電波法からみる「通信の秘密」(3)

電気通信事業法の規定と電波法の規定は、「電波法からみる「通信の秘密」(1)」でふれておきました。

では、電波法の秘密の保護の規定の趣旨については、
「特に無線通信は、空界を通路とする電波を利用する者であるだけに他人に知られやすい弱点を有するものであるから、その保障には特に留意されなければならない。従って、電波法においては、憲法の規定を受けて、向けん通信の秘密の保護に関する特別の規定を儲けていると説明されています。

実際に比較したときに、気がつくことですが

(1)特定性または個別性ある通信のみの保護

保護の対象となる通信は、特定の相手方に対して行われる無線通信です。送信者と受信者が特定されていて、その間に特定性または個別性が存する通信とされています。

ラジオやテレビは、秘密保護の対象とはならないと明確にされています。

その一方で、特定の人に向けられたものであるということから、それについては、存在の事実も含めて、窃用や漏えいからは、保護されるということになるわけです。

インターネット通信についても、1997年前後に、「公然性を有する通信」という概念が提案されて、そのような通信には、通信の秘密や表現の自由が一定程度制限されるのではないかということがいわれたことがあります。ガイドラインをみることができます。
そのあと、プロバイダー責任制限法が制定されるなど、一定のルールが定められていくと、そのような議論は、大雑把だと考えられたのでしょうか、あまり正面から議論されることはなくなりました。

しかしながら、通信の秘密が保護されるという期待は、特定の人に対する通信であるということから、生じているのではないか、ということを示唆しているように思えます。不特定・多数の人に対する通信については、別個の考慮があってしかるべきということになり、それは、「公然性ある通信」の議論は、そのもともとにおいて、一定の意味があったということになるかと思います。

(2) 傍受の適法性

電波法59条の条文は「傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない」となっています。
これは、傍受は、違法ではないことが明らかになっています。 傍受自体が禁止されているという解釈は、きわめて少数説です。

もっとも、国際電気通信連合 無線通信規則17.1ないし17.3は、「公衆の一般的利用を目的としない無線通信を許可なしで傍受することを禁止し、かつ、それを防止するために必要な措置をとること」を主官庁に要求しています。しかしながら、解釈論としては、傍受は、許されるということになるかと思います。

電気通信事業法との比較の表は、こんな感じです。

取得行為 開示/知りうる状態 利用について
電波法 「傍受」のみは許容
(傍受とは、積極的意思をもって自己に宛てられていない無線通信を受信すること)
「存在もしくは内容を漏ら」
すことの禁止
「窃用」とは、無線通信の秘密(存在または内容)を発信者または受信者の意思に反してそ
れを自己または第三者の利益のために利用することである。
電気通信事業法 積極的な取得の禁止 「漏えい」の禁止 「窃用」の禁止
自己または第三者の利益のために利用すること

これは、電波が、空界を通路として、拡散性を有するということから生じる規定なのではないか、と個人的には、整理しています。だとすると、拡散性をもつ通信については、この傍受の禁止自体が合理性があるのか、というのを検証することが必要になってくる、というように考えてもいいように思えます。

実際にネットワーク管理者は、実際の必要から、いろいろなコマンドを利用して、ネットワークの反応を調べることになります。その場合に、自己が通信の当事者ではない通信の存在について調査していることが多くあるように思えます。それらの行為が、「積極的な取得」に該当するというのは、ナンセンスなような気がします。ネットワーク管理者の正当業務行為であるということにするのでしょうが、どうも、違法性阻却自由の肥大化といわれてもやむをえないでしょう。

そもそも、何か許容されて、何が許容されないかを、実際に考えるほうが重要なような気がします。

(3)電波法の規定が、通信の「存在もしくは内容」という表現になっている。

通信に関しては、通信の内容と、個別通信の内容に関するデータである通信の構成要素をなす事実、それ以外の事実があるということになります。

個別通信の内容に関するデータである通信の構成要素をなす事実というのは、いいにくいので、英語だとtraffic dataだよね、ということになって、昔、traffic dataと読んでいました。ただ、それだと、個別の通信の存在とは、関係しないデータであるトラヒック・データと区別ができないよね、ということを電電公社関係者の方から指摘されたので、それ以外、原稿では、英国法にならって、通信データと読んだらいいんじゃないの、と提案してきました。(個人的には、世界的に、メタデータと呼ぶことでいいんじゃないのと思っていたりするので、今後は、そう呼びます。)

電波法は、昭和25年5月2日法律131号なのですが、昭和25年5月2日の段階で、秘密の対象となるものとしては、通信の存在と通信の内容双方であるということを認識していた、ということになります。
公衆電気通信法(これは、昭和28年法律第97号(昭28・7・31))
5条(秘密の確保)
「公社又は会社の取扱中に係る通信の秘密は、侵してはならない。
2 公衆電気通信業務に従事する者は、在職中公社又は会社の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。
という表現になっています。

電波法では、秘密の対象は、通信の存在もしくは内容だと書いているにも関わらず、公衆電気通信法で、郵便法(昭和22年法律第165号)の例(信書の秘密は、これを侵してはならない、郵便の業務に従事する者は、在職中郵便物に関して知り得た他人の秘密を守らなければならない(以下、略))にならって、信書(通信)の秘密と他人の秘密の使い分けになっています。

ここは、歴史的な話としては、興味深い話になります。

一つの仮説としては、郵便法・公衆電気通信法においては、信書・通信の秘密は、通信の内容の保護のみで、存在に関する事実は、業務に従事する者に対して他人の秘密として保護されていたのではないか、ということが考えられるのです。

衆議院通信委員会昭和22年11月11日は、制定時の国会での議論であり、郵便法について逐条的な解釈をなしています。

そこでは、「第9條は秘密の確保についてでございます。これもただいま言いました憲法の21條の第2項に、「通信の秘密は、これを侵してはならない。」と規定されております。その趣旨によりまして「遞信官署の取扱中に係る信書の秘密は、これを侵してはならない。郵便の業務に從事する者は、在職中郵便物に關して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。」といたしました。すなわち第1項は郵便の業務に從事する者竝びにそれ以外の者すべてにつきまして一般的に規定し、第2項は郵便の業務に從事する者だけ、在職中郵便物に關して知り得た他人の秘密、たとえば何某からだれそれあてにどれくらいの量の郵便がいつ送られているといつたようなことも、郵便物に關して知り得た他人の秘密ということに なるものと考えております。」
という解説がなされています。
ここで、あえて2項の解説として、発信人・受信人の氏名等の問題をあげているところに、この第2項について、信書の内容以外のことを2項で保護しているという解釈をとっていたのではないかと示唆するものがあるというこことができるわけです。

あと、いま一つのエピソードとしては、上田市公安調査官郵便物調査事件をあげることができます。この事件は、昭和28年12月および昭和29年3月に、長野県で、公安調査庁に勤務するAが、郵便集配人に対して特定の機関紙(朝鮮関係の非公然の機関紙類)の発行部数や特定の人間への郵便の存否などを問いただしたという事実があり、この事実が朝日新聞の声の欄に載ったという事件がありました。
果たして、このような公安調査庁のAの行為は、郵便法との関係で、どのように考えられるのかという点が国会で、大きな問題になりました。

昭和29年04月03日の衆議院の郵政委員会で議論がありました。

齋藤政府委員は、明確に
「本件のような郵便物の発受人の住所氏名等を漏らしますことは、もちろん郵便法の第九条第一預にいう信書の秘密を侵すということにはならないと存じますが、 第二項における郵便物に関して知り得た他人の秘密を提供するということに該当いたしますので、郵便業務に従事しておる者といたしましては、かたくこれを守らなければならないところでありますので、今後ともこのような事案が再発して法律違反に該当するようなことのないように、最近におきまして一般関係局に対しまして、それぞれその規定に違反することのないよう厳重注意するよう通達をいたしまして、注意を喚起いたしておる次第であります。」
という回答をしています。

また、この議論の関連で、齋藤政府委員は、郵便法9条について「信書の内容を知る意図をもつて、その内容を知ることによつてであります。」と発言しています(発言12)。

もっとも、昭和29年05月21日で参議院郵政委員会の審議があって、その審議では、この点についての政府内部での解釈の分裂が見て取れるものになっています。

「上書きですね、中は勿論通信文でありますが、上書きも勿論これは信書の秘密の概念に入りますか、その差出人と宛先。」という質問がなされたのですが、

法務当局を代表する井本台吉政府委員は「郵便法第九条第二項のほうの郵便の秘密という事項に当ると私は思います。」と回答したのですが、さらに、政府内部でも、解釈の相違があるのではないかと質問され、井本委員は、「議論がありまして、それまでも入るという説もありまするし、少くも郵便法の九条の二項のほうの秘密には当りまするが、全体としてこの信書の秘密の中に入るかどうか、多少疑問がございます。」と答えて、議論があることを示唆しました。

余談ですが、井本台吉政府委員は、私のボスの橋本武人先生からは、イモダイとかいわれていて、当時(修習1期だったと思います)のなかで有名な人だったようです。

同日、「郵政当局の見解はどうでございましようか。直接その通信の衝に当つておられる郵政省当局の御答弁を聞きたいと思います。」という質問がなされました。これに対して、渡辺秀一委員は、「我々は郵政省といたしましては、そういう今お尋ねの件は信書の一部分を構成するものであるとかように考えます。」という回答がなされています。

その味で、政府内部での解釈論の不統一が、国会の前で明確になってしまったということがありました。

するとこの仮説でいくと、実は、郵便法と公衆電気通信法では、通信の内容と存在に関する事実は、わけて考えられていた。それに対して、存在に関する事実が明らかにされている無線通信においては、特定の者に対する通信に対してのみ、秘密として保護される合理的な期待が存すると考えられていて、その場合、存在についても保護されることになる、というものではないか、と整理されるかと思います。

宍戸先生より、憲法の「通信の秘密」規定のプロバイダへの適用についてコメントをいただきました。

前のエントリで、宍戸先生の資料が、憲法の「通信の秘密」の規定がプロバイダへの直接適用を前提としているのではないか、と書いたのですが、宍戸先生より、以下のようなご教示をいただきました。

---引用--
通信の秘密について一般論としては直接適用説と間接適用説と2つありうるわけですが、2頁に書いたように少なくとも私人間関係でも趣旨は考慮されるというのが一般的な理解かと思います。そのことを前提に、国が立法により事業者に対して利用者の通信の秘密への侵害を命じるという問題が(ステイトアクション含めいろんな構成があると思いますが)憲法問題になるはずで、その上で具体的な論点にフォーカスするために、捨象した議論をしました。
-----
とのことでした。(宍戸先生より掲載についてご承諾いただきました)

私も、「私人間関係でも趣旨は考慮される」というのには、異議はありません。ただ、だとすると、「どの程度」趣旨が考慮されるのか、また、どの段階で、趣旨が考慮されるのか、という問題になるかと思います。

無法者(無線法律家のことね)の集まりでは、「法律が命じた段階や裁判所が命じた段階での適用の可能性があるだろう」という議論がなされました。

法律の定めがなされた段階では、抽象的な段階なので、憲法訴訟というのは、考えにくいでしょうし、裁判所が、相対する利益を考えて、法の解釈をした場合にその解釈が、憲法違反であるというのは、実質的には考えにくいかと思います。

そうすると、憲法的な価値観は、個別の事業法の解釈、特に刑事的な適用についての解釈の際に考慮されるということになるのかと思います。
ただ、刑事ですと、起訴するのか、という問題もあるわけで、実際的にはどうなるのか、ということかと思います。

もっとも、オーバーブロッキングの問題、訴訟対応というのは、英国でも実際の問題としても議論されていますね。その際に憲法問題として、議論される、というのは、そのとおりになります。これは、むしろ、裁判所の命令が広汎すぎず、その一方で、裁量を残す形でなされるべき、というきわめて実際的な論点に移ってくるような感じがします。

それはさておき、疑問に対して、詳細に教示いただきました宍戸先生、本当にありがとうございます。「通信の秘密の数奇な運命」の論考を発掘いただき、その上にこの件でも教示いただいて、ブログにても感謝の辞を述べさせていただきます。

報告書以降の英国の判決例(カルティエ事件)

前のエントリで、ふれた総務省報告書になりますが、一番の問題点は、2016年2月時点の法的状況をまとめたものということになります。

できますれば、著作権団体なり、プロバイダなり、タクスフォース関係者なりから、調査資金をいただければ、各法域について、アップデートできるかと思います。
なので、利害関係者の方は、ぜひとも、アップデートについて、資金をご準備の上、追加調査をオーダいただけるとと思います。よろしくお願いします。ご連絡は、株式会社ITリサーチ・アートまで。

非常に重要な問題であるにも関わらず、インテリジェンスについては、ボランティア頼りというきわめて日本的な状況は打破したいという気持ちはあります。

それは、さておき、差止の場合の費用の負担を、権利者側とするのか、プロバイダ側とするのか、というきわめて実際的な問題が議論されているのも、このような比較法的な検討によって得られる成果ということがいえるかと思います。
この事件は、Cartier International AG and others (Respondents)v British Telecommunications Plc and another (Appellants) になります。判決(201年6月13日 )のリンクは、こちらです

日本語でも紹介がなされています。専門的な紹介はこちら。(東海大学 ファッションローコラム)

タスクフォース1回目でも議論が紹介されています (19頁 丸橋さん)

要点としては、裁判所は、Norwich Pharmacal事案において、申立人が費用を負担していること、不正行為を追跡するために銀行が、情報開示のための命令を受ける場合に銀行が費用を負担していることなどから、差止命令は、エクイティから生じるものであることを理由として、権利者側が負担することを認めました。

もっとも、EU法において、プロバイダの特権が認められる代わりにコストは負担すべきとの考えもありうるが、コスト負担の問題は英国法の問題であるともしています。

 

「海賊版対策タスクフォース、ブロッキングで議論紛糾」の記事よりも実際的なもの

「海賊版対策タスクフォース、ブロッキングで議論紛糾」という記事がでています。7月18日の政府の知的財産戦略本部は2018年7月18日、「インターネット上の海賊版対策に関する検討会議(タスクフォース)」の第3回会合に関する記事になります。

個人的には、そろそろ、立法論的な解決にむけて、個々の法域の実務がどのようになっているかの詳細な調査をもとに、むしろ、立法論を論じるべき時期にきているかと思います。

そのような観点からみるときに、個人的に、誰と、誰の意見が、どうした、というよりも、この会議の資料に興味深いものが見つかるかと思います。

今回の資料は、こちらですね。

「知的財産戦略本部検証・評価・企画委員会 インターネット上の海賊版対策に関する検討会議 (タスクフォース)(第3回)」

記事で紹介れているアンケートも興味深いですね。資料4ですね。
法的な立場からは、
資料7 : 奥邨氏提出資料(オーストラリア)
資料8 : 張氏提出資料(韓国)
がそれぞれ興味深いものです。

(1)オーストラリア

オーストラリアについては、2015年の115A条において海外のプロバイダに侵害コンテンツがホストされている場合に、裁判所の命令によって規制を及ぼすものが紹介されています。なお、詳細については、「サイトブロッキングと著作権法 ~オーストラリアの制度を参照しつつ~」という論考が公表される予定とのことです。

海外からの通信であることから、憲法論、事業法の議論とかは、わが国においても関係がなくなるのではないかということが示唆されているのかもしれません。

(2)韓国

韓国については、この資料の5に記載されています。

著作権を侵害する情報は、情報通信網利用促進及び情報保護などに関する法律第44条の7第1項9号の「その他犯罪を目的とするか、教唆又は幇助する内容の情報」に当たると解されている

放送通信委員会は、当該サイトに掲示されている情報が同号に当たるかどうかを審議することができる。

文化体育観光部長官からの要請があった場合には、当該情報の情報通信サービス提供者又は掲示板の管理・運営者に対し当該除法の取扱いを拒否・停止又は制限するように命じなければならない(同条3項1号)。

そして、放送通信委員会の設置及び運営に関する法律第25条1項2号に基づき、放送通信審議委員会は、情報通信網利用促進及び情報保護などに関する法律第44条の7に従い、不法情報流通に対する取扱いの拒否・停止又は制限(ブロッキング)といった制裁措置を定めることができるとされている。

ということになります。

また、ドイツなどでは、著作権者の調査・対応義務が尽くされることがブロッキングの要件であったり、イギリスでは、費用が、権利者負担という判断が示されたりと、非常に、具体的な比較法の調査の重要性が示されているように思われます。

 

 

EUと日本、個人データの相互移転で最終合意

「EUと日本、個人データの相互移転で最終合意」という記事がでています。

下の重要な要素のところの「日本の公的機関によるデータへのアクセスに関するヨーロッパ人の苦情を調査し​​解決する苦情処理メカニズム。」って、総務省の権限ではないでしょうか。

EUのプレスリリースは、こちらになります。機械もつかって訳してみました。


EUと日本は今日、互恵的十分性に関する会談を成功裏のうちによく締結した。両者は、相互のデータ保護システムを「同等のものequivalent)」として認識し、EUと日本の間でデータが安全に流れるようにすることに合意した。

両国は、十分性認定を採択するために関連する内部手続きを開始する予定である。 EUにとっては、これは、欧州データ保護委員会(EDPB)からの意見と、EU加盟国の代表から構成される委員会からのグリーンシグナルを得ることを含む。この手続きが完了すると、委員会は日本に対する十分性の決定を採択する。

VeraJourová(司法、消費者、両性平等コミッショナー)は、「日本とEUは既に戦略的パートナーである。データは世界経済の原動力であり、この合意は、市民と経済の両方の利益のためにデータが、安全に行き来することを可能にするだろう。それと同時に私たちは、個人情報の保護に関する共通の価値観へのコミットメントを再確認しており、協力してデータ保護のためのグローバルスタンダードを形成し、この重要な分野で共通のリーダーシップを示すことができると確信しています。」と語っている。

この相互の十分性についての取り決めにより、個人データの保護レベルが高いことに基づいた世界最大の安全なデータ移転地域が生まれます。ヨーロッパ人は、データが日本に移転される際、EUのプライバシー基準に沿った個人データの強力な保護の恩恵を受けるでしょう。この取り決めはまた、EUと日本の経済連携協定を補完するものであり、欧州の企業は、この主要な商業パートナーとのデータの移転に制限がなされないこと、ならびに1億2,700万人の日本の消費者への特権的アクセスから恩恵を受けるでしょう。この合意により、EUと日本は、デジタル時代には、高いプライバシー基準の推進と国際貿易の促進が両立することを確認しています。 GDPRの下で、十分性の決定は、安全で安定したデータフローを確保するための最も直接的な方法です。

十分性判断の重要な要素

本日の合意は、EUと日本の同等レベルのデータ保護の相互承認を想定しています。一度採用されると、商業目的で交換された個人データがすべての移転において、高いレベルのデータ保護が適用されることを保証します。

日本は、EUの基準に準拠するために、委員会が正式に妥当性の決定を下す前に、EU市民の個人情報を保護するために、以下の追加のセーフガードを実施することを約束している。

  • 個人情報を日本に移転するEU内の個人に対して提供される、2つのデータ保護システム間のいくつかの相違点を橋渡しする追加の保護手段を提供する一連のルール。これらの追加的な保障措置は、たとえば、機微データの保護、EUのデータを日本から他の第三国にさらに移転するための条件、アクセスおよび是正のための個人的権利の行使などを強化するもの、です。これらのルールは、EUのデータを輸入する日本の企業にたいして、拘束力を持ち日本の独立したデータ保護当局(PPC)と裁判所によって執行されます。
  • 日本の公的機関によるデータへのアクセスに関するヨーロッパ人の苦情を調査し​​解決する苦情処理メカニズム。この新しい仕組みは、日本の独立したデータ保護機関によって管理され監督されます。

次のステップ

委員会は、今年秋に通常の手順に従い、十分性の決定を採択する予定である:

  • 大学による十分性判断の草案の承認
  • 欧州データ保護委員会(EDPB)からの意見書、その後のコミトロジー手続き
  • 市民の自由、正義と内政に関する欧州議会委員会の更新
  • 大学における十分性判断の採用

並行して、日本は自国の妥当性の確認を確定する。

————————

日本の個人情報保護委員会の「日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意」についての資料は、こちらです。

「個人情報保護法第 24 条に基づくEUの指定について」という添付資料においては「当委員会事務局から、個人情報保護法第 24 条に基づくEUの指定に向けて、個人情報保護委員会規則第 11 条第1項各号に規定する外国指定に係る判断基準に基づくEUの確認の状況についての報告があった」とされています。

「熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント東京、2018 年 7 月 17 日」では、「十分性の対話は、日本の個人情報保護法に基づく措置及び独立した個人データ保護機関である個人情報保護委員会の役割、並びに、EU の一般データ保護規則に基づく措置及びその統治機構への相互理解を確認した。
両者は、2018 年の秋までに日 EU 間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要とされる関連国内手続を完了させることにコミットする。 」とされています。

電波法無罪判決の有罪部分分析

前のエントリで紹介した「電波法無罪判決」(平成29年 4月27日 東京地裁判決)ですが、無線法律家協会でのプレゼンのために、ちょっと事案を読んでみると、なかなかすごいところがあったので、ご紹介です。

有罪部分は、フィッシング、SQLインジェクション、RAT/遠隔操作、無線局設置の4つのパターンにわけられます。

1 フィッシングケース
フィッシングの事案は、以下のような感じです。

(1)被告人が、A銀行のAダイレクトになりしまして、フィッシングサイトを公開して、フィッシングメールを送信して、誤信させて、被害者Bのお客様番号、ログインパスワード、インターネット用暗証番号等を(被告人の管理するサーバ内に記録させて)取得した。
(2)この取得した識別符号を入力し、A銀行(Aダイレクト)に不正アクセスをなした。
(3)(2)の状態を利用して、Bのメールアドレスが変更になったという虚偽の情報を送信した。
(4)(2)の状態を利用して、被告人が第三者をして管理させていたD名義の口座に振込送金があったという虚偽の情報をあたえて87万円の不法の利益を受けた。

これを被害者E(公訴事実第4及び第5)、被害者有限会社H(公訴事実6及び7)、被害者株式会社O(公訴事実13)に対しても行っています。

2 SQLインジェクションケース
SQLインジェクションは、こんな感じです。

脆弱性検査ツールを利用して、被害者株式会社J(公訴事実8、不正アクセスのみ)の管理するサーバコンピュータにSQLインジェクションを行った。

3 RAT/遠隔操作ケース
RAT(リモートアクセスツール)の実行した事案は、こんな感じ。

(1)被害者株式会社L(公訴事実9および11)の代表者が、コンピュータウイルスscreenshot2.exeを実行した。
(2)被告人が、被害有限会社Nに対して「自動的に電気通信回線を介して被告人使用のパーソナルコンピュータとの通信を開始させるとともにIPアドレス情報等を同パーソナルコンピュータに通知する機能及び同パーソナルコンピュータでの操作によって起動場所であるパーソナルコンピュータ内の電磁的情報を検索して被告人使用のパーソナルコンピュータに送信させる機能等を有するプログラム」を添付したメールを送信した。(公訴事実12)

4 無線局設置
総務大臣の免許を受けず、無線設備を設置して、無線局として運用可能な状態に置いた。
これは、争点からみると、インターネットオークションで購入した無線LANアダプタを利用したものである。のウェブページの「商品説明欄」直下には,「実験用・研究用・海外向け製品です 国内の使用は電波法違反になります」との記載があり,さらにその下方の「注意事項」欄には,「日本(11n 150Mbps)出力制限値5mWをはるかに超えております 国内でのご使用はお控えください 海外でのご利用は使用する国の電波法を必ずご確認お願い致します」との記載があった場合に、アクセス用のアダプタを利用したという場合です。

というわけで、サイバー犯罪の典型例が、並んでいるということで、標準的な公訴事実の記載の仕方とかが、みることができるので、いい例(?)かと思います。

ウェブサイトにおけるクッキー使用に関する質問に対する答弁書

ウェブサイトにおけるクッキー使用に関する質問に対する答弁書が、でています。って

全文で
「お尋ねについては、政府のウェブサイトにおけるいわゆるクッキーの取扱いの状況に係る調査に膨大な時間を要することから、お答えすることは困難である。」
ということだそうです。

アカデミズム的におもしろそうと思っていたのですが、回答が出てこなくて、残念。

諸外国の状況-「海賊版サイトブロッキング」の現状報告と法的整理等

「海賊版サイトブロッキング」の現状報告と法的整理等のセッション(沖縄ICTフォーラム2018in名護 プログラムはこちら)で、「諸外国の状況」のスライドを作成しました。

こちらからpdf版をダウンロードできます。

(706追記)実際の講演に用いた版をアップしました。

18Jaipa705rev

 

2016年2月段階で調査が終了し、納品しているものですので、現在からすると、調査が未完になっています点については、ご容赦ねがいます。
また、フランスは、曽我部先生、ドイツは、笠原先生の調査をもとにまとめております。両先生の調査にそのまま準拠しまとめているつもりですが、もし、まとめたことによって不十分なところがございましたら、ひとえに責任は、私にあります。ご容赦ください。

このテーマは、きわめて重要なものと認識しておりまして、もし、できることであれば、ご予算をいただければ、完成の上、報告書形式で公表させていただきたいと思います。

ネットワーク法を学ぶものとして未完のものを提供するのは、忍びがたく、完成のための予算集めをさせていただくつもりです。関係者の方々、なにとぞ、ご協力のほど、よろしくお願いします。

(株)MTGOX~破産から一転、民事再生開始決定~

(株)MTGOX~破産から一転、民事再生開始決定~ 破産手続き中だった(株)MTGOXが6月22日、東京地裁から民事再生開始決定を受けました。

東京商工リサーチの記事は、こちら

管財人のアナウンスは、こちら

破産法103条は、
「破産債権者は、その有する破産債権をもって破産手続に参加することができる。
2 前項の場合において、破産債権の額は、次に掲げる債権の区分に従い、それぞれ当該各号に定める額とする。
一 次に掲げる債権 破産手続開始の時における評価額
イ 金銭の支払を目的としない債権
ロ 金銭債権で、その額が不確定であるもの又はその額を外国の通貨をもって定めたもの
ハ 金額又は存続期間が不確定である定期金債権」
と定めています。従って、日本の破産法上、届け出られた日本円以外の外貨及びBTCは、全て日本円に換算する必要があるということになります。

Mt.Gox事件においては、換算レートは、東京地方裁判所と協議の上、日本の破産法にしたがって、破産手続開始日の直前(2014年4月23日日本時間23時59分)(日本時間)のCoinDesk BITCOIN PRICE INDEXのビットコイン相場(1ビットコイン=483ドル=50,058.12円になると破産管財人はしていました。現在では、市場価格が高騰したこともあって、このまま手続を進めると、100%の配当で残余は、株主に返還されるということになると考えられました。

民事再生の申立てがあると、裁判所は、破産手続・会社整理手続・特別清算手続を中止することができます(民事再生法26条1項)。また、すでに破産手続中の場合には、破産手続は効力を失うことはないが、手続が中止となり(同39条)、再生計画の認可決定が確定した段階で、初めて中止していた破産手続が失効することになります(同184条1項)。

対ボットネットの法律問題の総合的考察 その8-ドイツにおける乗取り、ボット中立化技術

ドイツにおける乗取り、ボット中立化技術にわけて、具体的な法的問題を分析しようと考えています。このシリーズのエピソード8になります。
なんといっても、セキュリティの防衛のために、侵入・改変というハッカー技術をつかうことができるのか、使ってでも防衛すべきなのではないか、というダークサイドとライトサイドのせめぎ合いが、その本質的な問題を提起するものといえるでしょう。
というか、エピソード8というのは、このようなものでなければならないはずですね。

ボットネットの乗っ取り

ハニーポットが、通信の当事者、テイクダウンが、通信停止に比較すると、「乗っ取り」というのは、防御側がボットへの侵入に成功し、偽のC&Cサーバからの通信を受けいれるように成功することに特徴があります。

「乗っ取り(takeover)」のためには、暗号を破り、マルウエアやC&Cサーバのソフトウエアのリバースエンジニアリングをします。ホストの感染を解毒することで、効果的、かつ早急にボットネットを破壊することができるようになります。感染したワークステーションにパッチを配布することでセキュリティ脆弱性を除去することができ、感染から予防/停止することができます。
しかしながら、遠隔で、除去をはかることは、処理の誤動作やシステムクラッシュを招きかねません。その意味で、種々の法律問題を惹起するといえるでしょう。

ドイツ刑法において、ボットネットの乗っ取りは、データスパイと「ハッキングツール」の利用に関する202a条(データエスピオナージ)と202c条(データの探知及び取得の予備-ハッキングツール利用)の問題を惹起します。
202a条は、でふれました。

刑法202条c データの探知及び取得の予備
 1 データ(第202条a第2項)へのアクセスを可能にするパスワード若しくはその他のセキュリティ・コード、
又は
2 これらの行為の遂行がその目的であるコンピュータプログラム
を作成し、自ら入手し又は他の者に入手させ、販売し、他の者に譲渡し、頒布し又はその他アクセスさせることにより、第202条a又は第202条bに定める犯罪行為の予備を行なった者は、1年以
下の自由刑又は罰金に処する。
第149条第2項及び第3項が準用される。

とされています。これらの犯罪の成否については、行為者の意図(benevolence)は、関係がないとされている。なので、いかに防御の趣旨であるとしても、202a条(データエスピオナージ)と202c条(ハッキングツール利用)に該当するものと考えられるのです。実務は、不確実性があるとされていて(Liis論文 42頁)、起訴の可能性は存在しうるとされています。

また、そのような乗っ取りについては、機密メッセージの侵害(ドイツ刑法206条)などの懸念も起こりうるとされています。

ボットネットの乗取りの手法としては、遠隔解毒と自動的解毒があります。

ドイツ法のもとでは、遠隔解毒は、刑法202a条(データの探知), 303a条(データ改変)および 303b条 (予備においても処罰規定がある)に該当します。また、侵入と感染解除は、データ改変(303a)に該当します。元の状態に戻すためであろうと、さらなる罪を犯すためであろうと、そのような心理状態は、犯罪の成否に関係ないとされています。

また、予期せぬ被害を惹起したとすれば、ドイツ刑法303b条(コンピュータサポタージュ)にも該当します。感染解除が、プログラムもしくはOSへのダメージを惹起しうることの未必の故意(Dolus Eventualis)で足ります。

 自動的検疫/解毒(Automated Immunisation or Disinfection)

ホストの感染解除の方法として侵入して、ボットネットを乗っ取ってしまうことは一つの方法になります。しかしながら、マルウエアの特定の挙動を分析して、特に感染の機能を見る場合には、感染を広げる脆弱性を明らかにすることができます。
特に、拡散に利用されるの脆弱性というのは、限られたグループになっているのが、一般的です。そこで、問題の脆弱性を標的とする自己増殖機能をもつ「ホワイトワーム」を開発することができます。ホワイトワームは、感染が探知されると、ホストの感染を検疫し、脆弱性を修補してきれるものです。

このような自動的手法については、具体的なデータの認識がないとされるので、感染したシステムについて、202a条(データの探知)と202c条の適用の可能性はありません。
もっとも、いわゆるコンピュータサポタージュ(ドイツ刑法303b条)およびデータ改変(303a条)について該当の可能性があります。
ホワイトワームは、プログラムや機能についてダメージを与える影響があります。その結果、自動的検疫/解毒は、正当化事由が適用される可能性がより低くなり、刑罰的行為といえます。

 脆弱性を修補するといういわば、相当の理由があるとしても、「解毒」(一方的な脆弱性の修補によるボット感染の解除)が、同意によるものとするわけではないことは、留意が必要です。
暗黙の同意自体は、正当化事由となるものの、上記のように正当化事由が認めがたいということがあれば、訴追されるリスクが残存している(303C条)ということになります。

データを変更することになって、それが、OSの機能やプログラムを損なう可能性があるとすると、同意は、認められることは、ありそうにはないでしょう。ボットネットが、緊急の危難の要件を満たした場合には、緊急避難の原則が認められるけれども、特に第三者が影響を受ける場合においては、そのような緊急避難が、適用されないということは十分に起こりうることになります。

これは、保有者に対して、自分で、解毒するようにと促すというより侵入的ではない手段がある場合には、なおさらそういえます。
 なお、これらの罪に対しては予備の罪も存在してます(データ改変に関して、303a(3)、202c コンピュータサボタージュについて303b (5), 202c)。

例外的事情のもとでのボット中立化技術

緊急事態状態もしくは国家緊急においては、国民の憲法上の権利を侵害するので、通常の状況のもとでは、認めがたい手法であっても、許容される余地が生じうることになります。Liis論文では、46頁以下で検討されています。

ドイツの基本法においては、緊急原則は、国家が防衛の自体における場合のみ認められます(基本法115条a(1))。
第115a条(概念および確認)
1 連邦領域が武力で攻撃された、またはこのような攻撃が直接に切迫していること(防衛事態)の確認は、連邦会議が連邦参議院の同意を得て行う。確認は、連邦政府の申立てに基づいて行われ、連邦議会議員の過半数かつ投票の3分の2の多数を必要とする。
2 即時の行動が不可避とされる状況で、かつ、連邦議会の適時の集会に克服しがたい障害があり、または議決不能のときは、合同委員会が委員の過半数かつ投票の3分の2の多数をもって、この確認を行う。
3 確認は連邦大統領により、第82条に従って連邦法律官報で公布される。これが適時に可能でないときは、他の方法によって公布されるが、可能な状況になったときは、直ちに連邦法律官報で追完しなければならない。
4 連邦領域が武力で攻撃され、かつ、権限を有する連邦機関が1項1段による確認を即時に行うことができる状況にないときは、この確認は行われたものとみなされ、かつ、攻撃が開始された時点で公布されたものとみなされる。
5 防衛事態の確認が公布され、かつ連邦領域が武力で攻撃されたときは、連邦大統領は、連邦議会の同意を得て、防衛事態の存在についての国際法上の宣言を発することができる。2項の条件のもとにおいては、合同委員会が連邦議会に代わるものとする。

基本法115条a(1)の定めによれば、防衛状態かどうかは、ドイツ連邦議会(Bundestag )および連邦参議院(Bundesrat)によって定められます。

表現の自由/情報の自由は、公共の安全/秩序に対して危険が生じる場合のみに制限される。これらの場合は、ドイツ刑事訴訟法および16の警察法において述べられています。それらの例外は、非常に保守的であり、それぞれの場合において必要な事実を考察しています。