1 問題提起

「位置情報取得の方法と捜査権限」のブログ・エントリーで

Darth Vader(特定人)が携帯電話を海外で使用している場合に、そのような差押え令状は、執行管轄権侵害の問題を引き起こさないのか？

という問題提起をしました。これの問題を図解すると

 

になります。

この問題は、「日本版調査権限法を考える-FISA/IPA2016/重要情報活動と法」のエントリーで、2.2.3 捜査権限の執行管轄権との関係でふれたところです。

最高裁判所は、令和3年（2021年）2月1日の最高裁判所第二小法廷決定（わいせつ電磁的記録記録媒体陳列被告事件）で、

刑訴法９９条２項，２１８条２項の文言や，これらの規定がサイバー犯罪に関する条約（平成２４年条約第７号）を締結するための手続法の整備の一環として制定されたことなどの立法の経緯，同条約３２条の規定内容等に照らすと，刑訴法が，上記各規定に基づく日本国内にある記録媒体を対象とするリモートアクセス等のみを想定しているとは解されず，電磁的記録を保管した記録媒体が同条約の締約国に所在し，同記録を開示する正当な権限を有する者の合法的かつ任意の同意がある場合に，国際捜査共助によることなく同記録媒体へのリモートアクセス及び同記録の複写を行うことは許されると解すべきである。

とのべたところは触れたところです。

ところで、このサイバー犯罪条約32条の制定経緯が関係しているのは、有名なところですが、個人的には、いままで、きちんと勉強したいと思っていたのですが、勉強していなかったので、これを機会にまとめたいと思います。

2 サイバー犯罪条約32条の制定経緯と範囲

サイバー犯罪条約(The Convention on Cybercrime (Budapest Convention, ETS No. 185) and its Protocols)は、コンピュータ・システムおよびデータに関連する犯罪行為に係る刑事捜査および刑事手続をより実効的なものとし、かつ、犯罪に関する電子的形態の証拠の収集を可能とするための国の責務を定める条約です(日本語訳)。

これの説明報告書はこちら  日本語(夏井先生の日本語訳 )

あと興味深いものとして「Trans-Border Access to Stored Computer Data under Article 32 of the Budapest Convention on Cybercrime and Extraterritorial Powers 」があります。

条文等

32条 蔵置されたコンピュータ・データに対する国境を越えるアクセス（当該アクセスが同意に基づく場合又は当該データが公に利用可能な場合）の条文としては

締約国は、他の締約国の許可なしに、次のことを行うことができる。
ａ　公に利用可能な蔵置されたコンピュータ・データにアクセスすること（当該データが地理的に所在する場所のいかんを問わない）。
ｂ　自国の領域内にあるコンピュータ・システムを通じて、他の締約国に所在する蔵置されたコンピュータ・データにアクセスし又はこれを受領すること。ただし、コンピュータ・システムを通じて当該データを自国に開示する正当な権限を有する者の合法的なかつ任意の同意が得られる場合に限る。

となります。この条文の議論の経緯ですが 説明報告書に詳しいです。

この条文としては

条約の起草者がかなりの議論を交わした問題であった

というとで、そして

最終的に、起草者は、この領域を規律するための納得のいく法的拘束力のある枠組みを準備することはまだできないという結論に至った

とのことでした。この294項は、興味深いのでそのまま翻訳すると

第32条（同意に基づく場合又は当該データが公に利用可能な場合における蔵置されたコンピュータ・データに対する国境を越えるアクセス）は二つの状況を対象とする。第一は、アクセスされるデータが公に利用可能である場合であり、第二は、締約国が自国の領域内にあるコンピュータ・システムを通じて自国の領域外に所在するデータにアクセスし又はこれを受領した場合であって、当該システムを通じて当該締約国にデータを開示する正当な権限を有する者の合法的かつ任意の同意を得ている場合である。データを「開示する正当な権限を有する」者が誰であるかは、状況、当事者の性質および適用される関係法令によって異なり得る。例えば、ある者の電子メールがサービスプロバイダによって他国に蔵置されている場合や、ある者が意図的にデータを他国に蔵置している場合がある。これらの者はデータを取り出すことができ、正当な権限を有する場合には、本条が定めるとおり、法執行当局にデータを任意に開示し、又は当該当局がデータにアクセスすることを許可することができる。

とされています。また、公式にガイダンスメモが公開されています。

3 32条の論点

そのNO3が、ガイダンスメモ(Guidance Notes)になります。そのメモは、 第32条(a)：公開データへの無条件アクセスについては、徳で段の問題はなく、32bについて論じています。

典型的な事例としては

電子メールがサービスプロバイダによって他国に保存されている場合や、個人が意図的にデータを他国に保存している場合などである。これらの人物はデータを取得することができ、かつ、同条に規定されている通り、合法的な権限を有している場合に限り、法執行官に自発的にデータを開示したり、法執行官によるデータへのアクセスを許可したりすることができる。

が上げられています。

解釈としての論点としては

3.1 一般的考慮事項

締約国は「信頼の共同体」を形成しており、条約第15条に沿って法の支配・人権尊重が推定される。アクセスを行う締約国は、相手国の関係当局への通知を検討することができる（義務ではない）。

3.2 法的根拠と適用範囲

32条は、データの所在地が判明している締約国間にのみ適用され、データ所在地が不明・不確実な場合は適用不可であること、また、自国内に保存されたデータの開示取得には使用不可であるとされます。また、他の手段（MLA等）を排除するものでも、特定の状況に限定されるものでもありません。所在地不明の場合は、各締約国が国内法・国際法原則・国際関係の考慮に基づき適法性を自ら評価することになります。

3.3 相互援助・通知の要否

第32条(b)はMLAを前提としません。通知も義務ではないが、条約は通知を排除してもおらず、適切と判断した場合は任意に通知できます。

3.4 同意の要件

同意は合法かつ自発的でなければならず、強制・欺罔によるものは無効です。また、明示的な同意が必要であり、オンラインサービスの利用規約への包括的な同意は原則として明示的同意を構成しないとされます。

3.5 準拠法

法執行当局は自国国内法と同一の法的基準を適用しなければならない。国内法上許可されないアクセス・開示は、第32条(b)の下でも許可されない。

3.6 データへのアクセスを提供または開示できる者

これについては、「状況、適用される法律および規制に応じて、データへのアクセスを提供または開示できる者は多岐にわたる。」とされています。自然人：自身のデータへのアクセスを提供できるし、また、法人は、場合により可能であるとされます。

興味深いのは

サービスプロバイダは、そのようなデータの保有者(holders of such data)に過ぎず、データを管理・所有(control or own)しているわけではないため、有効に同意する立場にはない。

とされているところです。

3.7 国内提出命令との関係

国内の提出命令・類似の適法な要請には第32条(b)は適用されません（あくまで越境場面の規定）。

3.8 同意者の所在地問題

最も典型的には同意者が要請国の領域内に物理的に所在する場合が想定されています。ただし、複数の状況が考えられるとされており、特に重要なのが、自国領域内に所在する者に外国の法執行機関が直接接触することは、多くの締約国が異議を唱え、国によっては刑事犯罪とみなす点であるとコメントされています。

議論の経緯

ここで、第32条(b)制定経緯における議論動向についてみていきます。

越境的な電子証拠収集の問題は、ブダペスト条約よりはるかに前から議論されていました。1989年のコンピュータ関連犯罪に関するCDPC勧告R(89)9および1990年のCDPC最終報告書はこちらです。

この報告書の86頁からは、「直接侵入(direct penetration)」の問題を取り扱っています。そこであげられている4つの類型は、

1. 警察が現場を捜索して、外国で保存されているデータを示すスクリーンを発見した場合
2. 同様の状況で、データが、外国で保存されているというのを知らずに捜索をおこなう場合
3. 同様の状況で、データが、外国で保存されているというのを知って捜索をおこなう場合
4. 外国で保存されているというのを知って、警察がみずからの端末によって捜索をおこなう場合

越境アクセスを国際的に規律するための概念的・技術的基盤が整っていなかったことと、主権侵害への各国の根強い懸念が、立法化を阻みました。そして、これらに関して「直接侵入」が、国際法で禁止されている「手段」を構成するかについては、明らかではないとしています。

1996年11月、欧州犯罪問題委員会（CDPC）は包括的な条約を起草する専門家機関の設置を命じ、これがブダペスト条約の起草プロセスの開始となりました。起草作業において越境アクセスの問題は早期から最大の難題として浮上しました。Seitz, Nicolai「Transborder Search: A New Perspective in Law Enforcement?」所在： Yale Journal of Law & Technology, Vol. 7, 2004, pp. 23–44を参考にするときには

1. Prevalent View（通説）——越境捜索は原則違法

通説は、パスワード等によって保護された非公開データへの越境捜索は、相手国の明示的な同意なき限り、領域主権原則に違反するとして原則として違法とする。これはドイツ語圏の文献における圧倒的多数説であり、Spatscheck、Bär、Sieber、Gerckeら主要論者が支持している。通説の核心的論拠は、ネットワークを通じた越境データアクセスは、捜査官が物理的に外国領域に存在しない場合であっても、外国領域内のサーバーでデータ処理を開始するという外部世界への有形の変化を引き起こす点で、国家主権の侵害に当たるというものである。また、MLAのような既存の司法共助合意に違反するという点も強調される。欧州評議会自身も1995年の勧告R(95)13において越境捜索は国際原則の侵害を引き起こしうるとしており、これが通説の根拠の一つに位置づけられている。
ただし通説内部でも二つの例外的修正が議論されている。第一は、捜索対象者本人が同意した場合の例外であるが、多数説はこれを否定する。その理由は、国家主権は個人の意思によって処分できるものではなく、相手国の権限ある当局の明示的な同意が必要だからである。第二は、捜査機関がデータの所在地を自国内と誤信した善意（good faith）の場合の例外であり、この場合は自国の執行権限を著しく制限することになるとして一定の支持がある。Wolfgang Bärはさらに一歩進めて、相手国の許可を得るための時間を確保する目的での暫定的なデータ保全は、所在地が他国と判明している場合でも許容されると主張している。

2. Opposite View（反対説）——越境捜索は一定条件下で適法

反対説はドイツ語圏では少数にとどまり（von Briehl ,Ehlscheid）、むしろ英語圏の国際法学者に支持者が多い。その核心的論拠は、捜査官が物理的に外国領域に存在しない以上、侵害の強度が物理的存在の場合と比較して著しく低く、外国主権を侵害するとはいえないというものである。
代表的な論者としてSussmannは「急迫した事情（exigent circumstances）」——例えば生命への急迫した危険——が存在する場合には越境捜索を許容すべきと主張する。

Goldsmithはより根本的な論拠を展開し、技術的変化は領域主権の規範的意味についての理解を変容させるとして、サイバー犯罪においては犯罪者側も相手国の主権侵害（不法なアクセス）を行っており双方向の主権侵害が生じているため、捜査側の対応的行為は相殺的に正当化されると主張する。

Sofaerらも、締約国が管轄権を有する行為について、電子信号が他国領域に移転することになるとしても「合理的な電子的捜査手段」を用いることを締約国に認める条約草案を提示しており、捜査国は影響を受ける他国にできるだけ早く通知すべきとする。

という立場が拮抗していたようです。

結局、解釈に委ねられた範囲は？

サイバー犯罪条約制定時の理解においては、解釈としては、法執行機関が、外国のサーバーに対して(もしくは、その存在がわからない場合も含む)、みずから、所有者・管理者の同意ではない手法によってアクセスして得られるかという問題は、まだ、問題として解決しなかったことがわかります。

 

4 その後の解釈の発展

その後の国外保存データへの捜査権限についての動きには、

1. ガイダンスメモ(No3)の公開 (2014)
2. 米国 Cloud法の制定とサイバー犯罪条約の関係についての議論

があります。また、日本においては上記令和3年2月1日の最高裁判所決定も議論を盛んにしたといえるでしょう。

また、世界的にも、CyCon2017 travel memo 3) before Day 0 -マリア博士と「域外データに対する遠隔捜索差押」 A.M.Osula博士「越境捜査における通知要件の問題」論文 の示唆 でも紹介しましたが、国際的な研究の発展もあげられると思います。とくにA.M.Osula博士の博士論文集「Remote search and seizure of extraterritorial data」は参考になります。また、現在の議論状況については、Gabriela I. Matei “Cross-Border Data Sharing and Sovereignty: Reactions of Non-EU Countries to Article 32 of the Budapest Convention “があります。

4.1 米国 Cloud法の制定とサイバー犯罪条約の関係についての議論

Cloud法(Clarifying Lawful Overseas Use of Data Act)が制定された経緯については、私のブログでもふれています。

• CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか？(上)、(中)、(下)

“Microsoft Ireland”事件

背景には、”Microsoft Ireland”事件があります。この事件は、麻薬密売の捜査を進めていたFBIが、Microsoftに対して電子通信プライバシー法（のうちの保存通信法-SCA）上の令状を執行し、あるユーザーのメールデータの提出を求めました。ところがMicrosoftは「そのデータはアイルランドのダブリンにあるサーバーに保存されている」として提出を拒否しました。

法廷での攻防
連邦地裁はFBI側を支持し、Microsoftにデータ提出を命じました(In re Warrant to Search a Certain E-Mail Account Controlled & Maintained by Microsoft Corp.United States District Court, S.D. New York
13 Mag. 2814 (2014))。

しかし第2巡回区控訴裁判所は2016年にMicrosoft勝訴の判決を下しました。同裁判所はSCAが域外適用を意図していないと判断し、「アイルランドのデータにはアイルランドを通じた国際協力（MLAT）で対処すべき」という結論を示しました(Microsoft Corp. v. United States United States Court of Appeals, Second Circuit 829 F.3d 197 (2d Cir. 2016))。

結局、最高裁が審理中の2018年3月、議会がCLOUD Actを成立させたことで事件は突然幕を閉じた。新法はSCAを改正し「物理的保存場所を問わず、プロバイダーが管理・支配するデータへの令状効力」を明定したため、最高裁は審理を終了しました。審理終了決定はこちら。

Cloud法とブダペスト条約との関係

ここで、米国の司法省が、Cloud法のホワイトペーパーを公表しています。

そこでは、

第一に、同法は、法の支配の尊重など一定の基準を満たす他国と、米国が行政協定を締結することを認めており、これにより法の抵触の問題に対処することを可能としています。重大犯罪の捜査においては、CLOUD協定を活用することで、各国の法律に基づく制限を解除し、通信サービス事業者（CSP）が相手国から発出された適法かつ要件を満たす電子データに関する命令に従えるようにすることができます。

第二に、CLOUD法は、ある国の管轄下に置かれる企業に対し、そのデータがどの時点においてどこに保存されているかに関わらず、当該企業が管理するデータの提出を要求できるという、長年にわたり確立されてきた米国および国際的な原則を、米国法において明文化したものである。

CLOUD法は、この問題に関する既存の米国法を単に明確化したに過ぎず、法執行機関が電子データの開示を要求する前に満たさなければならない、米国法の下での既存の高い基準を変更したわけではない。

とされています。

具体的には、

• 米国を拠点とする多くのグローバルCSPは、現時点では刑事捜査を行う外国政府に対して特定の電子データを直接開示していない。
• CLOUD Act協定は、対象となる命令に関する法的抵触の可能性を除去するにすぎない。
•  CLOUD Act協定は、プライバシー保護および法の支配に対する重大なコミットメントを要件とする。
• CLOUD Act協定はMLATシステムへの負担を軽減する。
• CLOUD Act協定は暗号化に関して中立である。

という概要を提示するとともに、

• 修正条項は、広く認められ長年にわたって定着してきた米国法の理解を回復することにより、明確性を確保した。
• ほとんどの国は、ブダペスト条約と整合する形で、データの保存場所を問わず開示を求めている。
• 米国が海外に保存されたCSPのデータを取得する明示的な権限を回復したことにより、他国からのMLAT要請に応じる能力が回復した。
• 修正条項は米国の捜査権限を拡大するものではない。
• 修正条項は米国の管轄権を新たな当事者に拡張するものではない。

と整理しています。ちなみに「ほとんどの国は、ブダペスト条約と整合する形で、データの保存場所を問わず開示を求めている。」とありますが、この注3でもって

オーストラリア、ベルギー、ブラジル、カナダ、コロンビア、デンマーク、フランス、アイルランド、メキシコ、モンテネグロ、ノルウェー、ペルー、ポルトガル、セルビア、スペイン、英国、およびその他の国々は、海外に保存されたデータの提出を強制する国内の権限を有していると主張している。例えば、Winston Maxwell & Christopher Wolf, A Global Reality: Governmental Access to Data in the Cloud, 2-3 (Hogan Lovells) を参照。（2012年7月18日更新）（「特に注目すべきは、我々が調査したすべての国が、特定の状況下においてクラウドサービスプロバイダーに対し顧客データの開示を要求する権限を政府に付与しており、多くの場合、この権限により、国内に事業拠点が存在するといった何らかの管轄権の根拠さえあれば、政府は自国の国境の外に物理的に保存されているデータにアクセスすることが可能となっている。」）。

とされています。ちなみに、このような対応は、同条約によって求められているものであると司法省がいっている(required by the Budapest Convention decades ago)のに対しては批判があるようです(Critiquing DOJ’s Claim that the Budapest Convention Requires the Cloud Act’s Solution)。

4.2 日本における令和3年2月1日の最高裁判所第決定を巡る議論

これについては、文献多数で、

• 指宿信 ・板倉陽一郎 編「越境するデータと法 – サイバー捜査と個人情報保護を考える」 (法律文化社、2023)
• 小西葉子「現代の諜報・捜査と憲法 自由と安全の日独比較研究」(法律文化社、2025)

の単行本

論文としては

• 前田雅英「国外サーバへのリモートアクセス」WLJ判例コラム227号(2021)
• 四方光「越境リモートアクセスにより収集された証拠の証拠能力とわいせつ動画の投稿を促すサイト管理者の刑事責任」法教 491 号( 2021)
• 新宅孝昭「リモートアクセスに関する諸問題」〔警察学論集第76巻第4号〕

をはじめとして多数ということになります。

ここで議論された論点としては、国際法上の違法は刑訴法上の違法となるか(論点1)、主権を侵害する違法なものか(論点2)、その違法が重大となり得るか(論点3)、被告人に違法収集証拠排除の申立適格は認められるか(論点4)があるとされます。これらの論点についての議論の動向については、省略します。

5 サイバー犯罪条約 第2追加議定書（2022年）について

サイバー犯罪条約第2追加議定書()は2022年5月12日にストラスブールで署名開放され、日本を含む22カ国が初日に署名した。批准国はセルビアと日本のみであり、発効に必要な5カ国の批准にはまだ達していません（現時点）。

CoEの サイトはこちら。日本の外務省の日本語訳はこちらです。第一章（共通規定：第一〜四条）、第二章（協力の強化のための措置：第五〜十二条、五節構成）、第三章（条件及び保障措置：第十三〜十四条）、第四章（最終規定：第十五〜二十五条）という四章二十五条の構成となっています。第二章を詳しくみていくと

第二章　協力の強化のための措置

第一節　この章の規定について適用される一般原則

第五条　この章の規定について適用される一般原則

第二節　他の締約国に所在するサービスプロバイダ及び団体との直接の協力を強化するための手続

第六条　ドメイン名の登録情報の要請
第七条　加入者情報の開示

第三節　蔵置されたコンピュータデータの開示のための当局間の国際協力を強化するための手続

第八条　加入者情報及び通信記録の迅速な提出のための他の締約国からの命令の執行
第九条　緊急事態における蔵置されたコンピュータデータの迅速な開示

第四節　緊急事態における相互援助に関する手続

第十条　緊急事態における相互援助

第五節　適用可能な国際協定が存在しない場合の国際協力に関する手続

第十一条　ビデオ会議
第十二条　共同捜査チーム及び共同捜査

となっています。注目すべき条項としては、第七条　加入者情報の開示、第八条　加入者情報及び通信記録の迅速な提出のための他の締約国からの命令の執行があります。

第七条　加入者情報の開示は

１ 各締約国は、自国の権限のある当局に対し、自国の特定の捜査又は刑事訴訟のために必要な場合には、他の締約国の領域内に所在するサービス・プロバイダが保有し、又は管理している特定の蔵置された加入者情報を開示するよう当該サービス・プロバイダに直接命令を発する権限を与えるため、必要な立法その他の措置をとる。

２ａ 各締約国は、自国の領域内に所在するサービス・プロバイダが、１の規定に基づく命令に応じて加入者情報を開示することができるようにするため、必要な立法その他の措置をとる

ｂ 締約国は、この議定書の署名の際又は批准書、受諾書若しくは承認書の寄託の際に、自国の領域内に所在するサービス・プロバイダに発せられる命令に関し、次の宣言を行うことができる。
「第七条１の規定に基づく命令は、検察官若しくは他の司法当局により、又は検察官若しくは他の司法当局による監督その他独立した監督の下で発せられなければならない。」(以下、略)

図解してみました。

第八条　加入者情報及び通信記録の迅速な提出のための他の締約国からの命令の執行は

各締約国は、自国の権限のある当局に対し、自国の特定の捜査又は刑事訴訟のために必要な場合には、他の締約国への要請の一部として、要請を受ける締約国の領域内に所在するサービス・プロバイダが保有
し、又は管理している特定の蔵置された情報であって次に掲げるものを提出することを当該サービス・プロバイダに強制するための命令を発する権限を与えるため、必要な立法その他の措置をとる。
ａ 加入者情報
ｂ 通信記録
２ 各締約国は、要請を行う締約国が提出した１の規定に基づく命令を執行するため、必要な立法その他の措置をとる。
３ 要請を行う締約国は、その要請において、要請を受ける締約国に対し、１の規定に基づく命令並びに補助的な情報及び特別な手続上の指示を提出する。

解説として寺林 裕介「サイバー犯罪条約第２追加議定書の概要－国境を越えるサイバー犯罪捜査のための国際協力－」がかあります。

日本は、2023年8月10日付の在ストラスブール日本総領事からの書簡でもって、留保をしています。同留保は、2023年8月10日に受諾書とともに寄託された、となります。

本議定書第19条第1項及び第7条（加入者情報の開示）第9項aに基づき、日本政府は第7条を適用しない権利を留保する。

ということだそうです(リンク)。

6 感想と今後の課題

海外の記録媒体に蔵置されているデータについて、法執行機関がこれを取得することにしても、日本からおこなうかぎり、その記録媒体の所在する国の主権侵害になるとも個人的には思えないところです。(主権侵害のルール性の論点や、強制力の解釈とかがあります。あと、そのデータが日本において被害を生じさせている者のデータであれば、尚更です-詳しくは省略)

なので、海外で記録されているデータ(日本的には、記録媒体が海外に存在する場合)に対しての取得方法が明確ではないとはいえることから、これを明らかにしていくのが必要になるだろうと思います。それについて、反対論のための根拠としての主権侵害論については、個人的には、反対だったりします。

そのうえで、特に、通信情報および通信履歴については、憲法における「通信の秘密」の範囲外である(高橋説)という形で、整理して、制度を整備していくのがいいように思えます。