対ボットネットの法律問題の総合的考察 その6-ドイツにおける通信の秘密の保護とISP

その5においてISPの活動についても検討したので、Liis論文に基づいて、ドイツにおける通信の秘密について見ていくことにとしましょう。

なお、ドイツの通信の秘密については、資料としては、石井先生の論考「第 6 章ドイツにおける有害プログラムの刑事的規制」と笠原先生のメモ(情報セキュリティ大学院大学 「インターネットと通信の秘密」研究会)「インターネット時代の「通信の秘密」各国比較」があります。

まずは、エストニア刑法137条は、特定の人に関して意図的に情報を収集する行為に対して無権限監視の罪 を定めていますが、ドイツ法は、エストニア刑法137条に比すべき規定を有していません。通信手段を用いて接触を図りストーキングレベルに達した場合(ドイツ刑法 238条(1) 2号-これについては、「ストーカー行為罪に関する解釈論と立法論の試み」があります)に犯罪になるにすぎません。

通信の秘密 に関する規定としては、ドイツ刑法 206条、電気通信法 88条、テレメディア法 7条(2)、違法なデータ取得(ドイツ刑法202a条)、違法なデータ傍受(同 202b 条) があります。

具体的には、ドイツ刑法206条(郵便/電気通信の秘密の侵害の禁止)は、電気通信・データ送信途上の秘密を保護しています。例えば、同条1項は「郵便もしくは電気通信の秘密にかかる第三者の事実であって郵便または電気通信サービスを提供する企業の保有者もしくは従業員として知り得た事実を違法に開示するものは何人も5年以下の懲役または罰金に処する」と定めています。
この保護は、事実や通信の内容のみならず、通信課程の即時の状況も保護されます( 5項2文)。接続しようとして失敗したという状況も保護されます(同項3文))。
また、 IPアドレスも通信の秘密に含まれます。パケットやトラフィックデータも含まれて、通信の秘密として保護されます。
この結果、ISPの関係者が、この状況を第三者に開示した場合、犯罪が成立します。これに対して、取得のみについては、犯罪を成立させることはありません。しかしながら、同一の会社内においても犯罪が成立することになります。
206条は、電気通信・データ送信途上の場合に適用されます。この規定は、事実や通信の内容のみならず、通信課程の詳細な状況も保護しています(同条5項2文)。接続しようとして失敗したという状況も保護されます(同項3文)。 IPアドレスも通信の秘密に含まれます。また、パケットやトラフィックデータも含まれて、通信の秘密として保護されます。C&Cサーバとボットの間の通信を観測する行為は、禁止された行為になります。
ISPの関係者が、この状況を第三者に開示した場合には、犯罪が成立します。一方、通信に関するデータの取得のみは、犯罪を成立させることはありません。しかしながら、同一の会社内においてもデータを共有することは、犯罪が成立します。

電気通信法88条は、電気通信の秘密を電気通信プロバイダーの法的義務としています。
電気通信法88条1項は、

通信の内容(Inhalt)および詳細な状況(ihre näheren Umstände)(特に、人が電気通信を行ってしていたか否か)は、通信の秘密となる

と規定しています。また、同条2項は「すべてのサービス提供者(Dienstanbieter)は、電気通信の秘密を維持しなければならない。その義務は、業務終了後も継続する」と定めています。
テレメディア法7条は、 2 項で、他人の情報を伝達・保存した場合は、当該情報に違法な行為がないかを監視・調査する義務がないことを定めています。もっとも、1項で、プロバイダ自身が情報を発した場合は通常の法律の適用を受けることを明記しています。

また、電気通信の過程においてのみ、電気通信の秘密で保護されて、その後は、データプライバシーの規定で保護されます。違法なデータ取得(ドイツ刑法202a条)の規定は、

 202条a データの探知(Aussphaen)
(1) 権限がないのに(unbefugt)、自己のために予定されておらずかつ無権限(unberechtigt)のアクセスに対して特別に保護されているデータを、取得しまたは他人に得させた者(sich oder einem anderen verschaffen)は、3年以下の自由刑または罰金に処する。
(2) 1項の意味におけるデータは、電子的、磁気的またはその他直接認知しえない形態で貯蔵されまたは伝送されるものに限られる。

というものです。
ISPやCERTによるパケットやトラフィックデータの監視は、データの違法な取得(202a条)に違反しません。同条は、暗号、パスワード保護等が同条による保護のためには、必要としているからです。

パケットとデータの監視は、202b条のデータ傍受(§ 202b Abfangen von Daten)の規定に違反します。
202b条データ傍受(§ 202b Abfangen von Daten)

 みずから宛になされていない、または、第三者に対するデータ(202条a(2))を、非公共のデータ取扱施設、もしくは、データ取扱施設の電磁的放送から、技術的手段に用いて違法に傍受するものは  (略)2年以下の懲役または罰金に処する

と定めています。

通信の内容に関していない通信データは、この規定では、保護されていません。非公共のデータ取扱に関して無権限の傍受を処罰するものになります。ここで「非公共の」といっているのは、不特定多数の人がアクセスしうる通信は、この規定では保護されないということになります。

ISPやCERTは、通信システムに対する妨害エラーを認識し、排除するためのアドホックなパケットと通信データの検査をなしうるにすぎません。また、このデータは、独立のリサーチャーに共有されてはならないことになります。

当然のことですが、同意があれば、刑罰の成立を妨げることになります。しかしながら、同意については、事前の情報の提供と明確な同意の提供が求められています。

また、裁判所命令に基づいてなされる場合には、犯罪にはなりません。