アメリカ合衆国におけるコンピュータ犯罪立法動向

（プレビュー版）

明治大学法学部教授　　夏　井　高　人

１　概　要

　アメリカ合衆国においては，連邦法のレベルにおいてのみならず州法のレベルにおいても，さまざまなタイプのコンピュータ犯罪に対する立法がなされてきた。これらは，その時々における時代の要請に応じてなされてきたものであり，新たな権利や新たな利益が保護法益として議会に認識されるたびに，従前の立法の見直しがなされ，また，今日に至るまで新たな立法の努力が重ねられてきた。

　本稿は，アメリカ合衆国の現時点におけるコンピュータ犯罪立法を概観し，その大づかみな動向を考察し，今後，日本におけるコンピュータ犯罪立法とりわけいわゆる「不正アクセス立法」に関連する検討材料の一つを提供することを目的とする。

　なお，「不正アクセス」という用語はそれ自体が不明瞭な用語であり，また，権限に基づくアクセスであっても不正なアクセスというものが理論上はあり得ることから，安易にこの用語を用いることは，罪刑法定主義の原則にもとる事態を発生させる危険性がある。本稿では，「無権限アクセス」という用語を用いるが，これは，unauthorized accessを指す趣旨であり，unfair accessやunlawful accessやillegal accessを指すものではない。

２　概念及び分類

　コンピュータ犯罪の概念は，必ずしも確定しているとはいえず，現時点でもなお生成中の概念であるというべきかもしれない。しかし，本稿では，「コンピュータ装置，コンピュータ・ネットワーク，情報，データその他のリソースに対する，権限によらないアクセス」としてコンピュータ犯罪を理解することにする。ここでいう「アクセス」は，単にデータを検索したり入手したりすることだけではなく，コンピュータ・ウイルスの導入のような本来認められていない利用行為のためのアクセスも含まれる。したがって，このような意味での「コンピュータ犯罪」は，一般的に，「アクセス犯罪」として認識することが可能である。

　なお，一般にコンピュータ犯罪として理解されている行為の中には，文書に相当するデータの改ざん行為も含まれている。このような行為は，データへの無権限アクセスとしてのデータ破壊行為という実質と文書データの破壊・改変という側面とがあり，日本国の刑法典では，後者としての法益保護を目的とする立法がなされている。しかし，アメリカ合衆国の立法例では，データへの無権限アクセスとしてのデータ破壊・改変の実質を処罰対象としてコンピュータ犯罪法の中に取り込む例が多く，文書犯罪としての法律への取り込みは，別途，電子ファイリング法制の中でなされつつあると認識するのが妥当である。電子ファイルの内容の保護は，電子署名や電子暗号の保護の理論の中核部分を占めるものでもあり，それ自体の重要性を否定するつもりは全くない。しかし，おそらく，電子ファイリングを含めた電子データの内容の安全性の確保とその刑法的対処の問題もまた，データへのアクセスの保護の問題に還元できるのではないかと思われる。

　さて，この意味でのアクセス犯罪は，いくつかの観点から分類することが可能である。

　まず，アクセス犯罪は，アクセスそれ自体が犯罪的な場合と他の犯罪的な目的のためにアクセスがなされる場合とに分類することができる。前者の例は，無権限アクセスをそれのみを犯罪として処罰する場合である。後者の例は，たとえば，詐欺，財産の獲得，情報の入手，コンピュータ・システムやデータの破壊，ネットワークへの介入その他の不正行為の目的による無権限アクセスであり，通常，コンピュータ詐欺，コンピュータ窃盗，ネットワーク・テロ等として呼ばれているものは，この類型に属する。

　次に，アクセス犯罪は，故意犯と過失犯とに分類することができる。これは，特定のアクセスがなされた時点において，そのアクセス権限の不存在ないし権限超過の事実を認識しているか否かによる類別である。ただし，理論的には過失無権限アクセス罪を想定することもできるが実例はなく，実際には，特定のアクセスがなされた時点ではその権限がないことを認識しておらず，後にアクセス権限のないことを知ったにもかかわらずそのアクセスを継続したり，あるいは，そのアクセスによって得たデータや情報を頒布するなどの行為をした場合を処罰対象とする例があるにとどまる。アメリカ合衆国以外でもオーストラリア連邦では，このような場合を処罰対象行為としているが，全体としては立法例が多いとは言えない

　他方，アクセス犯罪の概念の中核をなす無権限アクセスについて，無権限の意義を考慮した分類も可能である。無権限アクセスには，全くアクセス権限を有しないでなされる無権限アクセスと一定の権限を超過してなされる無権限アクセスとがある。両者を区別するために，狭義の無権限アクセスと権限超過アクセスというような概念を作る必要があるかもしれない。

権　限　あ　り		権　限　な　し
権　限　内	権　限　外
権限に基づく適法なアクセス	権限超過アクセス	狭義の無権限アクセス
	広義の無権限アクセス

　そして，アクセス犯罪は，それを直接に処罰対象とする場合と，別の法形式をとりながらも実質的にはアクセスを処罰対象とする場合とに分けることもできる。前者は，普通の立法例である。後者は，たとえば，特定の財産を保護するための電子的な保護措置の解除・迂回を処罰対象とすることは，実質的には，電子的保護措置によって守られたデータへの無権限アクセスを処罰対象とすることを意味する。また，個人情報データを含む機密データやトレード・シークレット等の開示は，非公開データすなわちアクセス制限のあるデータをアクセス制限のないようにする行為であり，行為者及び第三者のためにする無権限アクセスとして理解することが可能である。

３　立法動向の概観

　コンピュータ犯罪立法の動向を歴史的順序に従って概観すると，1998年現在までのところ，４つの段階に分けることが可能と思われる。第１の段階及び第２の段階は1970年代後半から1980年代にかけて，第３の段階は1980年代後半から1990年代にかけて，連邦及び各州の議会が経験した。そして，現在，連邦は，第４の段階を経験しつつあると思われる。

　なお，これら各段階は，州によって到来時期が異なるし，また，実際には，いくつかの異なる要素が複合的に組み合わされて立法がなされるのが普通であるので，いわば理念型的なものである。

　まず，第１の段階は，コンピュータ・リソースの無権限利用を概括的に処罰対象としていた。この時期においては，無権限アクセスの禁止によるコンピュータ・リソースの保護が主要な処罰対象である。この目的を達成するために，いわゆるハッキング行為を含む単純な無権限アクセス行為を処罰対象とする立法例も少なくない。たとえば，サウス・カロライナ州のコンピュータ犯罪法は，「コンピュータ・ハッキングとは，接続を確立した後に詐欺その他の犯罪行為をする意図を持たずに，かつ，接続の確立に付随するサービス以外のコンピュータ関連サービスを利用することなく，単に接続を確立することのみを目的として，コンピュータ，コンピュータ・システムもしくはコンピュータ・ネットワークの全部または一部にアクセスすることを意味する。」と定義して，このような意味でのハッキング行為を処罰対象にしている。しかし，他方では，単純な無権限アクセスのみでは犯罪とならないとする立法例もあり，日本国もそれに含まれる。

　第２の段階は，現実世界の物的な財産的利益を保護するために，その財産的利益の獲得を目的する手段行為としての無権限アクセスを処罰対象に加えた時期である。たとえば，金銭の不正獲得を目的とするコンピュータ詐欺やコンピュータ窃盗等が処罰対象のカタログに加えられた。この種の立法は，ほぼすべての州のコンピュータ犯罪法の中に見られ，日本における昭和62年刑法改正によるコンピュータ犯罪の一部導入もこの段階のものとして理解することができる。ここでの特徴は，あくまでも現実世界の物的利益の保護が目的であるということである。ただ，そのための手段が電子的に（とりわけネットワークを介して）なされることからくる様々な困難を回避し，これを処罰対象とするところに眼目があるといえよう。

　第３の段階は，現実世界の知的財産権を保護するために，その入手や開示行為として出現する無権限アクセス等が処罰対象のカタログに加えられた。たとえば，トレード・シークレットを保護するために，トレード・シークレットの入手及び開示をコンピュータ犯罪とし，かつ，政府情報の公開原則の例外として明記する例として，フロリダ州のコンピュータ犯罪法がある。ここでの特徴は，現実世界における物的利益というよりも無形の財産権ないし情報そのものを保護しようとするところに重点が移動していることである。日本は，まだこの段階にまで至っていないと評価してよい。

　第４の段階は，保護すべき対象それ自体へのアクセスではなく，アクセス制限のための電子的措置を解除・迂回する行為を処罰対象とする段階である。ここに至って，コンピュータ犯罪の保護法益は，単にその実質を構成する経済的利益のみならず，その利益を電子的に保護するための電子的な保護措置を含めた一体としてのデジタル・コンテンツそれ自体へと変化し始めたことになる。たとえば，つい先頃アメリカ合衆国の上院及び下院を通過した「1998年デジタル・ミレニアム著作権法」における著作権保護措置の回避行為に対する処罰を例にあげることができる。これは，本来の著作権侵害そのものを処罰対象行為とするのではなくデジタル・コンテンツにかかる著作権を保護するための電子的措置（たとえば，電子すかしなど）を何らかの方法で電子的に無効化ないし迂回する行為を処罰対象とし，それによって，デジタル・コンテンツへの不正複製を含む不正アクセスを抑止しようとするものである。いわば，仮に電子的な著作権保護措置をガードのための錠前と認識するとすれば，その錠前を権限なく取り外して，本来許されない電子的状態での著作物へのアクセスを獲得する行為として認識することができるから，実質的には，アクセス方法が電子的に限定された電子データへの無権限アクセスとして理解することができるのである。すなわち，システムへのログオンではなく，コンテンツへのログオンである。同様のことは，データベースを構成するアイテムやマテリアル（いわゆるファクトDB）の保護についても，また，青少年にとって有害なコンテンツへのアクセス制限がなされている場合に，そのためのフィルタ機能を破壊ないし回避してアクセス可能とするような行為についても言えるであろう。

　このような現象をもう少し冷静に観察すると，要するに，無権限アクセスの対象がコンテンツであることが明確になる歴史的過程として認識することが可能である。すなわち，従前無権限アクセスの典型として認識されていたシステム侵入にしても，実際の犯罪行為として把握可能なのは，ログオンの管理をする何らかの認証用コンテンツ（モジュール）に対するアタック行為のみであり，このアタックが成功してアクセス可能性を入手して以降の接続行為は，それ自体としては不可罰的事後行為になると理解すべきである。無論，ログオンの後に他の犯罪行為（コンテンツの破壊や詐欺，他のサイトへの再ログオンなど）が行われることもあるが，これらは，当初のログオンとは別の犯罪を構成するのであり，ただ，全体として１罪なのか併合罪なのかが法律上問題になるだけである。そして，このように，システム侵入として理解されていたものも，実は，ログオンの際の認証用コンテンツに対するアタックのみが無権限アクセス「行為」の本質であるとすると，これは，著作権保護措置を施されたコンテンツの認証モジュールに対するアタックがなされた場合と，論理的に何ら異なるところがない。

　このようにして，これまで，現実世界における住居侵入行為等のイメージを投影しながら擬人的に構成されてきた無権限アクセスの本質が，実は，コンテンツに対するアタックであることが明らかになる過程として，第４の段階を把握することが可能なのである。

４　若干の考察

　これまでのところ，「無権限アクセス」は，少なくとも日本では，単に「システム侵入」としてのみ理解される傾向があったと思われるが，ここまで見てきたアメリカ合衆国の立法動向の分析結果からすると，もっと広い概念として「無権限アクセス」を理解する必要があるかもしれないことが示唆される。

　すなわち，その「アクセス」の対象が物的装置としてのコンピュータ・システムだけではなく，コンピュータ・システム内にあるデータや情報をも含むものとして立法がなされているのである。要するに，通常の日本語では「データの盗取」とか「情報の横領」といった表現で示される行為は，それぞれ「データを入手する意図に基づく当該データへの無権限アクセスとそのアクセスによる入手」とか「情報を入手する意図に基づく当該情報への無権限アクセスとそのアクセスによる入手」というような形式に置き換えられる。そして，コンピュータ・ネットワークでは，すべての情報が電子データとして存在するから，結局，すべての行為が「データを入手する意図に基づく当該データへの無権限アクセスとそのアクセスによる入手」という表現形式に還元される。この場合のデータには，デジタル・コンテンツとして存在する著作物も含まれるし，それが電子的な保護措置を施されたものである場合には，その保護措置と組み合わされた電子データが一体として含まれる。そして，そのアクセスが一定の権限に基づいてなされた場合には，当然のことながら，適法行為であるのに対し，無権限または権限超過の状態でなされれば違法であり，その違法行為のうちのどの類型のものについて処罰による報復を考えるのが妥当か，というのが本来あるべき議論である。

　このように考えてきた場合，たとえば，無権限アクセスによって結果的にもたらされたシステムやデータの破壊や改変をどのように位置づけるかについて，ある種の態度決定が必要かもしれない。すなわち，これまでの伝統的な態度と同様に，生じた結果を中心にして，手段としての「アクセス行為」というものを考えるのか，それとも，電子環境では，すべての行為がデータへの「アクセス」という形式をとるということを重視して，結果的に発生した破壊や改変あるいは財産権の喪失などは，刑の加重要素として理解するか，ということである。

（古典的スタイル）

社会的法益の侵害（＋手段としての無権限アクセス）

個人的法益の侵害（＋手段としての無権限アクセス）etc.　

（アクセスを中心とするスタイル）　

無権限アクセス＋他の結果の発生なし（軽く処罰）

無権限アクセス＋他の結果の発生あり（結果の重大性に応じて重く処罰）

　後者は，伝統的な保護法益の分類方法を実質的に破棄する考え方である。すなわち，コンピュータ犯罪に関しては，本稿でいう「アクセス犯罪」という犯罪類型だけを設定し，そのアクセスの態様とアクセスの結果生じる結果の態様に応じて，刑の重さが決定されるだけなのであり，個々のアクセス犯罪が社会的法益に関する犯罪に属するのか個人的法益に関する犯罪に属するのかといったような学問的類別判断を特に必要とはしない。より正確にいうと，たしかに，結果の重みの判定の際には，発生した個々の結果の社会的評価とか社会的重要性も考察材料の一つにはなるが，だからといって，発生した個々の結果の相違によって当該犯罪の「アクセス犯罪」としての行為の社会的性質それ自体が変更されることにはならない。また，今後，電子ネットワークが社会のインフラそのものになるにつれ，無権限アクセス行為は，仮に表面的には個人的利益に対する侵害行為であるかのように見えるものであっても，社会のインフラの利用における違反行為としての側面を強めていかざるを得ないのであるから，社会的法益ないし国家的法益の侵害をも常に伴うことになっていくと思われる。さらに，ここまでのところを全部否定し，伝統的な刑法各論の理論に基づいて「裸の」無権限アクセス行為を分類しようとすれば，一体，どのような分類をすれべばいいのであろうか。国家の管理するコンピュータ・システムへの無権限アクセスは国家法益に対する侵害行為となり，民間企業の管理するコンピュータ・システムへの無権限アクセスは個人法益に対する侵害行為となるのであろうか。しかし，これは，いかにも奇妙である。

　要するに，無権限アクセスそれ自体は，それが手段的なものとして理解される限り，伝統的な分類のどこにも収まらないものである。これに対し，無権限アクセスそれ自体を自立的な法益侵害を伴う独立の犯罪類型の一つとして考察しようとする限り，およそアクセスに対するコントロールが合法であり，そのコントロールそれ自体が法によって守られるべきであることを前提にせざるを得ず，しかも，そのコントロールによって制御されるシステム内にあるデータやコンテンツの種類や社会的評価・機能は，アクセス犯罪の性質それ自体に影響を与えないということを承認せざるを得ないのである。

　これまでの日本におけるいわゆる「不正アクセス」問題に関する議論は，それぞれの論者が，めいめい勝手に想定した保護法益を前提に「裸の」無権限アクセスを議論しているように思われるが，およそ，これは不毛であるように思われる。

　日本において，いわゆる「不正アクセス」に対する犯罪処罰立法を考えていく上では，この点に関する理解・認識が非常に重要である。もし伝統的な刑法理論を前提に考えるのである限りは，「裸の」無権限アクセスをきちんと説明することは困難である。強いて言えば，他の法益の保護のために，手段として無権限アクセスをも処罰するというのであれば，国民的合意も比較的得られやすいのではないかと思われるが，やはり，「裸の」無権限アクセスの処罰根拠や法的性質論の説明が容易になるとは思われない。これに対し，本稿の意味での「アクセス犯罪」というような理解を前提にする限りは，この問題の背後には刑法各論の体系にかかわる本質問題が存在していることを認識すべきである。そして，その前提で，まともに立法論を考えるとすれば，ことサイバー領域での犯罪に関する限り，必要であれば，日本における伝統的な刑法理論の根本部分をまるごと破棄し，現行刑法典とは別に，独立立法としてのコンピュータ犯罪法を考慮すべき時期に来ていると言うべきなのかもしれない。

　しかし，理論上の問題を一応措いて，より現実的な対応を考えるとすれば，たとえば顧客データや健康保険データのような特にアクセス制限を必要とするデータが社会的に一般的な存在形態としてある場合には，いわゆる「不正アクセス」を一般的に禁止するという方法をとるのでなくとも，アクセス制限によって保護すべき個々のデータの種類やデータの在り方に応じて，電子的なアクセスと現実的な閲覧を含めた利用制限に関する個別立法を考えたほうが，より生産的かつ効果的であるし，また，国民の人権保障の観点からも望ましいということができよう。要するに，いわゆる「不正アクセス」の問題を考えるときには，その禁止によって守ろうとしているものが何であるのかを明確に認識することが重要であり，そして，仮にそれが真に保護すべきものとして存在する場合でも，その保護のために必要最小限な範囲と方法による刑罰的対処を考えるべきである。

　アメリカの立法動向は，この「アクセス」によって守られるべきものが何であるのかを認識・理解し，今後を予測する上で非常に重要な素材を提供し続けている。今後も継続的な観察と情報提供，そして，十分な検討と議論が求められてしかるべきであろう。

（以上）

Copyright (C) 1998 Takato NATSUI, All rights Reserved.

Last Modified : Nov/19/1998