ITと法律を取り囲む問題の個人的な整理 その1

　今回は、Coinhive事件だけではなく、ITと法律を取り囲む問題全体についての個人的な整理をした話を公開・共有したいと思います。

　そのきっかけとしては、以前私がした以下のツイートに呼応して、自分の意見,アイデアをメールして下さった方がおられまして、その返信を書くにあたって、今まで頭中になんとなく存在していた自分の考えを整理して文字に起こしましたので、折角ならば共有しようと思った次第です。

何か良いアイデアが思い浮かんだら気軽にDMでも何でも話しかけて見てください

— 元Coinhiveユーザー (@coinhiveuser) February 9, 2020

　この文章は、元メールの意見に答える形で書いた文を一部修正・書き直したものですので、元メールなしでは、唐突に話を出しているように見えてしまう個所や、誰かに宛てて書かれているような個所があるかもしれませんが、ご了承ください。
(一応元メールに対して書いている個所はどのような意見,アイデアがあったか明記しましたが)

　今回はあくまで、自分自身のための考えのまとめであり、普段のtwitterのように、確度が高い・確信できる情報(そうでない場合は、可能性がある、かもしれない と確度が低いことを示して) だけで考えている訳ではなく、ある事柄に対しての私の認識が正しくない場合があります。(そうでなくとも、普段から、ド素人のツイート・活動でありますので、ただの一意見と捉えてくださいますと幸いです。)
　また、法改正をするべきでは? 署名をしたら? 政治への働きかけは? といった、扱いが難しい微妙な話題についての返信・考えのまとめも行っていますが、特にそういった個所については、一個人の現時点の考えであり、変化する可能性も十分にあるものであって、これを真剣に捉えられてバッシングをされるようなことは、今回自分の考えのまとめを公開するにあたっての私の本意とは異なるものですので、そのように真剣に捉えられないようにお願い致します。

(以下本文)

法改正について

(元メールの、法改正についての意見に対してのもの)

　今回のCoinhive高裁判決が出たことで、私含め多くの人に改めて危機感が走ったかと思います。
　以前から、根本解決には法改正だという意見はあったのですが、現役の国会議員からもその言葉が出たことは少し驚きました。
　不正指令電磁的記録に関する罪は刑法ですから、刑法の改正を行わなければいけない訳ですが、他の法律よりもハードルが高そうだと思っています。(そういえば、タイミングの良いことに、ちょうど今年が刑法の見直しをやる年, 2017年の改正で3年後とされた2020年でしたね)

　私として、刑法を改正できるのであれば改正すること自体に異論はありません。しかし、その改正をどのようにするかという話はそう単純ではなく、その要件の検討は多くのエンジニアが考えるほど簡単なものではなく、(そちらのメールにもあるような、)技術的な解釈の必要な要件では話が進みにくい、運用の面に問題が起こるのではないかと考えます。
　また、私は、刑法改正より先にできること、先にやるべきことがあると考えます。以上3点について以下で論じます。

1. 法改正, 要件の検討 について

　私は、プログラムの技術的な点に踏み込んだ要件や、実際の被害・影響の程度を踏まえた要件、類似の技術との比較を行うような要件 (元メールのアイデアからのもの) を制定したとしても、裁判官はもちろん、検察官、弁護士の多くもそれに対応・判断しきれるほどのスキルを持ち合わせていると思いません。
　日本全国、250を超える地裁とその支部、1000を超える警察署のすべてにおいて運用が可能な基準でなければならず、技術的な基準というのは、エンジニアにとっては優しくとも、運用する側、必ずしも技術的な知識を備えているとは限らない裁判官・検察官にとってはとても扱いにくい基準となることでしょう。
(ここで否定しているのは、技術的な話をもってして、行為のレベルの階調, グラデーションのどこかで有罪無罪を切り分けるような判断をする例であって、ある行為, 性質の有無、0か1かの判断についての例ではない。)

　また、私はここ半年以上、海外の情報法制について調査を行っていますが、そちらを見た後で不正指令電磁的記録に関する罪の規定を見ると、悪意があり、その動作も実際に悪いものではあるが、他国では検挙できない、無視されてしまっている部分も捉えることができるという利点も一応ながら存在し、「意図に反する」がただ単純に「意図に反する」だけで足るようなもので無いとしたら、よく考えられた良い規定であるとまで思うこともあります。
(そうであっても要件が曖昧としか言いようが無いこと、1つの条文ですべてをカバーをしている点は擁護しきれず、またその運用はアレとしか言いようが無い状態ですが)

　他国の法ではその範囲に入らないが、不正指令電磁的記録に関する罪の対象範囲に入ると思われる例としては、正当な利用が可能なプログラムの悪用である、HDDの消去を行うソフトウェアを別の有益なソフトウェアと騙して利用させる例、恋人やストーカー相手に位置情報や利用しているアプリの監視アプリを無断でインストールする例であったり、その他広告に不正なプログラムが埋め込まれ、ただのウェブサイトを開いていただけなのに突然詐欺の広告や警告ページが表示されるようなもの (この例についてはまだ整理しきれておらず、自信がない) などが考えられます。
　保護法益が社会一般のコンピュータのプログラムに対する信頼 というのも、同様に社会法益となっている法令と比較してみても、特に際立って変という訳では無いと考えます。

　実害の程度、影響の程度を一部のコンピュータ関連法制の要件としている国は確かに存在しますが、その多くはより重い罪を課すための規定の方に、重要なデータを盗んだ場合であったり、被害がn台以上のコンピュータに及ぶ例であったり、被害がn千ドル以上の場合などといった要件を設けているのであって、メインの、犯罪になるか否かの個所の判断にそういった「程度」のグラデーションのどこかで切る要件があるものはとても少ないです。
(例外: 使用したものを含め、5000ドル以上を超える何かしらの価値を得ることを要件としている米刑法§1030 (a)(4) など。ただし、§1030の他の条文で、そういったものに関係ない個所のカバーがされている)

　「被害」の有無(0かそれ以上か)を要件としたとしても、現在の捜査機関の状況では、今回のCoinhiveの様な案件は「被害がある」とされ (調書を取る際に、その認識があったとする引っかけを作ってきそう)、容易にその要件をクリアしてしまうことになると考えます。

　私は以前、ねとらぼの取材を受けた際に「『利用者の意図』というプログラムの開発・公開側では制御も把握もできないような曖昧なものが要件になっている」と話しました。
　法改正によって改善する場合におけるキモは、要件を「プログラムの開発・公開側で制御・把握」が可能なものにする、という点にあると考えます。サイバー犯罪条約の規定通り、不正なアクセス、データ・システムの妨害、及びデータの不正な入手・改変、並びにそれを実現するために作成されたプログラムを規制するのが分かりやすいと思いますが、前述の「他国では検挙できない例」という利点を潰すことにもつながりかねず、そうしないための要件の制定は大変厳しいものになるでしょう。

2. 法改正より前にできること, 技術者向けのガイドライン制定

(これに関しては、実際にどこまでのことが可能であるのか、現在どのような類似事例があるのか調べ切れておらず、自信が無いため、参考程度)

　現在、法務省の「いわゆるコンピュータ・ウイルス罪について」という文書が、一般人がネット上でも閲覧できるこの法律の唯一のガイドラインです。
　しかしこの文書は、「大コンメンタール刑法第3巻第8版」中の不正指令電磁的記録に関する罪の個所のから一部の内容を削ったもの、大コンメンタール刑法がディレクターズ(立法担当者)カット版であり、いわゆる～では一部の語のニュアンスが変わる再構成が行われている通常版というべき状態です。また、いずれにしても、法を運用する側の目線でのマニュアルであり、適用される側には優しくありません。

　ガイドラインなどにおいて、○○の様な例はどうなる、○○といった例は△△なので不正性が否定される、といった事を整理すれば、多少なりともエンジニアにとっても優しくなるのではないでしょうか。
(そのガイドラインが不適切なものになる可能性もありますが…)

3. 法改正より前にやるべきと思う事, 捜査機関の問題点の解決

　これが、現在の私が一番求めていることです。
　現場の(全てではないにせよ、)捜査員のレベルが、必ずしも高くないということは私が身をもって体感しました。モロさんの事例においても、JavaScriptの"head"と"header"の違いを認識していなかった捜査員の話は有名ですし、現行法においても、正当な理由があるため全く咎めを受ける必要性が無かったWizard Bible事件、「サイバー月間だから捜査した(捜査員談)」Alertloop事件などは、法改正だけではどうにもならない部分が存在すると思います。

　これについては現在、海外の事例などを参考にしながら、どのようなものが考えられるのか、検討を行っている最中であり、多くは書けませんが、

・海上保安庁の様に、サイバー空間, コンピュータ犯罪の管轄をサイバー保安庁的な組織にまとめてしまう案 (twitterでたまに見かけますね)
・厚生省の麻薬取締部の様に、総務省かどこかの下に警察権を持ったサイバー取締部(仮)を置き、マトリの麻薬捜査と同様に、既存の警察と共存しつつ捜査を行う案 (新規の案、たぶん)
・メキシコのNational CERT、CERT-MXが警察組織内に置かれ、捜査権を持っているケースの様に、専門部隊を置いて、そこに警察権を持たせる案
(確か、既にどこかで言及されていた)
(中央に関して言えば警察庁の情報通信局, 警視庁のサイバー犯罪対策課のような組織も既にありますが…問題は各県警バラバラなこと…)

などが考えられるかと思います。

　個人的には、1つ目は権限を持たせすぎて、また別の意味での暴走を招きかねないと思うので、2つ目推しです。
　ただし、いずれのケースの場合においても、簡単な事例に関しては、地方の警察でも捜査を行える様にするべきとも思います。そうでないとホップアップ警告程度の問題、(不正指令とは関係ありませんが、)ネット上の詐欺の捜査でリソースが消費されてしまったり、実際の被害を受けた人と捜査機関との距離が広がってしまうと考えるからです。

その2へ続く