8つの規範について個別に検討をしてきました。
そのあとで、報告書は、規範の採用、実装、責任(Accountability)、利害コミュニティ、といった項目について、検討します。
法といった場合には、一般には、その法規範の内容を意味することが多いですが、むしろ、規範については、それが、正当であるという確信に支えられて、行動を一定のものと規制するものと動的に捕らえていて、そのことが、規範のないようのみならず、それを支える社会、文化、組織、能力構築、信頼醸成にフォーカスしているということがいえるかと思います。
このなかで、法律家として興味深いのは、責任(Accountability)の記述なので、そこを見ていきます。
規範が採用され、実施されると、規範に違反する者に対する説明責任がなければなりません。これにより、属性(attribution)と応答(response)の複雑な問題が発生します。これらは、サイバー攻撃への対処において困難であることが判明しているものです
報告書では、証拠の取得の話がなされています。技術的なものであるとともに、それ以外の手法による証拠も活用されるのは、いうまでもないことでしょう。
個人的には、責任帰属の決定の際には、それが、法的な文脈なのか、政治的な文脈なのかを明らかにしないと意味がないと考えています。
私のブログの立場は、Codeblueでも来日したVihuul先生の立場なので、そのところを参照してください。ところで報告書では、
非国家主体によるサイバー攻撃に対する説明責任は比較的単純であり、主に関係国の国内法の下で民事責任または刑事責任を課すことによって達成されます。
とされていますが、非国家主体のサイバー作戦を、国際法の次元でみたときに、何が論点になるのかというのは、結構、問題ではないか、と考えています。そのような作戦を、直接に停止することはできないのか、それは、誰が、どのように行うのか、それは、国際法的に、正当化されるのか、インターネット媒介者が、何らかの重要な役割をしている、もしくはすべきではないのか、という問題提起がなされてしかるべきかと思います。
私のスタンスからいえば、この上の記述は、パラレルワールドから、現実社会にエイリアンがきているのに、そのエイリアンは、パラレルワールドの秩序維持の責任でしょ、といっているように思えます。国内法の観点からみたときに、被害者や被害国の法執行機関からの強制力行使による制裁・抑止の問題も、この観点で考えるべきだろうと思います。