2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
リンクをコピー
記事をブックマーク
高木浩光氏(以下、高木):最後に、どうしてこうなったかと、これからどうなるかの2つ述べて終わろうと思います。先ほど整理したように、最高裁判決は大コメの記述を否定したと言えると思うのですが、では、高木解釈は読み違いで、実は白鳥説のほうが大コメの趣旨どおりだったのかどうかが気になるわけです。
(スライドを示して)もし私の解釈どおりだったとすると、これは両方肯定するか両方否定するかどちらかでないと、ほとんどのプログラムが犯罪になってしまうわけです。白鳥説のように、こっちを否定してこっちを肯定すると、なんでも該当します。
大コメはどんなつもりだったのか。私が思ったように書いてあったつもりなのか。もしかすると白鳥説は法務省の見解かもしれないので、法務省としてはそう考えていたのかもしれません。
そうすると、「法務省は本気でそれでいいと思っているんですか」と。ほとんどのプログラムが意図に反したら犯罪だという、そんな馬鹿なことがあるわけがないでしょう。本当にそれでいいと思って立法して、今までこの裁判を戦ってきたとしたら大問題です。それは国民が文句をはっきり言っていかないといけません。
ちなみに調べてみると、2003年の法制審議会の事務局の説明とまったく同じ記述でした。そのため、大コメを書いた立案担当者の吉田さんの個人の責任ではないです。元からそういう案だったので、それを続けて書いていただけです。この元案がそうなっていたにもかかわらず、私を含め、誰も気づきませんでした。この解釈になると、みんな該当してしまいます。
私の記憶を振り返ると、不正性例外適用という文章を確かに例外的と書いてありましたが、あまり重要だとは考えませんでした。
初期の頃は、ほとんどは“意図に反する”に該当するけれど、不正性できちんと落とされるとなんとなく思っていました。けれど例外的と書いてあって、そうなると、このあり得ない解釈になってしまう。2003年の時点からこういうことを予見して、もっと強く問題視できなかったのかと思うわけです。
これからどうする、これからどうなるという時に、もし今後、新たな立法が企画されたらどうしましょう?
情報技術にかかわる刑法、その他法律の改正立法で新しい罰則が設けられるような場合に、IT業界として、法務省、法制審議会、刑法学者の方々を信頼してよいのかということです。
2003年の当時の論調を思い出すと、情報処理学会がすぐに懸念の意見表明をしていました。当時はプログラムのバグですら該当するのではないかといった疑問の声が上がっていましたが、「それは故意じゃないから該当しません」と。技術者は法律をわかっていなくて恐れているだけだから、じっくり話を聞く必要がないという態度だったことを思い出します。
そういったことを今後もやっていくのか。やはり情報技術と法律の両面を踏まえて、意見・議論していく体制を取らないと(いけない)。2003年の法制審議会の部会は、法律家と政府に批判的な勢力として日弁連の弁護士が入っているだけで、後から読んだときに、当時の日弁連の委員が言っていた指摘は、全部ピント外れでした。
技術者は実は1回だけ呼ばれていて、IPAの人がウイルスのデモをしていました。「うずまきの絵が出ますよ」みたいなデモをして終わりで、誰も質問していませんでした。
そうではなくて、やはり技術がわかっている人が全議論に入って、「いやいや、こういう場合はどうですか? こういう場合はどうですか?」という体制になっていないと、またこのようなことが起きると思います。
当時に比べると今ではロースクール制度ということもあって、情報技術にも詳しい弁護士がたくさんいるので、だいぶよくなってきているとは思います。人材を確保していくにはどうしたらいいかを、これから考えていく必要があるかなと思います。以上です。
司会者:ありがとうございました。それでは、なにかご質問などある方、いらっしゃいますでしょうか?
記者A:日本経済新聞のイワサワと申します。お話しありがとうございました。私はCoinhiveの立件の前にマイニングの記事を書いていて、その時にサイバーセキュリティ某企業や弁護士の言葉を聞いて、「こういうのは問題なんじゃないの?」という論調の記事を書きました。
その後、まさかの立件になった後に、警察側にそういう記事が資料として引用されることもあって、正直、警察沙汰ではないですが、今回の立件にメディアとしてある種加担してしまったのかなと反省というか、今後そういう技術の記事を書く時には非常に慎重に書かないといけないと自省をしたという。ちょっと懺悔の言葉です。
質問をさせていただきます。今回の判断基準において、不正性が非常に曖昧なままだとお話されていましたが、先生の考えとして、現状の不正指令電磁的記録に関する罪の法律においても、ある程度限定するような法律の本文ないし法律を、行政はなにかしら修正する必要があるということなのか。
もしくは、今後の判例を積み重ねていく中である程度固まっていくべきなのか、法律、行政側が今後どうするべきということについて、もし考えがありましたらうかがえますでしょうか。
高木:私の考えとしては、最高裁判決を見ると、社会的に許容し得ないものについてのみが該当するのは、かなり強力な限定がかかっていると思います。私の理解は、賛否両論で賛のほうで「いいんじゃないですか?」と言っている人がいれば、社会的に許容し得ないとは言えないと言っていいのではないかと思うので、うまいこと収まったという感じがしています。
もちろん、ほかの刑法学者の先生方にうかがうべきで、「いやいや、社会的に許容し得ないって、そんな安心できるもんじゃないですよ」という意見もあるかもしれませんが、私の理解としては、立法的手当ては必要ないと思います。
ただ、今後もまた境界事例が発生して、同じように揉めることがあるかもしれません。そういった場合に、さらに要件を限定するために、また最高裁まで行って、いよいよサイバー犯罪条約の範囲に絞るとか、情報セキュリティ侵害の範囲とか。どういう言葉で判決となるかはわかりませんが、将来はそういうことがあるかもしれません。ただ、今は必要な状況ではなくなったと思います。
司会者:ありがとうございます。それではほかに、ご質問ありますでしょうか?
記者B:日経BPのゲンと申します。これまでは、反意図性が大きな争点だったところが、最高裁でまるで逆転するような判断が示されたのが、非常に驚きです。最高裁は反意図性について、一般人基準でのみ判断したことは問題ないのでしょうか。
もし平野先生にもおうかがいできたら、平野先生はここを争点にする上で、どのような考えで今回裁判に臨まれたのか、判決の内容も含めてご意見をうかがえたらと思います。
高木:わかりました。(スライドを示して)まず私からですが、こちらのスライドに用意していたように、今回の判決を踏まえると、反意図性自体はそれ自体が犯罪性を少しでも出す要素はなにもなく、単なる類型のラベルに過ぎなくて、犯罪の構成要件は不正な指令だけで決まるということだと言っていいのでは、という説です。
ご質問は反意図性をたくさん争って反転する結果だったけどどう思うかということで、「なるほど、それは別に、それはそれでいいんじゃないですか」と思います。
私としては大コメに歯向かっても風車に突撃するようなものなので、考えもしなかったというだけで、ここが否定だったら「ああ、それはいいですね」と思うだけです。
でもよく考えると、法律改正できた当時はそれに近い感覚だったと思います。例外を見落としていて、論点に気づかなかったということです。よろしいでしょうか。
平野敬氏:私が反意図性を争点にしていたのは、訴訟戦略上、ここが非常に大きいと思っていたからです。今の高木先生の説明にもあったとおり、大コンメンタール含め当初の通説は、反意図性があれば自動的に不正性も推定されて、全体的に違法となってしまうというものでした。そのため、訴訟戦略としてはまず反意図性の部分で逆転させないといけない。不正性のほうに論点が移ってきてしまうと非常に苦しいというのがありました。
それとは別に、私も20代の頃は自分でソースを組んでいましたが、JavaScriptを使う時点で、反意図性はそういう考え方でいいのかなという思いがありました。
例えば、一般のWebサイトにアクセスする際に、そのWebサイト上でどんなスクリプトが動くかという点について、人々が一般に全部予期した上で覚悟していることはないだろうと。明確に害をなさないものについて、JavaScriptが動くことについては同意しているのではないかという感覚があったので、ここについては黙示の同意というロジックを入れて、反意図性を争いました。
ただ、最高裁の結論だけを見ると、反意図性と不正性の連動が切られたので、不正性で争うことができるのであればそこまでこだわる必要はないというか、ここで戦えるなと思いました。答えになっていますでしょうか?
記者B:わかりました、ありがとうございます。
高木:1つつけ加えます。今回の最高裁判決を受けてとある役人と議論をしたのですが、その方が言うには「現代の電子計算機は、使用者の意図しないところで成り立っているんですね」と。1990年代からそうだったと思いますが、それはそうだなと思います。
記者B:その上でですが、エンジニアも刑法感覚を持てと今日解説いただきましたが、あらためて、刑法感覚をエンジニアにもう少しわかりやすく、どう短く説明したらいいのか。今回の凡例だと、「刑法に触れるのは社会規範に照らして」という部分だと思いますが、どういうふうに考えれば、あるいはどういうふうに学べばいいでしょうか?
高木:3年前の講演の際には、自然犯と法定犯の違いの説明をしました。自然犯というのは講学上の概念に過ぎない。役人には、自然犯か法定犯かを区別して法律を作っているわけではないと言われます。
一般論としては、刑法典に並んでいる殺人罪や、住居侵入罪、社会的法益だと文書偽造罪というものは、法律で定めるまでもなく犯罪である。だから「何とかをしたものは懲役何年」という具合に、禁止規定がなく、単に法定刑が書いてある。つまり、言うまでもないことが書いてあるわけで、不正指令もそこに属するわけです。
それに比べると、不正アクセス禁止法は典型的な法定犯です。非常に厳格なルールが決められていて、他人のパスワードを使ったり、それと同等の脆弱性をついて入ったりすると(この罪に)該当するわけです。
警察庁と経産省と総務省が共管になっていますが、それは2000年に決めたルールです。だから、いかなる事情があろうとも違反していれば犯罪に当たるというタイプで、そこに程度とか、そういうものは一切入らないわけです。
その感覚の違いを把握していないといけません。警察の現場も混乱していると思いますが、日頃から少年が何げなく他人のパスワードで入る事案が大量に発生していて、「それはいけないことだよ」とたくさん報道していたりするわけです。
それを繰り返していた地方警察の生活安全課は、生活指導員のような感じになって、「ダメじゃないか!」とやっています。それが刑法典にある不正指令にも当てはめてしまって、形式的な条文解釈で当てはまると思うような誤解があったのではないかと思います。
これは3年前にも言ったことです。エンジニアもそのあたりを理解していないと、何が犯罪かはわからないだろうという話です。個人情報保護法の話もそうですが、データベース提供罪が27年改正でできましたが、基本的には間接罰になっています。行政的にルールを決めて、違反したら命令でやめなさいと言って、命令に従わなければ罰金や懲役になっているのが基本です。
直罰規定があるのは、だいたい騙している場合です。そこがわからないと、迷惑メールでも犯罪だと考える人はいるだろうと思います。今日は一切触れませんでしたが、今回の場合でいうと、人のCPUを使うのは利益窃盗を刑法は罰しないという、別の論点もあります。
例えば、昔からパスワードのかかっていない他人の家の無線LANにただ乗りをするのは、犯罪ではありません。それから、暗号を解読してつないだやつは利益窃盗なので不可罰でした。
人の物を無断で使う使用窃盗という言葉もあります。これは、物理的に自転車を勝手に使って、そっと返しておいた場合などの話です。そのあたりも刑法の感覚の話で、わかっていないと「電気窃盗じゃないか」と言ったりします。なかなか複雑な話ですが、セキュリティエンジニアで犯罪にかかわるつもりであるならば、その基本知識は持つ必要があるかと思います。
司会者:ほか、なにか質問はありますでしょうか?
記者C:朝日新聞のワタナベです。今回の判決で、これまであいまいな基準で摘発されたり有罪になったりした不安があったがために、なにかの発展みたいなものが阻害されていたりした場合、今回の判決でどういう産業やどういう分野の人たちが恩恵を受けたり、自由になっていくことがあり得るかとか、期待されるかとか。そういう影響の部分をうかがいたいです。
高木:私は、これで技術者が萎縮するなどとは1回も言ったことはありません。「萎縮しないようにしましょう」「むしろ抗議の声を上げましょう」と言っていただけです。例えば、政治家が抗議の声を上げるために萎縮するというロジックを使うのはかまわないと思いますが、私個人はそうは思いません。そのため、当然の結果になっただけであると思います。
ただ、最後に述べたように、この刑法改正は解説を書き直す必要が生じたのですから、やはり一部失敗があったということだと思います。これから同じような立法がある場合を考えると、当然、無用な萎縮が生じるような立法をしてはいけないということは、繰り返し言っていかないといけないと言えると思います。
司会者:よろしいでしょうか。ほかに質問がある方は、いらっしゃいますか?
男性A:オンラインで質問がいくつか来ていますので、私が読み上げます。「最高裁は反意図性の理由の1つとして、一般的な認知がないことを挙げていましたが、一般的な認知の基準は何ですか? この事件をもって一般的な認知を得たと言えますか?」
高木:一般の使用者が認識すべき動作と実際の動作が異なる場合は、結局該当してもしなくても、とにかく不正かどうかで犯罪かどうかは決まるので、あまり重要ではない感じになってきました。しかし、不正な指令であっても犯罪にならないケースがなくはないわけです。つまり、意図に反する動作をさせるわけでもない不正な指令がもしあるとすると、今の論点が関わってくるということです。
それを踏まえた上で、例えば法制審議会の議事録にあったものとして、「Microsoft Officeを使っているとイルカが勝手に出てくるのは、意図に反する動作ではないのか」と委員の先生が質問しています。
これは、一般の使用者が認識すべき動作なので、反意図性はないという説明になります。非常に極端な例ですが、先ほども言ったように、プログラムの動作は粒度の粗いところから細かいところまでいろいろな言い方ができるので、どういう意味で実際の動作が異なるとか、何を認識すべきかというのはよくわかりません。
例えば、ハードディスクフォーマットプログラムがあるとして、一般の使用者がハードディスクフォーマットプログラムだとわかる状態にさえなっていれば、それをそうとは気づかずに使って「なんだよ、全部消えてしまった」と文句を言っても、それは一般の使用者が認識すべき動作なので、意図に反しませんよという考え方です。
それの逆の例は国会の議事録にもありましたが、「天気予報のプログラムですよ」と言って騙してハードディスク消去プログラムを渡して、信じて使ってしまう。こうなると、反意図性と不正が出てくるわけです。その時は、一般の使用者が認識すべき動作とは言えないという意味です。
男性A:もう1点、エンジニアの方だと思うのですが、「安全のために反意図性を回避しようと、裏で動くものについて説明文を書きまくるとか、同意を取りまくるということになり得るのでしょうか?」という質問です。
高木:今回はそういった懸念があったわけです。高裁判決がもし確定したとすると、逐一同意を求めないといけないような結末になりかねないところでしたが、最高裁判決は否定しているので、同意を取らないといけないということになったわけではありません。
冒頭で示したように、社会的に許容し得ないプログラムだけが該当するわけで、単に意図に反するだけであれば問題ないので、逐一同意を取る必要はありません。
逆に、10年前にザ・ムービー事件というものがありましたが、同意を取っていると主張して、不正な指令を与える輩がいるわけです。当時は電話帳を盗む行為でしたが、スマホの連絡先を盗むに際して、パーミッションで「はい」を押しているのが同意を取っていることに当たると弁護人は主張していたわけです。
1件目は不起訴になりました。完全黙秘したので立件できなかったというのが事情のようです。次に起きた類似の別事件では、有罪まで持っていって、複数件確定していたと思います。
という具合に、刑法の世界では社会的に許容し得ないプログラムだと、いくら同意の仕掛けを作っても、実質気づかないでボタンを押している態があり、それをそれでかまわないと思って認識・認容してそういうのを出している行為は、反意図性は否定されず、不正性も認められて犯罪になるという考え方です。
男性A:質問は以上です。ありがとうございました。
司会者:高木先生、ありがとうございました。
高木:どうもありがとうございます。
関連タグ:
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
職場であえて「不機嫌」を出したほうがいいタイプ NOと言えない人のための人間関係をラクにするヒント
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.06
嫌いな相手の行動が気になって仕方ない… 臨床心理士が教える、人間関係のストレスを軽くする知恵
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
2024.12.11
大企業への転職前に感じた、「なんか違うかも」の違和感の正体 「親が喜ぶ」「モテそう」ではない、自分の判断基準を持つカギ
PR | 2024.11.22
「闇雲なAI導入」から脱却せよ Zoom・パーソル・THE GUILD幹部が語る、従業員と顧客体験を高めるAI戦略の要諦