北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事(2017年10月5日 読売新聞 朝刊)についてのコメントの続きになります。
前回は、それぞれの(0)立法時の背景と(1)不正アクセス禁止法における調査活動の違法性阻却化についてふれたので、今回は、(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化以下について、ふれようかとおもいます。
(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化
北條先生のこの点についての議論は、不正アクセス禁止法の規定は「罰則のない努力義務であるため」脆弱性が放置されている、それゆえに、放置した場合のペナルティを設けたり、脆弱なサイトを閉鎖できるようにしたりするなど、何らかの対策も検討されるべきだろうとしています。
このペナルティというのは、何か、というのは、はっきりしません。刑事罰なのか、民事での損害賠償の責任を認めろということなのか、民事であれば、過失のとらえ方で、ある程度、柔軟な対応ができるはずなので、刑事罰かとおもいます。
脆弱性放置というのは、その義務懈怠に対するものとして構想するのでしょうが、その仕組みを実際に執行するというのは、どれだけのコストがかかるのか、という問題があるようにおもいます。何か問題が起きたときに、刑事罰を準備しておけば、それで処罰することができるから、いいだろう、というスタンスなのかと思ってしまいます。
あと、故意犯ですよね?。脆弱性というのは、攻撃者の意図・手法によって、実際の被害が顕在化するものであって、簡単に定義できるものではないことは、明らかかとおもいます(というか、なんとか、定義してきました)。パーツの組み合わせや予測しなかったサイトの動作によって実際の被害が発生したときに、適用しうるのでしょうか。
いや、明確に脆弱性で修正しなければならないのがわかったときに適用するというのであれば、デジタル省あたりが、サイト修正命令とかを出して、それを故意で修正しなかったときに処罰するのででもないかぎり、実用的ではないような気もしますね。
「脆弱なサイトを閉鎖できるようにしたりする」という主張ですが、根拠法令とかは何にするのでしょうかね。電気通信事業法との調整は、とかをすぐに心配してしまいいますね。
一つの問題提起なのでしょうね。大規模なDDoS対応であれば、パケットをブラックホールに投げ込んでおくことはなんとかできるようにしてはいますけど。(電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン)
(3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?)
これは、この罪に関して犯罪が成立しない場合が明確ではない、というので、ガイドラインで明確にすべきであるという意見のようです。
この刑法改正案が国会で議論されるについて、かなりの議論がなされたのは、ついこの間のことのような気がします。とりあえずは、高木氏のメモがありますね。
前のエントリでふれましたが、法務省のウエブサイトで、「いわゆるコンピュータ・ウイルスに関する罪について」という文書が示されており、解釈論のレベルとしては、落ち着いているかとおもいます。
むしろ、実際の研究者/エバンジェリスト等の活動に際しての気になる点についての解釈論が広く提供されていないではないか、という訴えかけなのかとおもいます。
ということで、この指摘は、まさにその通りだとおもいます。
ただし、研究者/エバンジェリスト等の活動に際して、具体的にどのような問題が起きているのかというのを正確に把握し、それをもとに、ガイドライン化するというのは、非常に労力がかかる作業かとおもいます。しかるべき予算措置がとられるべきでしょう。
法律の不明確なところを明確にする/解釈論としては、明確でも、実際の適用に際して現場が疑問におもうところに対してガイドライン等で示すような知的作業は、社会の不必要なコストを劇的に減少させる効果をもつのですが、研究者・エバンジェリスト等は、単独では、コストを負担できないので、公共のシステムか、それとも、業界団体的なところの負担が必要なものなのでしょう。しかも、そのための優秀な法律家の才能が役に立つというのを証明しないといけないわけなので、北條先生には、そのようなソフトロー化の作業でも、新たな道を切り開いてもらいたいとおもいます。
(4)Torの利用の登録制
Torの技術を使ったアクセスをプロバイダーで制限し、利用を登録制にすべし、としています。
Torについては、もともとは、通信のプライバシーを守る技術として開発されており、特に独裁国家内にいる人間と連絡をとるなどの手法としては、有意義なものとして認識されているというのが私の認識です。すくなくてもツールなので、それ自体が違法とは、いえないでしょう。
その一方で、ダークウエブのプラットフォームとして利用されているのではないか、という指摘もそのとおりです。特に、ビットコインと合体するときに、「ダークのタッグ」が成立しているという気もします。
2013年に調査した段階では、世界的には、具体的な規制の議論というのはなくて、プロバイダが約款でアクセスを拒絶/遮断しうるとしていた例がある程度でした。
具体的な各国の動向もフォローしながらではありますが、各プロバイダの約款の規制については、それ自体が、通信の秘密を侵害すると解釈することはない、あたりが、可能だとしても、現実的なおとしどころのような気もします。
あとは、偽アカウントを本人と偽る行為に対しても対応すべき、としています。これは、公式アカウントとかの制度を各サービスプロバイダが提供して、対応していますね。法的な対応ということであれば、どういうのを考えているのか、微妙な気がします。