電気通信事業分野における競争ルール等の 包括的検証の検討体制(案)について

総務省 総合通信基盤局から「電気通信事業分野における競争ルール等の 包括的検証の検討体制」案が公表されています

そこでは、「ネットワーク中立性」「プラットフォーム(トラストサービス含む)」 「モバイル市場の競争」のための研究会が新設されることが明らかにされています。

ネットワーク中立性の在り方に関する研究会とプラットフォームサービスに関する研究会とは、それぞれ、具体的に分析しておくことにしましょう。

イタリアのGDPRと国内法の統合

イタリアの個人データ保護に関する法が、2003年個人データ保護法典(Codice in Materia di Protezione dei Dati Personal)(Legislative Decree no. 196 of 30 June 2003、2003年政令196号)であること、全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれていることは、ITリサーチ・アートの総務省GDPR報告書に記載されています(100頁)。

統合に関する法は、政令2018年101号になります。名称は、「GDPRの国内法制への適用(l’adeguamento)に関する規定」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101.Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)です。

適用法は、
1 章 個人データ保護法典の名称変更

1条 2003 年個人データ保護法のタイトルと規定の変更
1条は、2003年法の「個人データ」のあとに、「国内法をGDPRに適合させるための規定を含む」という用語がはいることなどを論じています。

2章 個人データ保護法のパート1への変更

2条 パート1、タイトル1の改正

2条は、2003年法の「1部 一般規定  タイトル1 一般原則(1条-6条)」に関する規定になります。
タイトル1が、「原則および一般規定(Principi e disposizioni generali)」に変わり、1条の前に、1章(対象、目的、監督機関(Oggetto, finalità e Autorità di controllo))が挿入されます。
そして、1条が、個人データの取扱は、GDPRによってなされること、2条は、目的として国内法を規則に適合される規定を含むこと、が論じられています。
2条2項以降は、国内法的な観点からの規定が述べられています。
具体的には
2条2項(監督機関)
このあとに
2章(原則)という用語が追加されます。そして、それに該当する規定は、2条3項からになります
同3項(公的利益または、公権力の行使に関する個人データの取扱に関する法的根拠)
同4項(専門職規範)
同5項(情報社会サービスに関する未成年者の同意) これは、14歳以下について、保護者の責任ということが明らかされています。
同6項(公的利益を理由とする特別カテゴリの取扱)
同7項(遺伝・生体・健康データ取扱についての保障手段) これは、GDPR9条4項で追加できるというのに基づくものであって2年ごとに保障する手段がとられるものとされています
同8項(刑事判決および犯罪に関するデータの取扱に関する原則)
同9項(大統領、下院、上院および憲法裁判所における取扱)
同10項(利用し得ないデータ)
このあとに、

2003年法典における
3章(利害関係人の重要な権利の規定-Disposizioni in materia di diritti dell’interessato)

2条11項(利害関係者の権利の制限)
同12項(司法の理由による制限)
同13項(死亡した人の権利)

さらに2003年法典における
4章(取扱権限者および取扱責任者の規定 Disposizioni relative al titolare del trattamento e al responsabile del trattamento)

2条14項(目的のための機能およびタスク)
同15項(公益業務遂行たのめの高リスクの取扱)
同16項(司法権における機能遂行のためのデータ取扱の責任者)
同17項(国家的認証機関)
の規定が定められています。

3章 個人データ保護法典 パート2の改正

2003年法典のパート2は、特定セクターに適用される規定です。これが、上記政令2018年101号によって改正されることが、同政令3条によって明らかにされています。
同条は、「規則9章の取扱規定に含まれない公益の実行における法的義務に必要な/公権力の行使に関連する取扱の特別の規定」とパート1のタイトルを変更することになります。
また、同条によってタイトル1の前にタイトル0.1として司法における規定が挿入さるとともに、法典45条2項(法的根拠) 具体的なき規定は、規則の6条パラ2によることが述べられています。
4条 法典58条のタイトル変更
5条 法典59条の読み替え等
6条 法典75条(情報の特別の条件)の改正
7条 法典96条(教育データの取扱)の改正
8条 法典97条、99条、100条等の改正
9条-12条まで 省略

4章 個人データ保護法のパート3への変更

2003年法典のパート3は、救済および制裁の規定です。これが、上記政令2018年101号によって改正されることが、同政令13条によって明らかにされています。
同条によってタイトル1の前にタイトル0.1として保護のためのその余の形態が挿入さるとともに、法典の141条から144条までが、修正されています。
同14条 法典パート3 タイトル2の修正
これは、独立の監督機関(153条以下156条)の修正規定を定めるものです。
同15条パート3 タイトル3の修正
これは、罰則の規定(法典166条ないし171条)を修正するものです。
同16条 法典附属文書Aの名称の変更

5章 手続的規定
6章 経過規定等

となっています。

イタリアにおけるGDPRの国内への統合の概要

イタリアのGDPR施行法が明らかになりました。法案の官報は、こちらからみれます

この点についての記事(「イタリアは、GDPRを国内プライバシー法制に統合」)は、こちらです。

具体的な内容の概要について、簡単に紹介しておきます。

趣旨は、GDPRを国内法に統合するためのものです。

条文は、27条から成り立ちます。

章ごとにみると

1章 2003年データ保護法典の題および規定の変更( 1条 )

2章 2003年データ保護法典の1部に対する変更(2条(1)-(17))

3章 2003年データ保護法典の2部に対する変更(3条-12条)

4章 2003年データ保護法典の3部に対する変更(13条-16条)

5章 手続的規定(17条)

6章 経過、最終および財政的規定(18条-27条)

となっています。

具体的な内容については、次にみていきましょう。

 

 

 

日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」について

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料 のその他の「日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」」をみていきましょう。

これは、「アクセス集中方式 」と名付けられているもので、要は、海賊版サイトにDOS攻撃をしかけてアクセスできないようしましょう、という提言です。
これは、アメリカであれば、SOPA法で議論されたところです。この点については、ITリサーチ・アート「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負-報告書-」報告書の 193頁をごらんください。手続保障やその効果の問題点などから、法的にも、採用し得ないものとして解決されたものと考えたのですが、よみがえってきました。特にサイトが国外のstuffですと、制度設計にもよりますが、その国のポリシによって、武力攻撃と認識されたり、国際的違法行為と認識されうるという問題もでてくるところです。

個人的には、サイバーセキュリティ的な問題に対して、このような手法は、効果的なコントロールのもとで行う方法は適法性を議論してもいいかとは、考え始めてはいるのですが、著作権の侵害については、急迫不正の侵害なのか、という点から、この提案については、非常に疑問を有しています。

あと、これについては、JAIPAが「当協会は全く賛同するものではありません。」というアナウンスをだしていたりします

インターネット上の海賊版対策に関する勉強会 資料(下)

好き続いて「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料をみていきます。

資料9 これは、「アクセス制限に関する請求権の考え方について(森田教授ヒアリングメモ)」になります。

論点1 イギリス等と同様に、アクセスプロバイダ自らが著作権侵害を行っていないにもかかわらず、海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付けることは、日本の民事法上可能か。

「海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付ける」という問題の設定自体が妥当なのか、という気がしますね。そもそも、EUの著作権指令については、プロバイダのモニタリング義務を否定しており、そのなかで、ブロッキングを基本権の衝突のなかで位置づけてます。事務局自体が、モニタリング義務の問題と裁判所の判決にもとずくブロッキングをわけているのか、微妙だったりします。

あと、「日本法の中に類似の権利義務が存在しない」としていますが、私個人的には、ISPのデューデリジェンスの責任が現実の悪意によって生じるという解釈論をとっていて(私のエントリだとここらへん)、この理は、わが国の法理のなかでも、微妙ではあるものの民法717条の土地の工作物等の占有者及び所有者の責任にその意図をみることができる、と考えています。デューデリジェンスの責任についての考え方が、現在、一般的になりつつあることは、ふれるまでもないことかと思います。

論点2 「サイトブロッキング請求権について、実体法上の権利として存在するが訴訟上でのみ行使できる権利、または裁判によって初めて形成される権利とするような制度設計は、どのような場合に採用されることが適当か。著作権侵害についてそのような制度設計を行うことは許容されるか。また、妥当か。」

これも、実体法上の請求権があるけど、他の権利との衝突があるので、裁判所の判断を待ってね、というのは、総務省消費者行政課さんお得意の立て付けですね(eg 発信者情報開示に関する逐条解説をみよ)。
なので、論点の設計が微妙ですね。

資料10-1 「海外事業者を相手方とした発信者情報開示・差止請求について(神田弁護士ヒアリングメモ) 」になります。

これは、現在の法および運用を前提として、CDNに対するケーススタディということですね。解釈論的なものとしての示唆というよりも、実際の実務ということから、非常に参考になります。いま、ひとつは、今回の動きが、このような努力がなされた上の話ではないことを物語っているような感じですね。

資料10-2「Cloudflareに対する差止請求・発信者情報開示請求」になります。

これは、差止請求と発信者情報開示請求に関する個別の論点についての簡単なメモになります。

資料10-3 「ブロッキング問題に関する意見書」です。
これは、「インターネット上の権利侵害に対する被害救済に取り組んでいる弁護士」による意見書になります。
「違法行為を行っている者に対する法的アクション、つまり、海賊版サイト運営者を特定して、海賊版サイトに対する差止め・損害賠償等がなされることが本来的な方法であります。」として、「Whois等から容易にサイト運営者を特定出来る場合もあり、また、プロバイダ責任制限法に基づく発信者情報開示請求等を用いて、サイト運営者を特定することも可能ですので、まずはこれらの措置による方法をコンテンツ事業者が実施すべきだと思います。」としています。
また、「CDN事業者に対する送信防止措置請求や発信者情報開示請求の実効性があるのですから、コンテンツ事業者が送信防止措置や発信者情報開示について十分なスキルを持つ弁護士に依頼をした上で、裁判手続きを行い、実際的な問題点を顕在化させた上で、海賊版サイト対策の在り方の検討していただきたいと考えています」等としています。

この点は、全くそのとおりなので、法的手法があって、それが有効であるかの調査もしないで、政治問題化しようという文化そのものが問われているのかもしれません。

資料11は、次のエントリで。

インターネット上の海賊版対策に関する勉強会 資料(上)

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)においていろいろな資料があげられています。

1.これまでの海賊版対策の取組

資料1 : Google提出参考資料
これは、Google社が、DMCAなどに基づく法的要請に基づいて、通知を送付していること、法的要請をなす場合の要件、継続的リクエストのためのプログラム、ランキングへの反映、「資金源を追え」への活用などが紹介されています。また、透明性の重視についての説明もなされています。

資料2 : 上沼弁護士ヒアリング結果(事務局資料)
これは、Appleの場合のフィルタリングの話、EMA解散後のモニタリング体制などが紹介されています。なお、EMAのコスト負担について「大手携帯ISP事業者にコスト負担を依頼したが、調整が合意に至らなかった」という記載もあり、興味深いです。
その一方で、違法なサイトをみたいという人がいて、それに見せないというブロッキングのモデルと、親などのみせたくない人がいて、フィルタリングするという場合とでは、インセンティブが全く異なるわけなので、それは、参考になるのかな、というところもありそうです。

2.ブロッキングの手法及び効果

資料3 : 前村委員提出資料
ISOC Board of Trustees 江崎 浩先生の「Internet Society Perspectives on Internet Content Blocking: An Overview」に関してのペーパーです。JPNICの訳も追加されています。
コンテンツ遮断技術は 2 つの主要な欠点を持つ傾向にある:として「1. 問題を解決しない」「2. 副次的被害を引き起こす」ということになります。

3.法制度・運用に関する基礎的情報
資料4 : 総務省提出資料
これは、「電気通信事業法及び通信(信書等を含む)の秘密」という資料です。
法律家が書くのなら「日本国憲法第21条第2項の規定を受け」とか書くな、と突っ込みたいのですが、まあ、世界観が違うのでしょうがないですね。
あとは、内容的にはお約束のものなので、コメントは、省略。

資料5-1 : 総務省提出資料
これは、「プロバイダ責任制限法の運用」という資料です。プロバイダ責任制限法の素人むけ解説なので、解釈論の参考にはならずですね。
個人的には、「具体的な悪意」の場合における導管プロバイダの削除権限というのが、プロバイダ責任制限法との関係でどうなるの?というのを問題提起しているのですが、その点については、コメントはないですね。(当然か)
「送信を防止する措置を講じた場合」というのは、導管プロバイダに適用があるのでしょうかね。EU指令もみて作成されているはずなのでしょうが、用語法において情報社会サービス一般なのか、導管プロバイダへの適用が想定されていたのか、とか個人的には興味をもっていたりします。

資料5-2 : 総務省提出資料
これは、プロバイダ責任制限法の条文。

資料6 : 文化庁提出資料
「著作権等の侵害行為及び「侵害とみなす行為」について」という資料です。ただ、条文の解説ですね。

資料7 : 文化庁提出資料
「違法配信からの私的使用目的の録音録画の違法化について」という資料です。これは、平成21年の著作権法改正についての簡単なコメントです。
個人的には、もともと違法な複製であった(私的複製にはあたらない)のを明らかにしたと位置づけているのですが、その意味では、漫画の複製物とそのダウンロードについての私的複製についての権利制限は、未解決であるということになりますね。

資料8 : 法務省提出資料
「我が国における国際裁判管轄及び準拠法に関する一般的な規律について」という資料です。
余りに一般的すぎて、あまり役にたたないような感じですね。特に著作権法については、どうなるかというところのあてはめは、おもしろいところかもしれません。結果発生地ってどこなか、サーバの存在地のもっている意味は?CDNの所在地は、とかあたりの影響とかも、当てはめてみたいところかもしれません。ただ、基本的には、日本市場においての損害なので、日本でできるだろうし、また、実効性あるところの裁判所に求めればいいのだろうし、その場合に日本国法である日本の低触法の規定を語っても?だったりします。

資料9以下については、次のエントリです。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(3)

(4)マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起です。

ここで問題となっているのは、
「近年、IPアドレスを広範にスキャンしてパスワード設定の不備等の脆弱性を有する端末を即座に感染させるマルウェアも出てきており、インターネットに接続されるカメラやセンサーなどの機器が爆発的に増加」している
という認識を前提にして、

信頼できる第三者機関からの情報提供を受けること

により

ISPが脆弱性を有する端末を認識した場合において、当該端末のIPアドレス及びタイムスタンプと当該IPアドレスの割当て状況を確認して当該端末の利用者を割り出し

電子メールの送付等の方法で個別に注意喚起を図ることが考えられる

という手法です(同8頁)。

この問題について、結局、契約約款等に基づく事前の包括同意であっても、当該注意喚起を行うための通信の秘密に属する事項の利用等について有効な同意があるといえるものと考えられる、としています。また、正当業務行為として許容されるものとされています。

私の立場からするときに、第三者機関からの情報提供をうけることが積極的な取得に該当するのか、という問題についていえば、これ自体が、伝達に必要な取得ということではないので、積極的な取得行為ということになるのかと思います。その意味では、とりまとめと同様の理によって違法性がないという形で整理されることになります。

このとりまとめをみていくときに、もともとの「通信の秘密」が肥大化しているために、正当業務行為の法理にかなりの部分を頼らなくてはならなくなっている、ということができるかと思います。その意味で、正当業務行為自体も肥大化しているわけです。いま一つ、特に取得行為レベルの正当化が考えられているために、注意喚起なのか、遮断なのか、という終局的な行為への注目が弱まっているということもいえるかと思います。

結果としては、正当な結論が導かれており、ISPや総務省の担当課の努力は、甚大なものがあると認識されるわけですが、もともとの枠組がもたらしているセキュリティ維持行為に対する萎縮の効果というのは、否定できないだろうという感を強くします。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(2)

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」のうち、このエントリの(1)では、マルウェアに感染している可能性が高い端末の利用者に対する注意喚起についてについてみました。

このエントリでは、

(2) マルウェアに感染している可能性が高い端末の検知
(3) C&C サーバである可能性が高い機器の検知
についてみていきます。

(2) マルウェアに感染している可能性が高い端末の検知
これは、手法としては

  • C&Cサーバに関する情報等に基づいてC&Cサーバである可能性が高い機器を把握した上
  • DNSサーバ又はルータ等(以下「DNSサーバ等」という。)において、C&Cサーバである可能性が高い機器のFQDN又はIPアドレス、ポート番号及びタイムスタンプと、DNSサーバ等において把握される通信のFQDN又はIPアドレス、ポート番号及びタイムスタンプとを照合する
  • C&Cサーバである可能性が高い機器と通信している端末を割り出し、当該端末に係るIPアドレス、ポート番号及びタイムスタンプを記録
  • IPアドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出す

という手法が紹介されています(6頁)。

分かりやすくいえば、ダークなサーバを自らの調査や情報提供機関から得た情報でもって、チェックして、ダークとしてマーク、そして、そのサーバと通信している端末を確認、その端末利用者を割り出す、ということです。

割り出してどうするか、問えば、「利用者の通信を識別してC&Cサーバである可能性が高い機器と通信している端末を把握し、当該端末を注意喚起の対象とすることが考えられる」ということになります。

とりまとめでは、16頁以降において、「原則として個別具体的かつ明確な同意を取得することが必要となる」として、その例外である「契約約款等による包括同意を行った当時において予測し得なかった事情が生じた場合についても、随時、利用者が同意内容を変更することができるといえることから、将来、利用者が不測の不利益を被る危険を回避できる」から、包括的同意として、これらの行為が行えるとしています。

また、16頁以下では、緊急避難または、正当防衛としては、整理されることはないとし、また、自主的な取り組みだから、法令に基づく行為には該当しないこと、また、「役務提供に支障が生じるおそれがあるか否かが不明確な段階で、利用者全体を対象として行う取組であるから、行為の必要性、手段の相当性が肯定し難」いとして正当業務行為として整理することは困難としています。

通信データでもって、他の利用者に迷惑を受けている相当の嫌疑があることを判断しているにすぎないわけですし、そして、利用者にあなたの端末が、ネットワーク秩序を乱しているかもしれませんよ、注意してね、という注意喚起をしていることになるわけで、はたして、とりまとめのような整理が妥当なのか、というのは、きわめて疑問に思います。

セキュリティ目的のために、通常のネットワーク管理のためになす通信データの取得の行為は、「積極的な取得」という概念に該当しないといえば、いいような気がします。また、そして、利用者において、ネットワーク秩序違反についての相当な嫌疑があるのであれば、それについて、その通信データを利用して、利用者への周知をすることは、「窃用」(自己または他人の利益のために利用すること)とはいえないように思えます。

そもそも、プロバイダのようなインターネット媒介者の役割を正当なものとして、それを認めて、場合によっては、支援していくべきと認識することが必要かと思います。それこそ、利用者は、そのような行為を支持すると思われます。インターネット媒介者の行為を、基本的に、「通信の秘密」侵害として、正当化事由を、それこそ、総務省担当課が認めた場合でないとできませんよ、というのは、現代社会において健全なインターネットに対してプロバイダがはたすべき役割を過少評価しているように思えます。

(3) C&C サーバである可能性が高い機器の検知

これは、具体的には、

  • マルウェアに感染している可能性が高い端末の通信を割り出し、当該通信の相手方のFQDN又はIPアドレス、ポート番号及びタイムスタンプを記録
  • 記録を対象として、マルウェアに感染している可能性が高い端末が集中的にアクセスしているかといった相関関係の分析等を行う
  • C&Cサーバの可能性が高い機器を割出
  • 当該機器宛ての通信を遮断する方法

いった手法が紹介されています(同7頁)。

C&Cサーバのテイクダウンといわれる手法の一つということになります。

この手法について、とりまとめでは、有効な同意があるといえると整理し、その一方で、違法性阻却事由があると整理するのは、困難であるとしています。

私の立場からはどうなるのか、ということになると、(2)と、比較すると、最後の「当該機器宛ての通信を遮断する」という点での違いが発生することに気がつきます。

積極的な取得に該当しないとしても、このような場合が、「窃用」に該当しないのか、というのは、利用者への連絡というのではなく、通信の遮断という点から検討されるべきことになります。

「利用する」といっても、通信データをもとに、契約条項にもとづいて、通信を遮断するということになるのでしょうから、そのような遮断が許されるのか、厳密に評価されることになるのかと思います。(注意喚起とは、レベルが違う用に思えます)

この場合は、まさに、プロバイダの行為規範が準備されて、それに基づいて遮断がなされるのか、ということになるのだろうと思います。そのような行為規範に基づいた場合が、「窃用」であり、行為規範について一顧だにせずになした場合には、通信の秘密に対する侵害という整理がなされてしかるべきなのであろうと考えます。

「(4) マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起」については、次のエントリで。

 

 

サイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ (1)

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(案)が公表されています。

このとりまとめは「電気通信事業者が通信の秘密等に配慮した適切な対応を行うことが可能となるよう、ワーキンググループを設けて技術的・制度的な観点から議論を行った上で、電気通信事業者がより能動的にサイバー攻撃に対処できるような取組の実施に向けて条件や留意点等を整理した。」というものです。

さかのぼれば、14年前に「通信の秘密」の憲法の意味についての調査をなして、インターネットウィーク2005で、議論の重要性を説いたことからみると「通信の秘密」のもつ意味に対して社会の注目やら総務省の留意等は、まるっきり別物というべきくらいに変化してきました。

「大量通信等ガイドライン」(2007)から、「サイバー攻撃ガイドライン」への進化(2011)をへて、そのベースとなっている研究会のとりまとめも第三次にいたっています。

このとりまとめは、第1章 最近のサイバー攻撃に係る課題と対策例 と第2章 具体的な検討 第3章 おわりに、という構成になっています。

第1章 最近のサイバー攻撃に係る課題と対策例 においては、

(1) マルウェアに感染している可能性が高い端末の利用者に対する注意喚起
(2) マルウェアに感染している可能性が高い端末の検知
(3) C&C サーバである可能性が高い機器の検知
(4) マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起

について、それぞれの他の手法との経緯、伝統的な通信の秘密の解釈との衝突点などが紹介されています。
そして、第2章具体的検討 第2節以下 において、それぞれの行為について違法性阻却事由が検討されています。

なお、同章 第1節 通信の秘密の利用等に関する違法性阻却事由等について では、お約束の伝統的な立場(といっても、単に昭和62年以降である点について誰もふれないのですが)からの一般抽象論がふれられています。抽象論としては、同意、正当業務行為、正当防衛・緊急避難なわけです。

なお、ここで、「伝統的な立場」といっていますが、実は、有効な同意論で、事前の同意でもいい場合があるというのは、結構新しかったりします。この有効な同意のためには、個別具体的な同意でなければならないというのがきちんとうちだされたのは、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」(いわゆるライフログ研究会)第二次提言なので、2010年5月のことなわけです。(DPIをめぐるぐだぐたは、さておくとしましょう)。

もっとも、よく考えたら、私は、批判ばっかりで、どうも野党的な感じのスタンスになっちゃっているので、きちんと解釈論をたてないとなあ、ということも思ったりします。

「積極的な取得」や「漏えい」「自己または他人の利益のため」の解釈でもって、個別具体的な妥当性を考えるという立場なのですが、論文にまとめていないので、ごめんなさいとしかいいようがないです。通信の秘密の論考をまとめてキンドル出版するときにでも、まとめましょう。来年の夏の課題でしょうか。(今年の夏の課題は、日本初のアマゾンの法律スキルだったのですが、クリアして気持ちが大きくなっているとしかいいようがないです)

ということで、具体的に、個別の部分をみていきましょう。

まずは、(1) マルウェアに感染している可能性が高い端末の利用者に対する注意喚起 になります。

一次とりまとめ(2014)では、「攻撃者が用意した C&C サーバに記録されたマルウェア感染端末の IP アドレスとタイムスタンプの情報等に基づいて、マルウェア感染端末の利用者に注意喚起を行うことについて整理がなされ」たとされています。

このブログでも、ボットネット対策のエントリで、テイクダウンについてふれたことがあります。たとえば、ドイツのテイクダウンについては、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」や「同 その7 -ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性」でふれています。

学問的には、テイクダウンという用語は、DNS名称の消去、宛先トラフィックのブラックホールへの移動による利用停止、物理的差押、 ISP等のプロバイダによる接続停止を含む多様な用語になります。

でもって、一次とりまとめをみると、「ISP と連携したセキュリティ事業者や捜査機関等が C&C サーバ等をテイクダウン」する事例もでてきている、として論じられています。そこでは、テイクダウンの説明について「C&C サーバやボットネットの機能を停止させる行為を指す。」とされています(9頁)。失効後のドメインを合法的に買い取ってしまえば、通信の状況とかは見えるのですけど、この場合については、発信者と受信者の間のC&Cサーバの通信ログになりますね。セキュリティ事業者がISPや警察と連携して、失効後のドメインの買い取りをして、このような履歴を分析して、ボットになっているユーザに注意喚起ということになるわけで、一次とりまとめとしては、緊急避難として、整理されています。個人的には、この場合においては、行為としては、セキュリティ事業者としては、自らのサーバとして運営するので、その端末における他人の秘密の取得ということになります。でもって、自らの端末なので、電気通信事業者の取扱中の通信にかかるのか?というが問題になると思います。実は、一次とりまとめも「テイクダウン」という言葉の影で、見逃していたことがあったような気もします。

それは、さておき、三次とりまとめです。「マルウェアに感染している可能性が高い端末が把握できた時点における対策の実施」について検討する必要があるとしています。

そして、

「信頼できる第三者機関からの情報提供を受けること、自ら調査を行うこと等により、ISP がマルウェアに感染している可能性が高い端末を認識した場合」において、

「当該端末による通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出し、電子メールの送付等の方法で個別に注意喚起を行う方法が考えられる」としています。

「信頼できる第三者機関からの情報提供を受けること」は、多分、NICT法のことをいっているのだよね、(ITリサーチ・アートのエントリね) という感じでしょうか。

この注意喚起の方法については、上記の「通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況」については、通信の秘密として保護されるので、どのような場合であれば、許容されるのか、を検討する必要があるとしています(5頁)。

でもって、この場合は、契約約款等によるであって有効な同意といえる、また、正当業務行為ということがいえると整理されています(15頁)。

実質論としては、ミライボットネットの事件でも問題になったように、特定のIoT機器がボット化するわけで、それは、ネットワーク管理をしていれば、客観的にデータとして取得できる(積極的に取得するわけではない)ということがいえると思います。それを教えてあげるのに、法的なお墨付きが必要(違法性阻却事由に該当することをわざわざ明らかにしないといけない)というのは、どうも、根本的な枠組が、ずれているような感じがします。

(理論的には、信頼しうる主体が、安全のために行為を行うのは、消費者からすると効用と理解されるので、ISPという主体に負担をかけるのは、社会厚生からいって妥当ではありません-って、誰が、この意味理解できるのかな)

なお、契約約款等による同意ですが、伝統的には、通信両当事者の同意でなければならなかったはずなのですが、ここ何年かは、この解釈論は、どこかに消えている(今度、調べておきます)ので、それは、OKになっているかと思います。

個人的には、通信データ部分なので、「他人の秘密」の利用ということになるかと思います。この場合、ISPは、「他人の秘密」を託されるのは、当然のことなので、それを利用するのは、「自己または他人の利益」のためでなければ、許されると介しています。そして、具体的には、情報セキュリティ行為規範とかを消費者行政課が全面的に作成して、それに基づいている限りは、ISPは、情報セキュリティ的な活動をなしうる、解釈論としては、「窃用」には、該当しないとしたほうがスマートだよね、と思っています。

(2)以下は、次のエントリで。

「いわゆる非中央集権型取引所 の概要と取引所に対する差押えに関する一考察」

吉井和明先生より吉井和明/後藤大輔「いわゆる非中央集権型取引所の概要と取引所に対する差押えに関する一考察」所収の金融法務事情2094号をお送りいただきました。
ありがとうございます。

 

 

 

 

論述の趣旨としては、

中央集権型(Centralized)の仮想通貨取引所として「取引所の利用者が事業主体に対して自身のウォレットに関する秘密鍵およびウォレット内の仮想通貨を預託し、それらが運営主体の管理のもとで集積している状態」を考察するとともに、

非中央集権型(Decentralized)の仮想通貨取引所として「運営主体(運営会社)が存在せず、外部ネットワークをベースとした自律的なプラットフォームの運営がなされていること、②上記のような運営主体が存在しないがゆえに、取引所の利用者が自身のウオレットに関する秘密鍵やウォレット内の仮想通貨を取引所の運営主体に預託することはなく、あくまで利用者自身による管理のもとで、取引所内での取引を実行する」を考察する、
そして、

非中央集権型仮想通貨取引所は「取引所は、利用者を外部ネットワークへ接続させる役割しか果たしておらず、強制執行においても、非中央集権型取引所を第三債務者とすることには理論上の障害が多い」
というものです。

(トークン等については省略)

どうも、論述の趣旨が把握できなかったというのが正直なところです。

法的な話としては、法的な主体としての仮想通貨取引所が、仮想通貨を保有する場合とそうではない場合があるということでたりるように思えます。
わざわざ、「非中央集権型仮想通貨取引所」という「取引所」ではないものに、法的主体性をもっているかと誤解させるような名称を付して、あたかも新たな概念かのように論じているように思えてしまいます。

私の誤解であれば、ご教示をいただきたいと考えているところです。