WannaCrypto関係で、「デジタル・ジュネーブ条約」に関して論及されている報道がなされています。
サイバーノームに関して「安全なサイバー空間のための国際規範のあり方」という勉強会も開催されています。また、この点については、MSのBrad Smith氏が、RSAで、解説をしています。
ITリサーチ・アートとしても、サイバー規範については、何回か解説をしているところです。
ジュネーブ条約というのは、
「戦争犠牲者を保護し、戦闘不能になった要員や敵対行為に参加していない個人の保護を目的とした」もので、
「傷病者の状態改善に関する第1回赤十字条約」(1864年8月22日のジュネーヴ条約)
が締結され、その後、1949年に4条約が採択されています。
さらに、1977年に二つの追加議定書が制定され、さらに、2005年には、第三追加議定書(1949年8月12日のジュネーブ諸条約および追加の特殊標章の採択に関する第3追加議定書)が制定されています。
1977年の追加議定書は、サイバーでもよく出てくるので、タイトルを書いておくと、
第1追加議定書
「国際的武力紛争の犠牲者の保護に関し1949年8月12日のジュネーブ諸条約に追加される議定書」
第2追加議定書
「非国際的武力紛争の犠牲者の保護に関し1949年8月12日のジュネーブ諸条約に追加される議定書」
になります(赤十字のサイトを参考にしました)。
ところで、デジタル・ジュネーブ条約は、国家関与の攻撃に関して、民間部門に対する攻撃を規制しようというものです。
この点については、現在の国際法の一般の認識をまず、検討しておかなければならないということになるかと思います。
最初の論点は、平時の法か、紛争時の法か、ということになります。
(攻撃者が、国家関与として国家責任を問いうる場合ですが)
(1)平時の場合
この場合は、対応として、民間による対応か、国家による対応かというのが問題になります。
民間による防衛は、アクティブ防衛の論点になるので、別のエントリを参照ください。国際法的には、デューデリジェンスとの関係も考えることになります。
国家による対応については、まず、武力攻撃に該当するか、というのが問題となります。
それに該当しない場合、基本的な利益(essential interest)に対する重大かつ急迫の侵害(grave and imminent peril)を構成するかによって判断されることになります。
この場合、この点がYesとなった場合に国家による対抗措置が問題となることになります。
(2)紛争時の場合
スミス氏も、きちんと、ジュネーブ条約を紛争時における民間人の保護の問題である、ということを述べています(9分40秒くらい)。
それを、平時の場合に、おいて、同様の発想を展開するというところにこの提案の意義があると考えています。では、そもそも、国家が、基本的な利益(essential interest)に対する重大かつ急迫の侵害(grave and imminent peril)にならないレベルで、サイバー脅威を意図的に行うというのは、どうなるのかということかと思います。
単なる情報取得行為については、国際法は、放任しているということになります。選挙を自らの国家に望ましい結果に変えようとして、議論に影響をおよぼすような行為を行う(プロパガンダを含めて)のは、微妙ですね。
生命・身体に脅威を及ぼすのは、どうでしょうか。民間企業に財産損害を及ぼすのはどうでしょうか。国際的には、違法行為とされるかと思います(まだ、詳しく調べてません)。
デジタル・ジュネーブ条約の提案は、それに対して、事前に、国家間で、条約を締結すべきという提案になります。ここで、具体的な内容をみてみましょう。
テクノロジー会社を目標とするな。
民間の努力を支援せよ
ベンダへ脆弱性を報告せよ
サイバー兵器の開発を抑止せよ
サイバー兵器の不活用をコミットせよ
多数イベントとなる攻撃的作戦を制限せよ
国際法での文脈からは、現在の解釈で不明確なところを、事前に決めるべきという提案であるということになります。ただし、平時における定めと紛争時における定めとが、峻別されているのかなという疑問もありますし、どうも平時における規範を考えているみたいなので、ジュネーブ条約というたとえが、望ましいのかは、微妙なところかと思います。