CyConX travel report Day Two Due Diligence session (1)

Dr. Kubo Mačák先生の司会によるDue Diligence sessionです。タリン・マニュアル2.0のメインテーマは、武力攻撃の閾値(スレッシュホールド-ほとんど、業界人には、日本語化してますね)以下の紛争-低強度紛争(Low Intensity Conflict)の場合についての、主権概念の分析(規則4)、干渉の禁止(規則66)やこのセッションのテーマのデューデリジェンス(規則10)だと思います。

でもって、講師のメンバーが、Prof. Michael Schmitt、 Mr. Peter Z. Stockburger、Prof. Karine Bannelierになります。
Prof. Michael Schmittは、タリン・マニュアルのプロジェクトの筆頭編集者であり、武力行使の基準に関するシュミットスケールでもおなじみです。高橋個人的には、2015年のLaw Courseで、サイバー国際法のブートキャンプの講義を受けたのですが、そのときのメイン講師でもあります。なので、個人的にもお話をさせてもらっていたりします。

Mačák先生の仕切りによるセッションの最初は、シュミット先生の講義です。講演者は、それぞれ15分で、講演することと言い渡されていたのですが、きわめて濃密な授業でした。
講義メモとして、他の資料も含めて、ちょっと講義録風にしてみます。

国家が、国家主権を侵害することは許されません。「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています 。この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。
サイバースペースにおいて、これらの概念が展開される場合、地理的な視点が重要になります。
対内主権(Internal Sovereignty)は、
「国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる」(タリンマニュアル ・ルール1)
と考えることができます。(マニュアル2.0では、規則2)

これは、具体的には、(1)サイバーインフラストラクチュアは、国家による法的・規制的コントロールにある(2)領土に関する主権は、国家に対してサイバーインフラを防衛する権限を与える(3)国家は、主権を有するが、管轄権を有しない(例、領域における大使館、軍事施設)場合があるということを意味すると解されています。

対外主権(External Sovereignty)とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。
これは、サイバー的な文脈においては、「国際関係において、権限が対外主権を制限する国際法によって限定・制限されていない限り、サイバー作戦に従事することは自由である」ということを意味します。
これは、主権平等原則(主権国家は、相互に対等・平等である)とも密接な関係がある。この対外主権に関する国際先例としてローチュス号事件(常設国際司法裁判所1927)、核兵器使用の合法性事件(国際司法裁判所1996)があります。
タリンマニュアル2.0は、国家責任の観点から、規則14において「国家は、自国に帰属し、それに帰責しうるサイバー作戦において、国際的な義務に違反する場合には、国際的な法的責任を負う」と明らかにしています。

ところで、「主権を侵害する」というのは、どういうことでしょうか。これは、介入(intervention)を受けないという原則に対する深刻な悪影響を受けない権利を侵害されるということになります。国家は、他の国の国際法上の権利を侵害することはできないのです。他の国において爆発を起こすような行為をなしてはいけないことになるというのは、武力行使(use of force)/介入の禁止を侵害するということになります。これに対して、機密文書を保有する権利というのは、国際法上の原則とは関係がないので、主権侵害とは考えられないということになります。
この「深刻な」というところは、特に環境法で分析されているところだそうです。Trail Smelter disputeというのがあって、カナダと合衆国の間で議論になった事件だそうです。
ボットネットによる攻撃が、この介入の禁止原則に違反するか、という点については、タリンマニュアルの専門家でも意見が一致しなかったとのことです。

(高橋)この部分は、タリン2.0で充実した部分に思われます。特に、強制(coercion)をベースにした介入からの自由を中核とした主権の論述は、詳細で勉強になります。もっとも、証拠としてのデータ取得が、この「主権侵害」というのとどう考えるのか、というのは、今度、聞いてみたいと思います。

ところで、上の介入の禁止原則といっても、これは、国家行為として、なすことは許されないということであって、民間の行為としては、国家間の規範に対しては、関係がないということになります。とはいっても、いかなる場合にも、国家が民間の行為に対して責任を負うことがないといえるのかというのは別問題です。ここで、近時、きわめて注目されているデューディリジェンスの法理のサイバー分野に対する適応を考える必要があるということになります。

デューディリジェンスの法理とは、「(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力」といった意味になります。
現在の国際法において、国際社会が国家に要請する注意義務が存在するという考え方が採用されています。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決がある。この事件において裁判所は、「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある」と論じています。これは、国際法における積極的義務(主要ルール)の一つです。

サイバー作戦についても、このデューディリジェンスが論じられるべきことになります。タリンマニュアル2.0規則6(デューデリジェンス(一般原則))は、「国家は、自国の領域または自国の政府の支配下にある領域もしくはサイバーインフラストラクチュアが、他の国家の権利に栄気宇を与え十大で有害な結果を生じるサイバー作戦/工作のためにしようされることを許さないよう、相当の注意を払わなければならない」としています。

また、特に近時、サイバー領域におけるデューディリジェンスの議論が盛んになってきている 。この法理を現実に適用する場合の問題について検討する。「知りながら」というのは、どのような場合をいうのか、という問題がある。この点については「現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されている。この義務が認められるべき被害のレベルは、厳密には、不明確である。

また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について争いがある。多数の見解は、敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものである。また、合理的な手法のすべてを採用するべきというベストエフォートの義務(Feasible Actionをとるべき義務)がある。

結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。

現代のデューデリジェンス論の課題は、防止することができない国家において、支援を受忍することを求めることはできないということです。

関連記事

  1. Cycon 2019 travel memo day2 (3)
  2. 「データ戦略と法律 攻めのビジネスQ&A」献本いただき…
  3. ボットネット・テイクダウンの法律問題(初期) 後
  4. 欧州におけるIoTのサイバーセキュリティに関する戦略と法-「RE…
  5. 脅威情報共有のプラットフォーム(3)-MISPとGDPR
  6. 国際法に関する先制的自衛の法的論文から解釈論をみる
  7. 総務省 「IoTセキュリティ総合対策」の公表 (その1)
  8. 大規模ランサムウエア被害防止のためのMSのブログ
PAGE TOP