欧州議会、著作権新指令案否決 条項見直し9月に再投票へ

欧州議会、著作権新指令案否決 条項見直し9月に再投票へhttp://www.itmedia.co.jp/news/articles/1807/05/news140.html
となったそうです。

この指令案の正式名称は、「デジタル単一市場の著作権に関する欧州議会および委員会指令提案」( Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on copyright in the Digital Single Market)です。

同指令は、6月20日に欧州議会・法務委員会において可決されていたものです。

この著作権指令改正案は、「デジタル技術の進展が著作物やその他の作品の創作方法、生産方法、配信方法、悪用方法を変えている、新しい使用は、新しいプレーヤー、新しいビジネスモデルともに、出現している。デジタル環境において、国境を越えて利用されており、消費者にとって、著作権保護されたコンテンツにアクセスする機会が重要になっている。著作権枠組によって設定された目標と原則は、健全なものであるが、新しい現実に適応する必要が存在するのである」ということから、改正案が提案されていたものです。

特に、ISPとの関係で、問題となるのは、13条にとなります。

同指令13条は、ネットワークにおける通信に対する関与を是としない立場からは、検閲マシーン条項と揶揄されています。
13条の条文は、

ユーザによるアップロードされる大量の作品等を保存し、アクセスをなす情報社会サービスプロバイダーによる保護されたコンテンツの利用(Use of protected content by information society service providers storing and giving access to large amounts of works and other subject-matter uploaded by their users)

1. 大量の作品や利用者がアップロードしたその他の主題を一般市民に保存して提供する情報社会サービス提供者は、権利者と協力して、権利者と作品の使用について締結した契約の機能を確保するための措置を講じる/またはサービス提供者と協力して権利所有者によって特定された作品またはその他の対象物に関するサービスの利用可能性を防止する(shall)。 効果的なコンテンツ認識技術の使用などの措置は、適切かつ比例していなければならない。サービス提供者は、関連する場合には、措置の機能および実施について作品およびその他の対象物の承認および使用に関する適切な報告について適切な情報を権利者に提供しなければならない。

2. 加盟国は、パラグラフ1で言及された措置の適用に関する紛争の場合、利用者が利用できる苦情および救済メカニズムを、第1項に記載のサービス提供者が適所に置くことを確実にしなければならない。

3. 加盟国は、適切な場合には、情報社会サービス提供者と利害関係者の対話を通じて、とりわけサービスの性質、技術の進歩に照らしたその有効性と効果を考慮にいれて、適切かつ比例するコンテンツ認識技術などのベストプラクティスを定義するために協力を促進する。

です。

この趣旨については、同指令改正案の前文(37)ないし(39)に詳述されています。
具体的には、

(37)過去数年間、オンラインコンテンツ市場の機能は複雑さを増している。権利保有者の関与なしにユーザーによってアップロードされた著作権保護されたコンテンツへのアクセスを提供するオンラインサービスは、盛んになり、オンラインコンテンツへの主なアクセス元になっています。これは、権利の保有者が、自分の著作物や他の対象物が使用されているかどうか、またどのような条件の下で、適切な報酬を得る可能性を判断する可能性に影響する。

(38)情報社会サービス提供者が、ユーザがアップロードした著作権保護された作品またはその他の対象物に公共のアクセスを提供する場合、物理的設備の単なる提供や一般に伝達する行為を行うことを超えており、欧州議会および理事会の指令2000/31 / ECの第14条に規定されている責任免除の対象とならない限り、権利者とのライセンス契約を締結する義務がある。
第14条に関しては、アップロードされた作品や対象物の提示を最適化すること、またはそれらを促進することを含む、サービスプロバイダが積極的な役割を果たすかどうかを、その手段の性質にかかわらず検証することが必要である。
許諾契約の機能を確実にするために、大量の著作権保護された作品またはユーザーがアップロードしたその他の主題に公衆へのアクセスを保管し提供する情報社会サービスプロバイダは、著作物の保護を確実にするために、効果的な技術の実施など、その他の主題を含む。この義務は、情報社会サービス提供者が指令2000/31 / ECの第14条に規定されている免責免除の対象となる場合にも適用されるべきである。

(39)ユーザと権利者によってアップロードされた大量の著作権保護された作品やその他の対象物に対して、一般にアクセスしてアクセスを提供し、提供する情報社会サービスプロバイダと、権利者が、協力することは、コンテンツ認識技術などの技術が、機能を果たすことにとって不可欠である。そのような場合、権利者は、サービスがコンテンツを識別できるようにするために必要なデータを提供し、権利者が、適切な評価をすることを可能にするために実際に利用されたテクノロジに関する透明性を有する必要がある。このサービスは、特に権利者に、使用される技術の種類、操作方法、および権利者のコンテンツ認識成功率に関する情報を提供する必要がある。これらの技術は、権利者が情報社会サービスプロバイダから、コンテンツの使用についての情報を入手することも契約によって認められるべきである。

ということです。

なお、この前文のなかの著作権指令14条というのは、ホスティングプロバイダの規定です。

第14条 ホスティング
1. サービスの受取人により提供される情報の保存からなる情報社会サービスが提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーが、サービスの受取人の求めにより保存した情報に対しては責任を有しないことを、保証しなければならない。
(a)そのプロバイダーが、損害賠償の請求に関する違法な行為又は情報を実際に知らないこと、そして、違法な行為又は情報が明白である事実又は状況に気付いていないこと、又は
(b) プロバイダーが、そのようなことを知り、かつ、気付いたときに、その情報を除去するか又はそれへのアクセスを不可能にするために、迅速に行動すること。
(略)

導管プロバイダと特定電気通信事業者

来週、名護市で、外国における通信の秘密とブロッキングについてお話しさせていただくことになりました。(沖縄ICTフォーラム2018in名護

いままでに、外国の通信の秘密について調べてきたものを、著作権に基づくブロッキングが世間での話題になったのを機会にもう一回まとめてみようかと考えてみました。

プロバイダが、違法の内容の通信について、その通信が違法内容である場合に、送信停止措置をとることができるのか、という問題があるわけです。他者の権利(著作権)が侵害された時、「技術的に対処可能」かつ「他⼈の権利が侵害されていると知っていた」という条件を満たしている場合、⽣じた損害について賠償する責任があることが抽象的に認められています(プロバイダ責任制限法3条)のだから、逆に、技術的に対処可能で、悪意になったのであれば、対処してもいいではないか、という論点があることになります。

通常は、プロバイダは、通信の内容が違法であるかを積極的に探知してはいけないよ、という禁止の義務付けなわけですが、違法だと知ってしまったときに、その通信を、約款等に基づいて停止することはできるのか、という問題は、厳密には、別ということができるわけです。解釈論としては、事業法4条は、禁止のみですから、この警告後の作為義務の部分をカバーするということはいえないでしょう。(法的には、電子メールのモニターと、不祥事発覚後の電子メールの調査が違うのと原理は同様です)

ここで、参考になるのが、脅迫電報事件(大阪地裁平成16年 7月 7日.大阪高裁平成17年 6月 3日)ということになります。

事案は、森先生のスライドでよくでているので、そちらを参照ください

判決文としては、「民法90条は,そもそも公序良俗違反の法律行為を無効とする規定に止まるのであり,それを超えて何らかの法的作為義務を根拠づけるものと解することはできない。
また,原告らが条理として主張するところは,他者に対し危害を加えてはならないという観念的,抽象的なものに過ぎず,具体的にどのような事実関係を前提としていかなる行為義務が発生するのか,その主張の根拠とするところが全く不明であって,法的作為義務の発生原因とはなし得ない」といいます。

また、「仮に,被告らに条理上何らかの作為をなすべき一般的義務が発生すると解する余地があるとしても,本件において原告らの求める行為の内容は,通信事業者たる被告らに求めることが適当でないのみならず,かえって公共的通信事業者としての職務の性質からして許されない違法な行為を内容とする」としています。

内容を覚知した場合に限るとした主張に対しても「特定の電報の内容を覚知する前提として,必然的に全電報の内容を審査の対象とせざるを得なくなることは,前示のとおりである」としています。
だとすると、事業法4条は、禁止のみを定めるものの、さらに、個別の場合における停止の権利さえも否定するということになると解されます。

現在ですと、特定信書便とかでの電報サービスもあるわけですが、その約款では、信書の内容に関する規定は、はいっていないわけです。これは、逆に、個別の場合における停止の権利さえも定めてはいけないという趣旨なのかと思われます。

すると、上の技術的に対処可能な場合の特定電気通信事業者の(抽象的)責任と、上の判決の法理との関係が、気になるわけです。電報は、そうかもしれませんが、インターネットもそうなのか、ということになるかと思います。「必然的に全電報の内容を審査の対象とせざるをえなくなる」わけでなければ、上の脅迫電報事件の論理が及ばないのではないか、と考えられるわけです。

日本法だけながめてもインスピレーションがわかないので、頭の体操で、EUにおけるプロバイダの三つの種類をみていきます。

EUにおける電子商取引指令(域内市場における情報社会サービスの法的側面、特に電子商取引の法的側面に関する欧州議会及び理事会指令2000/31/EC(DIRECTIVE 2000/31/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of on certain legal aspects of Information Society services、 in the Internal Market (‘Directive on electronic commerce’)の12条から15条において、オンラインの媒介者に対する責任についての要求に関する基準となる要素(閾値-threshold) を定めています。

同指令は、単なる伝送路、キャッシング、ホスティングに分けて、責任を論じています。具体的規定と、その具体的な例は、以下のとおりになります。(訳として大仲末雄「電子商取引に関する法制度の研究」(http://www.ne.jp/asahi/ohnaka/e-commercelaw/sub1.pdf)343頁以下がある)。

第4仲介サービスプロバイダーの責任

第 12 条 単なる伝送路

1. サービスの受取人が提供する情報の通信ネットワークにおける伝送、又は、通信ネットワークへのアクセスの提供からなる情報社会サービスが提供される場合には、加盟国は、サービスプロバイダーは、次の各項に掲げる条件を満たす限り、サービスプロバイダーは、伝送された情報に対して責任を有しないということを保証しなければならない。

(a)サービスプロバイダーは、自ら伝送を開始しないこと。

(b)サービスプロバイダーは、伝送の受信者を選択しないこと。

そして(c)サービスプロバイダーは、伝送に含まれる情報を選択又は変更しないこと。

(略)

通常の電気通信会社、接続プロバイダは、この単なる伝送路に該当するものとなります。

第13条 一時保存(キャッシング)

1. サービスの受取人が提供する情報通信ネットワークにおける伝送からなる情報社会サービスが、提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーは、サービスの受取人からの求めに応じて、単に、その情報のさらなる伝送を効率的にする目的ためになされる、当該情報の自動的、中間的かつ一時的保存に対して、責任を有しないということを、保証しなければならない。

(a)プロバイダーは、情報を変更しないこと、

(b)プロバイダーは、情報へのアクセスに関する条件を遵守すること、

(c)プロバイダーは、産業界で広く認識され、かつ、使用される方法で指定された情報のアップデートに関するルールを遵守すること、

(d)プロバイダーは、情報の使用に関するデータを得るために、産業界で広く認知され、かつ、利用される技術の合法的な使用を妨げないこと、そして

(e)プロバイダーは、伝送における最初の発信元での情報がネットワークから取除かれた/アクセスが困難になった/裁判所又は行政当局がそのような除去又はアクセスの不能化を命じたというという事実を実際に知り得た場合には、保存された情報を除去し、アクセスを不可能にするために、迅速に行動すること。

(略)

インターネットにおいて通信を高速化するために、通信を一時的に保存するサービスが存在する。アカマイなどが代表的なものである。これらは、このキャッシングに該当します。この規定は、このようなサービスにおいて、そのような一時的な保存が、侵害行為に当たらないということを明らかにする趣旨になります。

第14条 ホスティング

1. サービスの受取人により提供される情報の保存からなる情報社会サービスが提供される場合には、加盟国は、次の各号に掲げる条件を満たす限り、サービスプロバイダーが、サービスの受取人の求めにより保存した情報に対しては責任を有しないことを、保証しなければならない。

(a)そのプロバイダーが、損害賠償の請求に関する違法な行為又は情報を実際に知らないこと、そして、違法な行為又は情報が明白である事実又は状況に気付いていないこと、又は

(b) プロバイダーが、そのようなことを知り、かつ、気付いたときに、その情報を除去するか又はそれへのアクセスを不可能にするために、迅速に行動すること。

(略)

となります。

この具体例としては、電子会議室機能を提供しているプロバイダということになります。

ここで、見たときに、ホスティングプロバイダーは、現実に悪意になった場合には、情報の除去等をしない場合には、責任を負うということが明らかにされています。その一方で、導管プロバイダーは、責任をおわないことが明らかにされています

ここで、ふと、わが国の「特定電気通信」の定義を見てみるわけです。特定電気通信とは、「不特定の者によって受信されることを目的とする電気通信(略)第二条第一号に規定する電気通信をいう。」わけです。そして、これには、「特定電気通信設備の記録媒体に記録された情報が不特定の者に送信される形態で行われるもの(蓄積型)と送信装置に入力された情報が不特定の者に送信される形態で行われるもの(非蓄積型)」とがあるとされています。

さらに、この悪意になった場合の責任の根拠については、この場合、プロバイダーが、いわば、公表者と同様の立場になるので、一定の場合で責任を負うことが起こりうるということになります。

ホスティングプロバイダーに該当するものが、特定電気通信事業者になることは間違いないので、現実の悪意なのか、善意の拡散なのかで責任をわけるということは、分かりやすいです。

では、導管プロバイダは、どうなのか。インターネットについては、「必然的に全電報の内容を審査の対象とせざるをえなくなる」わけでは、ありません。そして、技術的に対応が可能であるということであれば、現実の悪意以降の拡散について、作為義務を認定することも理論的には、可能ですね。また、作為義務の前に、自主的に対応するのは、可能なのではないか、ということはいえます。

各プロバイダが、他のプロバイダと契約を結んで、インターネットのトラフィックを伝達してる、そこで、具体的に違法なコンテンツが流通されている、「特定電気通信による情報の流通により他人の権利が侵害されている」場合になったときに、「現実の悪意」になった以降において、契約上の権限にもとづいて、これを拡散しないように、合理的な対応をとる。これが許容されないと解釈するためには、上記の脅迫電報事件を一歩進めるということになりそうです。(外国の文献だと、プロバイダの契約をもとに停止しますと問題なく記載している記述をみることがあります)

すくなくても、解釈論としては、契約上の権限にもとづいて、これを拡散しないように、合理的な対応をとる、この行為が、電気通信事業法上、禁止されるといえるかは、ニュートラルというような気がします。拡散の停止の作為義務があるとはいえないが、停止の権利はあるといえそうです。

ここで、この解釈論は、諸外国の実務や動向で裏付けられることになるのでしょう。ということで、来週までにスライド作っておきましょう。

対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性

Liis論文をもとに、ドイツにおけるボットネット対応手法の法的位置づけを考えるというマニアックなメモも、やっと個別の手法の分析です。(Liisさんは、エストニア法の担当で、ドイツの担当は、他の方かもしれませんが、それは、ご容赦のほどを。)

Liis論文ですと、26頁から、データ保護についての分析が加わります。IPアドレスは、個人データと解されることが明らかになってきているので、EU域内において、サイバーセキュリティの法律問題を考えるときに、個人データ保護との相剋というのは、きわめて重要な問題になってきているところです。ただ、わが国だと個人情報保護法の執行が微妙なところもあるので、今回は、この部分の比較分析は、省略します。またの機会にしたいと思います。

(1)ハニーポット

33頁からハニーポットの手法による検討になります。

「ハニーポットとは、資源が、無権限で、あるいは、不正に利用されることに価値がある情報システムリソースである」と定義されています(「ハニーネットプロジェクト-汝の敵を知れ」15頁参照)

『カッコウはコンピュータに卵を産む』にある「SDIネット」が代表的なもの、ということになります。この仕組みは、あえて、通信の当事者となるように設置されている点がその余の攻撃者の行為を探知する仕組みと異なっているということができます。(法律家的には、そうならば、「ハニーポットとは、攻撃者の動向等の調査のために、セキュリティ的に脆弱に維持された通信の当事者である端末、もしくは、リソースをいう」とかのほうが、正確なような気がしますが、それは、それで、上のハニーネットプロジェクトの定義が一般化しているので、そこは触れないことにします)

ハニーポットを用いた情報の収集行為の法的問題については、わが国においては、あまり論じられていません。上記ハニーネットプロジェクトの8章がアメリカの法律について触れており、また、付録Gで園田さんの解説があります。が、それ以外には、正面から論じた論文は、すぐにでてきません。

ハニーポットをこのような見地からみるときに問題となるのは、一つは、ボットマスターからのメッセージを含むのみではなく、他のメッセージ(トラフィックを拡散するように命じられたボットオーナーのもの)を含むということになります。その意味で通信の機密性を侵害する(宛て先とされていないで託されたメッセージを送信者の意図に反してなすこと)リスクがあるとされています。いま一つは、プライバシの懸念ということになります。この場合は、データ保護に反するということです。

Liis論文は、これらの問題をドイツ法に基づいて分析しています。

ボットマスターやボットが一方当事者であって、サービスプロバイダーのがもう一方である場合において、サービスプロバイダーが、通信データを分析することは、電気通信システムの妨害等を認識し、制限し、除去するために限って認められます。さもないと、ドイツ刑法206条に基づいて「電気通信の秘密」侵害/電気通信法88条.テレメディア法7条(2)の義務違反/個人データ保護法違反に該当することになります。特定のボットネットの活動の場合に限って、電気通信システムが妨害されるときといえると解されています。その結果、ドイツにおいて、ハニーポットでのパケットやトラフィックデータの分析が合法的になしうるのは、限定された場合ということになります。

プロバイダーの観測の結果を、独立の研究者に開示することが許されるかというのもハニーポットの調査においては、問題になります。この場合、通信当事者の同意がある場合、データの匿名化がなされた場合、裁判所命令等が存在する場合、などに限って許容されるということになります。

ボットマスターやボットが一方当事者であって、独立の研究者がもう一方の当事者である場合においては、みずからに向けられた通信データをモニターすることは、データ傍受(ドイツ刑法202b条)には、該当しません。また、「特別に無権限アクセスから保護された」ものではないので、その点からもデータ傍受に該当しません。
もっとも、データ保護法の問題点があり、研究者は、その研究によって、データ保護法の取扱・利用規定から除外されるべきという利益を明らかにする必要があります。

(2)C&Cサーバのテイクダウン

Liis論文35頁からは、C&Cサーバのテイクダウンの法的問題についての考察をしています。

ここで、テイクダウンと一般的に表現していますが、手法としては
ア)DNS名称の消去( disconnecting the identified C&C server(s) by deleting its DNS name)
イ)宛先トラフィックのブラックホールへの移動による利用停止( making the C&C server(s) unavailable by black-holing the traffic directed to it)
ウ) 物理的差押(physically seizing the C&C server(s))
エ) ISP等のプロバイダによる接続停止(disconnecting the C&C server(s) by the ISP or the cloud service provider hosting it)
があることになります。

コマンド・コントロールサーバのテイクダウンの法的位置づけについては、テイクダウンの法的な根拠があるのかということとコマンド・コントロールサーバの場所に左右されることになります。

法的な根拠としては、まず、CERT は、それ自体としては、C&Cサーバのテイクダウンを命じる権限を有することはありません。これに対して、ISPは、一定の資源に対して、一般的なセキュリティ義務について、消費者保護、利用契約における制限の可能性を用いてそれをなしうることになります。また、法執行機関からの要請がある場合には、ISPは、制限をなすことを義務付けられます。

法執行機関が、それ自体法律の根拠に基づいてテイクダウンする場合については、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」で検討しておきました。

ドイツにおいては、C&CサーバがホストされているISPは、民法314条に基づいてサーバを遮断/利用契約を終了させる権限を有しています。
この314条については、谷口 聡「ドイツ民法典314条の規定とその民法体系上の位置−ドイツ債務法における「継続的債務関係」諸規定の構造−」という論文があります。
ドイツ民法314条 重大な事由による継続的債務関係の告知
(1)継続的債務関係は、両当事者が、重大な事由により告知期間の遵守なしに告知しうる。告知する当事者にとって、個別事例のすべての事情を考慮し、かつ、両当事者の利益を考量して、合意された終了時までの、または、告知期間徒過の時までの契約関係の存続を要求しえない場合は、重大な事由が存在する。
(2)重大な事由が、契約に基づく義務違反にあるときは、告知は、除去のために定められた期間の徒過の後、または、催告がなされても不奏功に終わった後に初めて許容される。323条 2 項が準用される。
(3)権利者は、彼が告知原因を知った時、相当な期間内においてのみ告知をなしうる。
(4)損害賠償を請求する権利は、告知により排除されない。
と定められています。(条文は、上記谷口論文から引用です)

実際にも利用契約に記載されているのが一般であるとされています。

上記のような法的権限を有しないで、テイクダウンを行うという場合においては、刑法等に該当しないことを確かにしないといけないことになります。具体的には、ドイツ刑法303a条(データ変造)、
303b条(コンピュータサボタージュ)の違反について検討しなければなりません。
これらの罪の構成要件は、
ドイツ刑法303a条(データ変造)
(1) データ(第 202 条 a 第 2)違法に消去し、隠蔽し、使用不能にし、または変更した者は、2年以下の自由刑または罰金に処する。
(2) 本条の未遂は罰する。
303b条(コンピュータサボタージュ)
(1) 他人にとって本質的に重要であるデータ処理を第 303 条 a 第1項の行為をおこなうことによって妨害した者/損失を与える意図をもって202a条(2)のデータを入力し、送信する者/データ処理システムまたは、キャリアを破壊し、毀損し、使用不能にし、除去しまたは変更する者は、何人も、3年下の自由刑または罰金に処する。
(略)
となります。

C&Cサーバのテイクダウンは、データ処理の運営に対する介入と解されています。(もっとも、接続を停止するのみであれば、電気通信の秘密の侵害とは解されていません)しかしながら、ドイツ刑法34条(緊急避難)、ドイツ民法227条、228条の正当防衛、自力救済に該当するのであれば、刑罰を免れることになります。

C&Cサーバの遮断が、ISPの機能や安定性を確保するためになされる場合においては、電気通信法100条に基づいて、法的な利益を確かにするためになされると解されているので、ドイツ刑法34条の規定に該当するとされています。

条文としては、
ドイツ刑法34条
生命、身体、自由、名誉、財産又はその他の法益に対する現在の、他に回避し得ない危険において、自己又は他人の当該危険を回避するために行為を行った者は、対立する諸利益、特に問題となる法益や、法益に対する危険の程度を衡量して、保全利益が侵害利益を著しく優越する場合には、違法に行為したものではない。但し、このことは、当該行為が当該危険を回避するために相当な手段である場合に限り、妥当する
となります。

深町 晋也「刑法におけるディレンマ状況と自動運転―ドイツ刑法学の桎梏を通じて」から引用

対ボットネットの法律問題の総合的考察 その5-ISPの義務について

Liis論文では、ISPや法執行機関、学術研究者、起業家、政府機関は、サイバードメインを安全にするためにある種の義務をおっているのではないか、という点についての検討がなされています。

法執行機関の位置づけについては、前に触れました。ここでISPについて見てみましょう。

ドイツにおいては、ISPは、その一般的な際は、情報社会の恩恵を可能にすることであって、通信ネットワークのサービスにたいしての危険がある場合には、サービスとネットワークを防護する義務があると解されています。この理は、電子商取引指令、データ保護指令、電気通信パッケージに明らかにされています。

ドイツにおいては、テレメディア法7条において、ネットワークトラフィックをモニターすることを義務付けられていません。
ドイツ刑法138条は、特定の犯罪の計画または、その実現を知っていないがら、当局に告知しないのは、犯罪とされるのですが、ボットネット自体は、この138条の対象犯罪(138 条 計画された犯罪行為の不通報で、1 項 1 侵略戦争の予備(80 条)、2 81 条から 83 条 1 項の場合における内乱、3 94 条から 96 条,97 条 a 若しくは100 条の場合における反逆若しくは対外的安全の危殆化 、4 146 条,151 条,152 条の場合における通貨偽造若しくは有価証券偽造若 し く は 152 条 b 第 1 項 か ら 3 項の保証機能付き支払用カード及びユーロチェック用紙の偽造、5 謀殺(211 条),故殺(212 条)若しくは民族謀殺(国際刑法典 6 条)若しくは人道に対する犯罪(同法典7 条)若しくは戦争犯罪(同法典 8条,9 条,10 条,11 条若しくは 12 条)など、あとは、省略) とはされてはいません。また、コンピュータ犯罪が生じたことに気がついたとしても当局やユーザに対して、通知する義務は、存在しません。
(ちなみに、138条については、ドイツ刑法各論講義ノート:国家的法益に対する罪 の300頁を参照しました)

もっとも、ドイツ電気通信法109(5)条は、ISPの義務として、ITインフラまたは電気通信サービスに深刻なセキュリティの違反があった場合には、直ちに連邦ネットワーク庁(Bundesnetzagentur)に伝えるべき義務を定めています。これによって、連邦ネットワーク庁は、詳細な情報を求めることができます。
また、必要であれば、連邦ネットワーク庁は、連邦情報セキュリティ局(BSI)、他のEU加盟国の規制当局やENISAに連絡します。また、BSIは、一般社会への連絡をなすこともあれば、ISPにたいしてそのようにするように伝えることもできます。

ISPは、ボットネットから影響を受けた場合には、場合によっては、利用者に対して、利用者のコンピュータが感染している/サービス提供に対する危害のみならず機器への危害を与えることを知った場合には、その旨を伝えることもできます。これは、契約書からもまた、ドイツ民法242条からも根拠づけられるとされています。

研究者について検討すると、ドイツ刑法138条の犯罪を報告する義務は、単にボットネットがあるというのを知っているだけでは成立しません。しかしながら、もし、上述のドイツ刑法138条の犯罪(支払用カードの偽造など)がボットネットを通じてなされている(具体例はなかなか思いつきにくいところですが)というのを了知したときは、この犯罪を通知する義務が発生します。

企業について考えると、犯罪報告の懈怠に関する規定は、法人には、適用がなされません。

ドイツ刑法14条は、他人のための行為としての可罰性を認めていますが(「フィンランドにおける法人の 刑事責任の規定について」参照)、企業の代表者は、犯罪が(たとえば、無権限アクセス)自ら、もしくは、従業員がその企業のためになされた場合のみ、間接的侵入者としての責任を負います。

ドイツ民法31条は、企業が、その代表者の行為について、もし、企業活動において第三者に損害を与えた場合には、責任をおうことを明らかにしています。

その結果、ボットネット対策の途上において、第三者に対して責任が発生した場合には、ISPは、責任を負うことになります。

これらの義務づけ等は、わが国では、同等のものは、存在しないものと考えられるかと思います(セキュリティ侵害が個人情報漏洩を引き起こした場合を除く)。義務によって、一定のセキュリティを守るというのが効果的か、というのは、また、別個の問題を引き起こしそうです。

 

対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為

政府(法執行機関、その他の政府機関)のボットネット対応について考えてみましょう。

政府は、ボットネットに対して、何ができて、何ができないか、また、何をしなければならないのか、という論点です
ここで、Liis論文をもとに、ドイツの議論をみてみましょう。

法執行機関についていえば、ドイツ刑事訴訟法152条の強制起訴の原則から、法執行機関は、ボットネットに関する十分な事実関係を把握したのであれば、行動をとることが義務付けられます。
刑事訴訟法160条によると、検察庁は、犯罪の嫌疑があることを知った場合、直ちに捜査を開始することになり(同161条)、捜査の終了時に、検察官は、控訴を提起するための十分な根拠があるかどうかを決定しなければならないとのことです。

ボットネットの構築と運営は、複数の刑罰法規に該当するのであり、事実関係が明らかになった場合には、相当な嫌疑を正当化することになるでしょう。この場合には、公訴を提起する義務があることになります。この義務を満たさない場合には、申立人は、公訴を強制する権限を有することになります(同刑事訴訟法172条)。

法執行機関が、強制的な契機をもった活動をなしうるのか、という問題があります。具体的には、法執行機関が、みずから、もしくは、ISPに対して、ボットをテイクダウンするように命じることができるのか、ということです。

ドイツにおいては、連邦警察が、公共の安全を保護しなければならないことを定められています(連邦警察法典70条)。ここでいう、公共の安全には、国民の基本権(基本法2(2)条)、個人の自由(同)、移動の自由(同11(1)条)、家庭の不可侵性(同13条)が具体的に守られるべきものとして含められています。

ボットネット対応は、一次的には、地域警察(regional Länder Police)の管轄と考えられています。もし、ボットネットが、見つかった場合には、警察は、警察法に従って、公共の安全、もしくは、生命、物的インテグリティが脅かされる場合においては、捜索命令(地域警察法41条、42条)もしくは、サーバの没収命令(同43条、44条)を取得することになります。そして、その命令に基づいて、警察は、テイクダウンを行うことができることになります。ISPに対して、C&Cサーバを遮断することを命じて、それに基づいて遮断をさせることは、より制限的ではない介入であると考えられていることから、没収(同43条)の権限に含まれると解されています。

さらに、問題のC&Cサーバが、実際に、公共の安全への危険もしくは公共の秩序の破壊にいたっている場合には、地方警察法の一般規定によってテイクダウンが正当化されうる。そのような場合には、警察は、ボットマスター、C&Cサーバのホスティング者、ISP、感染したコンピュータの保有者に対して、活動を停止するように要求することができます。この要求を拒絶した場合においては、警察は、代替執行の手法をなしえます。

その余の手法としては、警察は、、データやキーストローク、通信、利用者の行動を監視する目的のために、トロイの木馬を利用するオンライン捜索命令を取得するという手法がありますが、議論があるところです。2007年ドイツ連邦最高裁は、オンライン捜索命令は、ドイツの法システムに存在しないとし、オンライン捜索命令は、基本権に対する重大な侵害であるとしました。また、2008年に、オンライン捜索命令は、予防的警察手法であると決定した。これを許容するには、法的な根拠が憲法に備わっていないとならないとしました。それゆえに、このような手法は、ボットネット対策に対しては、適法な選択肢ではないとされています。

では、日本の議論になります。

ボットネットの構築もしくは、運営が刑事法的に犯罪になりうるのか、という問題があります。この点について、日本で議論されている文献は、少ないように思えます。検索した限りでは、夏井先生の「サイバー犯罪の研究(一)――DoS 攻撃(DDoS 攻撃)に関する比較法的検討――」あたりのみでしょうか。

実際には、DDos攻撃/スパムに利用されるわけなので、電子計算機損壊等業務妨害罪(もしくは、通常の業務妨害罪)の証拠となる物件ということになるものと思われます。
ボットネット自体(というか、感染したボットやハーダー・コンピュータ)も、究極的には、
刑法19条1項
次に掲げる物は、没収することができる。
1 犯罪行為を組成した物
2 犯罪行為の用に供し、又は供しようとした物
(略)
ということで、「犯罪行為の用に供し、又は供しようとした物」ということになるのではないか、と考えられます。

なので、ドイツの議論がそのまま適用されることになるのかと思います。もっとも、問題は、その感染したボットやハーダー・コンピュータが、物理的に、国外に存在するという場合です。サイバードメインで行われている行為であっても、その電気通信の伝達に使われる「物」が、物理的に存在している国の法執行機関の権限はおよびます。物を、捜索し、押収すれば、いいわすです。その一方で、海外に存在している場合には、その物理的に存在している国に対して、捜査協力を依頼することになります。ただ、国によっては、協力を要請されたとしても、これに応じないという国があるので、問題が深刻化することになります。

このような観点から、法執行機関が、何らかの強制的契機を有する活動をできないか、という問題になります。

「警視庁、日本標的の不正送金ウイルス「無力化作戦」に乗り出す ボットネット特定し対策」(2015年4月)にあるように、無力化作戦として、どのような手法が使えるかということになります。
これについては、むしろ、民間企業がなすことができるのか、という話を検討した方がいいので、そのところで検討することにします。

対ボットネットの法律問題の総合的考察 その3

「対ボットネットの法律問題」というのは、結局、関係者が、ボットネット攻撃に対して、法的に、何ができて、何ができないか、また、何をしなければならないのか、という問題ということができるでしょう。

関係者

ここで、関係者といった場合に、ISPや法執行機関、学術研究者、企業、政府機関などがあげられることになります。ちなみに、Liis論文でも、これらについて検討しています。

これらの関係者は、大きくわけると、政府(法執行機関、その他の政府機関)、インターネット中間者、民間(研究者、セキュリティ企業、被害企業)にわけることができると思います。

可能な行為

何ができるか(何ができないか)というのは、具体的には、攻撃者にたいしての積極的な反撃行為、積極的な情報取得行為、消極的な情報取得行為などの問題があります。この点について検討しておかなければならないのは、強制力は国家が独占しているという原則ということになります。要は、自力救済(redress)は、原則として禁止されており、例外的な場合に限って許容されるということです。これは、国際的な関係でも適合します。外国に対するサイバー力の行使(この概念自体、また別個の議論を必要としますが)は、その他国の主権の侵害等に問われることがあるというのが一般理論になります。

「強制力が国家が独占している」という原則は、(1)国家が、独占して行使しうる強制力というのは、どのようなもので、法執行機関、諜報機関および軍隊は、いつ、どのような行為をなしうるのか、また、それらの法的な位置づけはどのようなものか、という論点 (2)ISPや民間が、いろいろななす行為は、「強制力」の国家独占の原則との関連で、禁止されているのに該当するのではないか、また、逆に、許容される場合は何か、という論点を含むことになります。

(1)の論点は、捜査権限の問題であり、私の論文でいうと、リーガルマルウエアの問題も含まれてくることになります。

(2)の論点は、防衛行為の許容性の問題、また、許容される場合に注目した場合には、アクティブサイバー防衛の問題になってきます。

関係者の義務と責任

何をしなければならないのか、というのは、なすべき作為義務という観点と、それを怠った場合に損害が生じた場合の責任という観点から、分析されるということになります。

このように問題点のマッピングをしたのちに、すこし、順番を変えて、関係者の義務と責任の観点から、問題点についてのドイツの立場をLiis論文をみながらふれていくことにしましょう。

 

 

対ボットネットの法律問題の総合的考察 その2

EUにおけるサイバーセキュリティの政策と規則の動向について検討していきます。この分野は、わが国において、誰も、フォローしていない論点になるかと思っています。

ボットネット対応は、EU法においては、EUにおける情報社会に関する対応という大きなプログラムの中の一部として位置づけられています。
大きなプログラムのなかの法について、考えると、EU法については、条約や法的規範の体系があることになります。そしてこの法的規範というのには、具体的に規則や指令が含まれることになります。
電気通信に関して、EU法が対応している従来の分野は、1)データ保護/電気通信フレームワーク2)サイバー犯罪 3)ネットワークおよび情報セキュリティ があるとされます。この3つの分野については、以下の図であらわすことができます(下記の2001年コミュニケ 3頁)。

 

データ保護/電気通信フレームワークについては、「データ保護指令」「eプライバシ指令(2002/58/E.C)」や電気通信枠組があります。

電気通信枠組は、2002年の「枠組指令(2002/21/EC)」、「認証指令(2002/20/EC)」、「アクセス指令(2002/19/EC)」、「ユニバーサル・サービス指令(2002/22/EC)」、BEREC規則、ローミング規則などで論じられることになります。これらについては、電気通信の規制枠組みにまとめられています。

サイバー犯罪の問題については、ヨーロッパ内部においては、1999年の欧州協議会のタンペレ・サミットにおけるハイレベルのアジェンダにおいて、ハイテク犯罪について共通の定義、犯罪化、制裁について努力がなされるべきであるとされたのが一つの契機となります。(より、広範囲においては、サイバー犯罪条約の活動があり、それも重要ですが、ここでは、割愛します)

2000年には、欧州協議会と委員会のeヨーロッパ2002アクションプランにおいて、サイバー犯罪に対して対抗する努力が求められました。

2001年においては、欧州委員会は、情報インフラのセキュリティを改良して、「コンピュータ関連犯罪と戦うことによってより安全な情報社会を創造する」というコミュニケを公表しています( Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Committee of the Regions – Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime. COM(2000)890.)。このコミュニケにおいては、ハッキングとサービス妨害攻撃に対する対応が重要であるとされています。

これと並行するように、情報社会に対する対応の一つとして「ネットワークと情報社会:ヨーロッパの政策アプローチ」という2001年コミュニケ(Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions – Network and Information Security: Proposal for A European Policy Approach. COM(2001))があり、そこでは、情報セキュリティに関して、上記の3つの異なった分野について、情報社会のためにセキュリティでなすべき事項があるとしています。

このコミュニケに導かれたネットワークおよび情報セキュリティポリシが、これらの分野を橋渡しになるだろうとされており、このポリシにおいては、意識向上、ヨーロッパ警告情報システム、技術支援、市場思考の標準化および認証の支援、法的枠組、政府におけるセキュリティ、国際協調が手法として提案されています。

2002年には、サイバー犯罪対応の文脈において、情報システムに対する議会枠組決定の提案がなされていて、2005年には、この枠組決定がなされています。この枠組決定において、違法アクセス(2条)、違法システム妨害(3条)、違法データ妨害(4条)が定められ、構成国は、これらの規定を国内法化することになりました。(もっとも、サイバー犯罪条約でも、同様の規定はあります)

2006年には、スパム通信やマルウエアについてのコミュニケが明らかにされています(Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions on fighting spam, spyware and malicious software. COM(2006)688)。

2007年5月には、さらにサイバー犯罪にたいしての一般ポリシについてのコミュニケ(Communication from the Commission to the European Parliament, the Council and the Committee of the Regions – Towards a General policy on the fight against cyber crime. COM(2007)267)が明らかにされています 。このコミュニケにおいては、サイバー攻撃は、インフラに対して向けられていて、社会全体に対して、災害を引き起こしかねないとしています。また、国家間におけるハーモナイゼーションをもうたっています。

前記の枠組決定につながるものとして欧州委員会は、欧州議会に対して評価報告を提出しています(2008年7月)。この報告は、ボットネットの悪用から生じる脅威を効果的に対応することから始まっています。

この当時は、並行して、当時、EUにおけるネットワークおよび情報セキュリティに関する政策は、重要インフラ防衛に向かっていました。2009年には、CIIPについての最初の規制がなされた。「大規模サイバー攻撃/破壊から欧州を防衛する」というコミュニケが明らかにされています。

さらに、2010年の9月には、欧州委員会は、いわゆる「ボットネット指令」についての提案を行っています。この指令の目的は、犯罪者を起訴し、有罪を認定し、国際協力とともに、欧州から/に対する大規模な攻撃を抑止/または、減少させることにあります。このボットネット指令は、2013年に指令として成立しています 。この指令は、従来の規定に加えて違法傍受の規定とハッキングツールの処罰規定を定めるように求めるものです。

ヨーロッパの情報セキュリティに関する法と政策の経緯をまとめてみました。いままで、このような形でまとめたものが、見当たらないので、簡単ではありますが、何かの役にはたつのではないかという気もします。

対ボットネットの法律問題の総合的考察 その1

対ボットネットの法律問題の総合的考察とでもいうべきメモを以下にふれていきたいと思います。

2015年のNATOのサイバーセキュリティの国際法コース受講の際に、講師をされていたLiis Vihulさんが筆頭の著者である「Legal Implications of Countering Botnets」という報告書を分析する機会がありました。この論文は、CCDCoEとENISAの共同報告書であり、2012年に作成されています。

この論文は、2012年に作成されているものですが、現時点においても、きわめて深い分析をなしているものということができます。具体的には、ボットネットにたいする手法の適法性と対抗すべき義務の問題を、EU法制をながめながら、エストニア・ドイツの各国内法の観点から分析してます。この報告書の紹介をかねながら、場合によっては、わが国における対応についても比較対象していくことにしましょう。

わが国において、ネットワークセキュリティと通信法制との関係についての研究論考が、まったくといっていいほど存在していないというのに比較して、きわめてレベルの高い、興味深い論文であり、しかも、ドイツ法とエストニア法の具体的な仕組みも同時に比較することができるので、きわめて有意義なものだと考えます。

この報告書の議論点は、ボットネットの説明部分、EUにおける政策と規則の動向(EUROPEAN UNION POLICY AND REGULATORY BACKGROUND – MOVING TOWARDS THE CRIMINALISATION OF BOTNET-RELATED ACTIVITIES)、具体的なボットネット対抗の問題(FIGHT AGAINST BOTNETS – TOUCHING THE LIMITS OF EXISTING LAWS)にわけられています。もっとも興味のあるボットネット対抗の問題は、さらに大きくわけると二つのセクションにわけることができます(もっとも論文自体は、わけて論じているわけではないです)。その一つは、(1)ボットネットによる攻撃に対する対抗するための関係者の法的位置づけ、であり、いま一つは、(2)ボットネットにたいする対抗手段の法的位置づけです。

具体的には、
(1)ボットネットによる攻撃に対する対抗するための関係者の法的位置づけ、
  ボットネット攻撃に対する対抗すべき義務
  感染ホストの保有者の責任問題
(2)ボットネットにたいする対抗手段の法的位置づけ
  パケットおよびトラフィック記録の取得・分析
  ハニーポット
  コマンドコントロールサーバのテイクダウン
  ボットネットの乗っ取り(テイクオーバー)
  自動的検疫/解毒(Automated Immunisation or Disinfection)
  例外状況におけるボットネット対応技術の問題(Botnet Mitigation Techniques under Exceptional Circumstances)
です。

タイトルを見ただけで、分析内容が楽しみに思えますね。次のエントリは、EUの性格部分を分析してみましょう。

EUにおける著作権執行に関する議論

EUにおける著作権の保護の流れについてみていくことにしましょう。

(1)まずは、2000年代中盤までの動きについては、情報処理推進機構に対する報告である「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」報告書で触れられています(特に報告書24頁以下)。

特に知的財産権行使指令(Directive 2004/48/EC on the enforcement of intellectual property rights) の内容及び運用は、極めて重要なものであるといえます。

著作権指令第8条(3)は、「構成国は、権利者が、著作権若しくは関連する権利を侵害するために第三者によって利用されている媒介者に対しても差止命令を申し立てる立場にあるようにしなければならない」と定めています。

また、知的財産権行使指令においては、証拠保全手続、侵害配布ネットワークや侵害品の出所に関する情報開示の定め、そのための差止命令の定め、審理後の救済手段などが論じられている。同指令11条(差止命令)は、「構成国は、知的財産権に対する侵害があるという司法的判断がなされた際において、司法権が、侵害者に対して継続的な侵害を差し止める差止命令をなすことができるようにしなければならない。(略)構成国は、権利者が、第三者によって利用されている媒介者に対しても著作権(2001/29/EC)指令第8条(3)に反しない限り、差止命令を申し立てる立場にあるようにしなければならない」としています。

ドイツのGEMA事件やイギリスの一連のNewsBin事件などは、これらの規定を前提に理解しないといけないような気がします。

(2)具体的な執行に関する論点

著作権の執行についていえば、具体的には、著作権者が、権利侵害をなしている者のIPアドレスを取得して訴訟を提起するという場合もあるし、また、インターネット媒介者に対してブロッキングを求めるという形態の訴訟を提起する場合もあります。

前者の場場合、権利者が、IPアドレスから本人を識別する個人データ(例えば、身元や住所など)を権利者に対して開示することができるのかという論点が存在する。

この点についてのEUの判決は、Case C-275/06、 Productores de Música de España (Promusicae) v Telefónica de España SAU [2008] ECR I-00271 になります。

申立人は、音楽及びオーディオ・ビジュアルの制作者・発表者からなるNPOです。ISPである相手方に対して、KaZaA を利用して違法に著作物をシェアしていたことが分かっているIPアドレスから身元・物理的住所を明らかにするように命じた事案であって、マドリッド商事裁判所は、これを認め、明らかにするように命令を出しました。これに対して、相手方が、刑事事件捜査のため、又は公共の安全・国家防衛のためでなければならないのではないかとして控訴した事件である。
本件では、著作権指令、電子通信指令、著作権執行指令などとデータ保護指令との関係が問題となったので、EU裁判所の判断が求められました。

裁判所は、
電子通信指令は、トラフィックデータに関しての秘密を確保するための義務を求めるが、それを制限することは一定の例外のもとに認められることをも規定しているとし、それが民事手続のために許容されるかが問題であるとしました。同指令15条(1)は、データ保護指令の13条(1)の規定を例外として挙げるものとしており、同条項は、権利及び自由の保護のための例外を許容するものである。したがって、民事手続のための開示の可能性を除外するものではないと判断しています(パラ53)。

(3)差止に関するリーディングケース

また、後者のインターネット媒介者に対する差止命令の問題について、参考とされるべき欧州裁判所の判決例としては、Google v LVMH事件(2010) 、L’Oreal v eBay事件(2011) 及びScarlet Extended SA v Société belge des auteurs、compositeurs et éditeurs SCRL (SABAM)事件(2011)があります。

(ア)Google v LVMH事件(2010)

Google v LVMH事件(2010)は、LVMH(ルイ・ヴィトン等の商標権者)がGoogleの検索結果に対して、スポンサードリンクで、イミテーションのルイ・ヴィトンの商品がイミテーションやコピーとの文言とともに掲示されることに対して、登録商標を侵害しているという宣言判決を求め、地裁・控訴審において、侵害が認められており、それに対して、法的な見地から控訴した事件である。ここでは、インターネット参照サービスプロバイダが宣伝をディスプレイすることは、禁止される登録商標の使用行為に該当しないという判断がなされています。

(イ)L’Oreal v eBay事件(2011)

 これは、種々の登録商標を有している申立人が、相手方(eBay)に対して、登録商標を侵害している物品の販売に対しての懸念を示す手紙を送付したが、その対応に満足せずに、共同体商標である‘Amor Amor’と英国の登録商標である‘Lancôme’を示す17商品の販売に責任があるという判断を求めた事件です。この17商品が偽造品であることは当事者間に争いはありませんでした。

この事件において英国の高等法院は、侵害は認めたものの、多くの論点が欧州裁判所の判断にかかっているとしたものである。

この事件に関しては、種々の論点が議論されているが、10番目の質問は、欧州裁判所による「著作権行使指令(2004/48)の11条は、構成国に対して、知的財産権の保有者に対して、オンラインマーケットの運営者のようなウェブサイトの運営者に対して、侵害された権利によって、運営者が、将来の侵害を防止する手段をとるように要求する差止命令を要求することができるか、もし、それであれば、その手段は何であるのか」というものです。

前者に関しては、同裁判所は、マーケットプレイスを通じてなされる侵害に対して、侵害を終了させるというもののみではなく、さらなる侵害を防止するものでなくてはならない(パラ131)と判断しています。そして、後者に関しては、効率的で、抑止的(dissuasive)でなければならないとしています(パラ136)。
具体的には、プロバイダに対してアクティブモニタリングを義務付けるものではならこと(同139)、適法な取引に対する障壁となるものではないこと(特定の商標を有する商品の販売禁止になったりしないようにすること)(同140)、権利侵害にオンラインサービスを利用したとものに対しての効果的な救済策を確かにするために、販売者を識別することを容易にすること(同142)を命じることができるとしたのです。
もっとも、その具体的な方策は、各構成国の裁判所に委ねられたのです。

(ウ)Scarlet Extended SA v Société belge des auteurs、 compositeurs et éditeurs SCRL (SABAM)事件(2011)

Scarletは、顧客にインターネットへのアクセスを提供するISPであって、ダウンローディングやファイルシェアリングなどのサービスは、提供していなません。一方、SABAM は、音楽著作物の著作者、作曲家、編集者を代表し、第三者に対する許諾をなす管理会社です。

2004年11月26日、ベルギーの審判所は、著作権の侵害があったとし、専門家に対して、実際に、SABAMの提案する技術的解決策 が、技術的に違法なファイル共有のみを遮断(filter out)するのか、ピア・ツー・ピア型の使用をモニターする他の手法があるかどうか、手法のコストはいくらかを調査させました。この調査結果によれば、完全な規則に基づいて違法な電子ファイルのシェアリングをフィルターし、ブロックすることはできないものとされました。
2007年6月29日の判決において、審判所は、Scarletに対して、利用者が、SABAMのレパートリーに属する音楽作品を含むファイル全てを受信若しくは送信することを不可能にするようにし、終了させることを命じました。
これに対して、Scarletは、①システムのフィルタリングとブロッキングの効率性と成果は、証明されておらず、実装するための設備も実際上の困難に遭遇することから、技術的差止命令に応じることは困難であること、②システムに対して、一般的な通信のモニタリングを命じることになり、2000/31指令15条を実装する2003年3月11日法11条に違反することになる、③フィルタリングシステムの実装は、EU法の個人データ保護及び通信の秘密の法に違反する(というのは、そのようなフィルタンリグは、IPアドレスの処理を行うことになり、それは、個人データであるからである)として、控訴を申し立てました。
控訴裁判所は、手続を中止し、予備的判断のために、事件をEU裁判所に回付しました。

EU裁判所は、この問題について、判決において、上記L’Oreal v eBay事件(2011)における判断に依拠し、差止命令は、ISPに対して一般的にモニタリングを義務付けるものであってはならないことを述べました(パラ38)。

そして、その観点から、ベルギーの判決は、全ての利用者に対して、著作権の侵害に対して将来においても、防止するように積極的なモニタリングを義務付けるものであって、著作権行使指令第3条に違反する。差止命令として許容しうるものとしては、①ピア・ツー・ピアに関するトラフィックのみを識別するものであること、②著作権者が侵害されたと主張するファイルを識別すること、③それらのファイルのうち、違法にシェアされたものを決定しうるもの、④違法と思慮されたファイルシェアリングをブロックすることの全ての要件を満たさなければならない。したがって、これを満たしていないベルギーの裁判所の命令は、著作権指令15条(1)に違反する。また、この判断にあたっては、他の基本権とのバランスも考慮されなくてはならないし、ISPなどの運営者の事業を営む自由とのバランスも考慮されなくてはならない。著作権指令との関係のみではなく、ISPの利用者である個人の個人データ保護、情報を受領する自由とのバランスを侵害するものであると判断したのです。

その結果、EU裁判所は、上述の差止手法を採用することは排除されるべきであるとしたのです。

英国におけるISP等に対する著作権侵害通信遮断義務づけ判決について

株式会社ITリサーチ・アートの調査でいうと、英国において、NewsBin事件が、判決によるブロッキングとしての理論的な意味を有しているので、ここで、紹介できるかとおもいます。

英国の裁判所は、一連のNewzbin事件において、アクセスの停止を命じる判断をなしています。

具体的には、次の3つの判断があります。
①Twentieth Century Fox Film Corporation and others v Newzbin Ltd [2010] EWHC 608 (Ch))
②Twentieth Century Fox Film Corp & Ors v British Telecommunications Plc [2011] EWHC 1981 (Ch) (28 July 2011)
③Twentieth Century Fox Film Corp & Ors v British Telecommunications Plc [2011] EWHC 2714 (Ch) (26 October 2011)

(1)MewsBin(その1)
判決①は、映画会社とNewzbinを保有し、運営する会社との間の訴訟です。

NewzbinはMr Chris Elsworth (“Caesium”)、 Mr Thomas Hurst( “Freaky”)、 Mr Lee Skillen ( “Kalante”)によって運営されていました。

Newzbinは、Usenet(ユーズネット)のコンテンツのインデックスサイトです。それ自体としては、ファイルの提供も、アップロードもしていません。
Newzbin は、ユーズネットのメッセージを検索し、ヘッダー情報を「素“RAW”」 「凝縮“Condensed” 」「ニューズビン “Newzbin” 」の3つのインデックスに処理します。また、Newzbinは、XML言語をベースにした情報ファイルであるNZBファイルにより、あちこちに散らばっているユーズネットへの投稿の断片の自動収集を可能にしました。

Newzbinはアニメ、 アプリ、書籍、コンソール、エミュレーション、ゲーム、その他、映画、音楽、パーソナル機器用(PDA)、リソース、テレビなどのカテゴリーにインデックスを分けています。また、これらのカテゴリーは、サブカテゴリーの分類がなされています。コンテンツにどのようなものがあるかというバイナリの レポートは 、エディターにより作成されており、エディターは、有給です。2010年の段階で、250人ほどいたとされています。

エディターに対して違法な著作権侵害ファイルやチャイルドポルノなどを幇助することはできないとコメントされていたのですが、裁判所は、これは飾り物(cosmetic)にすぎず、実際は、遵守されていなかったと認定しています。裁判所は、同サイトのレポートの内容については、ほとんどが、著作権侵害へのインデックスであると判断しています。
Newzbin社は、裁判において、著作権侵害の事実は知らなかったといったのですが、尋問の結果やメールなどの証拠からこのような主張は採用されませんでした。

裁判所は、
1988年著作権・意匠・特許法16条は、映画の著作権は、第三者に対して著作権によって侵害されている行為を許諾(authorise)するものによって侵害されると定めているとしました。そして、上記Newzbinの行為が、上記「許諾」概念に該当するかどうかという点について、考察の結果、該当性を認めて、Newzbinの行為が著作権を侵害することを認めました。そして、同法9第7条Aに基づいて、差し止めをなすことを認めました。

同法97条A(サービスプロバイダに対する差止命令)は、

⑴ 高等裁判所(スコットランドにおいては民事控訴院)は、サービスプロバイダが、実際に著作権侵害を利用しているのを現実に悪意である(actual knowledge)場合に、差止命令を下す権限を有する

⑵ サービスプロバイダが、本条の目的に関し、現実に 悪意であるかどうかは、裁判所は、関連する全ての事実を考慮すべきであり、特に、

(a)2002年電子商取引指令規則6条(1)(c)に定める連絡手法によりなされた通知を受領しているかどうか

(b)通知を送付したものの氏名及び住所を含んでいたか、どうか

と定めています。

申立人らは、全ての著作権侵害に対する広範な差止命令を求めたが、裁判所は、権利者にもとづくもののみが認められると解されること、Newzbin社が、全ての著作権侵害について現実に悪意であることは考えられないことなどから、具体的に特定されている著作権に限っての差止命令を命じました。

(2)判決②及び③は、映画会社とブリティッシュ・テレコム(BT)との間の訴訟です。

判決②の事件の申立人らは、有名な6つの制作/映画会社(20世紀フォックス、ユニバーサル、ワーナー、パラマウント、ディズニー、コロンビア)であり、映画やテレビの制作と配給をおこなっているスタジオである。一方、相手方は、BTであり、申し立ての趣旨は、1998年著作権法97条Aに基づいて、差止命令を求めた事件です。

具体的には、BTの利用者に対して、Newzbin2サイトに対してアクセスすることを妨げる(impede)差止命令を求めたものです。

上記①事件において、Newzbin1サイトは、運営を停止したが、同じURLで、新たなNewzbin2サイトが、運営を開始し、その運営者が不明であったため(オフショアと思われる)に、申立人らとしては、BTに対して差止めを求めるのが可能な方策ということになったのです。
(3)NewsBin(その2)

判決は、著作権侵害の問題についての認定(パラ19-22)し、これに対して、解決策についての議論を行っています(23-)。

判決は、Newzbin1事件の経緯を述べ(25-44)、Newzbin社は、任意清算をすることになり、運営を停止した。しかし、同様のNewzbin2が運営を開始することになる(45-47)。ウェブサイトにおいて、このNewzbin2は、2という数字の後に、NEWZBINという文字が現れるものであって、実質的には、Newzbin1と同様である(48)。Newzbin1と同様に、英国の利用者を基盤としており(49)、商業的に利用可能な著作物が94パーセント以上を占めるとされ(50)、また、映画及びテレビがその中心である(51-55)。そのサイトは、匿名で運営されている(56-)。BTは、英国最大のインターネット加入者であり、インターネットアクセスサービスを提供している(59-)が、Newzbin2のウェブサイトをホストしているわけではない(63)としています

このあとの具体的な判断としては、
判決は、Internet Watch Foundation (IWF)のブロッキングシステムを論じ(65、66)、ISPの採用する技術一般(DNS name blocking、IP address blocking using routers、DPI-based URL blocking using ACLs on network management systems)を説明した後(71)、 B Tの採用するCleanfeed技術を論じています(73-)。
その後、判決では、法的な問題として、1998年人権法(The Human Rights Act)/欧州人権条約の規定(76-78)、電子商取引指令(79-82)、2002年同規則(83)、情報社会指令(84-85)、2003年著作権規則(86)、著作権行使指令(87-90)、同規則(91)などが紹介されています。
判決は、その後、種々の論点を検討することになる。

EU指令の解釈・他の判決例、管轄権に関する論点、具体的には、BTが侵害に利用されていないこと、実際に知らないこと、電子商取引指令第12条(1)違背、同指令第15条(1)違背、欧州人権条約第10条違背などについての議論をなしています。
また、BTは、仮に命令がなされたとしても、申立人らは、全てのNewzbin2ウェブサイトに対して利害を有しているわけではないこと、多数の要求が爆発してしまうこと、効能の観点から妥当ではないこと、比例原則に反することを理由として、現実的ではないというが、それぞれ、採用することはできないとして、映画会社の主張する命令を認めました。

その命令の主文は、
1. 相手方は、現在、www.newzbin.comやそのドメイン又はサブドメインでアクセス可能なNewzbin 若しくはNewzbin2に向けて、以下の技術を採用しなければならない。
(ⅰ)上述のウェブサイトが運営する、若しくは、利用可能なそれぞれ全ての IP アドレスであって、申立人若しくはその代理人から、書面で通知されるものに関するIPアドレスブロッキング
(ⅱ)最低でも、上述のウェブサイト及びドメイン/サブドメインにおいて利用可能なそれぞれのURLであって、申立人若しくはその代理人から、書面で通知されるものに関するDPI 基盤ブロッキング
2. 疑いを回避するために、もし、相手方が、クリーンフィードとして知られる技術を採用する場合には、詳細な分析を利用するDPIブロッキングを採用する必要はなく上記1(ⅰ)and(ⅱ)に適合するものである
3. (略)
というものでした。

(4)NewsBin(その3)
判決③の事件は、上記判決②の事実関係を前提に、状況が変更したこと、また、Desmond McMahon氏というBTの利用者が裁判に参加した上で判決②事件の差止命令の表現(The wording of the injunction)についての判断がなされています。

上記差止命令の表現については、IPアドレスブロッキング・再ルーティング、英国小売・大衆市場サービス、他のIPアドレスの論点があるとしている(5-)。
IPアドレスブロッキング・再ルーティングというのは、クリーンフィード技術の表現の訂正であり(6)、英国小売・大衆市場サービスというのは、同技術が、小売・大衆市場サービス向けのサービスになっており、申立人らは、大企業・官庁向けにもそのようなサービスの提供をもとめていたが、判事は、その拡張を妥当とは考えないということが述べられている(8)。②判決以降、BTのブロッキングの制限を回避するクライアントソフトウェアが利用可能になった。申立人としては、特定された以外のIPアドレスを拡張することを望んだが、それを限定するのに、申立人の提案する「Newzbin2のウェブサイトにアクセスすることを提供することを唯一の若しくは、主たる目的とするIP アドレス」という表現が望ましいと判断している(10-12)。

また、判決は、他のISPに対する請求との関係(13-15)、一時的遮断(16-18)、(コスト算定に関する)ノーウィチ・ファーマカルとの類似性(19-31)、命令実行の費用(32-)、BTの損害担保(34-)、申立のコスト(53-)についての議論をしている。
判断としては、具体的な命令が、上記判決②の命令が、表現が訂正されて、言い渡されている。

(5)判例理論としてのブロッキング
また、英国においては、同様の判決として、以下のものがあり、確固たる判例理論を形成しています。

・Dramatico Entertainment Ltd v British Sky Broadcasting Ltd [2012] EWHC 268 (Ch)、 [2012] 3 CMLR 14 (“Dramatico v Sky”)(プライベートベイに関する通信についての差止命令)
・Dramatico Entertainment Ltd v British Sky Broadcasting Ltd (No 2) [2012] EWHC 1152 (Ch)、 [2012] 3 CMLR 15 (“Dramatico v Sky (No 2)”)
・EMI Records Ltd v British Sky Broadcasting Ltd [2013] EWHC 379 (Ch)、 [2013] ECDR 8 (“EMI v Sky”)
・Football Association Premier League Ltd v British Sky Broadcasting Ltd [2013] EWHC 2058 (Ch)、 [2013] ECDR 14 (“FAPL v Sky”)
・Paramount Home Entertainment International Ltd v British Sky Broadcasting Ltd [2013] EWHC 3479 (Ch)、 [2014] ECDR 7 (“Paramount v Sky”)
・Paramount Home Entertainment International Ltd v British Sky Broadcasting Ltd [2014] EWHC 937 (Ch) (“Paramount v Sky 2”)

また、商標の事件にかかるブロッキングの法理が利用されたものとして、カルティエ事件(Cartier、 Montblanc and Richemont v BSkyB、 BT、 TalkTalk、 EE and Virgin (Open Rights Group intervening) [2014] EWHC 3354 (Ch))があります。

(6)判例理論の定着
ブロッキング等の運用状況に関し、上述のように確固たる判例理論が形成されています。

かかる判例にもとづいて、著作権侵害に関してブロックされているサイトについては、2014年11月には93ほどあり 、その後、2015年には85のサイトが追加されています 。実際の運用については、サイトごとにまとめて一覧がある(https://www.blocked.org.uk/isp-results)。

ブロッキング等の運用について、ISPにおいて、判決に対して批判が生じるということは見当たりません。
もっとも、オーバーブロッキングにたいする懸念などは明らかにされてきていた。この点に関してオンラインの人権団体であるOpen Rights Groupは、そのオーバーブロッキングから生じる弊害について警鐘を鳴らしている。法的な手続きとしても裁判所命令が不明確で、誤りがあった場合の訂正方法や異議の申し立て方が明らかにはなっていないと批判している。

当該対策の実効性とも関連して、英国政府が近時のオンラインでの著作物の利用についてなした研究として“Online Copyright Infringement Tracker Wave ” があります。この調査の結果、2013年に比べ音楽やテレビ番組、映画等をダウンロードし利用する人の割合は6%増加し、62%になった。また、合法のサービスを利用してコンテンツを利用する人の割合は2013年に比べ10%増加したが、なお回答者の5分の1は著作権を侵害しているコンテンツにアクセスしています。

また、消費者行動の観点から分析する最新の研究としては、Brett Danaher ほかの“The effect of piracy website nlocking on consumer behavior(消費者行動における著作権侵害サイトのブロッキングの影響)”という研究があり 、注目されています。

この研究の結論としては、パイレートベイに対するブロッキングは、効果としては、それほど存在しない、消費者は、ブロッキングを回避してしまう、ただし、それ以外の侵害サイトに対するブロッキングは、有効であり、Netflix などのサイトへのアクセスを増加させる効果があったというものである。