能動的サイバー防御に関する「サイバー安全保障分野での 対応能力の向上に向けた提言」(以下、「提言」といいます)を読んで、自分の考えと比較しておきたいと思います。
いままでの講演会などでアクセスしやすいところについては、能動的サイバー防御-「サイバー安全保障分野での 対応能力の向上に向けた提言」(その1)-官民連携の強化 でふれたところです。
あと、「通信の秘密」との関係については、
でふれているところです。
参考資料
とういことで、この問題について深く検討したいという数奇な業界関係者(?)の方々のために高橋のいままでに公表した論文のシリーズのリンクを再度、記しておきます。
- 「『通信の秘密』の数奇な運命(国際的な側面)」情報ネットワーク・ローレビュー(第15巻)(情報ネットワーク法学会、商事法務、平成29年)
- 「『通信の秘密』の数奇な運命(制定法)」情報ネットワーク・ローレビュー(第8巻)(情報ネットワーク法学会、商事法務、平成21年)
- 「『通信の秘密』の数奇な運命(憲法)」情報ネットワーク・ローレビュー(第5巻)(情報ネットワーク法学会、商事法務、平成18年)
- 「ネットワーク管理・調査等の活動と『通信の秘密』」(平成17年12月発表)
- 「通信の秘密」の数奇な運命(要旨) (総務省 次世代の情報セキュリティ政策に関する研究会2008 発表資料)
今回は、この「提言」が、具体的に、「通信の秘密」まわりのどのようなところにふれているかをみることにします。が、都内某所で、この提言について話す機会があったので、そこでコメントしたことも追加しようと思います。
1 「(2)通信情報の利用」の構成
「(2)通信情報の利用」というところで議論されているのですが、この(2)通信情報の利用のところは、
- ① 攻撃実態の把握のための通信情報利用の制度の必要性
- ② 通信情報の利用の範囲及び方式
- ③ 通信の秘密との関係
- ④ 同意がある場合の通信情報の利用
- ⑤ 電気通信事業者の協力
- ⑥ 国民の理解を得るための方策とその他の検討課題等
にわけて論じられています。
私のいままでのブログでもふれているのですが、
情報収集・分析機関の新たに構成するのですか
という疑問については、明確な答えが与えられていません。結局、「議論の整理」の段階でも感じた、どのような組織が構成されるのか、ということについて何ら回答がなされていないように思います。結局、
有識者会議でGOサインが出ました。この法律が、Goサインの中身です
という感じになるのかと思います。それはさておき、個別の項目ごとにみていきたいと思います。
2.1 ① 攻撃実態の把握のための通信情報利用の制度の必要性
ここで、通信情報というのは、「国内の通信事業者が役務提供する通信に係る情報」と定義されています。定義としてきちんとされているようにみえて、実は、これはこれでよく分からないところです。通信に関する秘密の保護の対象については、
- 個別の通信に関する情報に限ること(アカウント情報を除く)
- コンテンツとそれ以外の伝達に関する情報があること
があり、各国の法制度で、定義も工夫してなされていたりします。日本では、一般に、コンテンツとそれ以外の区別というのは、法解釈で、違いを生じないとしていたこともあって、この定義については、あまりセンシティブではなかったりします。
通信情報の内容については、② の部分ですが、
- ⅰ)電気通信設備等を識別する情報
- ⅱ)コンピュータ等に一定の動作をするよう指令を与える情報
- ⅲ)その他機械的な情報
- ⅳ)個人のコミュニケーションの本質的内容に関わる情報、
に主に分類しています。まず、この例に出されている情報が通常、秘密の保護を説明する場合とは、かなり異なります。一般に日本で通信に関する秘密の保護を説明する場合には、
通信の内容はもちろん、通信の当事者(発信人、受信人)の居所、氏名、発信地、受信地、通信回数、通信年月日など通信の意味内容をなすものではないが、通信そのものの構成要素であり、これらの事項を知られることによって通信の意味内容が推知されるような事項はすべて含まれる
と説明するのが一般です。その意味で、通信の当事者(発信人、受信人)の居所、氏名が、全くでてこないのは、違和感があります。インターネットのデータの技術的な説明を引っ張ってきたのだろうと思います。が、通信というのは、法的な世界では、人と人との意思の伝達なので、人が出てこない提言の定義は?がおおきくつくということだろうと思います。
通信内容のデータ、ルータやサーバの通信ログ、サーバ上のログ、データ領域のメール、課金データ、料金明細書、トラフィック分析書…などが、通信に関する種々の情報を含むことになります。でもって、実務的には、個別の通信を合理的に識別しうる要素という意味で、個々の通信の構成要素といわれています。
これに対して、個別の通信に関するデータを統計的に分析したデータであって、それによって個別の通信を識別することができないデータは、通信の構成要素とはいえず、このようなデータは、「トラヒックデータ」とよばれています。
また、この分類は、米国法・英国法の分類とも違う分類になります。表でくらべてみます。
| 日本 | 英国法 | 米国法 | |
| 加入者情報、セッション、請求情報 | |||
| 通信の構成要素 | 電気通信設備等を識別する情報(?) | インターネット接続記録というのは、(a)コンピュータ・ファイルまたはコンピュータ・プログラムへのアクセスまたは実行を取得するために、電気通信システムによって通信が送信される電気通信サービスを特定し、または、そのための助けとなるものであって、かつ、(b)電気通信事業者が電気通信の送信者(人であるか否かを問わず)に電気通信サービスを提供する過程で生成または処理されたデータからなる、通信データ | |
| コンピュータ等に一定の動作をするよう指令を与える情報 | 「通信データ」とは、電気通信事業者、電気通信サービス又は電気通信システムに関連する以下のエンティティデータ(エンティティ(個人または、モノ)に関する、または、電気通信サービス/または、そのシステムとエンティティに関するものであって、エンティティを識別/記述するデータであって、イベントデータでないもの)又はイベントデータ(特定の時間に特定の活動に従事するエンティティからなる電気通信システム上で/内で/を介して行われたイベント(その場所を参照するか否かを問わず)を識別または記述するデータ) | 通信記録およびアカウント記録(保存通信法§ 2702(a)(3)]) | |
| その他機械的な情報 | |||
| 個人のコミュニケーションの本質的内容に関わる情報 | 保存通信法-コンテンツ(記録直後か期間経過後か) |
でもって①の必要性に戻ります。
被害を未然に防止するためには、通信情報を分析することにより、ボットや C2 サーバで構成される攻撃用のインフラの実態を把握し、防御を可能とすることが必須であり、特に、アクセス・無害化を行うに当たっては、今まで以上に、サイバー攻撃に関する詳細で十分な量の観測・分析の積み重ねが必要である。
という一般論は、そのとおりなのだろうと思います。
脅威インテリジェンスの重要性というところです。脅威インテリジェンスの重要性については、JNSAの「「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書」の報告書でも私がふれているところです。
「提言」では、
今般実現されるべき通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、また、被害が生じようとしている場合に即時に対応するため、具体的な攻撃が顕在化する前、すなわち前提となる犯罪事実がない段階から行われる必要がある。
という記述がみれます。法律関係者であれば、「具体的な攻撃が顕在化する前」というのは、「前提となる犯罪事実がない段階」といいきれるのだろうか、ということを感じます。「準備・予備・攻撃の着手」という段階を考えることができて、それであっても、「具体的な攻撃が顕在化する前」にはなります。
防衛法の見地からいうと、
わが国領土に対して弾道ミサイル等による攻撃が行われた場合、法の手段がないと認められる限り、敵のミサイル基地をたたくことは法理的には自衛の範囲に含まれ可能であるという政府答弁があります(昭和31年2月29日衆議院内閣答弁・鳩山内閣総理大臣答弁)
という回答などを踏まえつつ、実際の攻撃がなくても、総合的に、急迫不正の侵害が想定された場合には、自衛権の行使が可能だろうということを考えなくてはならず、そのような場合なのか、全くそのような要素がない場合なのかを考える必要があります。
しかしながら、「提言」は、
通信情報を取得しようとする時点では、いかなる具体的態様でサイバー攻撃が発生するかを予測することはできず、あらかじめそのサイバー攻撃に関係する通信手段、内容等を特定することは通常は困難であるから、犯罪捜査とは異なる形で通信情報を取得し利用する
行為を問題にしています。(通信傍受法との関係がコメントされていますが、これは、素人さん向けの解説です)
もともとは、2022の国家安全保障戦略の段階では、
武力攻撃に至らないものの(even if they do not amount to an armed attack)、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合
の話しだったのですが、この提言では、平時の情報活動の行為についての提言がされているところに特徴があります。
これは、米国法的な用語法を使う人にとっては、「監視(Surveillance)」を行うということをいっています。この監視という用語法については、
- 特段の通信秩序に対する脅威が存在しない場合でも
- 通信の途上において
- 通信にかかる情報を取得し、分析、利用する
ことが特徴です。私は、不祥事の発生の可能性のある場合の判決例である(F社事件、N社事件)と、そのようなことがない電子メールの監視を分けて論じているのは、そのような意識の上です。その意味で
これまで我が国では存在しない新たな制度による通信情報の利用が必要とされる
のは、そのとおりです。
取得・分析・利用に関して
サイバー攻撃対策の通信情報利用の手法としては、個別具体的な対象を事前に特定せずに一定量の通信情報を収集するが、その全てを分析するのではなく、通信の宛先や送受信者に関する情報及び通信コンピュータ等に一定の動作をするよう指令を与える情報など、コミュニケーションの本質的な内容ではないデータに注目する方法(②で「☆の方法」として参照する)が一般的にとられている
とされています。これについての英国の例は、有識者会議では、林先生らからの資料も出ていますが、私のブログでは、「ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表」 で
NCFの活動は、1994年情報サービス法(ISA)、2016年調査権限法(IPA)、2000年調査権限規制法(RIPA)を含む、確立された法的枠組みに則って行われます。これは、NCFは常に法律の範囲内で行動していおり、作戦を承認する決定は、関連する国内法および国際法に関する法的助言がなされた上でなされます。NCFの活動は、情報サービス法(ISA)に規定されたGCHQの法定機能と義務を満たす必要があり、同法、IPA、RIPAに基づく令状と認可が適宜適用されます。武力紛争の状況下では、国際人道法(武力紛争法とも呼ばれる)も関係します。
と紹介しているところです。それらをみた上で、
我が国でも、重大なサイバー攻撃への対策(以下「重大サイバー攻撃対策」という。)のため、一定の条件の下での通信情報の利用を検討することが必要である。
ということになっています。
2.2 ② 通信情報の利用の範囲及び方式
これについては、
「最初は広く、懸念が見つかったら深く」という考え方が妥当である
としています。個人的には、この点は、まったく賛成で、自分で話すときには、企業が企業秩序違反をみつけたときに、その真実を究明するために、調査権限を有する(富士重工業事件最高裁判決、最三小判昭52年12月13日労判287号7頁)ように、
国家もその通信主権の行使として通信秩序違反のおそれが生じた場合には、モニタリングを越えた詳細な調査可能
といっていた( 安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正 参照)ので、まさに、そのようなアプローチになるのだろうと思います。
そのあと、通信の種類ごとの分析に移ります。図示すると
こんな感じです。要するに、内国通信以外の通信についての対象になるという議論になります。これについては、「「国家安全保障戦略」と通信の秘密をめぐるMyth(神話) とTruth(事実)-「通信監視、違法の恐れ」明治大教授 湯浅墾道氏の記事」の3 国内の通信事業者(domestic telecommunications providers)の意味のところで検討しておきました。
国際的な通信を取得するためのハニーポットを海外に設置するとか××なデコイをおいて攻撃者の活動を監視(内容をみることも含む)するとかというのは、国として可能な作戦ということになります。このようなイメージです。
私としては、上でみたように
日本国憲法は、日本国の領土を通過しない通信については、これを保護していない。また、日本域内と海外との越境通信については、通信の秘密は、尊重されるが保証はされない
と考えています。なので、これらのオペレーションが、憲法に違反することはないと考えています。
としておきました。
2.3 ③ 通信の秘密との関係
憲法第21条第2項後段の通信の秘密との関係を以下検討する。
として、以下論じられています。不思議なのは、電気通信事業法の「秘密の保護」という用語が一回もでてこないところです。
高橋説は、有識者の方々と全く違うので、表にします。多数説を前提としなければならないのは、よくわかりますが、私が、通信の秘密の論文で問題提起をしてから、早20年。多数説をとれなかったとはいえ、ほぼ、無視されてきたけど、結局は、「Public Welfare」の名のもとに私のいっていたことが結局認められたのがわかっていただけるかと思います。
個人的には、憲法の保護範囲を広げると結局、このような形で「公共の福祉」のもとでの直感判断を許容するようになるので、むしろ、国際的な判断などを参考にして、保障されている範囲と尊重はされるが保障はされないものを区別する方が安定的な判断に役に立つという立場です。
| 提言のアプローチ | 「提言」記載の活動は憲法上、可能(以下は高橋説) | |
| 1 | 憲法の規定は、分析対象となるそれ以外の通信情報(コミュニケーションの本質的な内容ではない通信情報)も、憲法上の通信の秘密として適切に保護されなければならない | 憲法は、「意思伝達の内容」についての、積極的な取得・漏えい・窃用を禁止したもの、電気通信事業法の「秘密の保護」(通信の秘密・他人の秘密の保護)とは定め方も・範囲も異なる |
| 2 | 本質的な内容ではない通信情報の取得・分析・利用は、「公共の福祉」という立場から正当化がされない限り憲法上の「通信の秘密」を侵害すると評価される | 憲法の定めについては、「意思伝達の内容」についての、積極的な取得・漏えい・窃用を禁止したもの/内容に対しても禁止さるのは「窃用」(自己または他人の利益のために利用すること)なので、公共の安全目的のための利用はそれ自体許容される |
| 3 | (憲法は)「およそ通信」の事業者間の遠隔通信について、その取得・開示・利用を許さない趣旨である | 憲法は、国際間の通信についても、これを保護しているのかは、はなはだ疑問。国際法の尊重義務があり、国際法では、各国の主権による留保を前提としている。 |
| 4 | 国内の通信事業者が役務提供する通信に係る情報を利用して、悪用が疑われるサーバ等を検知する行為は、通信の秘密との関係を考慮しつつ丁寧な検討を行うべき | そもそも、憲法の保証が、メタデータに及ばないと解すれば、憲法問題を発生させることはない。もっとも、そのような行為は、尊重に値することは間違いがないので、比例原則・透明性などの観点から慎重な制度設計がなされるべき |
でもって、この比例原則・透明性という観点から、
- 慎重な制度設計
- 監督のための独立機関
が提唱されています。
ちなみに、電気通信に関しては、電気通信事業法5条のもと
(電気通信事業に関する条約) 第五条 電気通信事業に関し条約に別段の定めがあるときは、その規定による
とあって、この意味で、国内法次元における国際法優位の論点も考えないといけないのではないか、ということになるかとおもいます。
2.4④ 同意がある場合の通信情報の利用
通信の秘密の制限に対する通信当事者の有効な同意がある場合の通信情報の利用は、同意がない場合とは異なる内容の制度により実施することも可能であると考えられる。
という表現がなされています。ここで、本当の有識者であれば、ここで、「同意」をなす
通信当事者
というのは、伝統的に「両」当事者とされていた
ことを指摘しないといけません。ここで「た」が太字になっているのは、現在の利用環境課のガイドラインでは、特定の場合に、片側の当事者でもかまわないとされている例がある(たぶん)からです。
なので、吉展ちゃん事件(昭和38年3月31日)において、誘拐犯は、同意してくれないので、そのために逆探知が許されないと解されていました。
通信の途上において警察等の取得が許容される当事者の同意について、原則として両当事者であるが、やむを得ない場合については一方の同意ということも、ありうるとされている(昭和38年05月07日の衆議院地方行政委員会.項目21)。
そして、昭和38 年12 月9日の内閣法制局意見 (以下、昭和38年意見という)において、
電話を利用して刑法第222条に規定する脅迫の罪を現に犯しているものがある場合に、被害者の要請によって、日本電信電話公社(以下「公社」という。)の職員が当該電話の発信場所を探索し、これを司法警察職員等の捜査官憲に通報することは、公衆電気通信法(以下単に「法」という)第5条第2項の規定に違反することになるか。
という質問に対して、結局、該当しないとされたという歴史的経緯があるのです。
なので、専門的には、この④は、そもそも、通信における当事者とは、「両」当事者をいい、それを前提とすると、重要インフラが同意したとしても監視ができるわけではないが、という前提事項について、きちんとふれるべき事項についてふれていない学生さんの答案みたいなイメージがするのではないかと思います。
しかしながら、国家による攻撃等があるので、「両」当事者の同意という要件が、むしろ、昭和38年意見のように片側の同意で良くなった、ということなるだろうと思います。
私の立場からすると、すでに、上の検討で、合法性は、担保されているので「同意」を根拠にする必要はないことになります。
個人的には、「④ 同意がある場合の通信情報の利用」の文章は、合憲性でうるさくいう人たちのために、担当課が、「同意」(というか「通信当事者」)の解釈なんて誰も気にしないから、同意をいれておくかという筋悪な文章に見えます。憲法の適用範囲・国際法と憲法との関係などから、十分に説明がつくのに、それを避けたというのが私の立場からの位置づけです。
2.5 ⑤ 電気通信事業者の協力
提言の「通信情報の利用」の伝統的な解釈論と関係するところは、素人さを感じてしまって、どうもわけがわからないのですが、高橋の従来の主張とシンクロするところがあれば、この
通信の秘密に対する制限を伴う措置への協力となるが、これは政府の責任の下で行う公益のためのものであり、協力を行う電気通信事業者は、社会の安全に貢献しているとして、肯定的に評価されるべきである。
ところです。この部分は、ISPのセキュリティ活動についてのインセンティブの問題として語ってきたところなのですが、やっと、そのような観点からの提言がはいってきました。例えば、「YoutubeでMPAセミナーの「ブロッキングと『通信のプライバシーの合理的な期待』-ガラパゴスの国の「通信の秘密」」の講演が公開されています」でもふれています。
セキュリティからの帯域制限や違法情報のブロッキングなどの問題を語ると、あたかもそのような活動を積極的に行うことが悪者であるかの表現がなされてきました。安全な通信環境を整備するという活動が、そのような批判にさらされていたのであれば、だれも行わないといけないとはおもわないところです。
トリーペルは、論文「憲法と政党」の中で、それが「敵視」→「無視」→「承認及び合法化」→「憲法的編入」の段階を経ると説いていたとのことですが、プロバイダーのセキュリティ活動も
と進むべきなのではないかと考えています。
インターネット媒介者という概念へ注目すべきというのは、前からいっています。これは、セキュリティプロパーではなかったので事務所のブログですが、
- インターネット媒介者の役割と「通信の秘密」の外延(検索エンジン・CDN)-EU「プロバイダーの注意義務と責任」報告書の示唆
- ISPのLiabilityからResponsibilityへ-EPRS「オンライン媒介者のEU責任レジーム改革」報告書
- 欧州において権利者とアクセスプロバイダは、「原理的に」違法コンテンツのブロッキングを行えるか?
あと、論文としては
があります。ついにサイバーセキュリティを守るための効率的な仕組みとしてISP のセキュリティ活動が通信法制に編入すべき、という提言がなされているのであれば、その点では、この提言も評価すべきであるようにおもいます。
電気通信事業者が直面し得る訴訟等のリスク及び通信ネットワーク運営に対する負担について、先進主要国の例も参考にしながら、回避策を十分に検討していくべきである。加えて、通信ユーザの利便性低下やコスト負担が生じるようなことも避けられるべきである。
プロバイダーが、その自社の通信網によって伝達する情報について「違法情報」が伝達されていることについて「現実に悪意」になった場合に、それに対応することが、「電気通信事業法」や「憲法」に違反するという訴訟が提起されて、違法だと判断されたらどうなるのでしょうか。この点について、
憲法が、プロバイダーに適用される
と判断した下級審判決(令和元年10月30日の東京高裁判決)があったりします(憲法の「通信の秘密」は、電気通信事業者に適用されるのか-総務省「情報通信の不適正利用と苦情対応の在り方に関する研究会報告書」(1999))。この解釈というのは、民営化後の電気通信事業者に対する解釈としては、政府の委員会等でしめされた解釈にも反する異例な判決というのが私の見立てなのですが、あまりそういうことをいう人もいません。
しかしながら、プロバイダーのセキュリティ活動が、
誤解され、「人権派」弁護士の標的とされ、お金もかかり、その上に、ユーザー獲得にメリットがない
としたならば、だれが好き好んで、ネットワークの「公共の安全」を考えるのでしょうか。その意味で、この提言は、重要な意味をもっているようにおもいます。もし、提言が許されるのであれば
電気通信事業者の設備から政府への通信情報の送出の適正性が確保され、同時に協力する電気通信事業者の直面し得るリスクの軽減につながり得るような監督の在り方を含め、独立機関などのガバナンスの仕組み
の契機として「サイバー攻撃等ガイドライン」を越えたISPの「サイバーセキュリティ活動行為規範」を作成していただくとともに、その規範を遵守したうえで、重要なプロバイダーに対して、その専門家の活動に対する費用負担的な制度を考えるといいのではないかとか思っていたりします。
3 ボトムライン
でもって、「通信の秘密」の数奇な運命のシリーズは、表面的には、認められなかったものの、そこでの判断は、実質的には、認められたので、良かったかな、という感じです。法廷衣装こぼれ話につぐ私の名刺代わりなので、OKです。ただ、「窃用」という用語の数奇な運命は、いま調査中だったりします。
それはさておき、この提言の、この「通信情報の利用」のパートは、もし、法律について議論しているつもりであれば、
お粗末であって、法律の論考としてのレベルに達していない
と評価していいと思います。一番の問題点は、この議論が、24/7の監視の問題を論じている(インテリジェンス機関の導入等) のか、ISPの情報取得を前提として、その政府への共有を論じている/また、法執行機関による積極的な対応(ボット無害化等)のかが、わからない、ということかと思います。
ISPは、日常の業務としてネットワークの監視をおこなっていて、それは、当然に、業務として適法にされているわけです。しかしながら、まさに「武力攻撃に至らないものの(even if they do not amount to an armed attack)、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合」において、その情報を国と共有して、その脅威に対応しなければならない場合があるのは、当然だと思われます。なので、そのような場合が議論されているように思えた(ドイツにおける通信の秘密についての適法性確認規定および政府によるプロバイダーへの情報共有・対処命令)のですが、どうも、24/7の監視機関を設置する、NISCを改組するという方向性が議論されました。
個人的には、このような方向性も必要だと考えているので、それはそれでいいのですが、結局、何が議論されているのか、よくわからない提言なので、法案が出てこないとわからないということだと思われます。
床屋談義は続くよどこまでも、です。
