タリンマニュアル2.0の発表記念のパネルが、2月8日にワシントンアトランティックカウンシルで開催されています。非常に興味の深いパネルで、特に、会場との質疑応答は、最新の問題についての深い質疑応答ですので、サイバーセキュリティの法と政策を語る人については、分析必須の議論かと思います。
まずは、そのパネルですが、International Law and Cyber Operations – Launch of the Tallinn Manual 2.0といい、Youtubeでみることができます
(https://youtu.be/riP4kStBBJs)。
内容は、会場の質疑応答のみを要点のみ書き出すと
(0:55-)武力紛争の線引きの問題
(シュミット)国際連合憲章2条(4)違反を一般に考えます。破壊的なレベル以下は、どうか、という点については、グレイゾーンであることについて同意します。国家実行が明確ではないので、明らかな線を引くことはできません。武力紛争については、適用される法は明確です。紛争は、二つあり、国際紛争と内部紛争です。国際紛争は二つの国家における武力のやりとりです。内部紛争は、非国家組織においての武力のやりとりですが、非常に複雑な問題があります。
タリン1においては、武力紛争を超えたときを記載したので、不安定さが存在したので、むしろ、主権に関するルールを2016年に公表した。平時のときの問題を分析したのが、タリン2.0ということになります。
(1:06-)データを「対象」から排除することについて
(シュミット)データを対象から排除するという結論の意味は、武力紛争においては、民心対象に対しては攻撃ができないので、データの改竄は、禁止されないということになる。議論の末に、医療データ等の特別に保護されるべきデータは、別として、すべての民間データが保護されるべきということは言い過ぎであると判断した。ただし、ルール自体が変更されており、むしろ、主権原則の解釈に移行するという意見である。サイバー作戦に関しては、主権の原則となり、主権のレベルをあげると作戦をブロックすることになり、そのバランスの問題ということになる。
(1:13-)アクティブ正当防衛/非国家行為について
(シュミット)アクティブ正当防衛については、マニュアルは、ふれていない。武力紛争にたいしては、防衛行為ができることになる。それが一番高いレベルになる。自衛行為の法になる。
その次のレベルになると対抗措置の問題となる。これは、違法になるかもしれないが、他の国家を国際法に従わせるために用いられる場合には適法とされる行為をいう。ハックバックは、比例に従っているかぎり、国際的な違法行為/禁止されている干渉に該当しているとしても許容される。一番低いレベルは、報復(retorsion)の問題になる。外交的な非友好的な行為をとって制裁をかする行為をいう。アクティブ防衛の行為の許容性は、被害にむけられた行為の性格によるということができる。
(1:24-)DNCについては、
(シュミット)国際法のグレイゾーンとして興味深いエリアだといえます。というのは、シュミット先生の見解によると、「国際法における禁止されている干渉」の問題と考えられるからです。これは、国際法は、主権国家は、他の主権国家の「Domaine Reserve」といわれる部分に強制的な方法(coercive manner)で、干渉することは禁止されています。これに対して、エスピオナージは、国際法の違反には該当しないとされます。マニュアルでは、この点を描こうとしています。ここで、「強制的」(coercion)とは何かという問題になります。これについては二つの見解があります。一つはLiis先生の見解で、今一つは、シュミット先生の見解です。他国の民主国家に対する情報提供はすべて適法であるという考え方も存在し得ますが、シュミット先生の見解としては、この点は、ラインを超える場合のみが、この場合に該当するという見解です。超える場合としては、「過程を操作してしまう場合」については、国際法の違反と考えることができるという立場です。意図的にファジーな状態にしているので、法的には、「優秀な」法律家といえるでしょう。
(1:32-)新しい技術に対する対応をどう考えるのでしょうかという質問。
(シュミット)国際法は、すこし曖昧ですが、将来にわけて生き残るように設計されています。ロボットやAIにたいしても大丈夫です。国際法のコミュニティは、対応しています。結構、新しいことを予測することが、よくできているということです。結局、「スタッフ」の問題だと思うのです。主権の問題は、スタッフにたいして適用されるのです。武力の行使についても苦労しましたが、適用しました。
(1:39-)ソニーハック等の場合について
(シュミット)これは、合衆国の主権の侵害だと認識しています。対抗措置をとることができます。1つは、堅固なサイバーインフラに対して、これに侵入することも可能でしょう。また、政府の機能を破壊することもできるでしょう。3つめは、北朝鮮の船に対して、ブロックすることも可能です。
(1:42-)ある国の指令がなされて、他の国から有害な作戦がなされた場合について
(シュミット)デューデリジェンスの義務に違反する場合には、その国に対して、国際法に従わせる対抗措置をとることができることになります。
(146-)国家が、結論に対して納得しない場合についてどう考えるのか
(シュミット)デューデリジェンスの考え方が適用されます。この場合、アクションをとることができます。今一つは、対抗措置をあげることができます。対抗措置は、国家に対してなされます。主権の問題が発生しています。行為者特定の問題については、証拠の問題がでます。証拠をしめすこともできますししめさないこともできます。国際法では、審判については、その審判廷における独自のルールが決定しますし、審判以外では、一般の国家が同様の行為をとるのかというのが一つの判断です。対抗措置で、事実に反する行為者特定を行った場合においては、それ自体が、国際的違法行為としての判断を受けることになります。その違法性が排除されるということはないです。