能動的サイバー防御と「通信の秘密」の関係-有識者会議・「数奇な運命」三部作・国会審議

内閣官房での議論もはじまったわけですし、「能動的サイバー防御」との関係で、議論になっている「通信の秘密」について、2024年前半で、気になったことをまとめてみました。

1 「内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議」

1.1 有識者会議について

「内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議」が始まりました。リンクは、こちらから。

国家安全保障戦略においては、「能動的サイバー防御」といわれた作戦についての具体的な法的枠組を議論する会議と理解しています。

能動的サイバー防御については、私のブログで何度も検討しているところですし、また、決定版として昨年のCodeblueでの豪華なパネルディスカッションがあります。

CodeblueのパネルのYoutube

高橋の見解としては、この問題については、国際法的な分析をもとに、「国家による主権侵害行為」に対して、どのように対応するのか、そのための国内法の整備をどのようにすべきかというアプローチで対応すべきと考えています。その意味で、(国際法の)武力紛争法の分析が最初、国内法の分析を通信法・刑法・防衛法の観点からおこなうということになるものと認識しています。

1.2 資料3について

内閣官房・サイバー安全保障体制整備準備室「サイバー安全保障分野での対応能力の向上に向けて」令和6年6月7日(資料3)を読んでみます。

資料7では、

「国民生活の基盤をなす経済活動」や「社会の安定性」をサイバー攻撃から守るため、能動的なサイバー防御を実施する体制を整備する。

となっています。

個人的には、上述のように「国家による主権侵害行為」を問題とするので

「国民生活の基盤をなす経済活動」や「社会の安定性」をサイバー攻撃から守るため

という目的のたて方は、国家安全保障戦略の

武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合

という問題の把握とは異なるのではないか、という疑問をもっています。守られるべきは、「社会の安定性」という(社会的)法益ではなくて、国家主権であり、内政干渉禁止原則(ドメイン・レザベへの介入の阻止)になるはずです。

もし、このような観点があれば、資料8ページにおける「ゼロデイ脆弱性の対処 」については、

脆弱性エクイティプロセス(VEP)

という用語がでてこないといけないはずです。VEPについては、とりあえずは、「米国における「脆弱性の協調された開示」(CVD) の歴史と現在」参照。また、別の機会に論じます。

なお、資料9ページでは、通信情報において、国際通信に対しての通信情報(定義が?)の制度活用をあげています。ここで、「通信情報」という用語が、私のいう通信データなのかは、わかりませんが、以前、「通信の秘密の数奇な運命(国際的な側面)」で問題提起した点について、論文に注目いただいた宍戸教授が、さらに深堀してくれることを期待しています。

光を当てた「インターネット上の海賊版対策に関する検討会議」6回議事録についてのコメントは、こちらです。

2点目は、林先生から提出いただきました高橋郁夫先生の御論文というのは大変有名な論文でございまして、通信の秘密について立ち入った議論をしている方というと高橋先生という感じで、私もよく勉強させていただいているのですが、ここで議論の前提になっているのは、やはり通信主権をどう確保するか。その観点から、国内通信と国際通信を分けるか、分けないか、非常に大きな論点がここに潜んでいた上での高橋先生の御見解であり、利益衡量だと思っております。

というところですね。この表のところで、「主な対象通信」のところが国際通信にフォーカスしたところが、やっと注目されたという感じです。今後の議論が楽しみです。

(追加)おまけでいうと、資料11ページ「整理が必要な法令の例:不正アクセス禁止法」というのは、?です。警察官が、犯人を逮捕するのには、刑法の傷害罪に特則を定めますか?という話です。警察官職務執行法のお話しです。有識者会議なので、ここら辺は、法律家ならば、誰かつっこむよね(個人的には、原稿は、素人(非法律家)がかいたものと判断)。ちなみに、緊急事態においても、警察官職務執行法の例によるので、警察官職務執行法が中心に議論されるべきというのが私の意見。

2  レファレンス・落合 翔「サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―」を読む

2.1 落合レファレンス論文

国立国会図書館 調査及び立法考査局のレファレンスといえば、手堅く文献等がフォローしてあって、非常に参考になるというイメージでいますが、そこで、「サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―」という論文がでていましたので、読んでみます。が、私の論文は、「インターネット媒介者の役割と「通信の秘密」」『Nextcom』16 号しか引用されていません。

ちょっと悲しい。なので、以下、私の論文をもとにつっこむことにします。ちなみに「調査と情報―ISSUE BRIEF―」で「通信の秘密保護の制限とその濫用防止―ドイツと韓国の事例を中心に―」が公表されています。分析はまたの機会に。

2.2コメント

レファレンス論文における普通の解釈論を前提に私の「通信の秘密」の解釈論の違いを図示してみました。

 

要点としては

  • 憲法は、コミュニケーションの機密性を保持したので、それと電気通信事業法の規定とは、かなり趣が違うし、保護の範囲も意思伝達なの内容についての保護を念頭に置いていたはず
  • 電気通信事業法も、通信データ部分については、事業者のデューディリジェンス・Public Welfareの観点からの利用が想定されており、とくに「積極的な取得」「窃用(misuse)」の解釈においては、ネットワークの管理目的の取得は、「積極的な取得」に該当しないし、公共の安全のための利用は「窃用」には該当しないと解釈できる
  • 海外通信については、秘密の保護は、尊重されることがあったとしても国内通信とは、別個の配慮がなされて当然であり、利益衡量として海外の通信であることを考慮することは当然である。

要旨については、「「通信の秘密」の数奇な運命(要旨)」をどうぞ。もっとも、この要旨は、2008年ころのものなので、その後、総務省さんから、何度が調査の機会をいただきましたこともあり、いろいろと検討は進んでいます。ありがとうございます。(このごろは、通信の秘密関係は、ご無沙汰ですが。>お待ちしています)

憲法と電気通信事業法との関係

 憲法における人権の保障は、その人権が国家権力に侵されることがないように定められたものとされ、通信の秘密の保障もこれに当てはまる。他方、電気通信事業法等は国家に限らず効力を持ち得る。よって、電気通信事業法の通信の秘密の保護規定は、公権力にとっては憲法を確認し拡充した規定、電気通信事業者にとっては憲法の趣旨が反映された規定という位置付けとなる

という表現がありますが、

の外延についてはなお解決されるべき論点が残されている。」([ ]内は筆者補記)といった評価がある(宍戸常寿「通信の秘密について」『企業と法創造』35 号, 2013.2, p.18.)。

という部分としては、憲法の「通信」というのは、遠隔通信の意味ではなくて、意思の伝達の意味なのではないか、その意味で、憲法としては、通信の内容(英語でのCommunication)しか保護していないのではないか、そうだとすると、憲法は、「意思伝達の機密性を侵してははならない」という趣旨をたしかにするために電気通信事業法の規定が置かれているのではないか、というのが、私の見解になるのですが、残念ながら、そのような見解へのコメントはありません。この点については、「通信の秘密の数奇な運命」(憲法)(情報ネットワーク・ローレビュー = Information network law review / 情報ネットワーク法学会 編 5 44-70, 2006-05東京 : 商事法務)をどうぞ。

通信の内容と「通信データ」(通信の外形的事項)

これについて

「通信の外形的事項」(通信の送信者や受信者、通信の個数や通信日時等)についても、それらをもって通信の内容が推知される可能性があるため、通信の秘密の範囲に含まれるというのが一般定な考え方である

とされています。しかしながら、歴史的には、内容(通信の秘密)についての4条1項、外形的事項(他人の秘密)としての4条2項の使い分けは、昭和30年代まではあったわけですが、それが、昭和41年「[調査]通信の秘密-郵便法、公衆電気通信法の規定を中心として」以降、完全に拡大説で固まったという歴史があります。この点についても、一言もふれられていないです。この点については、「通信の秘密の数奇な運命」(制定法) (情報ネットワーク・ローレビュー = Information network law review / 情報ネットワーク法学会 編 8 1-26, 2009-05)をどうぞ。

ちなみに韓国の解釈との比較は、このブログで。

国際通信と憲法・電気通信事業法の適用について

上でもふれたのですが、諸外国においては、国際通信・海外通信については、その保護のレベルについて、また、別個の考慮がなされて然るべきということが多いわけです。しかしながら、この点については、この論文でもふれられていないところです。

この点については、通信の秘密の数奇な運命(国際的な側面)(情報ネットワーク・ローレビュー = Information network law review / 情報ネットワーク法学会 編 15 17-30, 2017-10)でふれているところです。

上でもふれたのですが、果たして

  • 国際通信については、憲法の規定が適用されるのでしょうか?
  • 電気通信事業法と国際条約(ITU憲章)とでは、ITU憲章が優位するので、電気通信事業法は、国家の通信主権を前提に解釈されるべきなのではないか?

という疑問があります。

(電気通信事業に関する条約)
第五条 電気通信事業に関し条約に別段の定めがあるときは、その規定による。

 とされています。そして、ITU憲章37条は、

第三十七条 電気通信の秘密
1 構成国は、国際通信の秘密を確保するため、使用される電気通信のシステムに適合するすべての可能な措置をとることを約束する。
2 もっとも、構成国は、国内法令の適用又は自国が締約国である国際条約の実施を確保するため、国際通信に関し、権限のある当局に通報する権利を留保する。

となっています。そうだとすると、国内法規によって、通信の秘密について権限ある当局に通報する権利は、留保されるので、国家が、国内の通信秩序に影響する通信について通報するとの仕組みは、当然に、この条項から保障されると考えることもできるだろうと思います。

もっとも、ITU37条の解釈については、研究資金がないので、Nvidiaの株が100倍くらいになったら、研究してみたいと思います。

3 国会審議

また、能動的サイバー防御と通信の秘密については、国会で議論がなされています。これについては、

3.1 第213回国会 予算委員会 第3号(令和6年2月5日(月曜日))

長島委員から

サイバー攻撃に対処するには、一般論として二つのことがどうしても必要になります。一つは、平素から攻撃に関する通信を監視しておかなければならないということなんですね。そうでなければ、攻撃を直ちに把握して、そして攻撃に関する通信データの蓄積がなければ、アトリビューション、攻撃者の特定はできません。これが一点。もう一つは、サイバー攻撃の脅威を除去するためには、特定された攻撃者のサーバーや発信元までアクセスできなければならないんですね。

河野大臣、このようなことは現行法では難しい、つまりは、アトリビューションについては、電気通信事業法で通信の秘密の保障の壁に阻まれて難しい、そして発信元までアクセスすることは不正アクセス禁止法でできない、こういう今現行法の壁がある、このように理解してよろしいですか。

ということになり、河野大臣の法律上の問題点をクリアするという答弁を経て

そもそも通信の秘密の保障とは何ぞやということで、内閣法制局長官に今日は来ていただいていると思いますので答弁をお願いしたいと思いますが、私から、一応、憲法学界多数説じゃなくて通説を御紹介申し上げますが、二十一条の一項はもちろん表現の自由ですけれども、二項は「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。」。非常に端的な文章でありますけれども、「検閲は、これをしてはならない。」というのは、これは絶対的禁止。どんな理由があろうとも検閲は駄目だと。しかし、通信の秘密につきましては、憲法十二条、十三条に明記された公共の福祉による必要最少限度の制約を受ける、この解釈でよろしいですね、政府も。

という質問がなされ、近藤政府特別補佐人(内閣法制局長官)から

今お尋ねは、憲法第二十一条二項に規定する通信の秘密ということが中心かと思いますけれども、通信の秘密はいわゆる自由権的、自然的権利に属するものであるということから最大限に尊重されなければならないものであるということでございますけれども、その上で、通信の秘密につきましても、憲法第十二条、第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというふうに考えております。

という回答がしめされていることになります。

なお、このやりとりについては、第213回国会 安全保障委員会 第4号(令和6年4月2日(火曜日))で再度、やりとりがなされています。が、繰り返しといえるかと思います。

3.2 第213回国会 安全保障委員会 第6号(令和6年4月9日(火曜日))

これについては、重徳委員から

自分の設備とか役務というものを守るその外側、一般の利用者だとか国民を守るための通信遮断というものは含まれないのかについて質問します。

となっていて、これについては

木村参考人(総務省総合通信基盤局電気通信事業部長)から

サイバー攻撃への対応としまして、電気通信事業者におきまして、主として国民一般の利益を守ることを目的に、電気通信サービスの安定的な提供自体には影響がないような場合に違法性阻却事由に該当するものとして通信遮断が行われているようなケース、これは現時点ではないものというふうに承知しているところでございます。

とか

現時点において、いわゆる電気通信サービスの安定的な提供自体には影響がない場合において、国民一般の利益を守るということを目的として通信遮断を行っていいという解釈はなされていないというふうに理解してございます。

という回答がなされています。また飯島参考人(内閣官房内閣審議官)は、

政府におきましては、この国家安全保障戦略に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる目標に向けて、幅広い現行法令との関係もしっかり整理しつつ、丁寧に検討を進めております。

この検討に際しまして、攻撃者のサーバーなどに侵入、無害化をするということにつきましては、その措置として様々な方法が考えられるところでございます。現行法令でどのようなことができて、どのようなことができないのか、また、法的手当てが必要なのかということにつきまして、現在、関係省庁と緊密に連携をして議論をしているところでございます。

と答えています。また、憲法の話になり

憲法上の人権に対する制度的な保障として、政府が能動的サイバー防御を行う際には国会又は第三者機関が監視する必要があるというふうに考えます。

という質問になり、飯島参考人は

御指摘の通信情報の活用につきましては、国家安全保障戦略におきまして、安全保障上の懸念を生じさせる重大なサイバー攻撃の未然防止や被害の拡大の防止のための取組の一つとして、攻撃者による悪用が疑われるサーバーなどを検知する措置が検討事項とされておるというところでございます。

政府といたしましては、そのために必要な措置の実現に向けまして、憲法を始めとする現行法令との関係を含め、様々な角度から検討を進めておるというところでございます。

という回答がなされているところです。

関連記事

  1. 「企業におけるITシステム利用時の機関設計と内部統制」が弁護士ド…
  2. Bot Express対国事件-連携利用の本人確認レベル・連携・…
  3. 米国の「連邦組織取引における電子署名の利用」(4)
  4. 「情報漏えいが疑われる場合の対応方法」が、弁護士ドットコムに掲載…
  5. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  6. 国家関与は「戦争免責」と初期対応
  7. 電波法の「窃用」と警察の犯罪捜査
  8. eIDAS規則における保証レベルやモバイルeIDプロセス-ENI…
PAGE TOP