「能動的サイバー防御」法整備へ 通信の秘密保護 例外検討

「「能動的サイバー防御」法整備へ 通信の秘密保護 例外検討」という記事がでています。(日経新聞 6月30日)リンクは、こちらです。

「能動的サイバー防御」については、私のブログで何回もふれています。具体的には

とかが、メインです。上のSECCONのスライドもあげてあります

基本的な考え方

私の個人的な考え方は、ACDという言葉で議論されている事象は、きわめて幅が広いので

誰が、何を、いつ、なぜ、どこで、どのように

というのが特定されないとほとんど意味がない、ということです。もう、いちど、分類した図をあげておきます。

具体的な考察

そこで、新聞記事をみてみます。上の記事よりも早かったものに朝日新聞の記事があります。「「通信の秘密の保護」に制限検討 サイバー攻撃への対処、政府が強化」(6月23日)です。どちらの記事も「通信の秘密」が、見出しを賑わしています。改正の必要があるのは、

①電気通信事業法②不正アクセス禁⽌法③⾃衛隊法④刑法⑤個⼈情報保護法――の5つの法律だ。

となっています。

憲法との関係

さすがに憲法との関係は、議論しなくなっていますね。憲法との関係については、(ある提出した原稿ですが)ドイツの「ITセキュリティ法2.0」と略される「情報技術システムのセキュリティを高めるための第2法」の第1条によってBSI(連邦サイバーセキュリティ庁)法が改正されているのが参考になります。ITセキュリティ法2.0の第1条22項は、

BSI法11条(基本的権利の制限)は、同条は、電気通信の秘密(基本法第10条)は、以下の条項により制限される

としています。

ここで、BSI法の4a条(連邦通信技術の管理、アクセスの権利)、5条(マルウェアや連邦通信技術への脅威からの防御)、5a条 (内部機関のプロトコル・データの処理)、5b条 (例外的な場合における情報技術システムの安全性又は機能の回復)、5c条 (インベントリデータ情報(Bestandsdatenauskunft))、7b条(ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出)および7c条(サービスプロバイダに対する連邦庁の命令)の規定をあげられていて、これらの規定は、基本権の共有の規定と矛盾するものではないことが規定されています。

この7c条は、連邦庁は、サービスプロバイダに対して電気通信法第 109a 条(5)または (6)に定める手法の採用(BSI法7c条(1))、脆弱性の解消の技術的措置(同条2)、トラフィックの迂回命令(同条(3))、政府のデータ処理権限(同条(4))を命じうるとしている。

電気通信事業法

電気通信事業法との関係では、

サイバー攻撃を察知するためにメールを閲覧したり、ネットワークなどを監視したりするのは電気通信事業法に抵触する恐れがある

とされています。が、実際のところ、「ネットワークなどを監視」というのが、実務的になされているのは、いうまでもないことです。通信の内容をみることは、ありません(もっとも、内容とトラフィック自体の区別は、ぎりぎりでは微妙ですが)が、プロバイダーが安全なネットワークの運用のために、そのような行為ができることはいうまでもないことですし、わが国でも、自己の財産を防衛するための活動として、プロバイダーは、ネットワークの監視ができます。

でもって、

どのような状況下で攻撃元の通信情報を得られるようにするか要件を詰める。

この記述がわかりにくいのは、だれが、攻撃元の通信情報を「得る」のかがはっきりしていない点だと思います。プロバイダーだとすれば、攻撃があれば、プロバイダー同士協力してドイツのBSI法で定められている力して、攻撃元をコントロールしてもらうようにしていると理解しているので、あえて、法的に正当化しなくてもいいように思います。

だとすると、「国が」ということなのだろうと思います。もっとも、どのようにということがよくわかりません。プロバイダーに情報提供を命じるのだとすると、7b条(ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出)および7c条(サービスプロバイダに対する連邦庁の命令)の規定のように、国が一定の命令を出しうるというような制定法の定めになるように思います。ただし、結局、高橋の個人説は、いわゆる「通信データ」(コミュニケーション-意思伝達内容以外)については、他人の秘密として社会的に相当な対応は可能と解します。そして、通信の秩序違反が合理的に伺える場合には、その通信について調査をなすことはプロバイダーは可能ですし、また、それを国家として命じることも可能であると考えています。

もっとも、

攻撃元を特定する際は経由したサーバーをさかのぼる「逆侵⼊」や「探知」も有効な⽅法になる。

とか

重⼤なサイバー攻撃への対処に限り、兆候を感知すれば相⼿のシステムに侵⼊する権限を⾃衛隊などに持たせることを検討

となって、これは、情報機関や自衛隊が行うということを含意しているように思います。そうだとすると、これが、いつの時点(武力紛争事態なのか、平時なのか)ということも関係して、法的な分析がなされることになります。

②不正アクセス禁⽌法③⾃衛隊法④刑法について

この記事でよく分からないのが、

②不正アクセス禁⽌法③⾃衛隊法④刑法などが、「能動的サイバー防御」に適用されないというような適用除外規定をもうける

という部分になります。例えば、犯人がいて、これを逮捕するという場合に私人であっても(ある程度の)有形力は、許容されますし、警察官であれば、その有形力の行使は、一定程度を越えない限りは、許容されることになります。

この法理は、刑法に除外規定がもうけられていることによるわけではありません。あえていえば、警察官職務執行法7条で、

第七条 警察官は、犯人の逮捕若しくは逃走の防止、自己若しくは他人に対する防護又は公務執行に対する抵抗の抑止のため必要であると認める相当な理由のある場合においては、その事態に応じ合理的に必要と判断される限度において、武器を使用することができる。

とされているので、武器を使用しないで、抵抗の抑止ができるのは、当然、ということなのだろうと思います。ちなみに自衛隊も、出動命令の場合は別として、治安を維持することができないと認められる場合には、自衛隊の全部又は一部の出動を命ずることができるとして、治安出動がさだめられていて(隊法78条、同81条)、この治安出動時時には自衛隊の自衛官の職務の執行には、警察官職務執行法の規定が準用されています(隊法89条1項)。

そうだとすると、問題は、警察官職務執行法5条(犯罪の予防および制止)、7条(武器の使用)との関係で、サイバーアタックのインフラへの介入が、どのように位置づけられるのか、ということなのだをと思います。

5条は、

(犯罪の予防及び制止)
第五条 警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合においては、その行為を制止することができる。

となっていて、「関係者の行為の制止」となっていますが、関係者の利用しているアタック・インフラに対しても制止・停止・解毒とかができるようにしたいという趣旨に思えます。

これについては、誰がいつ、何ができるのかというのがきちんとわからないと議論ができないということにとなります。

もっとも、わが国の自衛隊の活動が、記事ででいるように

⾃衛隊の⾏動や権限を定める⾃衛隊法は書かれている内容しか認めていない「ポジティブ・リスト」と解釈されている。

ことが、これらの問題の根本になっているということは、そのとおりですね。

関連記事

  1. サイバーセキュリティ戦略と「法」
  2. CyConX travel report Day One Boo…
  3. 機器干渉、国家トロイ、ボット武装解除、ビーコン-警察庁の新組織と…
  4. CyConX travel report Day -Zero C…
  5. 米国サイバー戦略の分析(柱4)
  6. 脅威情報共有のプラットフォーム(4)-MISPとISO/IEC …
  7. 「住民票LINE交付巡り、技術提供会社が国を提訴」の記事
  8. サイバーセキュリティ経営ガイドライン v20をどう考えるか
PAGE TOP