大統領の演説を3回にわたって翻訳してみました。この演説が大切なのは、国家によるサイバー攻撃(厳密には、国家に帰属しうるサイバー攻撃)にたいしての国家が対応する場合の国際法の論点を明確に論じきっていること、そして、集団的自衛権、集団的責任帰属特定(アトリビューション)に加えて、集団的対抗措置を世界で初めて提唱した、ということです。
その1を見てみましょう。スピーチとしては、
冷戦後の最初の大統領であるLennart Meriが、かつて述べ 有名に なったように、国際法は小さな国家の核兵器だからです
という言葉が強力なインパクトをもって語られています。 国際法の教科書を開いた人ならば、 国際法は、法なのか、というのは、最初のほうで検討する疑問であるということは、わかってもらえると思います。この問題は、個人的には、「法」の定義によるので、あまり意味がないかな、と思っています。それよりも、まさに、小さな国家の核兵器です、という表現のほうが、はるかに国際法の重要性を物語っていると考えられます。
その2の部分は、演説のハイライトです。さらに、個別に見ていきましょう。
第一に、多くの国やいくつかの国際機関も認めているように、サイバースペースには既存の国際法が適用されます
「サイバー規範に関する国連GGEの失敗」というエントリを書きました。ここでも、ふれられているように国際法が、サイバー領域に対しても適用されることについて 国連を背景にした 議論がなされたのですが、ロシア、中国をはじめとする国との間で、合意に達することが至りませんでした。ある意味では、婉曲的な表現で、GGEでの合意に至るのを妨害した国に対して批判をしたのかもしれません。
第二に、国家はサイバースペースでの活動に責任があります。
これは、デューディリジェンス と国家責任について語っています。国家責任については、国の機関か、コントロールのもとで、なされた行為について、適用がなされます。では、コントロールがない場合は、どうか、ということになります。この場合は、自己の領域内で行われる活動に対して責任を有することになります。適切な注意義務(デューデリジェンス)を負っているということになるのです。
この点については、昨年のCYCON報告が、日本語で簡単に読めるものの代表かと思っています。詳しくは、そのエントリをどうぞ。
第三に、国家は、個別にも集団的にも、サイバー脅威と混乱に対する自らの回復力を強化し続けなければなりません。
回復力(レジリエンス)の強化の論点になります。細かく見ていくと、デューデリジェンスの合理的努力にふれ、さらにその能力の向上を論じています。そして、「 十分に堅牢なサイバー防御システムを持っていない国々を支援する際のモデル」として発展させていくこともふれています。
第4のポイント:国家は、国際法に従って、個別にも集団的にもサイバー作戦の責任の帰属を特定する権利を有する。
違法な行為をなしたものが誰かを特定し、その責任を国家に問うというプロセスになります。この、特定に基づいて 責任を国家に問う 行為がアトリビューションといわれています。この用語については、専門家風の用語の落とし穴「アトリビューション」で説明をしています。今回のCycon2019でもLiis先生の圧巻のプレゼンがありましたので、これは追ってさらに紹介ができると思います。
この大統領の指摘の重要な点は、私としては、二つがあるかと思います。このアトリビューションが主権から派生すると考えられていること、また、集団的(collective)に、責任帰属特定行為を行うことができると考えているということと思います。この責任帰属特定行為を集団的に行うということは、昨年のNotPetyaをはじめとして、WannaCryなどのサイバー攻撃で、国家実行(state practice)としてすでに行われています。この指摘は、この国家実行を分かりやすく表明したものと考えます。
でもって、これらの場合には、わが国にも攻撃の影響が大なり少なりあるので、「集団的」という意味は、あまり考えないでもいいのかなあ、と考えています。
エストニアの立場の 5番目のポイント、そして 最後のポイントになりますが、国家は、 悪意のあるサイバー作戦に対応する権利 をもち、外交的対応、対抗措置、そして、必要に応じて国家固有の権利である自衛権も持つということです。
Last but not leastという言葉がありますが、むしろ、日本語的に、このスピーチの大トリという感じです。悪意あるサイバー作戦が許されない干渉の禁止にふれる場合には、対応する権利があるわけです。これは、通常の解釈の確認になります。オバマ大統領が、中国に対して、いい加減にしろ、といって、実際に中国からの経済スパイ行為が減少したというのは、国際法のアプローチが、有効であることを物語っているように思えます。また、51条の武力攻撃の閾値を越えた場合には、 国家固有の権利である自衛権 の発動が許されることになります。
国家は国際法に従って、個別であれ集団的であれ、有害なサイバー作戦に対応するためのすべての権利を維持します
「すべて」なので、対抗措置を採る権利も当然に有するわけです。ただ、ここで「 個別であれ集団的であれ、 」という用語が付されているのに注目する必要があります。
まず、対抗措置の用語については、こちらのエントリ、あと、「サイバー攻撃に対抗措置 政府検討、電力や鉄道被害時」をどうぞ。
でもって、対抗措置は、国際的違法行為によって被害を被った国の行為として認識されているかと思います。それを直接の影響がみずからの国に発生していないのにもかかわらず、同盟国のために、集団的に、対抗措置をとるということを提唱しているということになります。これは、従来で議論されていなかった点になると思います。この点を確認したのですが、マリア博士を筆頭に、エストニアは、世界で初めてこの点をいっており、非常に「強い立場」をとっているということだそうです。
わが国でも、集団的自衛権に関して国内法の整備をなしたわけですが、対抗措置についても集団的対抗措置をとることになったら、国内法の整備がいるのかなあ、とか、そもそも日本は、対抗措置がきちんと整備されているのかな、と思いながら、メインのパーティに向かいました。