英国において、コンピュータにたいして、無権限アクセスを禁止する法律は、1990年コンピュータ不正使用法(Computer Misuse Act)です。
個人的には、CMA1990については、25年前くらいにまとめた
- 「コンピューターの無権限アクセスの法的覚書-英国コンピューターミスユース法1990の示唆」(判例タイムズ所収, 1006号)(参考リンク)
があります。でもって、2023年2月20日に、「1990年コンピュータ不正使用法レビュー/諮問手続(Review of the Computer Misuse Act 1990: consultation and response to call for information)」が公表されています。リンクは、こちら。
どのような改正提案がなされているのか、というのを見ていきたいと思います。
全体を図で示すとこんな感じです。個別に読んでいきます。
1 提案の構成
提案の構成は、大臣による序文、背景、1990年コンピューター不正使用法の見直し、法改正の提案、今後検討すべき事項、重要用語集からなりたっています。
2 具体的に注目すべき点
2.1大臣による序文
大臣の序文は、大臣の責任(脅威に対処するための適切な法的枠組み、権限、法執行能力を確保すること)から始まります。
そして、具体的に採用している措置について
- 国家サイバー基金( The National Cyber Fund)は、法執行機関の対応を改善するために、投資を後押しし、能力を高め、訓練を拡大しました。
- 国家サイバー犯罪ユニット(NCAの一部)は、法執行機関の専門家を1つの精鋭部隊にまとめました。
- サイバー犯罪ユニットを含む地域組織犯罪ユニット(ROCU)のネットワークを構築し、地域レベルの専門能力へのアクセスを部隊に提供しています。
をあげています。
そして、政府は1990年コンピュータ誤用法(CMA / the Act)の見直しを実施したこと、法自体の変更と、法執行機関が法の対象となる犯罪により効果的に取り組めるようにするための追加権限の両方について、多くの提案がなされたことが論じられています。
今回の諮問対象は、
- 1つ目は、詐欺やコンピュータの不正利用など、幅広い犯罪を支援するために犯罪者によって使用されているドメインやインターネットプロトコル(IP)アドレスを、法執行機関が管理することを可能にする新しい権限の開発に関する提案
- 2つ目の提案は、法執行機関が捜査に必要なデータかどうかを判断するために、法執行機関がコンピュータデータの保存を要求できるようにするための権限です。
- 最後に、適切な保護措置が講じられていることを条件として、コンピュータシステムにアクセスして個人データを取得するなど、CMAの違反行為によって他人が取得したデータを保有または使用している者に対して措置を講じることができる権限を設けるべきかどうかについての意見
です。
また、レビュー中に提起された他の多くの問題に対する我々の提案するアプローチの詳細も含まれていまるとして、具体的には、
- 量刑の水準
- CMAの犯罪に対する防御
- 脆弱性を報告する能力の改善
- 域外からの脅威をカバーするのに十分な法律を英国が有しているかどうかに関する提案
がもんだいとしてあることがふれられています。
2.2 背景
背景としては、さまざまな敵対的行為者がサイバー能力を用いて英国を標的としていること、英国は、国家サイバー戦略2022(National Cyber Strategy 2022)を公表して、サイバーエコシステムの強化、レジリエンスの構築、テクノロジーへの投資、グローバルリーダーシップの推進、サイバー空間における敵対者の破壊という5つの柱を主としていること、また、「安全保障、防衛、開発、対外援助の統合レビュー」では、国家の脅威に対する防衛を強化することの重要性が強調されていること、がうたわれています。
2.3 1990年コンピューター不正使用法の見直し
1990年コンピュータ不正利用法(CMA)は、コンピュータシステムやデータへの無許可のアクセス、およびこれらの損傷や破壊を犯罪とする主な法律である。同法は、システムやデータの所有者が許可していないアクセスを犯罪とすることで、コンピュータシステムやデータの完全性と安全性を保護することを意図している。
ここで、上の「コンピューターの無権限アクセスの法的覚書-英国コンピューターミスユース法1990の示唆」(判例タイムズ所収, 1006号)でふれたのですが、1989年の議会へのレポートがあって、そこで
2・14 私たちの見解によれば、最も刑罰化に賛成する強力な議論は、第1に コンピューターのシステムの保有者において、セキュリティシステムが破られた(破られていたかもしれない)ときに実際の損害およびコストが膨大にかかること、第2に、無権限のエントリーは、一般的な刑事犯罪の予備的なものであること、そして、第3に、度重なる攻撃および、コンピューター操作者が結果としてセキュアではないと感じることによって、コンピューターシステムに対して喜んで投資しようというつもりが減少するかもしれないこと、実質的に有効なシステムの利用が遅らせられるかもしれないことを根拠としている。
とされているのです。わが国の不正アクセス禁止法制が、
「不正アクセス」行為を禁止する等、所要の法的措置を講ずることにより、電気通信の健全な発達を図ることとする。
と抽象的なものと比較して、具体的なコンピュータのセキュリティの概念が正面から保護されるべきものとしてろんじられているのは、興味深く思われます。
2021年5月、内務大臣はCMAの見直しを発表し、その後、諮問が行われ、関係者や広く一般市民の意見を求める情報公開が行われ、51名の関係者から回答が寄せられたこと、具体的には、
- 法執行機関がCMAの犯罪をより効果的に捜査できるようにするための新しい権限
- 国境を越えて行われた犯罪や、海外で行われた場合に英国に影響を及ぼす犯罪に対して、英国が行動を起こすことができるようにする。
- CMAの違反行為に対する法定抗弁権
- 適切な量刑を確保する
- 不正に入手したデータの所持の罪
- 司法・検察への研修の充実
- AIやモノのインターネットなどの新しい技術が、CMAの下で適切にカバーされているかどうかの検討
- サイバー犯罪を未然に防ぐことができなかった/保護する義務
- ディープなフェイクイメージなど、ネット上の害悪
が問題として提起されました。なお、オンライン被害やサイバー保護義務などは、他のプログラムの下(オンライン安全法案や、「オンラインアカウントや個人データへの無権限アクセス諮問」)で検討されています。
この諮問のプロセスにおいてCMAの多くが、法執行機関が同法の対象となる危害を犯している者に対して行動を起こすことを可能にする上で、依然として有効であることは明らかであるとしています。その一方で、
- 立法化を視野に入れた協議を行うことが十分に可能であると思われる、いくつかの変更案
- どのような行動を取るべきかを特定するために、より多くの作業を行う必要があると考える他の多くの分野に対して、私たちが取るべきアプローチを示すこと
の二つについて検討しています。
2.4 法改正の提案
2.4.1 ドメイン名およびIPアドレスの奪取と押収
コンテクスト
犯罪者はドメイン名とIPアドレスを利用して、悪意のあるソフトウェア(「マルウェア」)の配布や管理、フィッシング、詐欺、麻薬や銃器などの違法商品の販売などの犯罪を含む、幅広い犯罪をサポートしています。
こにたいして、アクション・フラッド(Action Fraud)やナショナル・サイバー・セキュリティ・センター(NCSC)によるようなウェブサイトへの取り組みや削除は、すでに自主的に行われている重要な活動です。
しかしながら、こうした自主的な取り決めはしばしば効果的であるが、一部の関係者は、こうした取り決めがすべての状況で利用できるわけではなく、こうした取り決めが利用できない、または利用できない場合には、正式な権限が必要であると指摘しています。提案によると、このような権限は、米国をはじめとする世界の他の地域に存在し、そのような権限を持つことで、英国は海外の法執行機関と効果的に連携し、世界的な問題に取り組むことができます。したがって、法執行機関が利用できる特定の権限がないため、ドメインの犯罪的悪用が多くの種類の犯罪において重要な役割を担っていることを考えると、法執行機関がこれらの脅威に対してさまざまな行動をとる能力を強化するための権限を利用できるかどうかを検討する必要があると考えています。
(高橋)これは、アメリカだと根拠法によって正当化されているわけで
などでふれています。
テイクダウン
ドメイン名の犯罪利用に対処する最も簡単な方法の1つは、ドメイン名の作成に責任を持つレジストラに、登録されているドメインのリストからそのドメイン名を削除するよう要求することです。これにより、誰もがウェブサイトにアクセスできなくなり、犯罪者が悪用するのを防ぐことができます。また、犯罪者がマルウェアにIPアドレスを使用することもあるため、IPアドレスの差し押さえにもこの権限が適用されます。
法執行機関によるテイクオーバー
ドメイン名は、犯罪者がコマンド&コントロール・プラットフォームと感染したコンピュータ・システムをリンクさせ、それらをコントロールするために使用されます。そのため、被害を軽減するためには、ドメインやIPアドレス自体の管理権限を迅速かつ大規模に取得する必要があります。
ドメイン制御の応用例として、ボットネットへの取り組みが挙げられますとして、説明がなされています。
また、
法執行機関がドメインやIPアドレスを押収する能力は、ほとんどの先進国ですでに利用可能ですが、英国の法執行機関では利用できません。もし、このような能力があれば、国内の法執行機関は犯罪者と被害者のコンピュータ間の通信リンクを断ち切ることができるようになります。
法執行機関がドメインやIPアドレスを管理できるようになると、他の可能性も利用できるようになります。例えば、受信した被害者の通信を「シンクホール」することができます。
シンクホールというのは、同報告で個別の用語として解説されています。
シンクホーリングとは、ネットワーク上のデータフローを操作する手法の一つです。この手法では、トラフィックを意図した宛先(この文脈では、犯罪者が設定した宛先)から、選択した別のサーバーにリダイレクトさせることになります。このサーバーは、受信した通信のIPアドレス、日付/タイムスタンプ、および個々の感染デバイスをより正確に特定する可能性のあるその他の情報を記録するように設定できますが、犯罪的に流出したデータを記録することはありません。セキュリティ専門家は、一般に、攻撃の調査や対応のためのツールとしてシンクホーリングを使用しています。
シンクホーリングは、サンプルシンクホーリングとフルシンクホーリングの両方を指すことがあります。サンプルシンコリングは、マルウェアがチェックすることが知られている1つのドメインを登録し、そのドメインに接触しようとする被害者デバイスのIPアドレスをログに記録します。フルシンコールでは、マルウェアが1日に接続しようとするすべてのドメインがシンクホールされます。これにより、既存のチャネルで被害者に通知するために使用できる被害者IPリストの生成と、被害者を悪用から保護するという2つの効果があります。
シンクホールのデータは、被害者の人数やIPアドレスのほか、感染したデバイスの詳細(オペレーティングシステムなど)を特定するために使用することができ、防御側がデバイスを発見してクリーニングするのに役立ちます。Sinkholedのデータは、世界中の被害者に感染の可能性があることを知らせるために、既存のチャネルを通じて拡散することができます。
法執行機関が毎年何百万ものドメイン名を更新して犯罪者の手に渡らないようにする必要性をなくすために、法執行機関がドメインやIPアドレスの管理を信頼できる当事者に譲る権利を与えられることは、英国にとって有益であると私たちは信じています。既存の信頼できる非営利団体があり、公的資金を投入することなくこの機能を担うことができ、同時に英国の国家サイバーセキュリティセンター(NCSC)を含む国家サイバーセキュリティ事件対応チーム(CSIRT)へのフィードを改善することができます。
ドメイン名の作成を防止する
報告では
あるドメイン名が、おそらく企業や政府機関を模倣して、詐欺行為を目的とした犯罪目的で作成されることが予測できる場合がある。このような詐欺やその他の犯罪行為を防止するために、UKレジストリに定義されたドメイン名を登録しないよう要求することには、メリットがあると考えます。
とされています。
また、ドメイン生成アルゴリズムの話になります。
感染したデバイス上のマルウェアがアルゴリズムを使用して、どのドメインに接続しようとするかを決定するため、特定のドメイン名が犯罪目的で作成されることを予測できる場合があります。このようなドメイン生成アルゴリズム(DGA)は、犯罪者に非対称的な優位性をもたらします。犯罪者は毎日1つのドメインをコントロールすればよいのに対し、法執行機関は毎日数百または数千の可能性をコントロールしなければならない可能性があるからです。DGAは予測可能であるため、任意の日にどのようなドメインが使用可能になるかを予測することが可能です。このような犯罪行為を防ぐために、UKレジストリにこのような予測されたドメイン名を登録しないよう要求することは有益であると考えます。英国でこれを合法的に行うことができれば、レジストリの大半が所在する他の国の法執行機関に対して同様の要求を行うことが可能になります。特に、法執行機関の要求に対しては、裁判所の命令が伴わない限り行動しないところもあります。
となっています。
権限の使用
政府は、ドメイン名をテイクダウンし、差し押さえる、または作成を阻止する権限を特定の公的機関が利用できるようにすることを提案し、どのような機関がこの権限を利用できるようにするかについての意見を歓迎しますとしています。
これらの要求は、レジストリ(ドメインを作成し、そのインスタンスが1つだけ存在することを保証する)、レジストラ(それを事実上リースする)または登録者(それをレンタルしてコンテンツを展開する)など、ドメインを管理している関連当事者に送達されます。また、IPアドレスをコントロールする要求は、そのIPアドレスを制御しているネットワークプロバイダに送達されます。この要求のものISPは、法執行機関または他の信頼できる当事者の管理下にある別のIPに、そのIP宛の通信を転送(トンネル)することを要求されうることになります。
英国政府は、さらに
サイバー攻撃はしばしば複数の司法管轄区にまたがるため、我々は、法的相互支援の下での海外からの要請、または緊急要請に応じて、この権限を使用できるようにすること
を提案しています。この手続は、裁判所の命令によってなされることを前提としていて、法執行機関は、ドメインが犯罪を支援している(または、その発生が予測できる場合は犯罪を支援する可能性があることを示すことができる)証拠に基づき、ドメインの停止がその脅威を軽減または除去すること、またはその他の捜査に著しく役立つことを示したうえで裁判所に命令を申請する必要があります。
措置の実行を要求された者は、ドメイン名が登録されている登録者と同様に、停止を解除するために裁判所に訴える権利を有するべきである。しかし、停止措置は、上訴が行われている間、そのままであるべきであり、その要求が送達された者が拒否した場合、罰金に処されるという制度が考えられています。最後に、自分がリースしているドメインやIPアドレスが不当に押収されたと思われる場合、登録者が補償を申請できるルートを用意する必要がある。この措置の責任は、法執行機関にあります。
質問
- Q1. この権限を行使するための閾値はどうあるべきか、申請にはどのようなテストが必要で、どのような保護措置が適用されるべきか。
- Q2. どのような組織がこの権限を利用できるのか?
- Q3. ドメインネームやIPアドレスの差し押さえを可能にする法的権限は、現在の自主的な取り決めでは不可能なことを可能にするか?
- Q4. 自主的な取り決めでは行わないような、どのような活動を命令の受領者に求めるか?
- Q5. テイクダウンのための好ましいルートである自主的な取り決めを、どのように保護することができるか。
- Q6. 押収とは、ドメイン名やIPアドレスの法的な管理・所有権(少なくともリース期間)を意味するのか、あるいはsinkholingのようなより一時的な措置は、命令を担当する法執行機関に渡るのか。法執行機関はリース料を支払うことになるのか。
- Q7. 法執行機関による措置がとられる場合、それはドメイン名とIPアドレスの両方に対して行われるべきで、これらに対する命令の受取人は異なるのか。
- Q8. 複数のドメインやIPアドレスは1つのアプリケーションで実現できるのか、それとも別々のアプリケーションが必要なのか?
- Q9. 完全な命令を求める審問に先立ち、緊急の暫定命令を行う余地はあるのか。
- Q10. 命令を延長する機会を設けるべきか。
2.4.2 データ保存の権限(Power to preserve data)
コンテクスト
この権限は、法執行機関が裁判所に対してデータの押収を正式に要求するかどうかが決まるまで、データを変更されない状態でシステム所有者が保持することを要求するものです。これは、法執行機関がデータの削除を防ぐために、データ所有者による既存のデータの保存を要求できることが不可欠であるということによります。
米国では、18U.S.C.§2703(f) 、わが国では、通信履歴の保全要請の制度(刑事訴訟法197条3項)で定められています。
(高橋)これは、データの保存(preservation)にしかすぎないのに、日本の弁護士会が、「コンピュータ監視(surveillance)」と区別がつかなかったという話は、なんどでも取り上げていいとは思います。
英国においても、捜査権限法2016に基づいて、このような制度があると説明され
データは法執行機関の要請により自主的に保存され、このプロセスはうまく機能している。
と評価されています。
(高橋)ただし、特定のデータを指定して、これを保全するという制度については、ちょっと良くわかりませんでした。むしろ、将来にわたっても、retentionをなしうるという規定は、同法87条で、
(1)国務長官は、以下の場合に、通知(「保持通知」)により、電気通信事業者に関連通信データの保持を求めることができる。
(a)国務長官は、その要件が第61条(7)(通信データを取得することができる目的)の(a)から(j)に該当する目的の一つ以上のために必要かつ比例していると考え、かつ、。
(b)通知を行う決定が司法委員会によって承認された。
(2)保持通知は、以下のことができる。
(a)特定の事業者または事業者の記述に関連する、
(b)すべてのデータまたはデータの説明の保持を要求すること、
(c)データが保持される期間を特定すること、
(d)データの保持に関連するその他の要件または制限を含む、
(e)異なる目的のために異なる規定を設けること、
(f)通知の発出時または発効時に存在したか否かを問わず、データに関するものであること。
とされているところです。
英国政府は、
ますます多くのケースで電子的証拠を捜査に利用する必要があることを考えると、英国の法執行機関が、人が自発的に行うことを望まない場合にデータの保存を要求する権限にアクセスすることが必要であると考えています。
としています
提案内容
政府は、
法執行機関が、特定のコンピュータデータの管理者により、当該データの保存を要求することを可能にする権限を設けること
を提案しています。
この権限は、あらゆる犯罪に関連するデータに適用されるとともに、法執行機関がデータを押収することを認めるものではなく、そのデータが捜査に関連するかどうかを判断するための時間を確保することを意図しています。データが必要な場合は、1984年警察・刑事証拠法などの既存の法律に基づいて、データを押収するために裁判所から必要な許可を得る必要があります。この権限は、わが国における通信履歴の保全要請の制度と同一の立て付けになります。
この権限は、
捜査中に電子データが必要となる犯罪は多岐にわたるため、我々は、国家犯罪捜査局(NCA)、英国警察、歳入関税庁(HMRC)、重大詐欺局を含む英国のすべての法執行機関、および犯罪への取り組みを担当するその他の部門や機関
すべてが、この権限を利用できるようにすることがポイントになります。
また、この権限は、
- 国際協力に関する英国の既存のセーフガードに従い、海外の法執行機関からの要請に関連して法執行機関が使用できるようにすることを提案します。
- 組織の上級役員によって署名されなければならないこと(保存を要求する機関がデータを取得することを伴わない権限であるため)。
- データ所有者は、問題のデータ保存の要求に対して裁判所に訴える権利を持つべきであこと
- 控訴が行われている間、データは保持されるべきであること
- データを削除、変更、またはデータへのアクセスを防止する行為は、罰金の対象となること。
- ビジネスに大きなコスト負担がかかるのを防ぐため、権力は保存の期限を定めなければならないこと、
- それを過ぎればデータ所有者はデータ保存の要求から解放されること、
- サイバー犯罪に関するブダペスト条約(サイバー犯罪条約)では、90日という期限を定めており、この期限は妥当であると考えること。
などが念頭に置かれています。
質問
- Q1. どのような機関がこのパワーを使うべきなのでしょうか?
- Q2. データの保存に際して、考慮すべき問題点はありますか?
- Q3. 保存命令に期限を設けるべきでしょうか?その場合、どのような制限が必要でしょうか?
- Q4. 保存にかかる費用は誰が負担するのでしょうか?また、その費用はどのように決定されるのでしょうか?
- Q5. 1984年警察・刑事証拠法別表1にある既存の権限は、保存を可能にするために既に十分なものですか?
2.4.3 データのコピー(Data copying)
コンテクスト
コンピュータ不正使用法(CMA)はコンピュータデータへの不正アクセスを対象としていますが、データの不正な持ち出しやコピーは窃盗法(Theft Act)の対象外であり、これは判例で確立されています。
従って、データの単純なコピーは、コンピュータ不正利用法第1条に基づく罰金および/または2年以下の禁固刑を受けるだけになります。
これは、犯罪の重大性に対処するには不十分な罰則であると考えられます。
第2条は、例えば不正行為を行うためにデータをコピーした人を起訴するために使われる可能性があり、これには最高で5年の禁固刑が課されます。
このような枠組では、CMAの犯罪によって入手したデータを所有または使用している人物に対して行動を起こすことが難しいという懸念が存在することになります。わが国でも、早稲田大学不正入試事件で、窃盗の嫌疑で逮捕されましたが、不起訴になったそうです。英国では、
窃盗は(1968年)窃盗法で「永久に奪う」と定義されているため、その人を窃盗や盗品取扱いで告発することは不可能です
ということだそうです。1968年窃盗法1条は、窃盗の定義を定めており
1 窃盗の基本的定義
(1)人は、他人の財産を永久に奪う目的で、他人の財産を不正に利用(appropriates)した場合、窃盗の罪として有罪である。「泥棒(thief)」及び「窃盗(steal)」は、これに従って解釈される。
(2)利用行為(appropriation)が利益を得る目的で行われたか、または盗人自身の利益のために行われたかは重要ではない。
(3) この法律の次の5つの節は、この節の解釈及び運用に関して効力を有する(この法律に別段の定めがある場合を除き、この節の目的のためにのみ適用される)。
とされていつず。わが国の窃盗罪は、「不法領得の意図」をもってなすので、その意図とその意図の一時性の要否で、すこし、違うのはおもしろいです。
データを所有している人物がCMAの犯罪を犯していない場合については、処罰のための規定がないことになります。2006年詐欺法6条は、
(1)人は、詐欺の過程で、または詐欺に関連して、アーティクル(article)を保有する、もしくは、管理下に置いているは相は、有罪である。
(2)本条に基づく違反の罪を犯した者は、以下の責任を負う。(a)略式有罪の場合、判事裁判所において一般的な制限を超えない期間の懲役または法定最高刑を超えない罰金(またはその両方)に処される;
(b)起訴による有罪判決の場合、5年を超えない期間の禁固刑または罰金(またはその両方)。(3)第(2)項(a)は、北アイルランドとの関係では、12ヶ月という言及が6ヶ月という言及であったかのように適用されます。
このアーティクルというのは、有体物に限られないようで
データを使って詐欺罪を犯した者を起訴できる規定がある。
とされています。そうすると、無権限アクセスではない場合についてもデータの所持・使用についての規定が望ましいという判断になったものと考えられます。
(高橋)日本と比較すると、日本は、
- 限定提供データの不正取得・使用等に対する民事措置が創設(不正競争防止法2条1項11-16号、2条7項、19条1項8号)
がなされているので、相当程度、日本では手当てがなされている分野と考えています。
提案
違法に入手したデータを所持・使用した場合の一般犯罪を創設する必要性があるかどうかを検討したいので、その必要性について意見をいただきたい。
- 質問事項
Q1. 現行法とのギャップは何か、またその影響は? - Q2. 犯罪がないことで被害が発生する例はあるのでしょうか?
- Q3. 仮にそのような犯罪が発生した場合、どのような罰則が適切なのでしょうか?
2.5 今後の検討課題
この分野については、以下、そのまま訳します。
———-
はじめに
レビューの中で、政府がさらなる検討が必要だと考える分野がいくつか提起され、それらを検討するために、検察官、捜査官、他の政府省庁、サイバーセキュリティ業界を含むマルチステークホルダープログラムを設置することを提案します。
域外適用規定
CMAの犯罪は、国際的な司法権にまたがるという性質を持っています。個人はどの国でも活動でき、またソフトウェアをさまざまなホスト国でルーティングすることができるため、犯罪が必ずしもイングランドとウェールズで行われているとは限りませんが、被害者はそうかもしれません。CMAの裁判管轄は、他の法律よりも広範囲に及んでいますが、グレーゾーンも残っています。例えば、「重要なつながり(significant links)」の定義には、さまざまな解釈があり得ます。ステークホルダーからは、CMA全体に適用される「重要なつながり」の明確な定義が1つあれば、よりシンプルになるとの提案がありました(現在はセクションごとに異なります)。
また、利害関係者からは、起訴を有意な関連性がある行為に限定する必要があるというよりも、英国におけるサイバー犯罪行為のすべての側面について起訴する能力を得るにはどうすればよいか、という意見が出されました。これは、そのような個人が、捜査や訴追ができない、あるいはしない法域に身を置こうとする場合に特に重要です。多くの法域では、域外犯罪を訴追するために必要な捜査能力や立法手段が不足しています。
抗弁
CMAの見直しの際に提起された主な論点の1つは、サイバー空間で英国を保護するために行動する人々に対して、同法の犯罪に法的防御を導入すべきかどうかという点でした。この法律が、サイバーエコシステムにおける多くの人々が合法的なサイバーセキュリティ活動とみなすものを犯罪にする可能性があり、業界自体の成長を阻害するという主張がなされました。
政府はこの提案を慎重に検討し、オプションの検討、法的防御の導入に伴うリスクと利点について、さらなる作業が必要であると考えています。同法は、コンピュータ・システムやデータへのアクセスは、それらに責任を持つ者によって承認されなければならないという原則に基づいています。
(高橋コメント)上述のコンピュータ不正使用法制定のさいの報告書を参考のことです。
政府は、合法的なサイバーセキュリティ企業を雇用してセキュリティをテストするなど、システム所有者にシステム保護のための努力を促していますが、システム所有者の同意なしにシステムにアクセスしたり、アクセスを試みる者からシステム所有者を引き続き保護することが正しいのです。それと同時に、サイバースペースで英国を脅かす犯罪者や国家主体に対して行動を起こすことができなければならず、犯罪行為の隠れ蓑となるような変更を加えてはならない。最後に、いかなる防衛も、「ハックバック」とも呼ばれる攻撃的なサイバー活動の隠れ蓑とならないようにする必要があります。
また、防衛策の導入がもたらす利益についても検討する必要があります。強力なサイバーエコシステムは、英国がよりサイバーセキュアでレジリエントな国家となり、進化する脅威やリスクに備え、優れたサイバーセキュリティの実践を採用するための中心的存在となります。したがって、コンピュータシステムやデータへのアクセスは、それらに責任を持つ者によって承認されなければならないという原則を尊重しつつ、サイバーセキュリティ業界が、敵対的なサイバー行為者から企業や個人を守る活動、つまりサイバーセキュリティに対する社会全体のアプローチを促進するような活動を不必要に禁止しないようにする必要があります。
国家サイバー戦略において、政府は英国のサイバーセキュリティを強化する目的を掲げており、政府は、サイバー空間における英国の保護に貢献するためにサイバーセキュリティ産業をどのように支援・発展させるかという観点から、立法的・非法律的解決策の両方を含む防衛策を導入すべきか、どのように検討する必要があると考えます。その作業の一環として、私たちは、CMAと対立する可能性のあるどのような活動がサイバーセキュリティ企業にとって合法的なのか、また、そのような活動を行う資格を得るために、サイバーセキュリティ専門家がどのような基準や訓練を受けなければならないのかを検討する必要があります。私たちはこの作業を、国のサイバーセキュリティを向上させるための幅広い作業の一環として進めていくつもりです。
判決言渡し(Sentencing)
レビューの一環として、量刑に関する多くの質問が出され、特に、量刑水準がCMAの犯罪によって引き起こされる損害に対して適切かどうかが問われました。CMAの第1条であるコンピュータ資料への不正アクセス罪は、略式裁判で12ヶ月以下の懲役、起訴で2年以下の懲役、または罰金、もしくはその両方という最高刑が定められています。一部の関係者は、これでは犯罪を抑止できず、犯罪の深刻さを反映していないと指摘していますが、判決データ(2021年12月)によると、裁判所は現在、同法に基づく最大値に近い判決を出してはいません。したがって、刑期の延長がCMA犯罪に対して出される刑罰の重大性に影響を与えるかどうかを検討する必要があります。
また、ステークホルダーは、以下の問題に対処するために、量刑ガイドラインが適切な方法であると提案している:
- インターネット上で実験している子どもから敵対的な国家行為者に至るまで、CMAに含まれる犯罪の幅広いスペクトルを横断すること。
- 多くのCMA事件は、犯罪者に神経多様性の要素があり、関係する個人をより脆弱にし、したがって比例した刑で起訴することをより難しくしていること
- CPSは、(クラウン検察官のための行動規範を適用して)犯罪の性質、犯罪性の程度、裁判所や陪審員に最もよく見せられる犯罪を反映するために、最も適切な犯罪を使用して犯罪者を起訴すると強調している。詐欺やマネーロンダリングに関しては、すでに判決ガイドラインがあり、その結果、法廷でのイメージの構築は、判決手続きにおいて裁判所を支援するために、より分かりやすくなっています。CMAの事例ではこのようなガイドラインがないため、このような犯罪の害に対するアプローチに矛盾が生じる可能性があります。