Da2の午後は、”Emerging International Law Applicable to Cyberspace”という法律セッションです。

Mr. Sean Kanuck氏は、サイバー空間安定化グローバル委員会のリサーチ・アドバイザリグループの議長ですが、 ‘The Core of Defending Cyberspace: Legal Limits Emerge from Strategic Reality’というタイトルで話をしました。サイバー空間安定化グローバル委員会というのは、ジョゼフ・ナイの記事のエントリでもふれたのですが、UN GGEのサポートだそうです。Day3の午後から、会議をタリンで開くということで、関係者が、CyCONと掛け持ちです。

世界範囲での脅威の評価という国家インテリジェンスの役割が、重要であり、歴史的な文脈での理解が必要であるといいます(宇宙法と同様。そして、平時においても、戦時と同様に攻撃的な能力が、必要であるといいます。これに対する規範は、ジュネーブ条約であって、ハーグ条約ではないです。重要となっている概念の傾向は、介入(Intervention)、産業およびインフラ、間接的、情報のインテグリティであるということができます。
国際司法裁判所は、その規定(statute)38条(1)で「国際法に従って裁判することを任務とし、次のものを適用する。」
a 一般又は特別の国際条約で係争国が明らかに認めた規則を確立しているもの
b 法として認められた一般慣行の証拠としての国際慣習
c 文明国が認めた法の一般原則
d 法則決定の補助手段としての裁判上の判決及び諸国の最も優秀な国際法学者の学説。
としているのですが、規範的なものと積極的な実行とのジレンマがあります。

これらのものを明らかにするためには、共通の行為(commonality)を明らかにして、実際の問題となるおそれを明らかにして、ルールを提案することによって発展させる必要があります。

Kubo Mačák博士は’From the Vanishing Point Back to the Core: The Impact of the Development of the Cyber Law of War on General International Law’というプレゼンです。昨年、CyCONで、すこし話をした英国の大学の先生です。となりに座ったので、覚えている？と聞いたら、覚えていてくれたので、今年は、いろいろとお話をしました。とにかく、優秀な人です。でもって、プレゼンも最高です。(なお、以下は、むしろ、セッションペーパーからのまとめになります)
このプレゼンのコンセプトは、以下の図であらわすことができます。

「Vanishing Point(消失点)」という表現は、Hersch Lauterpacht卿の「戦争法は、国際法の消失点である」という言葉に由来します。 サイバーセキュリティを検討していくのに際して、ミリタリアプローチから、その外側へと考察が広がっていくことになります。すると、国際法の概念のなかに、いままでの議論が溶けていくような感覚を示している言葉だと理解しました。

そして、この広がりは、システム的、概念的、目的論的(teleological)から、観察することができるとしています。

システム的次元というのは、もともとは、国際法は、戦時の法と、平時の法を峻別するというのでできています。そして、サイバー作戦に対する国際法の検討は、もともとは、戦時の法に関してなされてきています。タリンマニュアルが、戦時の法を主たる領域として、考察していたのは間違いない事実になります。ある意味、米国のミリタリ・プロジェクトを反映していたのです。ところが実態は、当然に、武力攻撃の閾値にいたる攻撃は、ほとんど考察しがたいのです。そこで、実態に則した考察をなしたときに、不介入、主権、国家責任の問題に考察の重点が移ってきました。タリン2.0の重点の移行は、まさにこの次元からのものということができます。

概念的次元というのは、戦時の法から、一般的な国際法へと思想、概念、アプローチの移行を考えることができるということです。国際法におけるサイバー作戦の非物理的な影響に概念化について考えます。文民は、「攻撃」対象には、されないというのが、戦時法の規定になります。では、これがサイバー作戦において、どのような適用がなされるのか、具体的には、この文民「攻撃」禁止の規範が適用される「攻撃」とは、何をいうのか、という問題があるのです。
この点についての一つの説は、「バイオレンス」をもちいることをいう(有形力にこだわらない)という説で、その一方で、ある説は、生命・身体・有体物の破壊をいうとします。タリン・マニュアルにいては、機能テストが採用されています。そして、その結果として、この機能テストが一般的な国際法の概念に対しても適用されるようになってきているのです。

目的論的(teleological)というのは、戦時の法の規制が、一般の原則にも適合しうるのではないかということです。フランスのTV5への攻撃で、TV5は、12チャンネルにわたって、12時間放送ができなかったのですが、攻撃対象の規制から考えて、違法とすべきではないのか、ということになってきています。主権侵害、違法な干渉行為ということもできますが、かかる規制違反から違法とすることもできるのではないか、ということがいえます。

非常に示唆に富むプレゼンかと思います。タリン1.0が「実用的ではないね」というのを、認めた上で、国際法の一般規定とサイバーの関係を明らかにして、今後、戦時の法原則を平時にどのように取り入れるかが、一つのポイントになるだろうということかと思います。デジタル・ジュネーブ条約が、戦時と平時を混ぜてるのではないか、ということを、ここで書いていましたが、ある意味で、今後の国際法とサイバーセキュリティの進む方向として、戦時のルールをもとにした平時のルールの構築ということになるのではないか、というところまで考えさせてくれます。

Peter Stockburger氏の- ‘Control and Capabilities Test: Toward a New Lex Specialis Governing State Responsibility for Third Party Cyber Incidents’ (proceedings paper)
になります。

このプレゼンは、国家責任の成立する場合について、国連の国家責任ガイドラインの解釈が、国家実行のなかで、別のテストに移っているのではないか、という提案になります。
大原則としては、国家は、国際的違法行為(international wrongul act)に対して、責任を負うが、それは、(事実上、もしくは、法的に)国の機関がなした行為に対して責任をおうにすぎません。言い換えれば、単純な私人の行為に対しては、責任を負うことはないのです。しかしながら、一定の場合においては、私人の行為が、国家に帰属することがあると解されています。それは、どのような場合かというのが問題である。特に、サイバーについては、私人が、国家機関と同様の作戦を実行することができることから、この国家責任が成立するのは、いつか、という問題が重要とされています。

私人の行為が、どのような場合に国家の行為と認識されるかという論点についての従来の判断でもっとも代表的なものは、ニカラグア事件についての国際司法裁判所の事件です。また、一般的なものとして国連のILC（国際法委員会）による「国家責任条文」があります 。この第８条は、「もし、私人またはそのグループが、行為をなすにあたり、実際に、国家の指示もしくはコントロールを受けている場合には、彼らの行為は、国家行為と考えられる」としています。一般には、「効果的コントロール」テストといわれています。そして、タリンマニュアルの国際法専門家たちも効果的コントロールテストが、一般ルール(lex generalis)であると認めているのです。

しかしながら、Stockburger氏は、2014年の国家実行(state practice)は、サイバー作戦について、特別ルール(lex specialis)として、「コントロールと能力」テストが採用されているのではないか、と主張しています。「コントロールと能力」というのは、第三者の手法、動機、場所と国家が同様の能力を有しているかで総合判断するというテストといえるようにおもえます(paperでは、明確な定義はない)。
そして、彼は、Sony 2014、Iran2016、Russia 2016/2017、Yahoo breachをこの国家実行としてあげていました。

個人的な意見としては、Sony2014とRussia 2016/2017については、米国政府の認定は、むしろ、国家機関の行為であるという認定だったはずなので、彼の主張は、法的なものとして、独自ではないか、というように考えています。質疑応答の際にも、不明確なテストで広げるのは、賢明ではない、という立場からの質問がなされました。

もっとも、現在の国際法の立場としては、国家のデューデリジェンスの立場から、国家責任が認められるようになってきているので、むしろ、そちらのほうに、関心が移ってきているのではないか、というようにも思いました。