英国の両用ツールについての詳細なガイドライン

「ウイルス罪、有罪と無罪の境界はどこにあるのか」の記事で

サイバー犯罪条約の規定に合わせて2006年に修正した箇所も含め、詳細なガイドラインを公開。起訴に当たって検察官(prosecutor)が考慮すべき点を明らかにしている。

という部分があります。この点については、私は、「情報セキュリティに関する両用ツールの開発等の行為と法的規制について―― 英国法からの示唆」( 掲載誌 InfoCom REVIEW 50巻p17~27) ISSN 1341-0024で論じているので、その内容を簡単に紹介します。

英国においてコンピュータのインテグリティへの犯罪を定めるコンピュータ不正使用法1990には、サイバー犯罪条約で定めるような「デバイス」についての規定を有していませんでした。そこで、サイバー犯罪条約の規定に適合させるために、「警察・司法法2006(Police and Justice Act 2006)」によって以下の規定が定められました。この規定(同法3A)の定めは、

3A (コンピュータ不正使用法-筆者追加)1条もしくは3条の犯罪において使用されるツール(articles)の作成、提供、取得
(1)1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するために、ツールを、作成、改変、提供、ないしは提供を申し込むことは、犯罪である。
(2) 1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するのに使われることがありそうだ(likely to be used)と信じて、ツールを、提供、ないしは提供を申し込むことは、犯罪である。
(3) 1条もしくは3条の犯罪を侵そうとして、もしくは、侵すのを幇助しようとして、ツールを取得することは、犯罪である。
(4) 本条において、ツールとは、電子的形態におけるプログラムないしは、データを含む。
(5)本条において有罪とされたものは、
(a) 略式裁判によりイングランドおよびウエールズにおいて、12月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(b) 略式裁判によりスコットランドにおいて、6月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(c) 正式起訴にもとづき、2年以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
の責任を負う。

というものでした。

この規定(同法3A)は、主観的態様によって3つの犯罪形態(目的の場合、犯罪の相当性の確信の場合、故意の場合)になることが明らかにされています。一方、客観的な行為に着目すると、作成/改変と提供/提供の申込とでは、主観的態様のレベルが異なることになります。

作成/改変行為については、犯罪目的がないといけないのに対して、提供/提供の申込については、犯罪の相当の蓋然(likely)性に対する確信で犯罪が成立するとしています。

この条項をめぐって、まさに提供/提供の申込に対する犯罪行為については、情報セキュリティの研究者、侵入試験者、そして、その余のプロに対して法的不明確さを生じてしまうと批判されました。

この批判に対応することを考えていたのか、英国検事局(Crown Prosecution Service)は、コンピュータ不正使用法の適用についてガイドラインを公表しています。

そのガイドラインによれば、「合法的な産業が、コンピュータ・システムのセキュリティに関与して、『ツール』(これは、電子的形態におけるプログラムもしくは、データを含んでいる)を作成し、ハードウエアやソフトウェアのテスト・監査に利用している。ツールには、したがって、両用の可能性があり、検察官は、容疑者が刑事的な意図を有していたかを確認することが必要になる。」とされています。そして、起訴にあたって、検察官は、具体的に

 組織、会社、もしくは他の主体は、きっちりとした、時宜にあった契約書、条項、条件もしくは利用方針を有しているか
 学生、消費者、他のものが、コンピュータ不正利用法、適法な行為および不適法な行為を意識していているか。
 学生、消費者、他のものが、コンピュータ不正使用法を違反するという意図がないという宣誓書に署名しているか。

などの事項を考慮すべきであるとされているのです。

また、ガイドラインは、

コンピュータ不正使用法3A条(2)は、1条もしくは3条の犯罪を犯すのに使われる、もしくは、犯すのを幇助するのにつかわれる、ようになりそうだ(likely)と信じて道具を提供する、もしくは、提供することを対象としている。
ツールが、罪を犯すのに利用(もしくは誤用)されることがありそうだ(likelihood)ということを決定するのに際しては、検察官は、以下のことを考慮すべきである。

として
 ツールは、コンピュータ不正使用法の犯罪(たとえば、コンピュータ資源に対する無権限アクセス)を犯す目的を、主として、故意に、唯一のために、開発されてきているのか。
 ツールは、コマーシャルベースで、広く利用可能なものか、もしくは、適法な販売チャンネルで売却されているのか。
 ツールは、適法な目的のために広く利用されるか。
 実質的にインストールベースであるのか。
 もともとの意図された目的と比較して、そのツールが、罪を犯すのに使われるにいたった状況は何か。

という要素をあげています。

ツールの目的が、主として犯罪目的であるのかどうか、配布・販売形態はどのようなものか、適法利用の可能性がどの程度か、誤用状況の理由はどうかなどの諸事情をみて総合判断すべきということになります。

これらのガイドラインが、実際の裁判のなかで、どのように活用されているのか、などは、調査していませんが、これらの項目があげられているだけでも、議論の整理としては非常に重要であるような気がします。

関連記事

  1. 医療機器におけるサイバーセキュリティの確保について
  2. リーガルマルウエア
  3. 紫のライトセーバー ハッカーとしての政府の法律問題-「スキあり …
  4. ロボットとコンピュータセキュリティ
  5. 「責任共有モデル」という前に
  6. Private Sector Cyber Defense: Ca…
  7. 「住民票LINE交付巡り、技術提供会社が国を提訴」の記事
  8. 国連GGE2020-21報告書速報を分析する-タリンマニュアルを…
PAGE TOP