すでにいいふるされた問題であるが、昭和62年刑法改正においては、単なる無権限アクセスについての刑事的処罰は見送られた。当時の判断としては、たしかに時期尚早という要素もあったものと思われるか、その後、ネットワーク化の発展、大衆化に伴って、また、この無権限アクセスの問題が、もう一度、見直されてきたことも、説明するまでもないことである。
その後、現在では、「不正アクセス」に対応する法的政策を立案し、導入するための意見を問うながれが、盛んになっている(注1)。
本稿の目的は、イングランドでのコンピューターのミス・ユースに対する立法の経緯およひその法律の内容・解釈を参考にしつつ、「不正アクセス」という用語をコンピューターの・セキュリティ侵害の実際の行為の分析の見地および比較法的見地から検討し、さらにわが国でのいわゆる「不正アクセス法制」についての立法案の妥当性を検討することにある。
わが国では、コンピューターの不正利用やハッキング、そして、コンピュータ犯罪・同関連犯罪などを議論するときに「不正アクセス」などの用語が用いられてきた。しかしながら、後に検討するように「不正アクセス」の概念は、論者によって、広く用いられることもあり、また、定義において、検討しなければならない点を多く含むために、最初から、「『不正アクセス』に対しては、法律的な対応をすべきである」という議論は、論者によって、種々の解釈を含む可能性が高く、きわめて厳密性を欠くことになりがちである。そこで、本稿では、最初にイングランドのコンピューターのミスユース法1990の制定のさいの議論とその解釈上の問題点を検討する。そして、その一方で、コンピューター・システムに対する「攻撃」を、セキュリティの見地からどのようにとらえているかを検討していくことにする。
1.1.2.1 コンピューターの不当利用に対する従来の法律
コンピューターのミスユースによる被害については、実際に報道されるものが、実際の被害よりも少なくなりがちであるということは常にいわれてきたことである。そして、わが国で、1987年刑法改正がすすむのと前後して、イングランドなどでは、かかるコンピューターのミスユースについての被害の調査・実態の解明についての重要な報告がなれているのである。OECDの「コンピューター関連犯罪」(1986)やStanford Research Instituteが、「国際情報インテグリティ機構」を設立し(1986)、コンピューター関連犯罪のモニターおよび防止を図ろうとしていることが紹介されている。
そういったなかで、スコットランド法律委員会の1987年のレポート(注2)は、ミスユースを以下の8つにわけて論じている。
1)財産上のもしくはその他の利益のためのデータないしはプログラムの消去ないしは偽造
2)コンピューターに対する無権限アクセス
3)コンピューターの盗聴
4)物理的除去なしに情報を取得する行為
5)コンピューターデイスクないしはテープの無権原の貸借
6)コンピューターの時間ないしは能力の無権限使用
7)データないしはプログラムの悪意あるないしは向こう見ずな破潰ないしは消去
8)権限ユーザーに対するアクセスの拒否
また、イングランドの法律委員会は、ミスユースを
A コンピューター詐欺
B コンピューターに対する無権限アクセスの確保
C データないしはソフトウエアの無権限による変更ないしは消去
D データないしはソフトウエアの無権限のコピー
E データ保護法1984により保護される情報の利用
とにわけて論じている(注3)。
そして、これを論じるにあたっては、従来の「窃盗、詐欺、欺もう」の概念の直接的な適用のカテゴリーや間接的な個人利得のための利用の概念の適用のカテゴリー(この場合は、電気の詐欺的妨害や通信傍受法1985違反、なお、米国においては郵便詐欺や通信詐欺)などが議論された。特にこの議論の過程で使用者のコンピューターを従業員が個人目的に利用する場合の法的な問題点が意識されて議論された点は注目に値する。
そして、これらの問題とオーバーラップする要素を持ちながら議論されたのが、権限なしに設備にアクセスする、すなわち、広く「ハッキング」といわれている問題である。 上述の二つのカテゴリーが、問題となる設備の従業員により引き起こされる問題を議論しているのに対して、これは、そうではない。(もっとも、この「内部者」に対する法的規制の可能性については、重要な問題があり後述する。)このカテゴリーの代表的な行為は、「なにものも削除せずに、コピーしない、変更しない、破壊しない」といわれ、そうだとすれば、「最初にその不当利用がどのように認識され、次にそれに対する立法をする価値があるかが問われることになる」といわれる(注4)。
この点について「ハッカー」のそのような不当行為は、法的には「不法侵入(tresspass)」に類似し、道徳的には、プライバシー違反に類似するとされる。しかしながら、この二つの観点からすれば、 「不法侵入」は、さらなる加重要素(further aggraravate)がない場合には、それ自体、刑事的処罰がされるものではないし、また、プライバシーは、それ自体として英法では保護されていない。そうだとすると従来の概念との関係で、どのように対応するかという問題が発生するが、この点で、イングランドの貴族院は、「文書偽造」の概念との問題を検討せざるを得なくなったのは、非常に興味深いことである。
この例として、Gold事件(注5)がある。これは、偽りのID番号とパスワードを利用して、データベースに対してアクセスしたという事案である。共犯者は、そのアクセス料金を支払わず、他人に支払わせたため、データベースについての情報を権限なく書き換えたことになるとして「1981文書偽造法Forgery and Counterfeiting Act 1981」のセクション1違反で起訴されたのである。この被告人からの目的は、そのデータベースのセキュリティの弱点をデモンストレートすることにあったようにおもえ、現に共犯者は、データベースの保有者に警告をしているのである。
この文書偽造法は、コンピューターファイルに対する適応可能性としては、その制定が、近年であることもあって、かかるコンピューターファイルが、偽造法の適応対象となることについては、あまり問題がなさそうであった。そこで、争点としては、そのような「(社会的な)なりすまし」によるデータベース・アクセスとそれによる第三者への課金の発生という行為が、そのまま「虚偽の法律文書(instrument)」を真正のものと誤信させるという行為といえるかという問題になったのである。この問題点の解釈にあたっては、最初に、関連する「法律文書(instrument)」を識別することが問題となったのである。結局、メインコンピューターの「レジスター(register)」が、アクセスをうるのにユーザーの真正を検証していたことが議論された。そして、トライアルジャッジには、そのような「はかない(ephemeral)」電気状態が、虚偽の「法律文書 (instrument)」となるかを検討すべきという問題が、残されたのでのある。陪審団は、これを肯定したが、しかしながら、控訴院は、これらの考えについて、二つの点で誤りがあるとした。その一つは、「レジスター(register)」は、その本質において、永久的ではなく、定義からいって、虚偽の「法律文書(instrument)」というのには、十分ではないということであった。いま一つは、なにかを、反応しようとしたものと分離して探索することはきわめて困難であるということであった。そして、控訴院は、1981年文書偽造法は、さらに永久的な蓄積された情報に適用されると考え、原審の考え方を、適用しないものにまで、むりやり適用させるものとしたのである。
この事案は、後述するが、「(社会的)なりすまし」の場合において、どのような法律問題が発生するかを議論するものとして、興味深いものであろう。また、そもそも、この事案は、なんらのシステムに対して現状の変更をともなわない行為があることを示しており、一般に、「ハッキング」といわれている行為にも、たくさんのバリエーションがあることを示唆しているものであるともいわれているのである。また、さらに受動的な行為に対しては、「通信傍受法1985」の適用があることが示唆されている点は、興味深い(注6)。
1.1.2.2 コンピューター・ミスユース法1990の導入の必要性についての議論
結局、これらは、コンピューターの発展にともなって、イングランドにおいては、この分野の法律を改正するのがのぞましいのではないかという議論が、起きてくる。スコットランドの法律委員会は、保存されたデータおよびプログラムに対する無権限アクセスへの処罰をつくり出すことを提案した。この提案は、アクセスの手段に処罰を限定することなく、権限を越える場合についても処罰の範囲に含むことにしている。処罰の範囲の限定としては、他人の情報から、利益を得て、または、損害を与えることで限定しようとしたのである。
イングランドの法律委員会は、そのような新しい犯罪が必要であるかについての最終的な見解をなし得ないことを明らかにせざるを得なかったのである。代わりに4つのありうべき選択肢が示された。その一つは、プログラムやデータにダメージを与えることに関するものであり、その他の3つは、違う範囲をもつものである。この3つの選択肢については、
ア)狭いスキーム
特定のタイプの情報(例えば、データ保護法による個人データ、ただし、これに限る訳ではない)に対しての探索についての無権限アクセスを処罰するもの
イ)広いスキーム
すべての情報についての無権限アクセスを得る行為を処罰するもの
ウ)もっとも広いスキーム
すべての無権限アクセスを処罰するもの。
なお、イ)とウ)の違いについては、明確には、わからないが、たんなるプログラムについてのアクセスをふくむのか否かにポイントがあると思われる。
どのスキームにおいても、単なる傍受はのぞきたいと考えていたし、また、スコットランドの法律委員会と正反対に、権限ユーザーの無権限利用に及ぼすことについては躊躇していた。そのような処罰化に賛成する意見は、その処罰化が、より悪質な窃盗や詐欺、悪意ある損害のための防波堤となると主張している。
この二つの委員会は、どちらにしても、従来の法律的な対策が、対応し得なない範囲があるということを明確には、明らかにしえなかったものといわれるが、それでも、改革が必要であるということで一致していた。従来の法律の解釈を新しい問題に対応させていくとか立法者が定義の部分をさだめて法律部門の解釈を助けるという方法も検討されたが、結局は、新しい処罰規定が導入されることになっていったのである。
提案は、「機械の詐欺」の概念の導入と、「無権限アクセスの取得」の概念の導入があげられる。この「機械の詐欺」の概念については、省略するとして、「無権限アクセスの取得」については、スコットランド法律委員会が、新しく処罰するのを提案したが、イングランド法律委員会は、とりえあずは中立的な態度を採択したことは前述した。
そのような議論をへて、イングランドは、コンピューター・ミスユース法1990を制定する。その内容については、http://www.hmso.gov.uk/acts/summary/01990018.htm
で項目ごとのサマリーが、見れる。(なお、日本語訳は、仮のものである)コンピューター・ミスユース犯罪(Computer misuse offences)
1. コンピューターに対する無権限アクセス(Unauthorised access to computer material.)
2. さらなる犯罪の意図を有するコンピューターに対する無権限アクセス( Unauthorised access with intent to commit or facilitate commission of further offences.)
3. コンピューターに対する無権限改変( Unauthorised modification of computer material. )
管轄(Jurisdiction)4. この法律における地域的観点(Territorial scope of offences under this Act.)
5. 国内管轄との重要な関連性(Significant links with domestic jurisdiction.)
6.本法律における 未遂行為の地域的関連(Territorial scope of inchoate offences related to offences under this Act.)
7. 本法律に関連する外国法律の 未遂行為の地域的関連( Territorial scope of inchoate offences related to offences under external law corresponding to offences under this Act.)
8. 外国法律の関連性(Relevance of external law.)
9. 英国国籍の無関係(British citizenship immaterial.)
諸規定および一般(Miscellaneous and general)10.法執行機関の留保( Saving for certain law enforcement powers)
11. セクション1の犯罪に対する手続き(Proceedings for offences under section 1)
12. セクション2ないし3の手続きにおけるセクション1の犯罪の宣告( Conviction of an offence under section 1 in proceedings for an offence under section 2 or 3.)
13. スッコトランドの手続き(Proceedings in Scotland.)
14. セクション1犯罪の捜査令状(Search warrants for offences under section 1.)
15. 犯罪人引き渡し法1989スケジュール1の適用される引き渡し(Extradition where Schedule 1 to the Extradition Act 1989 applies.)
16. 北アイルランドへの適用(Application to Northern Ireland)
17.解釈( Interpretation.)
18. 引用、施行その他(Citation, commencement etc.)
という極めて興味深い構成になっている。 特にこの構成要件については、詳細に検討する必要が生じよう。
一般に上記の法律は、コンピューターのミスユースについての新しい処罰規定をさだめるものとされており、そこで導入されたミスユースには、3つのタイプがあるという。具体的には、
1 「ハッキング」すなわち、無権限アクセス(section1犯罪)
これは、物理的ないしは電気的に権限のない人間(a person without authority physically or electronically ) が、コンピューターシステムに「進出( penetrates)」することである。ここでは、鍵を壊して、侵入することに比較され、さらなる犯罪は意図されていないのである。
2 「深刻な無権限アクセス」(more serious form of unauthorised access)(section 2犯罪)
これは、権限を有しない人が、窃盗などのさらなる目的をもってコンピューターにアクセスすることである。なお、このさらなる目的は、コンピューターを利用するものであるとないとを問わない。
3 デジタル犯罪(section3 犯罪)
これは、デジタル情報を破壊する、ないしは、デジタル情報へのアクセスを損なう行為である。ありふれた例としては、コンピューター・ウイルスがある。
とされている。
ミスユース法1990は、1990年8月29日に施行されたが、このミスユース法の保護法益としてはどのようなものが考えられているかという事が問題になろう。この点については、Michael Colvin 議員が、下院で「コンピューターのインテグリティ-私は、信頼性とよびますが-を守ることです」と発言している点が注目される。
では、コンピューターのミスユースの「構成要件」(actus reus)がなにかという問題になる。
1.2.3.1 構成要件
ミスユース法1990のセクション1は、以下のように定めている。
1
(1)A person is guilty of an offence if -( 次の行為を行った者は、有責である。)
(a)he access a computer to perform any function with intentto secure access to any program or data held in any computer;(コンピュータに蓄積されたプログラム又はデータにアクセスする意図をもってコンピュータを作動させること)
(b)the access he intends to secure is unauthorised ;and ( そのアクセスが無権限であること)
(c)he knows at the time when he causes the computer to perform the function that that is the case( コンピュータを作動させる時点において、アクセスが無権限であることを知っていること)
(なお、訳は警察白書98 37ページの訳による)
1.2.3.2 客観的要件
ここでは、「何がコンピューターの作動させるのに必要となるか」と「プログラム又はデータにアクセスする」とはなにかが問題になるのである。
a) 「コンピューター、データ、プログラム」の解釈
「コンピューター」の解釈については、このコンピューターミスユース法は、定義を設けていない。インターネット経由でアクセスが行われるのであれば、その対象となるコンピューターが、その定義にふくまれる事は問題がないであろう。しかしながら、実際は、もっとたくさんのコンピューターがあるのであって、自動車のブレーキングシステムもコンピューターで動くのであるから、そのようなものについては、処罰の射程にはいるかという問題を引き起こすことになる。
「プログラム、データ」の解釈も定義がなされていない。しかしながら、デジタル的にアクセスする(ケースをあけて物理的にアクセスすることは含まれないのは当然)ことができるものすべてについては、この構成要件の範囲に含まれると解されるのであり、特別の問題はないものとされる。
これらの用語の解釈については、インターネット経由の攻撃についてはとくに解釈上の問題が生じるものとは思えず、そして、教科書ではでは、購読料と引き換えにパスワードをもらいそれでもってホームページを閲覧できるようになるホームページに対して、「ハッカー」が、支払いをしていないのにパスワードを用いようとして試みる場合、このセクション1の犯罪を構成する例としてあげられているのである(注7)"The Laws of the Internet"。
また、コンピューターに蓄積されているといった場合、それが、リムーバブルのものであろうが、別の場所に蓄積されていたとしても、それはかまわないと解されている。
b ) 「コンピューターの作動」 (performing any function)
この「作動」という用語も、定義がなされていない。しかしながら、この法律の定義セクションの規定がこの用語の意味を示してくれるとされており、実際に、「アクセスする」という定義が参考になろう。
この「作動」についてはいかなるコンピューターであるかを問うことはない。そして、実際に、信号は、たくさんのコンピューターを通じて、電送されるから、検察側としては、どのコンピューターについての「作動」であると、かまわないことになる。むしろ、被告人が、その「作動」の原因であることを明らかにするのが困難であろうとさている。
とくにこのセクション1の広範囲な規定の仕方によれば、アクセスが失敗したとしても有罪になる。無権限アクセスは、他人になりすますことやログイン手続きをバイパスしようとこころみることからなされる。たとえば、前述のなりすましのときもハッカーのコンピューターと被害のコンピューターの両方が作動することになる。また、被害コンピューターは、ハッカーを拒絶するという行動をしたのである。したがって、ハッカーは有罪になるかもしれない。この場合、不成功のログを取得、保管していなければならず、しかも被告人の行為であることを特定しなければならないので実際は難しいかもしれないが、それは起訴の困難さであるにすぎないことになるのである。また、バイパスしようとした場合についても、そのバイパス自体が、作動を意味することになる。
また、この用語については自動的な作動についても問題を有する。現在では、ハッカー達は、無権限アクセスの過程の部分を自動化している。この自動化が、このセクション1の犯罪を成立させるかについては問題がある。しかしながら、客観的な側面については、これをみたすものと考えられ、主観的な問題が、問題となるにすぎないと考えられる。
c)「アクセスする(securing access)」
コンピューター・ミスユース法1990は、被告がコンピューターを作動させることにより、以下のことをしたときに「プログラムやデータにアクセスがなされた(securing access to a program or data)」ものと解している(セクション17(2))。その具体的な行為とは、
(a)alters or erases the program or data( プログラムないしはデータの変更ないしは消去)
(b)copies or moves it to any storage medium other than that in which it is held or to a different location in the storage medium in which it is held ;(保存されているメディア以外の保存装置に対するコピーないしは移動ないしは保存されているメディアから離れた場所へのコピーないしは移動)
(c)uses it; or(使用)
(d)has it output from the computer in which it is held (whether by having it displayed or in any other matter)(保存されているコンピューターからのアウトプット(ディスプレイによるものとそれ以外のものとを問わない)
などがあげられている。
なお、このsecure という動詞が用いられている点に意味があるかということになるが、立法者は、「access」 を動詞として使うのは、いかがわしい(dubius)使い方であり、言葉を曖昧にすることから、このような表現になったとされている。
a)項の 「alters or erases」という行為につていは、問題がなかろう。まさにクラシックな「ハッキング」ということになる。
この条文のなかで、そして、無権限アクセスについての重要な条文といえるのが、この
(b)項のcopyという表現であり、この単語は、このセクション1の適用を「劇的に(dramatically)」広げるといわれている。それは、コンピューター内のデータやプログラムは、コピーされないのでは、見ることさえもできないのである。わが国では、メモリー上の短期的蓄積は、コピーとはならないと(著作権法上の議論では)されていたとしても、イングランドのこの条文の解釈においては、ストレージ・ユニット、メモリー、ハードディスク、ビデオ・メモリー上のいずれにコピーされてもこのコピーがなされたと解することになるのである。ハッカーが、被害コンピューターをインターネットを通じて、まさに見るだけだとしても、犯罪が成立するとされているのである。
プログラムを実行する場合には、(b)項のcopyにも、該当することは上述の通りである。しかしながら、(c)項の使用という用語も定義に含まれることによって、プログラムを走らせる場合にも、このアクセスする に該当するとういことになる。具体的な例としては、従業員が、上司のオンライン日記にアクセスできないのに、アクセスしようとして、そのプログラムが、彼女にパスワードを入力するように動作した場合(すでに、このプログラムは、実行されていたことになる)、「使用した」ことになると解されている。
(d)項は、アクセスという用語を、プログラムを実行することだけではなく、プログラムを「読む」ことにまでひろげるものである。例えば、ファイルをコピーしたりする権限があったとしても、例えば、暗号を解く権限がない場合もあろう。その暗号を解いた場合にも、この条文は適用され、無権限アクセスということになる。
1.2.3.3 主観的要件
a)意図(mens rea)
検察側は、二つの点を証明しなければならない。1つは、「コンピューター」の「プログラムないしはデータ」にアクセスしようとしたことである。いま一つは、コンピューターを作動させたときに、被告人は、そのなそうとしたアクセスが無権限であることである。
b)「アクセスの意図」
「コンピューター」の「プログラムないしはデータ」といったときにその内容については前述した。「コンピューター」に対するアクセスの「意図」といったときには、その意図は、およそどのコンピューターにむけられていてもいいのである。また「プログラムないしはデータ」というのも同様である。これは、セクション1のサブセクションにおいて
「(2)本条に規定する犯罪の意図は、次に掲げるものの向けられたものであることを要
しない(a)特定のプログラム又はデータ
(b)特定の種類のプログラム又はデータ
(c)特定のコンピュータに蓄積されたプログラム又はデータ」
と記載されているところである。
c)「無権限」
セクション1の問題として、重大な問題を提起しているのが、この「無権限」の解釈である。
セクション17(5)によれば、
「(5)Access of any kind by any person to any program or data held in the computer is unauthorised if( いかなる人の、いかなるプログラムないしはデータののいかなる種類のアクセスも、以下の場合に、無権限である )
(a)he is not himself entitled to control access of the kind in question to the program or data;and (その者が、問題のプログラムないしはデータに対してアクセス・コントロールを与えられていない場合)
(b)he does not have consent to access by him of the kind in question to the program or data from any person who is so entitled.(問題のプログラムないしはデータに対しアクセス・コントロールを与えられている者の同意を有しない場合)
に「無権限」であるとされる。そこで、「外部者」「内部者」の区別をここに導入するかという問題がある。
・外部者
この権限の問題は、外部者が攻撃するのにあたっては、それほどの問題はないように思える。しかしながら、上記の解釈によれば、部分的権限の問題がある。例えば、グラフィックスを閲覧することはいいが、ハードディスクにコピーすることは許されないという限定を付して、グラフィックスを閲覧させることはあろう。理屈からいえば、このグラフィックスをハードディスクにコピーすることは、「無権限」ということになる。すくなくても主観的な面からいえば、そのような限定がついているのであれは、常に、警告がアクセス者にわかることが必要であり、そうでなければ、犯罪は成立しない。しかしながら、実際には、そのような警告を目にしないでアクセスすることは簡単に起こりうるのである。
・内部者
コンピューターのセキュリティの侵害についての最大の脅威は、内部者であるということはよく指摘される。不機嫌な労働者、派遣などの一時的スタッフ、さらには、満足しているはずの労働者までもが、自らが見ることの権限を有しないファイルを見ようと心がける。もっとも、なにをもって内部者と考えるかも問題である。一応は、ファイアーウォールの後ろを内部者ということができよう。もっとも、イントラネットの発展は、むしろ、エクストラネットとの境目をなくしつつあるともいわれており、その定義じたいも問題のあるところである。
ここで、スコットランド法律委員会とイングランド法律委員会の認識の違いについては前述したが、ミスユース法1990は、内部者に対しても適用するという認識で作成されている。それは、法案の提案者は、「セクション1は、同様に、すべきでないと知っているシステムの部分に対して進出しようとする内部者をも 対象にします」と説明していることからも明らかである。しかし具体的にみていくときわめて問題の多いところである。「(別の?)いかなるコンピューター」
ここで内部者の無権限アクセスについて考えるに際して、参考になる判決例がある。この事案は、まさにこのコンピューター・ミスユース法の初期の事案で、R v. Cropp 事件である(注8)。被告人Croppは、以前の雇用者である卸売業者を新しい雇用者とともに訪問した。Croppが、マシーンに興味う示して、対応した店員が、コンピューターに詳細をインプットし、その店員が、この入力中に席を離れたため、70%のディスカウントを入力したのである。このために、新しい雇用者は、本当ならば、£710.96と付加価値税を支払わなければならないところを、£204.60と付加価値税を支払えばいいことになったのである。そして、この行為に対して、セクション2の規定によって起訴されたのである。
いわゆるハッキングといえば、あるコンピューターから、別のコンピューターに侵入をする場合が一般的な場合といえるであろう。それを念頭におけば、二つのコンピューターが必要なことになる。Aglionby裁判官は、このように考えたのである。彼は、
「私には、ベストをつくしてセクション1(1)(a) の意味を解明するに、二番目のコンピューターが、必要であるように思える。サブセクションの現実の用語を見つめる限り、一つのコンピューターが必要で十分であるというのは、無理に解釈をしているように思われる。」
としたのである。
しかしながら、Attorney- Generalは、このセクション1が、間接的アクセスのみではなく、権限なくまさに不正に使用する場合に対して、広く適用されるように作られているということを理由に、控訴院の明確化を求めたのである。そして、控訴院は、この別のコンピューターに対する間接アクセスを要するという解釈を退け、直接アクセスの場合についても無権限アクセスが、成り立つという解釈を認めたのである。
この解釈にいたっていなければ、この法律が骨抜きにされてしまっていただろうといわれている(注9)。きわめて「劇的な効果」を有していたとされるのである。d)「認可」
内部者が、有罪であるとされるためには、二つの意図の証明というハードルがあるとされている。その二つとは、
1)プログラムないしはデータに対するアクセスの意図
2)コンピューターを作動させた時点においてアクセスする権限を有しないことを知っていた
ということである。
この後者については、困難な問題を提供することになる。従業員の役割は、時に応じて変わっていくものである。短期間にいろいろなセクションに派遣される従業員などについては特にそうであろう。この点については、法律委員会が、ガイダンスにおいて、「私たちは、法廷に対して、権限について争いのある場合について、問題になっているアクセス・コントロールを有する人の同一性を検証することおよびそのステータスについて明らかにすることが重要であると考える」を出しているのは参考になる。すくなくてもファイルに対するアクセスについての一つの明確なポリシーを定めておく必要があり、それが、明らかにされることがこの意図の立証に必要であることになる。
では、この権限が明らかではないということはこの犯罪の成否に対してどのように働くかという問題がある。権限がないかもしれないがその権限の有無について、十分な調査をもしないで無権限アクセスをしたという場合である。このような、いわば「むこうみずな無知(wilful blindness)」の場合については、これでも意図としては十分ではないと考えられる。というのは、議会において、そのような場合をも含むMs.Emma Nicholson法案も提出されていたが、議会は、採用しなかったのである。
内部者について、理論的に適用可能性のあることは言うまでもないことであるが、実際の適用可能性、特に公訴を維持する側の実際の立証という点を考えたときに困難が多いということもいえるのである。
(現時点では省略)
「他の犯罪」
「意図」
「将来の意図」
「不可能な他の犯罪」
(現時点では省略)なお、詳細な論文として、Section 3 of the Computer Misuse Act 1990: an Antidote for Computer Viruses! (http://webjcli.ncl.ac.uk/1996/issue3/akdeniz3.html)がある。
態様
・「ウイルス」
・「ワーム」
・「トロイの木馬」
・「ロジック・ボム」
行為
「改変」
・その証明
「無権限」改変
「意図」
また、コンピューター・ミスユース法1990においては、管轄および犯罪人引き渡しの見地からも、規定が定められている点については、特にデンバーサミット・コミュニケ40以来の文脈の中で、「不正アクセス」対策立法の必要性がとられているわが国においては、注目を要するところであろう。
全般的にいって、コンピューター・ミスユース法1990は、狭い管轄を定めている。実際のハッカーは、国境を軽々と越え、また、実際の自分のいどころと存在をいつわり侵入していくのである。
1.2.6.1 「セクション1管轄」
コンピューター・ミスユース法1990のセクション4(2)においては、セクション1の行為については、イングランドと少なくても「重要なリンク」がなくてはならないという。問題は、その「重要なリンク」とは何かであるが、その「重要なリンク」とは、
1)コンピューター作動させようとしたときに被告人がイングランドにいたこと
ないしは、
2)被告人がアクセスし、ないしは無権限アクセスしようとしたデータないしはプログラムを含むコンピューターが、その時点においてイングランドに存在したこと
のいずれかである。
1)コンピューター作動させようとしたときに被告人がイングランドにいたこと
これについては、イングランドにいたハッカーが、外国のコンピューターに侵入したとしても、犯罪が成立する点について、特長があるといえるであろう。
2)被告人がアクセスし、ないしは無権限アクセスしようとしたデータないしはプログラムを含むコンピューターが、その時点においてイングランドに存在したこと
これは、アクセスの対象になったコンピューターが、イングランドに存在することが要件になる。ただし、踏み台にされたコンピューターがかかる要件を満たすものであるかについては、ハッカーがイングランドのコンピューターを外国の被害コンピューターに行くための「停留所」として用いた場合については、「些細なこと(of no consequence)」となる、とされており、犯罪の成立は否定されることになる。
1.2.6.2 「セクション2管轄(深刻な無権限アクセス-他の犯罪のためのハッキング)」
セクション2の管轄については、さらに管轄が広くなる。
1)「双罰性」に基づき、被告人が、イングランド外でなした場合でも、もしその行為が、イングランドで起きていたとすれば、その犯罪行為が、セクション1の犯罪の「重要なリンク」をイングランドに持つ場合
2)外国のコンピューターにアクセスした被告人が、さらなる犯罪をイングランド内で侵そうとしたとき
この2)については、特に問題がなかろう。
前述の1)は、被告人の行為が、イングランドのリンクをもっていなかったとしても、その行為が、そのリンクを持つ国の法律的にも、刑事罰に値すると考えられ、そして、仮にイングランド内において起きた場合に、このセクションの構成要件に該当すると考えられた場合に、この法律の適用があるのである。
具体的には、アメリカの銀行が、イングランドのデータ・ウエアハウスに暗号化して記録を保管していた場合に、携帯電話から、ハッカーがスイスから電話を架け、いくつかのファイルをコピーし、そして、アメリカの銀行から電子的に現金を窃盗した場合が、あげられる。この場合、イングランドの裁判所は、このセクション2の規定を、ハッカーに対して適用しうるのである。というのは、米国においてもかかる行為は可罰的であるし、また、イングランドにおいても、それがイングランドで起きれば、犯罪を成立させるからである。
1.2.6.3 「セクション3管轄(無権限改変)」
このセクション3の管轄もセクション1の管轄と同様に「重要なリンク」をイングランドと持つときに認められる。その内容もほとんどセクション1と重なるので、ここでは省略する。
1.2.6.4「犯罪人引き渡し」
この犯罪人引渡について、イングランドのThe Extradition 法1989は、「引渡犯罪」を規定する。イングランドと外国とで最低12ケ月の懲役であることが必要になるのである。この結果、セクション1は、この引渡対象犯罪からのぞかれることになる。
・Governer of Brixton Prison,ex p Levin 事件
デジタル犯罪において、この犯罪人引き渡しの問題がいかに困難な問題を含むかと言うことをしめすのが、Governer of Brixton Prison,ex p Levin 事件 (注10)である。 アメリカのニュージャージーのシティバンクのコンピューターに侵入したロシアのコンピータープログラマー(Levin)の引き渡しを求めた事件である。Levinは、プログラマーとしてのスキルを用いて、顧客の取引をモニターして、ロシアの共犯者の口座に振り込ませてきたのである。このスキームが成功すれば、一千万ドル以上の額が、得られていたのてある。Levinは、合衆国政府からの要請に基づくExtradition法1989のセクション1(3)のもとでの令状によって1995年の3月3日に、拘留された。彼は、有線詐欺、銀行詐欺、およびそれらの罪を共謀したということで、起訴された。しかしながら、有線詐欺ないし銀行詐欺の構成要件に匹敵するものは、イングランドおよびウエールズにはなかったのである。そこで、検察当局は、行為と行動の詳細を論じ、イングランドとウエールズにおいてコンピューター・ミスユース法の無権限アクセスと無権限改変を含む66の犯罪を成立させているとしたのである。
また、この事件においては、英国の裁判管轄の問題とコンピューターからの記録が証拠能力を与えられるかという問題も議論されており非常に興味深い。
とくに、コンピューター関連犯罪については、米国の有線詐欺、郵便詐欺などの規定が、絡んでくることもあり、個々の具体的な行動に着目して、双罰性を考えなくてはならないということが指摘できるものと考えられ、非常に興味深いものである。
(注1)
警察庁・情報システム安全対策研究会不正アクセス対策法制分科会「不正アクセス対策法制に関する調査研究報告書」
(http://www.npa.go.jp/soumu7/nsreport.html) (1998年3月)
警察庁「不正アクセス対策法制の基本的考え方」(1998年11月)(http://www.npa.go.jp/seiankis3/top.htm)
郵政省「電気通信システムに対する不正アクセス対策法制の在り方について(1998年11月)(http://www.mpt.go.jp/pressrelease/japanese/new/981125j601.html)
(注2) Scottish Law Commission,"Report on Computer Crime"SLC
No.106(1987)(Cm 174,1987)
(注3)Law Commission "Computer Misuse" Working Paper No.110
(1988) なおCm 819 HMSO 1989
(注4) Colin Tapper "Computer Law" Longman(4th ed.1989) p.291
(注5)[1988]2 All E.R. 186,H.L.
(注6)前掲(注4)p.293
(注7)Clive Gringras "The Laws of the Internet"
Butterworths(1997) P.215
(注8) 1991 unreported ,Snaresbrook Crown Court but see case note (1991)7
CLSR 168
(注9)Diane Rowland & Elizabeth Macdonald "Information Technology
Law" Cavendish Publing Limited (1997)p.350
(注10)[1996]4 All ER 350
「コンピュータ犯罪 Q&A」 41頁において、 「コンピュータに対する不正アクセスとは、他人のコンピュータについて権限なく、命令し、通信し、またはデータを記憶させ、もしくは検索するなどの利用を行うことをいい、他人のコンピュータを権限なく利用する行為一般をさす広い概念であ」るとされており、「 これは、現行刑法の文書偽造罪、業務妨害罪、詐欺罪または窃盗罪に当たる行為と実質的には同様の行為、その前段階的行為、さらに現行刑法が処罰の対象としてはいない情報の不正入手、コンピュータの無権限使用などに当たる行為などがあ」ると指摘されているところである。
一方で、セキュリティの教科書などで、「無権限アクセス」という行為態様が論じられている。その一方で、非常に広く「不正アクセス」という用語をもちいる議論も社会では存在する。セキュリティで分析されている具体的な攻撃が、厳密にいくと、法律的には、どのような意味を持つものであるかという点を検討することは、議論の厳密化に大変、役にたつのであろう。 そこで、従来、わが国のなんらかのなかで広い意味で、「不正アクセス」という言葉が用いられてきた行為態様を分析し、それの法律的な位置づけをしておくこととする。
例えば、JPCERTのホームページ(注11)における用語をもとにわが国で「不正アクセス」という言葉が使われている状況を整理すると以下のように整理できるとのことである(注12)。
ア-能動的な行為
・侵入
・なりすまし (これは、ヘッダ侵入、これによる業務妨害、 などがある-にせのルーティング情報は、侵入者がパケットのデータを監視しているホストへのパケットの転送引き起こす)
・利用不能攻撃 (これは、その方法によって過負荷を与えることによるものと例外処理不能な情報を与えるものとがある)
・ポートスキャン
イ-受動的な行為
・トロイの木馬、Webトロイの木馬
これらをコンピュータシステムとの関係で考えていくときに、どのような観点から整理されるかという問題がある。 まず、これらは、いずれもデータ・セキュリティに対する攻撃ということがいえる。これらの攻撃を、法律的に分析したときに、どのようなことがいえるか。 また、これらの行為を、そのまますべて「不正アクセス」としてとらえ続けるのが、概念的に素直であるかどうかという問題である。
2.3.1 アクセス・コントロールの概念
「不正アクセス」という概念を、整理していくときに、コンピューターのシステムおけるアクセス・コントロールとの関係で考えることべきか否かというのが、一つの問題となる。このシステムというのは、「サイト」と定義したほうが正確と思われる。「サイト・セキュリティ・ハンドブック」によれば、「『サイト』は、コンピュータやネットワーク関連資源をもつあらゆる組織体を意味します。」と定義されている(注13)。
警察庁の「不正アクセス対策法制の基本的考え方に対するパブリック・コメントの募集」(1998年11月17日)(注14) においても郵 政 省「電気通信システムに対する不正アクセス対策法制の在り方について」への意見(パブリック・コメント)の募集(1998年11月17日)(注15)においても、「不正アクセス」としては、そのアクセスの対象として、「アクセス・コントロール」がなれていることをメルクマールにしている。この点については、「対象となるシステムがアクセス・コントロールのなされているものに限定されているが,現実のコンピュータ犯罪の多くは,アクセス・コントロールのなされていないシステムまたは(セキュリティ・ホールやバグを含め)アクセス・コントロールが存在しないポート等からの接続によって実行されていることに鑑みると,本来処罰すべき行為のほとんどが適用対象から抜け落ちることになる可能性がある。」(夏井高人「不正アクセス対策法案の比較検討資料」(Version 1.1)(注16) という意見はあるが、むしろ、システムのインテグリティの保護という観点から見たときに、この「アクセス・コントロール」をメルクマールにするというのは、きわめて合理性がある。上述の夏井先生の批判は、セキュリティ・ホールなどを経由しての攻撃についてこのアクセス・コントロールがないと解することによるが、このアクセス・コントロールという概念は、そのようにシステムの脆弱性による具体的なレベルを考えているものではないので、やや、批判の前提について理解が異なっているように思われる。 なお、以下、このように「アクセス・コントロール」を基準に考える場合について狭義の「不正アクセス」と呼ぶことにする。
2.3.2 個々の攻撃の位置づけ
「アクセス・コントロール」で保護されたデータおよびプログラム(あわせて以下、情報という)のインテグリティの確保という観点から考えたときに、上述のJPCERTであげられているような「不正アクセス」は、アクセス・コントロールで保護されている情報に対する攻撃であるか否かという観点から、わけて考えられる。
この観点から見た場合、スパムやサービス妨害攻撃も、この狭義の「不正アクセス」の論点として捕らえるべきではないことになる。 この場合は、メールボックスは、だれでもつかえるのであり、その性質を悪用しているのである。そして、そのメールボックスのファイルを書き換えているというのも、それ自体には、認証などは必要ない。また、トロイの木馬、ウエブ・トロイの木馬という問題もある。これは、むしろ、上記の「識別」に関する情報の収集方法ということである。むしろ、アクセスコントロールの関係では、その侵害に対する準備的な行為という位置づけのほうが妥当であろう。 また、いわゆるポート・スキャン自体もこの準備的な行為ということになる。これらの行為についての刑事的対応については別の機会に譲る。情報のインテグリティの保護という観点からすると、例えば、コンピュータサービスの不正利用という「サービス」の利用という点も別の観点からの問題提起されていることになる。そのインテグリティの観点からするとそれにより情報は、コピーされたか、改竄されたのかということが問題であり、そのアクセスの結果が、情報の「窃盗」になるとか「利益をえた」「債務を免れた」という観点は、はいってこないことになる。
(注11)http://www.jpcert.or.jp/magazine/im9710jc.pdf
(注12)http://www.netsec.gr.jp/
(注13)http://www.ipa.go.jp/SECURITY/rfc/RFC_2196_index.html
(注14)http://www.npa.go.jp/seiankis3/top.htm
(注15http://www.mpt.go.jp/pressrelease/japanese/new/981125j601.html
(注16)http://www.isc.meiji.ac.jp/~sumwel_h/doc/artcl/artcl1998-5.htm
では、具体的な(狭義の)「不正アクセス」対策法制を念頭に置くときに、どのような論点が問題になるのか。警察庁案および郵政省案などをイングランドの法制と比較して、その論点を指摘することが課題となる。
では、「不正アクセス」対策立法の保護法益ないしは規制目的を何とすべきか。警察庁は、「不正アクセスが犯罪の手段として用いられている実態があり、今後電子商取引の進展や行政情報化の推進に伴い、このような犯罪の増加が予測されることから、犯罪の防止を目的として、不正アクセスの禁止等を内容とする法制の整備を図る。」としており、郵政省は、 「不正アクセス」行為は電気通信の安全・信頼性を阻害することから、「不正アクセス」行為を禁止する等、所要の法的措置を講ずることにより、電気通信の健全な発達を図ることとする。 」としている。 この点、英国においては、保存された情報のインテグリティが、念頭におかれていたことは前述した。
この保護法益は何かという問題について考えるとき、正面から、コンピューターシステムの処理の正確性を担保するために蓄積された情報のインテグリティそれ自体を保護法益としていくのが、望ましいのではなかろうか。 第1のポイントはネットワークとコンピューターの普及によって、社会活動がコンピューターなしに、とくにそのコンピューターのセキュリティの確保なしに営めなくなってきているからに思われる。そして、それへの信頼性が損なわれるときの社会生活のダメージは、多大なものがあることが、認識されるにいたったからに思われる。そうだとすると、むしろ、直接に、保存された情報のインテグリティ自体を保護法益とするというアプローチをとることができるのではなかろうか。それが素直なアプローチのように思われる。
郵政省の見解は、「電気通信の安全・信頼性を阻害することから、不正アクセス」行為を禁止する等、所要の法的措置を講ずることにより、電気通信の健全な発達を図ることとする。 」としているが、その対象範囲を電気通信に限っている点で問題はあるが、その安全・信頼性の保護という観点は、支持するのに足りるであろう。警察庁は、「犯罪の防止を目的として、不正アクセスの禁止等を内容とする法制の整備を図る。 」とするが、無権限アクセス自体を犯罪化するのにいかなる観点から刑罰を課すのかという点に正面から答えていな点および無権限アクセスが、犯罪に結びつくとしている点で、かかる立法事実が認められるといいきれるか疑問の点から支持しがたいといえるであろう。
では、一定の可罰性ある行為があると認識した場合に、それに対して、どのようなアプローチをとっていくかという問題がある。ある特定の行政目的があり、そのために、いろいろな義務を課していくから、その邪魔はしないでください、その邪魔をしたものには、行政刑罰を課していきましょうといういわゆる行政法規のアプローチとでもいうべきものが採用されなくては、ならないのかという問題があるように思われる。また、郵政省においては、電気通信事業者に限っての立法ということになり、かなり限定がなされている点が特長である。
かかる「コンピューターによる事務処理の正確性およびそれに対する信頼」の保護という点にから考えて行けば、行政法規のスタイルをとる必然性があるとは思えないことになろう。
1987年の刑法改正は、従来の刑法の改正のアプローチであるから、いうまでもなく財産、権利義務との関係でのみ、狭義の「不正アクセス」の問題が語られている。そこで、その「不正アクセス」のうち、単なる「一時的メモリーへのコピー」を「情報の不正取得」として捉え、これへの刑事罰を見送るというのはそれなりの方向性であり、また、無権限改変をそれが権利義務・事実証明に関連するものに限り、可罰的としたのは、それとして、一貫しているということができよう。しかしながら、コンピューターの普及・一般化・ネットワークの爆発的普及は、そのシステムにたよった社会生活の領域を増大させた。また、そのシステムが混乱させられたときの社会の被る被害は、そのシステムの混乱のもとが、権利義務に関するものであろうとなかろうと甚大であるということができよう。そうであるとき、刑法改正とは別個の観点から、コンピューターによる事務処理の正確性およびそれに対する信頼自体を保護法益として考えることは、きわめて合理性があるものと考えられる。1987年の刑法改正は、従来の刑法の改正のアプローチであるから、いうまでもなく財産、権利義務との関係でのみ、狭義の「 不正アクセス」の問題が語られている。そこで、その「不正アクセス」のうち、単なる「一時的メモリーへのコピー」を「情報の不正取得」として捉え、これへの刑事罰を見送るというのはそれなりの方向性であり、また、無権限改変をそれが権利義務・事実証明に関連するものに限り、可罰的としたのは、それとして、一貫しているということができよう。しかしながら、コンピューターの普及・一般化・ネットワークの爆発的普及は、そのシステムにたよった社会生活の領域を増大させた。また、そのシステムが混乱させられたときの社会の被る被害は、そのシステムの混乱のもとが、権利義務に関するものであろうとなかろうと甚大であるということができよう。そうであるとき、刑法改正とは別個の観点から、コンピューターによる事務処理の正確性おらびそれに対する信頼自体を保護法益として考えることは、きわめて合理性があるものと考えられる。
アクセス・コントスールを中心に議論対象として認識していくべきことは、前述した。また、警察庁および郵政省案についても、
それぞれ、「情報処理の全部又は一部について利用者識別情報等(ID・パスワード)により利用者を制限する措置(アクセス・コントロール)を講じているもの」(警察庁案)ないしは、「アクセス制御機能(電気通信設備の利用を権限ある者その他の一定の範囲に限定する機能)」(郵政省案)として、アクセス・コントロールを中心概念としている点からいって、妥当なものといえるであろう。
また、イングランドにおいてもこのアクセス・コントロールを前提に、authorisationの有無を論じているのである。
では、アクセス・コントロールを前提に、議論の対象となるアクセスとはなにかが問題になる。この点、イングランドにおいては、(イ)プログラムないしはデータの変更ないしは消去(ロ)コピーないしは移動(ハ)使用(ニ)アウトプットの四つの場合が条文上定められていること、そして、とくに一時的なメモリーへのコピーも該当するとされており、極めて、広くこの項目が適用されていることは、紹介した。わが国の「警察庁案」「郵政省案」はそれぞれ、「情報処理を行うことができるようにし、又は当該情報処理を行う行為」ないしは、「電気通信設備を不正に操作できるようにする行為」としている。イングランド法との比較でいえば、コピーないしは移動のうちの主メモリーへのコピー自体で、不正アクセスとするが、その一方で、「使用」や「アウトプット」は、含まれないように思われる。この点については、あまりにも広く罰し過ぎるのではないかという疑問も生じよう。単なる覗き見だけ(主メモリーなどへのコピーおよびディスプレーへのアウトプットのみ)、ログの停止をする場合(イングランドにおける「使用」にはあたろう)、ログの書き換えをする場合(データの変更およひ消去)、デー タの書き換えをする場合、データなどのコピーを永続的な記憶装置に保存する場合など、いろいろな段階があるものと考えられる。ログの停止以降の行為については、可罰性を認めてもよいように思える(そして、ログへの操作をしないで、ハッキングしましたといっているものがいるとも思えないので実効性も高い)。しかしながら、単なる覗き見だけの場合の可罰性については意見が分かれよう。見ただけの場合、データの正確性は侵害されないし、また、「このサイトにハッキングして、このデータを見たんだぜ」とだれかがいったとしても、データが、そのものとしてアップされることなしでは、だれも信用しないであろう。この場合の可罰性についてはかなり疑問であろう。
例えば、イングランドでは、「無権原アクセス」は、不法侵入にたとえられた。そうだとするとわが国では、住居侵入罪との比較で考えることができるかもしれない。そこでの「不法」なアクセスとはなにかということになる。「システムの平穏を侵害するアクセス」という概念を準備できるかもしれない。このような考え方は、ときとして権限が(外形的に)あったとしても、犯罪目的でのアクセスは、「不法アクセス」となりがちであろう。現に警察庁「不正アクセス対策法制に関する調査研究報告書」の14頁以下において、具体的な問題点があげられいるが、(ア)の事案については、だれでも、プロバイダには契約は申し込め、これに対してパスワードが、発行されるのは当然である。むしろ、それを前提に、ファイルの書き換えをさた朝日放送のサーバこそが、一般には、「不正アクセス」の被害者である。 このプロバイダが、「不正アクセス」されたという用語法は、すくなくても奇異な感じを受ける。 (イ)の事案について、これは、アクセス・コントロールを直接にやぶっているわけではなかろう。これも奇異な感じがする。などの問題点を抱えることになっているように思える。
やはり、セキュリティポリシーとそれに基づくシステム管理のガイドラインにより、各種の権限が定められる訳であるから、その権限に基づくアクセスか否かでもって「不正アクセス」か否かを定めるべきであるといえよう。
また、この「無権原アクセス」の議論をなすにあたって、内部者と外部者をわけて議論するのは妥当かということがある。現在では、ネットワークの発展は、企業や組織体の外部と内部との垣根をも曖昧にしていて、この内部と外部とをわける事ができるのかという疑問がある。現に、従業員自体をすべて外部としてネットワークを構築する動きというのも始まっているのである。また、イングランドにおいては、二つのコンピューターを前提に無権原アクセスという概念は、成り立っているという判決が出たが、結局は、その判断は覆り、内部者と外部者をわけることはないとされ、そして、その判断が、ミスユース法1990の役割がだいなしになるのを防いだと評価されていることは紹介した。また、米国でも内部者に対する処罰も対象になるようである。しかしながら、警察庁案も郵政省案も「
電気通信回線を通じて行われるもの」「電気通信事業の用に供する電気通信回線を介して」という形で、外部からなされることを前提としている。コンピューター処理の正確性およびそれへの信頼を保護するという観点から行けば、内部者と外部者をわけるというのは、筋が違うということにもなりそうである。もっとも、内部者としてとくに企業の内部などについては、その企業内部での自治という観点から、就業規則・ガイドラインなどの遵守などの観点から最初に議論されるべきだともいえるので、内部者・外部者を分けて、外部者からの無権原アクセスのみを処罰対象として考えるというのは合理性があるともいえよう。
無権限アクセスにより、ないしは、いわゆる「ソーシャル・エンジニアリング」などにより、他人の「認証情報」を取得して、正当な権限を有するユーザーになりすまして、アクセスするということも考えられる。これが、警察庁のいう「なりすまし」である。(この「なりすまし」という用語法については、まず、セキュリティ関係での用語の使い方との関係で問題があるので、この型を言う場合に「(社会的な-ソーシャル)なりすまし」とする)
この場合に最初に問題になるのは、この場合の権限が、特定のアカウント(具体的には、個別のID) ごとの権限を考えるか、それとも、特定の個人に対しての権限ということを考えるかである。コンピューターシステムとしては、特定のアカウントについて考えれば、それにあたえられた権限のなかでの行為であれば、その正確性が侵害されたとはいえないとの考え方もあり得よう。しかしながら、イングランドにおいても米国においても、そのもともとの個人が、その権限を認可されるのであるから、別の人間が、その他人の識別情報およびパスワードを利用するのは無権限と考えている。警察庁は、このような場合を「不正アクセス」の代表例として考えてているようである。これらの点から考えて、権限をIDごとに抽象化して考えるのではなく、個人ごとに考え、この場合も権限外とすることは妥当なものであろう。
また、次にこの権限をその認可された個人の動機を考慮して考えるかという問題がある。
この問題について動機を考慮して考える立場もある。 前述の警察庁「不正アクセス対策法制に関する調査研究報告書」の14頁(ア)の朝日放送事件についての記述は、この認可を受けた者に対しても、動機を考慮して、「権限」の有無を決める考え方であるとも評価できよう。
しかしながら、この点については、動機を基準にして権限を考えるというのは、賛成しがたい。きわめて処罰範囲が曖昧になってしまうであろう。
システムにおいて一定の範囲にアクセスできる場合において、めその権限を超過してアクセスした場合はどうか。この点については、スコットランド司法委員会報告書と異なり、イングランド法律委員会は、権限を有しているユーザーの無権限アクセスについては躊躇していたということについては紹介したところである。ところが、コンピューター・ミスユース法1990においては、権限超過についても無権限と解されることになっていた。
また、米国においては、権限超過も無権原アクセスに含まれるようである。
わが国においては、外部からの侵入などを念頭におくために権限超過ということはあまり議論されていないようである。多分、不可罰とれるという趣旨であろう。しかしながら、一定のユーザーに限定している際に、そのユーザーが権限を超過するとういことについては内部者と同様のものといえようが、不特定多数のものにアクセス権限を与えている場合について、この権限超過という問題が生じてくるのではないかとも思われる。さらなる検討が必要であろう。
イングランドにおいては、無権限アクセスの意図をもって、コンピューターを作動させたときに、犯罪が成立する。わが国においては、すべて、アクセスした段階での議論である。実際の問題としては、継続的な、アクセスの失敗の段階での刑事的処罰の可能性をどう考えるかということになる。この点については、継続的なアクセスのトライをどのようにして記録するかという問題もある点も指摘されている。
イングランドにおいて、コンピューターシステムでデータを暗号化して保存していた場合に、この暗号を権限なしに解読する場合も、ミスユースのアウトプットに該当するという判断は紹介した。わが国においては、情報処理をしうる状態という概念において、解読権限がないのに解読する行為を含んで議論されているとは思えないので、含まれないことになろう。しかしながら、将来において、かかる行為に対して刑事的な処罰を課すことが妥当かが正面から議論されることがあるかもしれない。
以上のように、コンピューターのミスユースとしてとらえられる行為とわが国で無権限アクセスとしてとらえられる行為との間ではきわめて違いがある。今後さらに英国などにおける窃盗罪、詐欺罪、その他の犯罪の射程距離の調査が必要になるのであろう。また、そのような違いが、国際司法共助にどのような影響を及ぼすかという点についての調査も必要である。この点については、将来の課題である。
この点については警察庁の案が、ログの保存を提唱しているが、現時点においては、現実的ではないと考えられるようである。さらなる議論が必要であろう。
Copyright(C) Ikuo TAKAHASHI 1998, All rights reserved.
Uploaded (on this Web Site) : Dec/28/1998