能動的サイバー防御の有識者会議提言では、「アクセス・無害化」として論じられているオペレーションの分析になります。
これについては、「アクセス・無害化措置についての有識者会議の議論整理(ボットの解毒化等)」についてで見たところです。なので、このブログに付け加えることはないようにおもいますが、提言を読んでいきたいと思います。
1 提言の内容
1.1 サイバー空間の特徴を踏まえた実効的な制度構築の必要性
- 実際にある危険が潜在化し認知しにくいということ
- 潜伏の高度化等により、攻撃者の意図次第でいつでもサイバー攻撃が実行可能であること
- 一旦攻撃が行われれば、被害が瞬時かつ広範に及ぶおそれがあること
があげられています。
武力攻撃事態に至らない状況下において、重大なサイバー攻撃による被害の未然防止・拡大防止を目的とした、攻撃者サーバ等へのアクセス・無害化を行う権限を政府に付与することは必要不可欠であり、我々が価値創造するための安全なサイバー空間を守る観点から極めて重要な取組
とされています。個人的には、国家安全保障戦略(英文)においては「Even if」と記載されていたので、防衛法の真ん中の場合についても検討されるのかと思っていましたが、そのようなことは考えていないようです。英語翻訳がまちがったのか、それとも準備室が言葉のセンスがないのか、ということだろうとおもいます。
それは、さておき、
- 既存の法執行システムとの接合性や連続性を意識しつつも、サイバー空間の特徴を踏まえた実効的な制度とする必要がある。
としつつ、法執行の文脈でかんがえているようなふりをしながら、
- 新たな制度の目的が、被害の未然防止・拡大防止であることを踏まえると、インシデントが起こってから令状を取得し、捜査を行う刑事手続では十全な対処ができないと考えられ、新たな権限執行には、緊急性を意識し、事象や状況の変化に臨機応変に対処可能な制度とする必要がある。
となっています。
状況に応じた危害防止のための措置を即時的に実施することを可能とする法制度とすべきである。
としています。
災害時の避難措置や危険物による切迫した事態への対処など、必要に応じて関係機関が相互に連携することを含め、危害防止のために臨機応変かつ組織的に対処する際に機能してきた警察官職務執行法を参考
とします。というか、警察官職務執行法そのものの解釈とかでいけないかな、と考えたりしているわけです。昔、昔、新聞レベルだと「不正アクセス禁止法改正」とか書いてあったのを記憶しているのですが、対象法律としては、落ち着くところに落ち着いたということだと思います。
もっとも
制度全体としては、事態を細かく区切り事態を認定するという従来の事態認定方式ではなく、武力攻撃事態に至らない段階から我が国を全方位でシームレスに守るための制度の構築が必要と考えられる。
「従来の事態認定方式」が、どのようなレベルでどのような擬律になるか、ということを考える必要があるかと思います。もっとも、「アクセス・無害化措置についての有識者会議の議論整理(ボットの解毒化等)」 で確認した各説明スライドでは触れられていなかったように思います。これについては、「第5章 自衛隊の行動などに関する枠組み」が詳しいです。でもって、従来の事態認定方式をベースにした図を考えると以下のようになるかと思います(「存立危機事態」は、省略)。
でもって、個々の場合を書いておきます。
1.1.1 武力攻撃事態対処法のもとでの権限行使
「武力攻撃事態等における我が国の平和と独立並びに国及び国民の安全の確保に関する法律」(武力攻撃事態対処法、以下、事態対処法という)です。事態対処法は、
情勢の集約並びに事態の分析及び評価を行うための態勢の充実、各種の事態に応じた対処方針の策定の準備、警察、海上保安庁等と自衛隊の連携の強化を図る法律
です。
武力攻撃以上の場合
国際法的には、武力攻撃(国連憲章51条)のレベルを越えた場合については、武力による自衛権の行使が許容されることになります。
「武力攻撃」というのは、「わが国にたいする国または国に準ずる者による組織的、計画的な武力の行使をいう」となります。
「武力攻撃事態」は、武力攻撃が発生した事態又は武力攻撃が発生する明白な危険が切迫していると認められるに至った事態をいいます。
「武力攻撃予測事態」とは、武力攻撃事態には至っていないが、事態が緊迫し、武力攻撃が予測されるに至った事態をいうとされています。
「存立危機事態」というのは、わが国と密接な関係にある他国に対する武力攻撃が発生し、これによりわが国の存立が脅かされ、国民の生命、自由及び幸福追求の権利が根底から覆される明白な危険がある事態をいいます。
これらの場合の権限行使の方法ということになりますが、自衛隊に対する防衛命令によって、自衛のための武器の仕様が許されるということになります。
武力攻撃未満の場合
では、武力攻撃未満の場合はどうでしょうか。この場合は、自衛隊の権限の行使という観点から見たときには、
間接侵略その他の緊急事態に際して、一般の警察力をもつては、治安を維持することができないと認められる場合には、自衛隊の全部又は一部の出動を命ずることができる
として、治安出動を定めています(隊法78条、同81条)。この場合「資料12 自衛隊の主な行動の要件(国会承認含む)と武器使用権限等について」でみてもわかるように警察官職務執行法の準用があります。
なので、武力攻撃未満の場合において、自衛隊の活動の余地が全くないのか、というとそのようなことはない、ということになるかと思います。この場合には、まずは、警察力の行使になってきます。ここで、警察力の行使について、上の治安出動でも出た警察官職務執行法を見ることになります。関連する条文としては
(避難等の措置)
第四条 警察官は、人の生命若しくは身体に危険を及ぼし、又は財産に重大な損害を及ぼす虞のある天災、事変、工作物の損壊、交通事故、危険物の爆発、狂犬、奔馬の類等の出現、極端な雑踏等危険な事態がある場合においては、その場に居合わせた者、その事物の管理者その他関係者に必要な警告を発し、及び特に急を要する場合においては、危害を受ける虞のある者に対し、その場の危害を避けしめるために必要な限度でこれを引き留め、若しくは避難させ、又はその場に居合わせた者、その事物の管理者その他関係者に対し、危害防止のため通常必要と認められる措置をとることを命じ、又は自らその措置をとることができる。
(略)
(犯罪の予防及び制止)
第五条警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合においては、その行為を制止することができる。
があります。
4条は、「危害防止のため通常必要と認められる措置をとることを命じ、又は自らその措置をとることができる。」とあるので、無権限アクセスして、ボットの解毒とかはこの条文にフィットするような気もします。
また、5条は、「その行為を制止することができる。」とあるので、ボットネットが、何か侵害行為の「道具」であると構成すれば、これにいたしての「制止」行為であるといえるように思えます。
説としては、第5条の適用問題とする立場が一般だそうです。立法にあたって、これらの問題が解決されることになるかと思います。
2.2 措置の実施主体
この点については、
権限の執行主体は、現に組織統制、教育制度等を備え、サイバー脅威への対処に関する権限執行や武力攻撃事態等への備えを行っている、警察や防衛省・自衛隊とし、その保有する能力・機能を十全に活用すべきである
となっています。これ自体は、上でみたように特に問題はないと思います。
まずは警察が、公共の秩序維持の観点から特に必要がある場合には自衛隊もこれに加わり、共同で実効的に措置を実施できるような制度とすべきものと考えられる。
とあって、「共同で実効的に措置を実施できるような制度」というのがどのようなことを意味しているのかについては、わかりにくいところであると考えています。
2.3 措置の対象
これについては、
国の安全や国民の生命・身体・財産に深く関わる国、重要インフラのほか、事態発生時等に自衛隊や在日米軍の活動が依存するインフラ等に対するサイバー攻撃を重点とすべきものと考えられる。
とされています。上でみたように「間接侵略その他の緊急事態に際して、一般の警察力をもつては、治安を維持することができないと認められる場合」については、自衛隊の治安出動権限もあることを触れておきましたが、これと上の「インフラ等に対するサイバー攻撃を重点」とする事態との関係は不明確です。
「間接侵略その他の緊急事態」にいたらない場合(平時)に、自衛隊の活動を認めるべきであるという主張であれば、まさに従来の事態認定方式からの離脱ということになるかと思いますが、果たして、それを意図しているのかは、よくわからないということになるだろうと考えられます。
2.4 アクセス・無害化と国際法との関係
この部分では、
実務上、援用する違法性阻却事由としては、「緊急状態(Necessity)」の方が援用しやすいものと考えられる
とされています。これ自体については、とくに問題はないかと思います。ただし、国際法との関係が問題とされるのは、「アクセス・無害化」措置が、「それ自体」国際法に違反する場合ということになります。
日本の国際法のスタンスは、「主権はルール」であるという多数説を採用している立場であります。「サイバー行動と国際法についての日本政府の基本的な立場(Basic Position of the Government of Japan on International Law Applicable to Cyber Operations)」(2021年5月 28日に提出-(6月16日に公表)を参照ください)です。
そこでは、
医療機関を含む重要インフラに対するサイバー行動によって物理的被害や機能喪失を生じさせる行為は、場合によっては違法な干渉等にも当たり得るが、いずれにせよ主権の侵害に該当し得る
とされています。逆に、「それ自体」国際法に違反する場合である「アクセス・無害化」措置を、防衛のために行うというのが、実際にどのような場合なのかというのは、よく分からないところです。A国のサイバー軍の活用しているボットネットにアクセスして、それを無害化する行為を考えたときに、それ自体は、主権侵害になるが、避難として適法と考えられるということになるのだろうかと考えています。
2.5 それ以外と結論
上記以降は、⑤ 制度構築に当たっての留意点 とか、⑥ 運用面の留意点を含めた今後の検討課題 についての考察がなされています。それらについては、特段コメントすることもないかと考えています。
結局、「アクセス・無害化」の部分については、具体的にどのようなオペレーションがなされるのか、というのが特定されないと議論の具体的な例としては難しいのではないか、と考えています。
ハック・バックはどうだ、という人もいるようですが、それ自体は、主権侵害なのか、という問題があって外交問題を生じさせることがあっても国際法的な違法性阻却事由は、考える必要がないのではないかという感じもします。そうだとすると主権侵害レベルでの反撃行為であって、かつ、サイバー手段によるものというとそれ自体、どのような手法なのか、ということになります。
自衛隊のサイバー部隊が、治安出動時以外にも常時、活動できるようにすべき、ということなのかも含めて、実際の活動と議論には、かなり距離があるようなイメージをまだもち続けています。
また、実際のオペレーションにあたって、ツールが活用されることになるかと思いますが、そのようなツールはどこが提供するのか、また、そのツールの副反応(?)的なものがないことをどうやって確保するのか、という別の問題もあります。目を離せない問題であろうと思います。
