サイバー安保 識者に聞くというシリーズで「「通信監視、違法の恐れ」明治大教授 湯浅墾道氏」という記事が、配信されています。これは、いろいろな新聞社で継続的に掲載されており、新聞社によって違うようです。
この記事は、「国家安全保障戦略」で記載されている「能動的サイバー防御」の導入を明記したのでそれに対して「慎重論」もあるとして、その立場にたった有識者のコメントを拾おうという趣旨のようです。
まず、私のブログでいうと、「国家安全保障戦略」については、
- 安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正)
- 「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介( 2022年9月13日)
- 続・アクティブサイバーディフェンスの概念(9月19日)
- 通信の秘密の数奇な運命(国際的な側面)と「国力としての防衛力を総合的に考える有識者会議」報告書(同11月24日)
で記載しています。
あと、2月12日には、SECCONでお話をしますので、その案内については、「2月12日のSECCON2022 電脳会議で「「国家安全保障戦略」の能動的サイバー防御の法的含意」(Legal Implications of “Active Cyber Defense of National Security Strategy”)の講演をします。」であげています。
さて、上で、ふれた湯浅教授の記事ですが
攻撃前から相手の通信を監視することは、憲法が保証する「通信の秘密」を侵害する
という内容です。(国家安全保証戦略は、攻撃者のサーバ等への侵入・無害化についても論じています。が、ここでは「通信の秘密」についてフォーカスするので、この部分は、別個の機会にします。)この記事は、湯淺教授に記事を送ってもらっているので、なんなのですが、果たして、そのようにいえるのか、すこし考えてみたいと思います。
#ディベートなので、大人な論争をするためと思ってご容赦ください> 湯淺先生
1 「国家安全保障戦略」における「監視行為」
まずは、国家安全保証戦略のなそうとしている行為が何であるのか、というのを特定しないと議論が散逸します。この点については、安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正) でふれているところですが、
(日本は)国内の通信事業者が役務提供する通信に係る情報(information on communications services provided by domestic telecommunications providers.)を活用し、攻撃者による悪用が疑われるサーバ等を検知(detect servers and others suspected of being abused by attackers)するために、所要の取組を進める。
となっています。
上の安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正) では、なお曖昧だったのですが、行為を図解してみます。
この図としては、
- 電気通信事業者の取扱中にかかる通信であること
- 通信に係る情報(information on communications services)の利用であること
- 国が、攻撃者による悪用が疑われるサーバ等を検知すること
がポイントです。電気通信事業者の実務としては、当然に自社のネットワーク内におけるトラフィックは、監視しています。しかしながら、そのトラフィックからして、「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれ」があると判断したときに、電気通信事業者の取扱中にかかる通信について、
国がなんらかの手法によって、これを検知する
ということになります。
#個人的には、安全保障関連3文書が、このような厳密な思考の上で作成されているのか、というのに疑問を感じてはいるのですか、とりあえず、それは、さておきます。
この「検知する」というのは、どのような「活動」(オペレーション)になるのでしょうか。この点については、不明ですが、
- DDosなどについての攻撃発信サイトの探知
が考えられます。文言としては、これだけになりますが、実際の話としては
- (エスカレーション)通信の遮断
- (エスカレーション)サーバ等の操作者に対する探知・中立化
などが考えられるように思います。思考実験としては、興味深いので、以下、これらについて考えてみましょう。
2 DDosなどについての攻撃発信サイトの探知の憲法適合性
ということで、自社のネットワーク内におけるトラフィックを監視している電気通信事業者かいる場合に、「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれ」がある場合に、その情報(アドレスも含めて)を、政府と共有するというような法律を定めるとします。このような法律は、
攻撃前から相手の通信を監視することは、憲法が保証する「通信の秘密」を侵害する
となるのでしょうか。
「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれ」がある場合というのがどのように定められるのか、ということが問題になるように思います。
2.1 現実の秩序違背がある場合
まず、DDosなどのように現実に、わが国の通信秩序に危害が加わっている場合を考えましょう。これについては、安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正) でふれたおおりで、富士重工業事件最高裁判決の趣旨からいって、電気通信事業者は、一定の秩序維持行為をなしうるし、そのために情報を国と共有するということも許容されるでしょう。
これを法律解釈論として考えると、Myth とTruthにまとめることができそうです。
| 「国家安全保証戦略」記載の活動は、憲法上の「通信の秘密」を侵害する | 「国家安全保証戦略」記載の活動は憲法上、可能(なお、いろいろなバリエーションがありうるかと思いますが、以下は高橋説です) | |
| 1 | 憲法の規定は、電気通信事業法の規定と同一である | 憲法は、「意思伝達の内容」についての、積極的な取得・漏えい・窃用を禁止したもの、電気通信事業法の「秘密の保護」(通信の秘密・他人の秘密の保護)とは定め方も・範囲も異なる |
| 2 | 憲法上の「通信の秘密」を侵害する | 憲法の定めについては、「意思伝達の内容」についての、積極的な取得・漏えい・窃用を禁止したもの |
| 3 | (憲法は)「およそ通信」の事業者間の遠隔通信について、その取得・開示・利用を許さない趣旨である | 憲法は、国際間の通信についても、これを保護しているのかは、はなはだ疑問。国際法の尊重義務があり、国際法では、各国の主権による留保を前提としている。 |
| 4 | 国内の通信事業者が役務提供する通信に係る情報を利用して、悪用が疑われるサーバ等を検知 | そもそも、憲法の保証が、メタデータに及ばないと解すれば、憲法問題を発生させることはない。 |
そもそも、憲法の教科書の規定が、憲法21条2項の解釈について詳細に述べることがあまりないところです。
それはさておいたとしても、現在の憲法の憲法21条2項の解釈については、
国際的な側面についての配慮が全くなされていない
という致命的な欠陥があるというのが高橋の意見です。
これは、逆に、
国内の通信事業者(domestic telecommunications providers)
という用語の意味についての考察が不足するという問題も抱えるように思います。この点については、あとで考えます
それはさておいたとしても
積極的な取得・漏えい・窃用の禁止
について、(電気通信事業法の解釈ではありますが)知得・開示・利用と同一と解されているように思われ、きわめて広範囲すぎる解釈が行われている、ということがいえます。 (英語では、説明できないです-use とmisuseは、同一であると解釈しているのですよとかいうと???です)
解釈論としては、「漏えい」というのは、自己または他人の利益のために通信にかかる情報を第三者に開示するということになります。高橋の解釈としては、(客観的に)公共の利益のために利用する行為は、この「漏えい」の定義にそもそも該当しない、というように解釈しています。
高橋説ですと、さらに「通信」はcommunicationの訳であり、本来は、意思伝達内容の保護の趣旨であったことから、その保護は、意思内容にしか及ばず、通信データ部分については、憲法上の保護が及ばないと解します。なので、通信データ部分を活用する政府の行為については、立法裁量の是非の問題は生じるとしても、憲法問題を生じるべきものではない、と考えています。通信の内容についは、憲法の解釈との関係の問題が生じますが、国際・越境通信であることからほとんどの問題が憲法の具体的な行為の解釈問題とも関係なく問題なしと判断され、さらに、「漏えい」のの解釈でもって、問題なしと判断されるという解釈になります。
2.2 現実の秩序違反が発生していない場合
「攻撃前から」相手の通信を監視という文言があるので、この意味を考えてみました。
「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれ」がある場合
で、通信秩序に問題が発生していない段階というのは、どのような場合でしょうか。これは、なかなか考えにくいところです。文言からすると、サイバー攻撃によって、直接に、国、重要インフラ等の運営に支障をきたすことによって安全保障上の懸念を生じさせる場合ということかと思います。このための攻撃者による悪用が疑われるサーバ等というのもわかりにくいところです。
海外の首謀者からの命令に従っていることが推測されるボットネットで、コントロールはされているが、まだ、DDOSをおこなっていないサーバあたりがあたるように思われます。ただし、この場合は、その潜在的な攻撃組織の監視というのではないですね。情報活動による探知と犯罪の抑止ということになるかと思います。単なるサイバー攻撃のための通信の媒介サーバという趣旨ではないように思います。
日本国内において外国からのサイバー攻撃を誘致するような行為がなされるのであれば、そのような場合は、刑法81条外患誘致・刑法82条の外患援助罪
第81条[外患誘致] 外国と通謀して日本国に対し武力を行使させた者は、死刑に処する。
第82条[外患援助] 日本国に対して外国から武力の行使があったときに、これに加担して、その軍務に服し、その他これに軍事上の利益を与えた者は、死刑又は無期若しくは二年以上の懲役に処する。
に該当しそうです。
3 国内の通信事業者(domestic telecommunications providers)の意味
ところで上の図で触れましたが、国家安全保障戦略は、国内の通信事業者の情報を活用するということが記載されていますが、なんで、国内に限定されているの?という疑問がわきます。
これについては、多分、仕組的に国との情報共有の仕組みを整備するためには、国内の事業者に限定する必要があったということなのだろうと思います。が、そもそも、探知するということは、国際通信・越境通信でも同様なのではないの、という疑問があります。
法的な思考実験としては、情報組織を整備して、国際通信・越境通信の情報を利用して、
攻撃前から相手の通信を監視する
ことは、憲法的に違反しないのか、という問題があります。国際的な通信を取得するためのハニーポットを海外に設置するとか××なデコイをおいて攻撃者の活動を監視(内容をみることも含む)するとかというのは、国として可能な作戦ということになります。このようなイメージです。
私としては、上でみたように
日本国憲法は、日本国の領土を通過しない通信については、これを保護していない。また、日本域内と海外との越境通信については、通信の秘密は、尊重されるが保証はされない
と考えています。なので、これらのオペレーションが、憲法に違反することはないと考えています。
なお、電気通信事業法との関係で、どのようにして、尊重されるべきコミュニケーションの秘密の保護のバランスをとるか(越境通信においては、通信の一方当事者は、国内)という問題があるように思いますが、それについては、また別の機会に論じます。
4 今後の考察
国家安全保障戦略においては
可能な限り未然に攻撃者のサーバ等への侵入・無害化(penetrate and neutralize attacker’s servers and others )ができるよう、政府に対し必要な権限
というオペレーションが記載されています。
このオペレーションが具体的にどのような行為を念頭においているのか、その場合のわが国の法的な体系との関係はどうなるのかというのは、別の機会に考えたいと思います。
おまけ 参考資料
とういことで、この問題について深く検討したいという数奇な業界関係者(?)の方々のために高橋のいままでに公表した論文のシリーズのリンクを記しておきます。
- 「『通信の秘密』の数奇な運命(国際的な側面)」情報ネットワーク・ローレビュー(第15巻)(情報ネットワーク法学会、商事法務、平成29年)
- 「『通信の秘密』の数奇な運命(制定法)」情報ネットワーク・ローレビュー(第8巻)(情報ネットワーク法学会、商事法務、平成21年)
- 「『通信の秘密』の数奇な運命(憲法)」情報ネットワーク・ローレビュー(第5巻)(情報ネットワーク法学会、商事法務、平成18年)
- 「ネットワーク管理・調査等の活動と『通信の秘密』」(平成17年12月発表)
- 「通信の秘密」の数奇な運命(要旨)
