対ボットネットの法律問題の総合的考察 その5-ISPの義務について

Liis論文では、ISPや法執行機関、学術研究者、起業家、政府機関は、サイバードメインを安全にするためにある種の義務をおっているのではないか、という点についての検討がなされています。

法執行機関の位置づけについては、前に触れました。ここでISPについて見てみましょう。

ドイツにおいては、ISPは、その一般的な際は、情報社会の恩恵を可能にすることであって、通信ネットワークのサービスにたいしての危険がある場合には、サービスとネットワークを防護する義務があると解されています。この理は、電子商取引指令、データ保護指令、電気通信パッケージに明らかにされています。

ドイツにおいては、テレメディア法7条において、ネットワークトラフィックをモニターすることを義務付けられていません。
ドイツ刑法138条は、特定の犯罪の計画または、その実現を知っていないがら、当局に告知しないのは、犯罪とされるのですが、ボットネット自体は、この138条の対象犯罪(138 条 計画された犯罪行為の不通報で、1 項 1 侵略戦争の予備(80 条)、2 81 条から 83 条 1 項の場合における内乱、3 94 条から 96 条,97 条 a 若しくは100 条の場合における反逆若しくは対外的安全の危殆化 、4 146 条,151 条,152 条の場合における通貨偽造若しくは有価証券偽造若 し く は 152 条 b 第 1 項 か ら 3 項の保証機能付き支払用カード及びユーロチェック用紙の偽造、5 謀殺(211 条),故殺(212 条)若しくは民族謀殺(国際刑法典 6 条)若しくは人道に対する犯罪(同法典7 条)若しくは戦争犯罪(同法典 8条,9 条,10 条,11 条若しくは 12 条)など、あとは、省略) とはされてはいません。また、コンピュータ犯罪が生じたことに気がついたとしても当局やユーザに対して、通知する義務は、存在しません。
(ちなみに、138条については、ドイツ刑法各論講義ノート:国家的法益に対する罪 の300頁を参照しました)

もっとも、ドイツ電気通信法109(5)条は、ISPの義務として、ITインフラまたは電気通信サービスに深刻なセキュリティの違反があった場合には、直ちに連邦ネットワーク庁(Bundesnetzagentur)に伝えるべき義務を定めています。これによって、連邦ネットワーク庁は、詳細な情報を求めることができます。
また、必要であれば、連邦ネットワーク庁は、連邦情報セキュリティ局(BSI)、他のEU加盟国の規制当局やENISAに連絡します。また、BSIは、一般社会への連絡をなすこともあれば、ISPにたいしてそのようにするように伝えることもできます。

ISPは、ボットネットから影響を受けた場合には、場合によっては、利用者に対して、利用者のコンピュータが感染している/サービス提供に対する危害のみならず機器への危害を与えることを知った場合には、その旨を伝えることもできます。これは、契約書からもまた、ドイツ民法242条からも根拠づけられるとされています。

研究者について検討すると、ドイツ刑法138条の犯罪を報告する義務は、単にボットネットがあるというのを知っているだけでは成立しません。しかしながら、もし、上述のドイツ刑法138条の犯罪(支払用カードの偽造など)がボットネットを通じてなされている(具体例はなかなか思いつきにくいところですが)というのを了知したときは、この犯罪を通知する義務が発生します。

企業について考えると、犯罪報告の懈怠に関する規定は、法人には、適用がなされません。

ドイツ刑法14条は、他人のための行為としての可罰性を認めていますが(「フィンランドにおける法人の 刑事責任の規定について」参照)、企業の代表者は、犯罪が(たとえば、無権限アクセス)自ら、もしくは、従業員がその企業のためになされた場合のみ、間接的侵入者としての責任を負います。

ドイツ民法31条は、企業が、その代表者の行為について、もし、企業活動において第三者に損害を与えた場合には、責任をおうことを明らかにしています。

その結果、ボットネット対策の途上において、第三者に対して責任が発生した場合には、ISPは、責任を負うことになります。

これらの義務づけ等は、わが国では、同等のものは、存在しないものと考えられるかと思います(セキュリティ侵害が個人情報漏洩を引き起こした場合を除く)。義務によって、一定のセキュリティを守るというのが効果的か、というのは、また、別個の問題を引き起こしそうです。