2019年06月20日 09:51 弁護士ドットコム
2018年に検挙されたサイバー犯罪の件数は、9040件と過去最高になった。「不正指令電磁的記録に関する罪」(通称ウイルス罪)の摘発は68件。前年よりも7件減少しているが、2014年の2倍以上だ。
【関連記事:「田中の対応最悪」社員名指しの「お客様の声」、そのまま社内に貼りだし公開処刑】
一方、「ウイルス」の定義や摘発の根拠が曖昧であり、処罰対象が拡大する恐れがあるとして、エンジニアや専門家から懸念の声が出ている。
無限にアラートが出るページへのURLを書き込んだ男性が、不正指令電磁的記録供用未遂の疑いで書類送検された(5月22日に不起訴処分)ことも、「ブラクラですらない」「本当にひどい」などと話題となった。
また、3月には、横浜地裁で、自身のウェブサイト上に他人のパソコンのCPUを使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)に無罪が言い渡された(検察側が控訴)。
このコインハイブ事件で弁護人を務めた平野敬弁護士が6月15日、東京都文京区の東京大学本郷キャンパスで開かれた「第3回情報法制シンポジウム」(主催・一般財団法人情報法制研究所)に登壇。
「ユーザーに意識させずに実行させたいヒートマップツールなどは、巻き添えを食らうのではないか」とし、横浜地裁判決がサービス提供者に及ぼす影響などについて語った。
犯罪が成立するための必要条件を「構成要件」という。ウイルス罪の場合は、以下が構成要件となる。
(1)正当な理由がないこと
(2)実行供用目的があること
(3)反意図性と不正性を満たすプログラムを
(4)作成・提供すること(刑法168条の2第1項)もしくは
供用すること(刑法168条の2第2項)もしくは
取得・保管すること(刑法168条の3)
立法担当者は反意図性について「一般に認識すべき考えられるところを基準として判断することとなる」とし、不正性については「機能を踏まえ社会的に許容しうるものであるか否かという観点から判断」と示している。
反意図性も不正性も、条文を読んだだけでは何が問題となるのか明確には分からない。ウイルスかどうかを判断するには、規範的な価値判断が必要となる。こうした構成要件を「規範的構成要件要素」という。
では、どこからが罰する対象となるのか。これは立法の際にも問題となった。2011年6月14日に開かれた参院法務委員会で、前田雅英参考人は「最終的には国民の目から見てこの程度のことをやればウイルスと言われたってしようがないでしょうというのがだんだん形成されて(いく)」、「常に新しいものが出てきますから、この領域は、特に初めからきちっと書き込むというのは難しい」などと発言している。
これについて平野弁護士は「事例の蓄積によって社会的な基準ができるのはいいとしても、その過程で摘発された人のことをどう考えているのか」と疑問を呈する。
「マスコミに名前が出て、職を失ったり、家庭不和で離婚したりする人もいる。結果的に無罪になっても、損失は取り戻せない。社会的合意が形成される過程における悲劇は、どう考えているのか」
こうした法律を運用して捜査をする現場の問題にも触れた。
平野弁護士は「現場の警察官は、難しい法理論についてわかっていない人や専門的なコンピューターの教育を受けていない人もいる。そういう人にも運用できるように、法律は作らないといけない」と指摘。
加えて、裁判所が捜査官からの令状発付の請求をほとんど認めている「令状の自動販売機」問題や、正式裁判によらずに検察官が提出した書面で審査する「略式手続」、警察官や検察官、裁判官、弁護人などにIT知識が不足していることなどから、「任意のプログラムが不正指令電磁的記録として摘発され、弁護士に相談しても有効なアドバイスが受けられず、略式裁判によって有罪判決となる」と負の循環が起きていると述べた。
3月27日の横浜地裁判決は、反意図性について、機能に関する説明内容や、想定される利用方法などを総合考慮して、機能が「一般的に認識すべきと考えられるところを基準として判断するのが相当」と示した上で、プログラムの認知度やウェブサイトとの関連性、ユーザーが実行に気づくかどうかについて考慮すべきとした。
平野弁護士は「認知度が低く、サービス内容と関連性が低い演算をユーザーに明示しない形で実行すると、反意図性が認められるということになる」と問題点を指摘。今後JavaScriptによってサービスを提供する際には、開発時に要件を検討する必要が出てくるとし、ヒートマップなどへの影響を懸念した。
また、不正性についても「不正でないことを証明するために、自己防衛ロジックを用意しなければならず、開発者にとって非常に負担が大きいのではないか」と指摘。控訴審では「JavaScriptの特性を踏まえて、プログラムが信頼を害するものであるかどうかという反意図性の枠組みを見直していきたい」と話した。
コインハイブで摘発されたのは、正式裁判を起こした男性だけではない。警察庁の官房審議官は2019年3月8日、衆院法務委員会で「平成30年中、28件21人検挙している」と説明している。
会場からは「警察は何を求めて、コインハイブを摘発していたのか」といった質問が出た。
これに対し平野弁護士は「あくまで想像」としながら「2020年オリンピック・パラリンピック東京大会を控え、世界最高水準の安全なサイバー空間の構築が目標とされている。一定の摘発の実績を作りたかったのではないか」とよむ。
「コインハイブはIPアドレスで簡単に摘発でき、略式裁判に持ち込めば、多くの人は罪を認めて早々と罰金を支払う。点数稼ぎの材料としてよかったのではないか」
慶應義塾大学の亀井源太郎教授は「立法において解釈の余地のない文言はない。どうしても一定の規範性は保たざるを得ない」と指摘し、ウイルス罪の立法のあり方はどうあるべきか平野弁護士に意見を求めた。
平野弁護士は「たしかに規範的構成要素を完全に排除するのは難しい」としながら、「刑法は事前警告機能を果たすべきもの。なるべく例示列挙を重ねることで、解釈の余地を狭くする必要がある。具体的には『人の生命、身体、財産等に重大な損害を与える』などと、不正の解釈を限定するなど工夫の余地があったと思う」と述べた。
また、「全国の警察にセキュリティベンダーからアドバイザーが派遣されることも多い。これで、法的なアドバイスやプログラムについて理解が深まるのではないか」といった質問もあった。
立命館大学の上原哲太郎教授は「警察に対してアドバイザーが果たす役割は47都道府県でそれぞれ違う。難しい案件について、アドバイスを求めてくるところもあれば、アドバイスをしても捜査側の判断にどれだけ影響を与えるかはわからない」とコメント。
上原教授は「やらなければいけないことは、アドバイスで一件一件話すことよりは、底上げする為に頑張ることの方が大事なのかなと思っています」と話した。