マイク・シュミット教授のニュージーランドのサイバーセキュリティ政策についてのコメント(1)

ニュージーランド政府のサイバー空間における国際法の適用に関する声明については、このブログで、エントリをあけて分析しています

が、タリン・マニュアルの筆頭編集者であるマイク・シュミット教授が、この声明についてコメントをあげているので、分析します。

分析は、「ニュージーランドは、国際サーバー法についての対話を前進させる(New Zealand Pushes the Dialogue on International Cyber Law Forward)」というものです。

最初にニュージーランドの声明が重要な理由です。

  • 主権や集団的対抗措置などのトピックを含んで重要な論点について意見を述べている点
  • 外務貿易省(MFAT)からの公式の声明であって大きな影響力を有すると考えられる
  • ファイブ・アイズ国からのものであり無視できないこと

でもって、この声明について法的立場から、批判的な観点から見ようというのがこのシュミット論考となります。

検討される論点としては、武力の行使(Use of Force)、(内政)干渉(intervention)、主権、デューディリシェンス、サイバー作戦への対応、国際人道法および国際人権法になります。

具体的に見ていきます。

武力の行使(Use of Force)

国連憲章2条4項、慣習法の武力の行使の禁止がサイバー作戦に適用されるのは、議論を待たないところです。これは、国連のGGE報告でも確認されていますし、ニュージーランドの声明でも、確認されています。

この点についての論点は、傷害もしくは物理的破壊に及ばない場合でも武力の行使に該当しうるか、ということで、タニンマニュアルは、肯定的な回答をなして、オランダは(経済的な影響の場合について)可能性を示し、フランスもこれを支持しています

…活動の規模と効果の評価に依存する。国家のサイバー活動が、国際法上の武力行使を構成する運動によるものと同等の規模と性質の影響をもたらす場合、武力行使となる。このような影響には、死亡、人への重傷、被害者国家の対象物および/または国家機能への重大な損害が含まれます。悪意のある国家のサイバー活動の規模と影響を評価する際には、国家は、直接的な影響と、意図された、または合理的に予想される結果的な影響の両方を考慮に入れることができる。

というのが、ニュージーランドの見解で、ニュージーランドは、「規模と影響」テストに基づいていること、が最初の特徴です。このテストは、「武力攻撃」のレベルのものであったわけですが、オーストラリアフィンランド(2020年10月15日発表)オランダ(2019年7月5日発表)も同様な見解を示しています。また、この見解は、非サイバー手段による場合のアナロジーで、影響を評価しており、これは、他の国も従っている傾向です(ただし、きわめて文脈依存の判断になります)。国家機能の妨害は、主権侵害、もしくは、違法な干渉とされますが、一般的には、武力の行使とはされません。全面的な機能の停止が武力の行使となりうるとしても、損害の性質よりもより、規模と影響に基づいた(総体的な)結果のパラダイムへと移行しているのが重要であると分析されています。

(内政)干渉(intervention)

強制的干渉の禁止については、ニュージーランドは、伝統的なアプローチを採用しています。これは、2015年GGE報告書やすべてのサイバースペースの国際法についての声明に明らかにされているところです。

このニュージーランドは、ニカラグア判決の二つの要素(「強制(coercion)」と「国家のドメイン・レザベ」を確認していますが、シュミット先生によると

悪魔は、細部に宿る(The devil is in the details.)

となります。ここで、シュハット先生は、意図の問題が重要であることを論じます。

重要なことは、ニュージーランドは、サイバーの文脈で禁止がどのように適用されるかという議論では見落とされがちな意図の問題を強調していることである。ニュージーランドでは、「国家行為者の強制的な意図は規則の重要な要素である」と指摘し、「状況によってはサイバー活動の影響から推測されることもある」としている。ニュージーランドの例では、「パンデミック時に州の公衆衛生活動を大幅に損ねる、長期化した協調的なサイバーディスインフォメーション作戦」が示されているが、この作戦はパンデミック対応計画を実行する対象となる州の能力を阻害するように設計されているため、介入の明確な例である。

「強制の意図」がなければ、干渉にはならないことになります。したがって、

したがって、ニュージーランドの声明で引用されているもう一つのシナリオ、「医療システム、金融システム、電気や通信ネットワークなど、国家の重要なインフラに意図的に大きな損害を与えたり、機能を喪失させたりするサイバー活動」は、ドメイン・レザベの一面に関する対象国家の選択を強要する意図がある場合にのみ、介入に該当することになる。状況によっては、そうなるかもしれないし、ならないかもしれない。

となります。

さらに分析は、続きます。

 

 

関連記事

  1. 企業のためのサイバーセキュリティの法律実務
  2. 安全なIoTシステムのためのセキュリティに関する一般的枠組
  3. デジタル・ジュネーブ条約
  4. サイバーセキュリティ大統領令
  5. 医療機器におけるサイバーセキュリティの確保について
  6. 動的IPアドレスは、「適法な利益 」のための利用(データ保護指令…
  7. 総務省 「IoTセキュリティ総合対策」の公表 (その1)
  8. ENISA 「トラストがあり、サイバーセキュアな欧州のための新戦…
PAGE TOP