「サイバー攻撃に対抗措置 政府検討、電力や鉄道被害時」という記事がでています。
この記事は、ある意味で微妙な記事であるということができます。微妙というのは、ここでいう「対抗措置」というのが、国際法上の対抗措置をいっているのかが、明らかではないからです。
国際法で考えるときには、「国際違法行為(International wrongful act)」に対する「対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置」をいいます。広い意味では、それ自体違法な行為による対抗する「復仇」とそれ自身は違法ではない行為により対抗する「報復」とがあります。また、具体的な手法によって分類するときには、外交、交渉、インテリジェンス、武力による対抗があります。
「国際違法行為(International wrongful act)」については、タリン2.0の4章1以下で検討されています。ルール14は、「サイバーにおける国際違法行為(International wrongful cyber act)」として、「国家は、国際的法的義務違反を構成する国家に帰属しうるサイバー関連行為にたいして責任を負う」ことが明らかにされています。
その意味で、この記事をみてみましょう。まずは、この記事は、国家としての対応ポリシに対する記事であることが最初に留意されるべきです。攻撃元の「テロリスト」に対して、物理的な効果がないはずだ、ばかげているという評価は、全くこの記事の意味がわかっていないということになります。
「テロリストなどからのサイバー攻撃で重大な被害を受けたとき」という記載がありますが、これは、この記事の意味をわからなくしているといえます。国際法的には、「対抗措置」というのと、上記のような意味をもっている法的テクニカルタームです。なので、国家責任の発生する場合に限って議論される用語です。しかしながら、国家責任を考えないで、テロリストといっている段階で、国際法を議論しているのか、それとも、当社のエントリで、近頃よく出てきている「アクティブ防衛」の手法を語っているのか、非常に曖昧になっています。(なお、テロリストに対して「対抗措置」は、使えないというのは、タリン2.0の113ページ 7項をどうぞ)
それ以降の記載をみると、ある意味で、通常に国際法的な議論の枠組みで議論されていることにふれられているので、この「テロリストなど」から、というのが、暗に、「国家による支援を受けた」とか、「国家に帰属しうる攻撃があった」という趣旨で記載されていると「善解」するべき記事かと思われます。
では、人の良さを発揮して、国際法上の「対抗措置」についての議論だったとしましょう。この場合には、「サイバー手段による」という限定がついている段階で、世界的には、?がつく、ということを理解しておくべきかと思います。対抗措置をとりうることについては、タリン2.0のルール20において、「国家は、そもそも、サイバーの性質があろうとかなかろうと、他の国家の責に帰すべき国際的な義務に反する行為に対して、対抗措置をとる権限を有しうる」とされています。自衛のための武力行使をなしうるのと同様に、当然の権利ということができるでしょう。そして、一般には、手法として、外交、交渉、インテリジェンス、武力による対抗があるわけです。これは、まさに、オバマ大統領が、SPE事件で明言したように、具体的な手法を限定しないで、状況に応じた対応の裁量にもとづいて行使しうるものだと考えられます。当然に比例原則に従うべきものです(タリン2.0 ルール23)が、それは、手法の同一性を意味するものではありません。その意味で、この記事のように、本当に対抗措置として、サイバーによって限定するのであれば、何故に限定する必要があるのか、という点が明らかにされるべきかと思います。
現実的な問題として、このサイバーによる対抗措置をとるとして、誰が、なしうるのか、という問題があります。国際法的には、実力行使を伴うインテリジェンスとして把握されることが多いものかと思いますが、技能として実際に行いうるのは、誰なのか、という問題もあるでしょう。対外的なインテリジェンス機関を構築していく、ということになるのか、それとも、ミリタリに、そのような仕組みを構築するのか、あと、最初にふれた民間の防衛との分担、その法的権限をどうするのか、などの問題がでてくるかと思います。
(International Wrongful Actにたいして国際違法行為の訳をあてました)