の運営に対する介入と解されています。(もっとも、接続を停止するのみであれば、電気通信の秘密の侵害とは解されていません)しかしながら、ドイツ刑法34条(緊急避難)、ドイツ民法227条、228条の正当防衛、自力救済に該当するのであれば、刑罰を免れることになります。

C&Cサーバの遮断が、ISPの機能や安定性を確保するためになされる場合においては、電気通信法100条に基づいて、法的な利益を確かにするためになされると解されているので、ドイツ刑法34条の規定に該当するとされています。

条文としては、
ドイツ刑法34条
生命、身体、自由、名誉、財産又はその他の法益に対する現在の、他に回避し得ない危険において、自己又は他人の当該危険を回避するために行為を行った者は、対立する諸利益、特に問題となる法益や、法益に対する危険の程度を衡量して、保全利益が侵害利益を著しく優越する場合には、違法に行為したものではない。但し、このことは、当該行為が当該危険を回避するために相当な手段である場合に限り、妥当する
となります。

深町 晋也「刑法におけるディレンマ状況と自動運転―ドイツ刑法学の桎梏を通じて」から引用

対ボットネットの法律問題の総合的考察 その6-ドイツにおける通信の秘密の保護とISP

その5においてISPの活動についても検討したので、Liis論文に基づいて、ドイツにおける通信の秘密について見ていくことにとしましょう。

なお、ドイツの通信の秘密については、資料としては、石井先生の論考「第 6 章ドイツにおける有害プログラムの刑事的規制」と笠原先生のメモ(情報セキュリティ大学院大学 「インターネットと通信の秘密」研究会)「インターネット時代の「通信の秘密」各国比較」があります。

まずは、エストニア刑法137条は、特定の人に関して意図的に情報を収集する行為に対して無権限監視の罪 を定めていますが、ドイツ法は、エストニア刑法137条に比すべき規定を有していません。通信手段を用いて接触を図りストーキングレベルに達した場合(ドイツ刑法 238条(1) 2号-これについては、「ストーカー行為罪に関する解釈論と立法論の試み」があります)に犯罪になるにすぎません。

通信の秘密 に関する規定としては、ドイツ刑法 206条、電気通信法 88条、テレメディア法 7条(2)、違法なデータ取得(ドイツ刑法202a条)、違法なデータ傍受(同 202b 条) があります。

具体的には、ドイツ刑法206条(郵便/電気通信の秘密の侵害の禁止)は、電気通信・データ送信途上の秘密を保護しています。例えば、同条1項は「郵便もしくは電気通信の秘密にかかる第三者の事実であって郵便または電気通信サービスを提供する企業の保有者もしくは従業員として知り得た事実を違法に開示するものは何人も5年以下の懲役または罰金に処する」と定めています。
この保護は、事実や通信の内容のみならず、通信課程の即時の状況も保護されます( 5項2文)。接続しようとして失敗したという状況も保護されます(同項3文))。
また、 IPアドレスも通信の秘密に含まれます。パケットやトラフィックデータも含まれて、通信の秘密として保護されます。
この結果、ISPの関係者が、この状況を第三者に開示した場合、犯罪が成立します。これに対して、取得のみについては、犯罪を成立させることはありません。しかしながら、同一の会社内においても犯罪が成立することになります。
206条は、電気通信・データ送信途上の場合に適用されます。この規定は、事実や通信の内容のみならず、通信課程の詳細な状況も保護しています(同条5項2文)。接続しようとして失敗したという状況も保護されます(同項3文)。 IPアドレスも通信の秘密に含まれます。また、パケットやトラフィックデータも含まれて、通信の秘密として保護されます。C&Cサーバとボットの間の通信を観測する行為は、禁止された行為になります。
ISPの関係者が、この状況を第三者に開示した場合には、犯罪が成立します。一方、通信に関するデータの取得のみは、犯罪を成立させることはありません。しかしながら、同一の会社内においてもデータを共有することは、犯罪が成立します。

電気通信法88条は、電気通信の秘密を電気通信プロバイダーの法的義務としています。
電気通信法88条1項は、

通信の内容(Inhalt)および詳細な状況(ihre näheren Umstände)(特に、人が電気通信を行ってしていたか否か)は、通信の秘密となる

と規定しています。また、同条2項は「すべてのサービス提供者(Dienstanbieter)は、電気通信の秘密を維持しなければならない。その義務は、業務終了後も継続する」と定めています。
テレメディア法7条は、 2 項で、他人の情報を伝達・保存した場合は、当該情報に違法な行為がないかを監視・調査する義務がないことを定めています。もっとも、1項で、プロバイダ自身が情報を発した場合は通常の法律の適用を受けることを明記しています。

また、電気通信の過程においてのみ、電気通信の秘密で保護されて、その後は、データプライバシーの規定で保護されます。違法なデータ取得(ドイツ刑法202a条)の規定は、

 202条a データの探知(Aussphaen)
(1) 権限がないのに(unbefugt)、自己のために予定されておらずかつ無権限(unberechtigt)のアクセスに対して特別に保護されているデータを、取得しまたは他人に得させた者(sich oder einem anderen verschaffen)は、3年以下の自由刑または罰金に処する。
(2) 1項の意味におけるデータは、電子的、磁気的またはその他直接認知しえない形態で貯蔵されまたは伝送されるものに限られる。

というものです。
ISPやCERTによるパケットやトラフィックデータの監視は、データの違法な取得(202a条)に違反しません。同条は、暗号、パスワード保護等が同条による保護のためには、必要としているからです。

パケットとデータの監視は、202b条のデータ傍受(§ 202b Abfangen von Daten)の規定に違反します。
202b条データ傍受(§ 202b Abfangen von Daten)

 みずから宛になされていない、または、第三者に対するデータ(202条a(2))を、非公共のデータ取扱施設、もしくは、データ取扱施設の電磁的放送から、技術的手段に用いて違法に傍受するものは  (略)2年以下の懲役または罰金に処する

と定めています。

通信の内容に関していない通信データは、この規定では、保護されていません。非公共のデータ取扱に関して無権限の傍受を処罰するものになります。ここで「非公共の」といっているのは、不特定多数の人がアクセスしうる通信は、この規定では保護されないということになります。

ISPやCERTは、通信システムに対する妨害エラーを認識し、排除するためのアドホックなパケットと通信データの検査をなしうるにすぎません。また、このデータは、独立のリサーチャーに共有されてはならないことになります。

当然のことですが、同意があれば、刑罰の成立を妨げることになります。しかしながら、同意については、事前の情報の提供と明確な同意の提供が求められています。

また、裁判所命令に基づいてなされる場合には、犯罪にはなりません。