「不作為のサイバー敗戦」の7つの神話と一つの疑問

日本経済新聞に「不作為のサイバー敗戦 憲法が映す日本の死角」という記事があります。

サイバー空間のリアルは近代で戦争とは定義されなかった「戦争」が時として起こる。

という書き出しです。が、この記事については、法的なが見解からすると落とし穴もたくさんあるように思えます。それらをピックアップしていきましょう。

ちなみに国際法に関する部分については、日本国政府が、国連GGEに対して提出した「サイバー行動に適用される国際法に関する日本政府の基本的な立場」があって、ここで、標準的な解釈が展開されています。

サイバー空間での「戦争」

法律家は、「戦争」という用語をもはや使いません。国際法では、国連憲章(1945年)で「武力攻撃」という用語がつかわれており、また、ジュネーブ諸条約(1949年)も同様です。なお、黒﨑ほか「防衛実務国際法」(215ページ)は、「法的意味における戦争は消滅したか」というコラムを準備しています。このコラムでは

いったん自衛権が行使されれば、法的な意味における戦争が成立し、その中で国は無限亭に武力を行使することが許されるというわけではない

として、

この点につき、法的意味における戦争は消滅したということができよう。

と明言しています。国際法ベースの法律家にとっては、もはや法的な用語として存在しない「戦争」が、憲法の上で議論されているのって意味があるの?ということのように思えます。ましてや、サイバースペースにおける「攻撃」は、国連憲章51条の「武力攻撃」のレベルに達しないと武力の行使が許容されるわけではありません。その意味でも「戦争」というレベルに到達するのは、実質的にかなり困難です。

ちなみに上の政府のGGE意見では

サイバー行動が、国際連合憲章 51 条にいう武力攻撃に当たる場合には、国家は、国際連合憲章第 51 条において認められている個別的又は集団的自衛の固有の権利を行使することができると考えられる。

と明言されています。

米ロ首脳会談

6月16日の米ロ首脳会談については、「相当な注意」に関する国家実行-米ロ首脳会談の議事内容とサイバー、そして、日本への示唆 で論じたところです。これは、ランサムウエアの犯罪者が、そのような犯罪をおこさないように注意し、もし、犯罪を起こしたとすれば、それを捜査し、法執行をおこないなさいという文脈でこたられたものです。

この注意は、「相当の注意」というわけです。政府のGGE意見では

少なくとも、例えば、他国の重要インフラを害するといった重大で有害な結果をもたらすサイバー行動について、ある国が、同国が財政的その他の支援を行っている自国の領域に所在する者又は集団がそのようなサイバー行動に関与している可能性について信頼に足る情報を他国から知らされた際には、当該者又は集団がそのようなサイバー行動を行わないように、当該情報を知らされた国が保持している影響力を行使する義務等は、上記の考え方に鑑みると、相当の注意義務に基づく当該領域国の義務に含まれると解される。

とコロニアルパイプライン事件にそのまま適用しうるような見解が示されているのは、興味深いです。

この会談において、たとえば、あらたな武力紛争時の規範としてインフラを目標とする攻撃をおこなわないことが提案されたわけではありません。その意味で記事は、このように誤解しかねない表現であることは注意しなければなりません。

選挙と国家主権

そのあと記事は、Stuxnetにふれ、また、ウクライナの停電をふれたあと、2016年の選挙にたいする介入を論じます。そこで

一国の指導者を決める選挙に他国が介入し、その結果に影響をもたらすとしたら、それは国家主権の侵害だ

と断定しています。

国家主権の侵害が、具体的なルールなのかという英国の問題提起はさておき、この問題については、シュミット教授の整理を紹介しました(タリンマニュアル2.0 パネル)。国家主権の侵害がルールとして、国際的違法行為を構成するとしても、その要件としての「強制性」をこの場合、どのように考えるべきか、グレイエリアではないのか、というのが一般的な考え方に思えます。

再度、引用します。

(1:24-)DNCについては、
(シュミット)国際法のグレイゾーンとして興味深いエリアだといえます。というのは、シュミット先生の見解によると、「国際法における禁止されている干渉」の問題と考えられるからです。これは、国際法は、主権国家は、他の主権国家の「Domaine Reserve」といわれる部分に強制的な方法(coercive manner)で、干渉することは禁止されています。これに対して、エスピオナージは、国際法の違反には該当しないとされます。マニュアルでは、この点を描こうとしています。ここで、「強制的」(coercion)とは何かという問題になります。これについては二つの見解があります。

一つはLiis先生の見解で、今一つは、シュミット先生の見解です。他国の民主国家に対する情報提供はすべて適法であるという考え方も存在し得ますが、シュミット先生の見解としては、この点は、ラインを超える場合のみが、この場合に該当するという見解です。超える場合としては、「過程を操作してしまう場合」については、国際法の違反と考えることができるという立場です。意図的にファジーな状態にしているので、法的には、「優秀な」法律家といえるでしょう。

 

政府のGGE意見では

他のいかなる国家をも排除して、そこにおいて国家の機能を行使する権利である。

ということで、「排除」って何という問題が残ります。この点は、未解決の問題となっており、上の記事のように断定できる問題ではないのです。

武力紛争法と主体

武力紛争について、

サイバー攻撃はその主体が国家なのか、組織なのか、個人なのか判別しにくい。個人や組織の背後に国家が存在するケースもある。

と論じています。武力紛争は、国と国との関係で発生するので、この記述は正確ではありません。国家が背後にいる場合は、「帰属(アトリビューション)」の問題であり、この場合でも国家責任の問題として論じられます。

憲法21条と情報収集(同意します)

この部分は、

「通信の秘密」に言及した憲法21条を挙げ「政府の通信に関する情報収集や偵察を厳しく制限している

というものですが、これは、そのとおりかと思います。(もっとも、憲法21条の「通信」っていうのは、意思伝達と読むべきでしょうというのは、個人的な見解です)

インテリジェンスと国内法

この点については、土屋教授のコメントがあります。

日本は、憲法21条、電気通信事業法4条、不正アクセス禁止法などによってこうしたことが全くできない。インテリジェンス活動は例外だという認識がなく、グレーゾーンにある措置がとれない

としています。インテリジェンス活動の重要性を正面から認めて、むしろ、その活動を、どのようにして民主的にコントロールするのか、という問題提起かと考えます。この指摘も基本的には同意します。

もっとも、インテリジェンス活動といっても、いろいろあるわけです。国家の非公然活動として整理すると、以下のような感じです。

軍事的・准軍事的非公然活動 機密情報収集(盗聴、探知等)・間接的行動(諜報活動支援、武器販売、助言、心理作戦等)・直接的行動(爆弾テロ、暗殺、急襲、サボタージュ、侵入)
経済的非公然活動 機密情報収集、虚偽国旗掲揚船舶による迂回輸出、情報攪乱、情報システムへの侵入その破壊、通貨不安の惹起
イデオロギー的非公然活動 放送、技術支援、ジャミング、情報攪乱、ジャーナリストと新聞の買収
外向的・政治的非公然活動 公然の情報収集、機密情報収集、間接的行動、直接行動

そうだとすると、ここで 国内法によって制限されているという行為は何なのか?という問題があるかと思います。

他国の重要な機能に対して、強制的な効果を有しており、主権侵害となりうるにも関わらず、秘密裏に行うということであれば、それは、我が国は否定しているように思えますが、それは、果たして、憲法21条、電気通信事業法4条、不正アクセス禁止法の結果なのでしょうか。

(追加)インテリジェンス活動にしても、防衛行為といおうが、実際に、どの組織が、どのような法的根拠で行うのか、ということになります。組織が、根拠法があれば、一見、違法であっても許容されるのは、いうまでもないことです。e.g. NICT法によるアクセスの総務省令による基準(もっとも、これは、争いのありうるところを明確にしたということかと思います。 追加終わり)

厳密に考えていくと、国際的な犯罪行為がなされている/もしくは、そのなされるおそれがある場合なわけですから、その犯罪行為の停止、妨害、抑止行為や証拠を取得する行為をなすことができるでしょうか、という問題ではないかと考えます。

警察官が、その職務を忠実に遂行するために、必要な手段を定めることを目的とするのが、警察官職務執行法で、同法は、警察官に対して、質問(2条)、保護(3条)、避難等の措置(4条)、犯罪の予防および制止(5条)、立入(6条)、武器の使用(7条)を認めています。

同法5条の犯罪の予防および制止の規定をみましょう。

同条は、「警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合においては、その行為を制止することができる。」としています。ここの「制止」とは、「犯罪が行われようとするのを実力で阻止することをいう」といいます。

この制止には、一般的には、身体の一次的拘束、凶器の取り上げ等の措置が含まれ、具体的には、種々の行為が、これに含まれ、引き留めのため警棒を肩に宛てる行為、放水車による放水、催涙ガス・催涙液を使用して制止する行為などが含まれています。制止の具体例としてあげられている行為は、犯罪実行行為者に対する有形力を伴うものです。

犯罪が行われようとするのを実力で阻止する制止が許される以上、制止にいたらないコントロールの奪取行為は、当然に、警察官の職務執行として許容されるものと考えられでしょう。また、上記の予防・制止の規定は、現行犯罪となっている場合の制止についてまではふれていませんが、多数の見解によれば、警察法、警職法、刑事訴訟法の精神より、制止が可能であると解されています。

警察官によってサイバー攻撃行為の停止、妨害、抑止をなす行為は、許容されると考えられます。

具体的には、解釈としては、ボットネットに対して、これを機能停止させるというのは、この行為と解することが可能であると考えられます。また、証拠取得行為は、どうでしょうか。

もっとも、理論的に、これらの行為が可能であるといっても、実際にこれらの行為は、種々の偶発的な結果を招くこともありうることになります。その意味で、これらの行為について、国内法に対する国際法からの制約が存在するので、実際になしうる手順、限界等を定めることは有意義ではないかと考えられます。難問です。 (海外のサーバーに対するアクセスと証拠取得行為を自粛しているというルールが、この国内法に対する国際法からの掣肘を示しているように思えます)

サイバー防衛と憲法

次は、宍戸先生のコメントです。

「通信の秘密」以上に自衛権の問題がある。サイバー空間における自衛権の行使は許されるのか。先制攻撃は許されるのか

が論点だとしています。

この点については、上の政府のGGE意見とは、基本的な認識が異なっていることに留意しないといけません。政府意見は、サイバー空間における行動が、実際に社会にどのような効果を与えるのか、ということで、それをもとに武力攻撃の閾値を越えるかを考え、それを越えた場合に自衛権の行使が正当化されるということを考えています。

この場合には、(国連憲章の枠組に基づいた)一般の自衛権の行使の論理なので、(軍事的必要性がある限り)自衛における手法の限定はないですし、先制攻撃は、許されるかは、国連憲章51条の解釈として議論されるので、それ自体特別の論点ではないよう思えます。

しかしながら、宍戸説は、武力攻撃の閾値を越えない場合についても自衛権の行使を考えているように思えます。この点については、「主権侵害・デューディリジェンス・自衛権-「サイバー行動と国際法についての日本政府の基本的な立場」を読む」 「サイバーにおける自衛権、武力攻撃、武力行使、対抗措置」で論じていますが、むしろ、政府の見解では、主権侵害の場合と捉えて、それに対する対抗措置の問題としているように見受けられます。その主権侵害により被害が生じた場合に一般には、対抗措置をとるのが日本国政府の立場です。

国際違法行為に対し対抗措置をとることは、一定の条件の下で、国際法上認められている。

一般論としては、他国による国際違法行為により侵害を受けた国は、違法行為国に対し、①国際違法行為を中止する義務や②回復の義務等の履行を促すために対抗措置をとることは、一定の条件の下で、国際法上認められている。
一般国際法上、対抗措置が先行する国際違法行為と同様の手段に限定されなければならないとの制約はなく、このことは、サイバー空間における国際違法行為に対する対抗措置についても同様だと考えられる。

となります。図解は、こちらです。

その意味で、上の宍戸コメントは、どのような場合をいっているかがよく分からないので、誤解を招きやすいと思います。少なくても、専門家は、こういっていますとして、引用すべきコメントとは評価しないほうがいいでしょうというのが、私のコメントになります。

選挙とサイバー防衛?

最後は、

与野党は、(略)公約でサイバー防衛と憲法の関係を整理し、迅速に対応してほしい

というコメントです。

上の図でみたように、基本的には、実は、サイバー防衛は、実際は、憲法問題ではないわけです。

いま一つは、これが公約となったところで、どれだけ、国民の理解が進むのか、といういまひとつの問題です。セキュリティの問題は、直近の問題としては、リスクとして認知がすすまない問題なので、票にならないのではないの、という根本的な問題がありうると考えるところです。

でもって、署名記事なんですね。問題提起としては、いいのですがね。

関連記事

  1. クラウドの障害対応・フォレンジック-CSAのクラウド・インシデン…
  2. 脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情…
  3. 国立研究開発法人情報通信研究機構の中長期目標の改正案に対する サ…
  4. 日航偽メール3億8000万被害-メールは、ハガキですよ
  5. サイバー攻撃に対抗措置 政府検討、電力や鉄道被害時
  6. EU報告書のIoTの定義
  7. 「情報漏えいが疑われる場合の対応方法」が、弁護士ドットコムに掲載…
  8. サイバー規範についてのディナール宣言
PAGE TOP