「サイバー攻撃の指令元検知しやすく 総務省が法解釈整理」という記事が出ています。
総務省は防犯カメラなどの機器を乗っ取って標的にサイバー攻撃をしかける指令元のサーバーを迅速に検知できるよう法解釈を整理する。
記事によると
指令元の割り出しには、通信先の住所を示すIPアドレスや、通信の種類を示す識別番号、日時を示す「タイムスタンプ」を使う。これらは外形的なデータのため通信の内容そのものではないが、電気通信事業法が定める「通信の秘密」に当たり、取得は違法となる恐れがある。
とのことです。事案的には、Miraiボットネットのような場合の指令元(herder)とボットネットとの通信の遮断を念頭においているものと考えられます。
アレッ、通信の相手先は、検知できるはずだよね、って思ったのですが、まずは、基本的なところを整理しましょう。
なお、憲法の「通信の秘密」は、パスします。(個人的には、Confidentiality of communicationなので、事実関係は、含まないと解しているところがあったりします。と思ったら、大日方 信春「通信の秘密とサイトブロッキング(序説)」は、高橋説かもしれないなと思ったりします。)
電気通信事業法における通信の秘密については、詳しい解釈は、手軽(?)に読めるところだと、「ネットワーク管理・調査等の活動と「通信の秘密」」があります。電気通信事業法は、
第4条で、(秘密の保護)
1 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
と定めています。
ちなみに、刑事罰の規定は、179条です
電気通信事業者の取扱中に係る通信(略-)の秘密を侵した者は、二年以下の懲役又は百万円以下の罰金に処する。
2 電気通信事業に従事する者(略-)が前項の行為をしたときは、三年以下の懲役又は二百万円以下の罰金に処する。
3 前二項の未遂罪は、罰する。
となっています。
それでもって、「秘密の保護」に関する文言は、良く見てみると、「通信の秘密」「他人の秘密」と使い分けられていているところ、刑事罰では、「通信の秘密」の侵害のみが処罰されます。
——
ちょっと脱線して、韓国の電気通信事業法の規定もほとんど同一です。
第83条
1 何人も電気通信事業者が取扱中の通信の秘密を侵害し、又は漏えいしてはならない。
2 電気通信業務に従事している者、又は従事していた者は、在職中に通信について知り得た他人の秘密を漏洩してはならない。
としています。
でもって、刑事罰は、
「通信の秘密」の侵害について、同法第83条1項に違反した場合、3年以下の懲役又は1億5千万ウォンの罰金の刑罰が課される(第95条第7項)。また、電気通信事業者が同条第2項に違反した場合は、より重い、5年以下の懲役又は2億ウォンの罰金の刑罰が課される(第94条第2項)
となっていて、
「他人の秘密」の侵害について、情報通信網法第49条は、「何人も情報通信網により処理、保管若しくは転送される他人の情報を毀損し、又は他人の秘密を侵害、盗用若しくは漏えいしてはならない。」と定めており、同条に違反した場合、5年以下の懲役または5千万ウォン以下の罰金が課される(網法71条第11項)
となっています。
ここで、「通信の秘密」とは、通信の内容の秘密をいい、「他人の秘密」とは、通信に関する事実関係をいうと解されている(私は、この部分を「通信データ」とよんでいます)とのことです。
なお、英国法で通信データというとアカウント情報も含むのですが、トラフィックデータという用語は、日本では、統計化されて、個別の通信の識別性を失ったデータをトラヒックデータと呼ぶ関係で、実務的には誤解されるおそれがあるというが、通信データと読んでいる理由です。
—
日本の電気通信事業法に戻ります。歴史的な解釈の変遷は、また、さておきます。興味のある方は、「「通信の秘密」の数奇な運命(要旨)高橋郁夫」などをどうぞ。
でもって、昭和62年の第一法規の逐条解説がでて、それまでの解釈(便宜上-「電気通信関係法詳解」の立場とします)は、さらに拡大されます。そこでは
1項の「通信の秘密」について、従来からの「通信内容にとどまらず通信当事者の住所、氏名、発信場所等通信の構成要素や通信回数等通信の存在の有無を含むものである
とか
このように『通信の秘密』には、通信の内容たる事実に係るものと通信の外形的な事実にかかるものとがあるが、ここでは、両者を保護するものである
とされ、
電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したものである
とれさています。
そして、「通信の秘密」の概念との違いなどが意識して論じられることになる。具体的には、ここでいう「通信に関して知り得た他人の秘密」とは、「通信の内容、通信の構成要素、通信の存在の事実等「通信の秘密」のほか、通信当事者の人相、言葉の訛りやプッシュホンに記憶された相手番号等直接の通信の構成要素とはいえないが、それを推知させうるものも含む
とされるわけです。
これらの概念の関係を整理してみます。
でもって、現在は、この図で、一番の右の考え方が、一般的な見解とされています。この図のとおり、保護の範囲が広がってきていることがわかるかと思います。
一般的な見解のもとでの、指令元の位置づけ
さて、ここで、この見解のもとで、
- (ア)電気通信事業者において、片側当事者の同意がある場合において、電話の発信場所を探索し、これを他人に知得させる行為の許容性
- (イ)事業者みずからが、通信の片側当事者として通信データ、内容を知得することの許容性
などの論点があります。結論だけまとめると
(ア)「被害者の要請があるときは、公社の職員が当該電話の発信場所を探索し、これを捜査官憲に通報することは、許されるものと解すべきである。その理由を要約していえば、右の探索および通報は、脅迫の罪の現行犯人の逮捕に協力するために行われるものだからである。」
(イ)インターネットだと、電気通信事業者が、常に当事者とのなる解釈は、困難でしょう。
ということで、攻撃元は、(ア)で許容されるのではないのと思ったのでした。が、良く考えてみると、「指令元」という表現があります。これを図解します。すると、指令元と、ボットネットとの間の通信を遮断してしまうのに、この通信元を指定するとともに、この指令関係の通信を伝えないということを正当化する必要が出てくるわけです。
ところで標準的な解釈との関係を考えます。通信の秘密についての解釈だと、「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」 (第5版) が標準的な地位を占めています。あと、「電気通信事業における個人情報保護に関するガイドライン(平成 29 年総務省告示第 152 号。最終改正平成 29 年総務省告示第297 号)の解説」も参考になります。
発信者を探知するための通信履歴の解析は、目的外利用であるばかりでなく通信の秘密の侵害となることから、裁判官の発付した令状に従う場合、正当業務行為に該当する場合その他の違法性阻却事由がある場合でなければ行うことはできない。
に該当するとされています。発信者のIPアドレスを調べるのは、この「通信履歴」なのか、というと、永続的な保存された情報 (履歴というのは、ある程度の保存の語感があります)ではないので、微妙です。該当したとしても、「その他の違法性阻却事由がある」か、どうかという問題になります。
それはさておき、上の指令者も、攻撃者も、同意は、していないので、同意の根拠は使えないでしょう。
上の現行犯人逮捕の法理はどうかというと、理屈としては、まず、
正当防衛(刑法第 36条)、緊急避難(刑法第 37 条)に当たる場合や、正当行為(刑法第 35 条)に当たる場合等違法性阻却事由がある場合には、例外的に通信の秘密を侵すことが許容されることになる。
という法理に含まれることになります。「探索および通報は、脅迫の罪の現行犯人の逮捕に協力するために行われるもの」という場合であれば、この理屈で、許容されます。「逮捕協力」とあるので、法執行機関への報告等の目的が必要になるかと思います。その意味で、一般的な利用は難しいということでしょう。
そうだとすると、攻撃についての攻撃者のIPアドレスの共有が、プロバイダの正当な業務行為なのか、という問題で正面から検討するのかなと思います。
なお、IPアドレスが個人情報に該当しているとした場合にこの共有の正当化根拠というのも問題になります。
これらの問題について、一定の解釈が提示されてくるのかと思います。この点については、興味をもってみてみたいと思います。
根本に立ち返って考えてみる
我が国では、このように歴史的に「通信の秘密」を肥大化してしまいすぎ、インターネット通信、特に、サイバーセキュリティの重要性、通信媒体者の役割の重視という流れとのギャップが生じために、肥大化した解釈をもとに、いろいろな側面で(ガイドラインなどで)パッチ当てをしているところであると理解しています。
しかしながら、世界的には、むしろ、韓国のような通信の内容と通信に関するデータ部分を分ける考え方が一般的な上に、各国で、立法などもされています。
当社においては、令和2年度 総務省様より「「サイバーセキュリティ対策として講じられる通信の内容及び構成要素に係る情報の知得・解析や通信の遮断等に関する措置と利用者の基本的な権利の保障の在り方を巡る諸外国の法制度・実態の調査」(令和3年度 0049-0358)を請け負わせていただきまして、この点についての世界的な動向をまとめさせていただきました。
その調査の結果の中からについて、米国、欧州、英国について、ポイントのみをご紹介します。
アメリカ合衆国
電気通信法222条は、顧客情報のプライバシーについて定めています。
(a)一般
あらゆる情報通信の事業者は、別の情報通信事業者、機器製造者、及び顧客の、及びそれらに関する専有情報の秘匿性を保護する義務がある。情報通信事業者には、ある情報通信事業者から提供された情報通信サービスを再販売するものを含む。
(b) 事業者情報の秘匿性
何らかの情報通信サービスを提供する目的をもって、別の事業者から専有情報を受領し、又は取得する情報通信事業者は、当該目的にのみ当該専有情報を使用するものとし、自己の市場目的のため、当該専有情報を用いてはならない。
と定めています。ここで、基本となる概念は、ネットワーク専有情報という概念です。
同条 (h)は、 「顧客のネットワーク専有情報(Customer proprietary network information)」として「顧客のネットワーク専有情報」とは
①情報通信事業者の顧客により加入された情報通信サービスの量、技術構成、タイプ、相手先、位置、及び使用量に関する情報で、もっぱら事業者顧客間の効果によって、その顧客から事業者に利用可能である情報、
及び
②事業者の顧客により受け取られる、電話交換サービス又は長距離電話料に付属する請求書に含まれる情報をいう(ただし、加入者名簿情報は含まない)
と定義しています。そして、同条(c)は、その秘匿性について論じています。
(c) 顧客のネットワーク専有情報の秘匿性
⑴ 情報通信事業者に対するプライバシー要件
法の要請又は顧客の承認ある場合を除いて、情報通信サービスを提供するに際して顧客のネットワーク専有情報(Customer Proprietary Network Information、以下、CPNIという)を受領し、又は取得する情報通信事業者は、①当該情報が由来する情報通信サービス、又は②電話帳の出版を含む、情報通信サービスに必要か、又はその際に使用されるサービスの提供においてのみ、個別に特定される顧客のネットワーク専有情報を使用、開示、又はアクセスを許可するものとする。
⑵ 顧客の要請に基づく開示
情報通信事業者は、顧客による容認する書面による要請に基づき、顧客に指定された者に顧客のネットワーク専有情報を開示するものとする。
⑶ 集計された顧客情報
情報通信サービスを提供するに際して顧客のネットワーク専有情報(CPNI)を受領し、又は取得する情報通信事業者は、⑴項に規定した目的以外に、集計された顧客情報を使用、開示、又はアクセスを許可することができる。地方の交換事業者は、⑵項に規定した目的以外に、集計された顧客情報を使用、開示、又はアクセスを許可することができるが、合理的な要求に基づき合理的かつ差別的でない条件に基づいて、他の事業者又は個人に当該集計された情報を提供する場合に限る。
(d) 例外
本法のいかなる規定も、顧客から得た顧客のネットワーク専有情報を、直接又は代理を通じて、使用、開示、又はアクセスを許可することは以下の目的のためには妨げない。
⑴ 情報通信サービスを開始、提供、請求、及び徴収するため、
⑵ 当該サービスの、詐欺的、暴力的、又は違法な使用又は申し込みから、事業者の権利と財産を守るか、又は、サービス利用者及び他の事業者を守るため、
⑶ 通話中に顧客にインバウンドマーケッティング、照会、又は管理的サービスを提供するため。ただし、通話は顧客により始められ、かつ当該サービスの提供のために当該情報が使用されることを顧客が承認している場合。
⑷(本法332(d)に定義される) 商用モバイルサービス、又は(本法615b条に定義される)IPを利用したボイスサービスの使用のユーザに関する通話位置情報を①ユーザの緊急サービスの求めに応えるために、公衆安全回答個所、緊急医療サービス提供者、又は緊急派遣提供者、公衆安全、消防署、又は法強行権を有する官吏、若しくは救急病院又はトラウマ治療施設に、②死亡又は深刻な身体的危害の危険を含む緊急事態において、ユーザの法定後見人又はユーザの近親に、ユーザの位置を知らせるため、又は③緊急時に緊急サービスの伝達を援助する目的だけのため、情報又はデータベース運営サービスのプロバイダに提供するため。
(略)
以上の規定に関連して、連邦通信委員会(Federal Communication Commission)は、種々の規則において実運用の細目を示しています。
特に、注目される規則として、ブロードバント消費者のプライバシーについての規則(Protecting the Privacy of Customers of Broadband and Other Telecommunications Services)があります。
同規則の246項は、この消費者プライバシー規則がインターネットセキュリティを改善したり、マルウェア、フィッシング攻撃、その他のサイバー脅威から顧客を保護したりするBIAS(ブロードバンド・インターネット・アクセス・サービス)プロバイダの取り組みに(マイナスの)影響を与えるという指摘はあたらないとしています。
また、「この報告書・命令で採用されているルールは、2015年のサイバーセキュリティ情報共有法(CISA)に基づいてなされるサイバー脅威情報の共有に任意の制約を禁止したり課したりはしません。 確かに、情報共有は業界全体でデータセキュリティを促進するための重要な部分であると私たちは信じている」としており、合理的なサイバーセキュリティのための活動が、消費者プロライバシ規則と矛盾・衝突するものではないことが明らかになっています。
ここでは、
当該サービスの、詐欺的、暴力的、又は違法な使用又は申し込みから、事業者の権利と財産を守るか、又は、サービス利用者及び他の事業者を守るため
に、使用、開示、又はアクセスを許可することが前提とされているのが注目されます。
欧州
オープンインターネット規則
欧州共同体においては、ISPのセキュリティ活動は、ネットワーク中立性とその例外という文脈のもとで捉えられています。
オープンインターネット規則は、ネット中立性規則ともいわれ、トラフィクの同等で非差別的な取扱いや、関連するエンドユーザの権利を保護する共通のルールの確立を目的とするもの(同規則第1条1項)です 。
特に3条は、オープンインターネットアクセスの安全措置(Safeguarding)を定めています。
具体的には、
エンドユーザは、エンドユーザまたはプロバイダの所在地または情報、コンテンツ、アプリケーションまたはサービスの所在地、発信地または目的地にかかわらず、自らのインターネットアクセスサービスを介して、情報およびコンテンツにアクセスし、配布し、アプリケーションおよびサービスを使用し、提供し、選択した端末機器を使用する権利を有するものとします。
とされています(パラ1)。この権利は、プロバイダとユーザとの間の契約等によっても制限することはできないとされています(パラ2)。
第3条第3項の第2パラグラフは、
第 1 パラグラフの規定は、インターネットアクセスサービス・プロバイダが合理的なトラフィック管理措置を実施することを妨げないものとする
としています。
しかしなから、ここで、合理的とみなされるためには、当該措置は透明性があり、差別的ではなく、比例したものでなければならず、また、商業的な考慮に基づくものではなく、特定のトラフィックのカテゴリの客観的に異なる技術的なサービス品質の要件に基づくものでなければなりません。しかも、このような措置は、特定のコンテンツを監視してはならず、必要以上に長く維持してはならない、と定めています。
第3条第3項の第3パラグラフは、
インターネットアクセスサービスのプロバイダは、第2パラグラフに規定されている以上のトラフィック管理措置を行ってはならず、特に、以下の目的のために必要な場合を除き、特定のコンテンツ、アプリケーション、サービス、または特定のカテゴリ間のブロック、減速、変更、制限、干渉、劣化、または差別を行ってはならない
ものとしています。
具体的には、
(a) インターネットアクセスサービスのプロバイダが対象とする連邦の立法行為、連邦法に準拠した国内法、または連邦の立法行為や国内法に効力を与える連邦法に準拠した措置(関連権限を持つ裁判所や公的機関の命令を含む)を遵守するため。
(b) ネットワーク、そのネットワークを介して提供されるサービス、及びエンドユーザの端末機器のインテグリティとセキュリティを維持するため。
(c) 差し迫ったネットワークの混雑を防止し、例外的または一時的なネットワークの混雑の影響を緩和するため。
のみがそのようなトラフィック管理が許されている場合であるとしています。
さらに、同第4パラグラフは、このトラフィック管理措置は、第 3パラグラフに定める目的を達成するために必要かつ適切な場合に限り、 個人データの処理を伴うことができることを述べているとともに、個人データ保護指令(当時)(欧州議会および理事会の指令 95/46/EC)に従って実施され、また、トラフィック管理措置は、欧州議会および理事会の指令2002/58/EC(注 eプライバシー指令)にも準拠するものとするとされています。
ここで3条(3)のセキュリティによるトラフィック管理の例外(サービス、端末機器のインテグリティとセキュリティを維持)に注目すべきです。
もっとも、このオープンインターネット規則は、抽象的な一般論であるということもできます。その意味で、このオープンインター規則におけるサイバーセキュリティ例外とでもいうべき例外自由に基づくトラフィックマネジメント行為が具体的には、どのようなものなのか、ということが詳細に分析されることになります。そのために有意義なのは、BERECの推奨事項とENISAのガイドラインということになります。
BEREC ガイドライン
その3条(3) パラグラフ3のセキュリティによるトラフィック管理の例外がISPのセキュリティ活動の関係で注目されています。これに関しては、上記規則に加えて、BERECのガイドラインがあります 。
BERECは、2016年8月に、「規制者による欧州ネットワーク中立性の実装についてのBERECガイドライン」(”BEREC Guidelines on the Implementation by National Regulators of European Net Neutrality Rules)を公表しており、また、2020年6月にBERECは、「オープンインターネット規則実装のガイドライン」(BEREC Guidelines on the Implementation of the Open Internet Regulation)を公表しています。
ここでは、この2020年6月のガイドラインをみることにします。
このガイドラインにおいて上記3条(3) パラグラフ(以下、パラ)3は、合理的なトラフィックマネジメントとは、別のISP等の実務を認めるものになることが明らかにされています(パラ76)。
一般には、トラフィックマネジメントにおいては、ブロッキングしない、遅くしない、改変を加えないなどの七つの行為の禁止原則が適用されますが、ここにあげられている三つの例外の場合には、必要性および必要期間という厳格な要件のもと、そのような禁止に該当するような行為も認められるものとされます(パラ78)。
パラ83以下では、特に、ネットワークのインテグリティを保持するための例外について詳述されています。
ちなみにENISAは、2018年12月には、「オープンインターネット規則3条3項セキュリティ対策の評価に関するガイドライン」(Guideline on assessing security measures in the context of Article 3(3) of the Open Internet regulation)を公表しています。これは、規制当局 が、規制当局がセキュリティ対策を実施する際の評価を支援するための技術的なガイドラインになります。
英国
英国では、我が国で通信の秘密として保護されている事項については、主として、法執行・情報機関の取得の見地から論じている調査権限法の規制と、通信法制による規制とがあります。ここで、通信法制との関係をみていきます。
電気通信プロバイダが、利用者との間で締結する電気通信サービス利用契約において、通信に関するプライバシーに関する事項がどのように保護されるのかという観点から、検討されることになります。これらの点についての英国における基本的な規制の枠組みは、2003年通信法、2017年デジタル経済法、2018年データ保護法と2003年プライバシーおよび電気通信(EC指令)規則(SI 2003/2426)(PEC規則)とです。さらに、ネットワーク中立性等が基本的な枠組みを構築しています。
電気通信に対する政府の規制の枠組みを定めた2003年通信法(Communications Act 2003)は、通信・放送分野を横断的に監督する通信庁(Ofcom -Office of Ccommunications)の規制権限を定め「枠組指令(2002/21/EC)」、「認証指令(2002/20/EC)」、「アクセス指令(2002/19/EC)」、「ユニバーサルサービス指令(2002/22/EC)」の4つの指令に対応していました。その後、2017年デジタル経済法が制定され、上記の4つの指令がEUにおける電子通信コード(指令)に置き換わったのに対応して2003年通信法の規定は、大幅に改正されています。
また、プライバシーおよび電気通信(EC指令)規則2003(SI 2003/2426)(PEC規則)は、EUのeプライバシー指令(2002/58/EEC)に対応して、種々の問題に対する対応の枠組みをさだめています。
この規則において注目すべきものとしては、同規則5条の公共電子通信サービスのセキュリティの規定があります。そこでは、サービスのセキュリティを守るために技術的・組織的手段を定めるべきこと、個人データを保護し、セキュリティポリシーを実際に導入するのを確かにすること、残存リスクについては、利用者に知らせるべきこと、手法の適切性は、技術の状況と導入コストによること、が定められています。また、その手法の監査は、情報コミッショナーがおこなうことが定められています。
ネットワーク中立性との関係
オープンインターネット規則が定めるネット中立性原則との関係も重要です。欧州共同体におけるオープンインターネット規則については、上でみたところです。
英国のEU離脱後に関して、英国において、EU法は、離脱の合意の条件に基づいて、英国のEU離脱の日において適用が停止されますが、ただし、国内法の一部として、効力を有します(2018欧州連合離脱法3条(1))。従って、オープンインターネット規則は、そのまま英国のオープンインターネット規則として適用されています。
国内法として2016年オープンインターネットアクセス規則(The Open Internet Access (EU Regulation) Regulations 2016)が定められています。同規則の4条 国家規制当局の規定において、EU(オンープン・インターネット・アクセス)規則(以下、EU規則という)の第3、4、5条における国家規制当局であるとされており、同2016年規則の7条において、EU規則の第3条および第4条への適合性を確かにするため、また、技術の進展において非差別的なインターネットアクセスサービスが継続して利用できるようにするために要求事項を課すことができる権限があることが明らかにされています。
Ofcomは、「ネット中立性適合を評価するOfcomのアプローチ-オープンインターネット規則のゼロレーティングおよびトラフィック管理手段評価の枠組」(“Ofcom’s approach to assessing compliance with net neutrality rules-Frameworks for assessing zero rating offers and traffic management measures for compliance with the Open Internet Regulation” )という声明を公表しています。
この声明は、主として、「ゼロレーティング」データトラフィックの商業的慣行/トラフィック管理の実践についての規則適合性を評価するための これまでの経験を踏まえてのOfcom のアプローチを定めたものでになります(同声明 1.1、以下、同様)。この声明は、ISPのオープンインターネット規則適合性についての意識向上を図るものであり、また、そのビジネスの計画やコンプラインアスの評価の助けを目指しています(1.5)。
同第4章は、トラフィンク管理についての分析です。最初に背景として、EU規則、BERECガイドラインの記述が説明されています(4.1-4.6)。
4.7は、Ofcomによるトラフィック管理の枠組の図になります(同書 16頁)。
ということで、例としてあげた法域においては、ネットワークの安全の確保のためのISPの行為が制定法上、適法になしうることが明確にされているといえるでしょう。我が国においては、電気通信事業法において「秘密の保護」の解釈について、次第に拡張がなされてきたことと、また、制定法的な改正等がなされていないことのかわりに、ガイドラインの充実化によって、具体的な妥当性を図ってきたものといえるでしょう。
しかしながら、ここまで世界の趨勢が明らかになっいるときに、ネットワークセキュリティを守るための活動をいつまでも例外的なものとして維持し続けるべきか、というのは、重大な問題であるような気がします。
