CODE BLUE CFP is now open

Dear friends.

I am the member of steering committee of CODE BLUE-cyber secuirty conference in Tokyo.

Now CFP is open.

Last year,there was a law and policy track and we welcome excellent speakers.Unfortunately we do not have the separate track for law and policy this year.But we appreciate you CFP application.

We are looking forward to seeing you in Tokyo.

Ikuo Takahashi

米クラウド法で情報開示要求 日本企業、板挟みの恐れ

「米クラウド法で情報開示要求 日本企業、板挟みの恐れ 」という記事がでています。

このブログでも、クラウド法は、紹介してきました。CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)(中)(下)です。

米国におけるドキュメントに対する提出命令の発令が、そのデータのコントロールをなしうるか、どうか、という要素を重視してなされていることもあって、米国の裁判所が、我が国においてデータが、(物理的に)保存されている場合に、米国の会社もしくは、我が国の会社に対して提出命令がなされることは、ありうることです。

この場合に、米国政府の提出命令と我が国の個人情報保護法とで、板挟みの状態に生じうるのは、理論的には、そのとおりということになります。解釈論としては、

日本の個人情報保護法には、「法令に基づく場合」は保護義務の例外とする規定がある。しかし「この法令は日本法のことで、外国の政府からの命令に応じることはこの例外規定にあたらない」(東京大学の宍戸常寿教授)

というのは、異論も起こりうるところかと思いますし、解釈論として、comityがある国の裁判所の命令は、我が国の法体系のもとで、自動的に効力が承認されるので、例外として「法令に基づく場合」として許容されるという解釈が、なされてもいいかなあと考えられます。

もとをただせば、このような板挟みは、クラウド法(この法律を悪くいう人がいますが、個人的には、上の一連のエントリでふれたようによくできていると思っていたりします)によって生じたわけではないです。古くは、マーク・リッチ事件(アメリカ対スイス-銀行の守秘条項が問題になったわけです)、Nova Scotia事件などで、国の執行管轄が衝突していたということはおきていたわけです。でもって、これらの事件を紹介しますといっておきながら、紹介していませんでした。

2018年3月に制定された同法は、米国政府が裁判所の令状に基づき、米国外のデータの開示を法的に強制できることを定めた。

というのは、上のエントリで紹介したように、そのような条文は、直接的にはありません。なので、法律家の方々は、コメントする際に、「クラウド法によって開示が強制されたので」とかいわないようにしましょうね。昔「愛国者法で、政府が、データを覗き見できるようになりました」とかの文言が政府の報告書に跋扈したように、デマも広まれば、(国内での)真実になってしまいますからね。

自動運転車に安全基準=改正道路運送車両法が成立

「自動運転車に安全基準=改正道路運送車両法が成立」という記事がでています。

道路運送車両法については、概要要綱条文となります。

概要によれば、主たる変更事項は、以下の四つになります。

1.保安基準対象装置への自動運行装置の追加

2.自動車の電子的な検査に必要な技術情報の管理 に関する事務を行わせる法人の整理

3.分解整備の範囲の拡大及び点検整備に必要な技術情報の提供の義務付け

4.自動運行装置等に組み込まれたプログラムの改変 による改造等に係る許可制度の創設等

IoTまわり的にみた場合には、1と4がチェックが必要かと思います。

1は、 保安基準の対象装置に 「自動運行装置」を追加 するものです。この場合、自動運行装置が使用され る条件(走行環境条件)を国 土交通大臣が付すことになります。

道路運送車両法は、41条20号に、 二十 自動運行装置  が加わります。そして、2項において

2 前項第二十号の「自動運行装置」とは、プログラム(電子計算機(入出力装置を含む。この項を除き 、以下同じ。)に対する指令であつて、一の結果を得ることができるように組み合わされたものをいう 。以下同じ。)により自動的に自動車を運行させるために必要な、自動車の運行時の状態及び周囲の状況を検知するためのセンサー並びに当該センサーから送信された情報を処理するための電子計算機及び プログラムを主たる構成要素とする装置であつて、当該装置ごとに国土交通大臣が付する条件で使用さ れる場合において、自動車を運行する者の操縦に係る認知、予測、判断及び操作に係る能力の全部を代 替する機能を有し、かつ、当該機能の作動状態の確認に必要な情報を記録するための装置を備えるもの をいう

と具体的な定義がなされることになります。あとは、具体的に保安基準によって、内容が決まってくることになります。

4は、 自動運行装置等に組み込まれたプログラムの改 変による改造であって、その内容が適切でなけれ ば自動車が保安基準に適合しなくなるおそれのあ るものを電気通信回線の使用等によりする行為等 に係る許可制度を創設し、 許可に関する事務のうち技術的な審査を(独)自 動車技術総合機構に行わせるものです。

条文としては、 99条の3に「特定改造」という概念がでてきます。

第九十九条の三  自動車検査証交付済自動車等について、次に掲げる行為(以下「特定改造等」という。 )をしようとする者は、国土交通省令で定めるところにより、あらかじめ、国土交通大臣の許可を受け なければならない。

一 自動運行装置その他の装置に組み込まれたプログラム等(プログラムその他の電子計算機による処 理の用に供する情報をいう。以下同じ。)の改変による自動車の改造であつて、当該改造のためのプ ログラム等が適切なものでなければ自動車が保安基準に適合しなくなるおそれのあるものとして国土 交通省令で定めるものを電気通信回線を使用する方法その他の国土交通省令で定める方法によりする 行為 

二  前号に規定する改造をさせる目的をもつて、電気通信回線を使用する方法その他の国土交通省令で 定める方法により自動車の使用者その他の者に対し当該改造のためのプログラム等を提供する行為

自動運転のための保安基準の制定実際に必要であることは目に見えていたわけですし、私のブログでも、「日経新聞の2ケ所に名前が」というところで紹介したコメントで、触れていました。あと、「IoTの脆弱性と安全基準との法的な関係」でもふれています。

解釈論としては、「 自動的に自動車を運行させるために必要な、自動車の運行時の状態及び周囲の状況を検知するためのセンサー並びに当該センサーから送信された情報を処理するための電子計算機及び プログラムを主たる構成要素とする装置 」というのは、自動車の中に蔵置された仕組みには、限らないと思われるのですが、そのような仕組みも保安基準の対象になるということが基準が設けられるのでしょうか、その場合に、どこで、限界を設けるのでしょうか、ということが気になったりします。

欧州理事会の域外からのサイバー攻撃への制裁枠組み

EU域外からのサイバー攻撃に対しての制限措置を課す枠組みを欧州理事会が決定したというプレスリリースがでています。

以下は、本文部分を訳してみます。

サイバー攻撃:欧州理事会は制裁を課すことができるようになった

2019年5月17日、理事会は、EUもしくは加盟国に対する外部からの脅威となるサイバー攻撃を抑止し対応するための標的とされた制限的措置を課すことを許可する枠組みを確立した。この枠組みは、共通の対外安全保障政策(CFSP)の目的を達成するために制限された措置が必要であると考えられる場合において、第三国もしくは国際組織に対するサイバー攻撃の場合を含む。

この新しい制裁体制の範囲内に入るサイバー攻撃は、重大な影響を及ぼすものであって、かつ、

・EU外から発信または実行されている、または、
・EU外のインフラストラクチャを使用する、または
・EU以外で設立または運営されている個人または団体によって実施されている、または
・EU外で活動する個人または団体の支援を受けて実施される

ものをいう。

潜在的に重大な影響を与えるサイバー攻撃の試みも、この制裁措置の対象となる。

より具体的には、この枠組みによって、初めて、EUは、 金銭的、技術的または物質的な支援を提供(他の方法も含む)することによって サイバー攻撃(企みを含む) に責任を負う、人物または団体に制裁を課すことが可能になる。制裁措置は、それらに関連する人物または団体にも課されることがある。

制限措置には、EUへの渡航者の禁止、および人と事業体の資産凍結が含まれる。さらに、EUの個人および団体は、記載されている人々に資金を提供することを禁じられる。

となります。

法的な興味としては、国際的な違法行為(international wrongful act)に関する対抗措置の理論が、この枠組みで、実行として整備されたものと理解しました。

むしろ、この「サイバー攻撃」という用語がどのような文脈で使われているのか、プレスリリースからは、重大な影響という用語が使われているのですが、この影響の判断をどのような基準で判断するのか、ということが問題になるかのように思えます。生命・身体・インフラ運営に対するインパクトのみか、民主政の過程が他の国からの影響を受けないという要素がはいっているのか、というのは、非常に重要かと思います。(報道では、EUの選挙を念頭においており、その意味での”ハイブリッド戦争” だとするものがおおいようです)。

生命・身体・インフラ運営だとすると我が国でも、同様の枠組みは、構築されているということができるように思えます。「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」というエントリでも触れていますが、実際に同様のインパクトがあった場合に我が国でも、同様の整理によって、制裁を課すことができるように思えます。

安倍首相「サイバー攻撃のみでも武力攻撃」 衆院本会議で

「 安倍首相「サイバー攻撃のみでも武力攻撃」 衆院本会議で 」という記事がでています。


サイバー攻撃が武力攻撃に当たるかについて「国際情勢や相手側の明示された意図、攻撃の手段、対応などを踏まえ、個別に判断すべきもの」と説明。その上で、武力攻撃に当たるケースについて「物理的手段による攻撃と同様の極めて深刻な被害が発生し、相手方により、組織的、計画的に行われる場合」とし、この場合は自衛のための武力行使が可能との認識を示した。



この論点については、このブログでなんども触れています。新聞記事自体も正確な表現になりつつあるかと思います。サイバーであるのか、力学的兵器であるか、という攻撃の性格というよりも、結果が重要であること、また、それが、組織的・計画的な攻撃としてなされること、がポイントであることが、この記事の重要な点ということがいえるでしょう。

私のブログですと、一番、体系的に書いてあるのか、「サイバー攻撃と武力行使」というブログかと思います。これを読んでもらえれば、安倍首相の回答が、国際的にもっとも標準的な回答であるということがわかるかと思います。

林紘一郎先生の最終講義でいただきました「セキュリティ経営」、「入門 情報セキュリティと企業イノベーション」、「ネットワーキング情報社会の経済学」

情報セキュリティ大学の林紘一郎教授の最終講義が4月20日にありまして、その際に本を3冊ほどいただていきましたので、ご紹介です。

ご紹介は、年代順に。

はじめは、「ネットワーキング-情報社会の経済学」から。

出版は、1998年です。1998年というと、私は、97年にサイバーセキュリティ97という会議で、初めてセキュリティの講演をしたあたりです。そのような観点から、この本をみてみると興味深いかなと思います。第1章が、 NET+Work+ingというタイトルで、組織のフラット化などを論じているのは、時代の先を見つめていたのだろうという感じがします。

次は、「入門 情報セキュリティと企業イノベーション」です。

これは、情報セキュリティ大学の2007年度の公開授業を講義録としてテープに起こしたものだそうです。林先生のところは、第1章 企業経営とセキュリティです。このテーマですと、「CIAとは」から始まりそうですが、企業とリスク、企業は何のために存在するか、という論点について、それも、経済学・経営学的な論の紹介がなされています。「入門」とついているところからいっても、情報セキュリティや企業について、いろいろな関心をもっている人のための導入的な書物ということなのだろうと思います。

3冊目は、「セキュリティ経営 ポスト3.11の復元力(レジリエンス)」で、2011年12月に発行されています。

私個人は、情報資産の活用(機会)と損失とをマネジメントするという意味で、情報ガバナンスという用語を使っているのですが、林先生は、それを講義の情報セキュリティという用語を使われているようです。そのような情報セキュリティがもっとも重要な経営の課題になるということ、そして、それを「係長セキュリティ」から「社長セキュリティ」というキャッチフレーズをも踏まえて解説しているわけです。

この本では、特に林先生のコミットメント責任という仮説が紹介されているのも注目されるべきかとも思います。個人的には、どうも、理解できないところがあるのですが、自分で深く考える際には、もう一度読み返したいところです。

「サイバー対策へ新庁を自民提言、25年創設めざす」の記事からENISAをまとめてみる

前の「自民、サイバー捜査の強化提言へ ウイルス活用も」 のエントリでふれた自民党の提言ですが、日経新聞は、「サイバー対策へ新庁を自民提言、25年創設めざす」という観点から、記事にしています。

ここで、「新庁」というのがどういうイメージなのかなあ、というのがなかなかわからないのですが、各省庁の重複や守備範囲の漏れなどがなくなるのであれば、良い方向だということがいえるかと思います。

サイバーセキュリティ庁ということで、ふと、気になったのが、欧州ネットワークセキュリティ庁(ENISA)なので、いい機会なので、欧州のサイバーセキュリティ法とENISAの位置づけをエントリにしてみようかと思います。

 ENISA(欧州ネットワーク情報セキュリティ庁)は、欧州のサイバーセキュリティの戦略のなかで、重大な役割をになっています。その使命は、欧州共同体の能力向上、政策立案、専門的分析等です。本部は、ギリシアのクレタ島です。(私は、2010年に調査で訪問しました)

特に、ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになっています。

サイバーセキュリティ法は、 「ENISA(欧州サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」 の通称で、規則は、こちらです。

1 EUおよび加盟国レベルでの能力と備えの向上  2 利害関係者の協力と調整を改善する 3 加盟国の行動を補完するためのEUレベルの能力の向上 4 EUにおけるサイバーセキュリティ意識の促進 5 サイバーセキュリティ保証の透明性の向上 6 認証スキームの細分化を避ける を目的としています。

2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたり、(https://ec.EUropa.EU/commission/news/cybersecurity-act-2018-dec-11_en)、今年の3月19日に欧州議会の委員会で採択されています。理事会での議決を経て、規則として効力が発生するスケジュールです。

サイバーセキュリティ法は、二つのパートから成り立つています。
2部は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、3部は、サイバーセキュリティ認証枠組み(43条以下)です。

2部は、

1章 使命・目標・タスク(3条-11条)

2章 組織(12条-25条)

3章 予算の創設および構造(26条-30条)

4章 スタッフ(31条-34条)

5章 一般規定(35条以下)

についての定めがなされています。

強制的な政策が必要であることから、適切な資源を割り当て、永続的な立場を与える必要があるという認識がなされ、ENISAの役割が強化されています。

サイバーセキュリティ法、サイバーセキュリティ戦略、設計図(ブループリント) (2017年9月13日の「大規模サイバーセキュリティインシドントおよび危機に対する強調された対応についての欧州委員会勧告」(https://ec.europa.eu/digital-single-market/en/news/cybersecurity-package-resilience-deterrence-and-defence-building-strong-cybersecurity-eu))「NISの最大利用」公式通達( 2016年7月5日の欧州委員会の公式通達をいう。「欧州のサイバーレジリエンスシステムの強化および競争的イノベーティブなサイバーセキュリティ産業の養成」(欧州委員会から欧州議会、欧州理事会、経済社会評議会および地域委員会への通達)(https://ec.europa.eu/transparency/regdoc/rep/1/2016/EN/1-2016-410-EN-F1-1.PDF) )を実現する中心としてENISAが考えられています。


「自民、サイバー捜査の強化提言へ ウイルス活用も」などの記事

「自民、サイバー捜査の強化提言へ ウイルス活用も」などの記事がでています。

「 自民、サイバー捜査の強化提言へ ウイルス活用も 」という記事が出ています。また、日経新聞は、「サイバー対策へ新庁を」というタイトルで報道しています。

多分、包括的な提言なので、各報道によって、焦点をあわせているところが違うのでしょう。

サイバー捜査の強化提言についていえば、比較法的には、英国における2016年調査権限法が参考になるかと思います。


この点に関する英国の法規制は、2016年調査権限法(Investigatory Powers Act 2016)になります。なお、通信に関する傍受規定以外については、2000年調査権限法(Regulation of Investigatory Powers Act 2000)(および2016年調査権限法)の規定を検討することが有意義です。

でもって、お約束なのは、通信のクラスごとに求められる法的な関与の仕組みが異なるということです。                              

 

 

認可が必要か

令状が必要か

監督

通信データ

通信傍受コミッショナー

特定機器干渉

情報サービスコミッショナー

通信傍受

通信傍受コミッショナー

 
 情報機関(SIS,GCHQ、防衛情報機関)、法執行機関が、一定の枠組のもとで、情報を取得するのは、Intelligence Services Act 1994などで定められており、現在では、2016年調査権限法がその権限を定めています。

我が国で、「通信の秘密」教団の方が、比較法も調べないで、通信に関する事実も等しく我が国では、保護されているなどということがありませんように。

通信の外形的事実(通信データ)部分を取得するのには、法執行機関内部の認可はいるとしても、裁判所の令状はいらないことになります。
 保存通信へのアクセス
 通信機器介入というのは、通信機器の脆弱性等を利用して、その機器における保存通信に対してアクセスする行為をいいます。このような通信機器介入は、法執行機関であったとしても、通信機器介入令状を取得しなりません。

この令状には、(a) 標的機器干渉令状(targeted equipment interference warrants );(b)標的機器検証令状( targeted examination warrants)があります(同法99条)。


 調査権限法13条(1)は、 「機器介入令状の強制的使用」として
 (1) 諜報機関は、通信、個人情報または機器データを取得する目的で、機器介入令状によって許される行為を行うことはできません。ただし、 以下の場合はこの限りではない。
(a)諜報機関は、行為が(合法的な権限の下で行われない限り)1990年コンピュータ誤用防止法の第1項から第3A項に基づく1つ以上の犯罪(コンピュータの悪用犯罪)を構成すると考える場合
かつ
(b)イギリス諸島との関連性(connection)がある場合。

と定めています。

この条文によれば、英国とのコネクションが存在しない場合には、コンピュータ不正使用法に該当するような行為を行う場合でも、安全保障部門および諜報部門は、令状を不要であること、また、その場所をとわず、コンピュータ不正使用法に該当しない場合には、令状がいらないことが示されています。

この理は、公表されている「機器介入実務規範(Equipment Interference Code of practice )」[1]において確認されています。
結局、自らが権限を有する端末に対してアクセスする場合についていえば、保存通信へのアクセスのように見えたとしても、コンピュータ不正使用法の規定に該当しないので、調査者としては、なんら問題なく、自らの通信として調査しうることになるわけです。

国内通信と国際通信とでは、その取得の根拠が異なるのではないか、という問題意識が、明らかにされるという意味でも個人的はおもしろいと思っています。

サイバー新庁については、別のエントリで。
[1]
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/496069/53693_CoP_Equipment_Interference_Accessible.pdf

日米安全保障協議委員会共同発表

このブログで、「サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対処、優先事項に」ということを触れていましたが、共同発表は、こちらです。

サイバー空間に係る課題に関し,閣僚は,悪意のあるサイバー活動が,日米双 方の安全及び繁栄にとって,一層の脅威となっていることを認識した。

この脅威 に対処するために,閣僚は,抑止及び対処能力を含む,サイバーに係る課題に関 する協力を強化することにコミットしたが,優先事項として,各々の国が国家の ネットワーク及び重要インフラ防護のための関連能力の向上に責任を負ってい ることを強調した。

閣僚は,国際法がサイバー空間に適用されるとともに,一定 の場合には,サイバー攻撃が日米安保条約第5条の規定の適用上武力攻撃を構 成し得ることを確認した。

閣僚はまた,いかなる場合にサイバー攻撃が第5条の 下での武力攻撃を構成するかは,他の脅威の場合と同様に,日米間の緊密な協議 を通じて個別具体的に判断されることを確認した。

日米安全保障協議委員会共同発表

「日米安保条約第5条の規定の適用上武力攻撃を構成し得ることを確認した。 」というのは、俗にいう、サイバー攻撃がそれ自体で、武力攻撃になるわけではなくて、「 非常に深刻な結果が生じる場合 」をいうと考えられると思われます(国連憲章の解釈では、性質か、結果か、という争いが有るわけですが)。

事前に閾値を明らかにすることは、賢明とはいえませんので「 日米間の緊密な協議 を通じて個別具体的に判断されることを確認した 」ということになるわけです。

Legal issues of Israeli strike in retaliation

前のブログの問題について、Schmitt先生のtwitterを見つけたので、さらに検討してみました。


The question is whether the target qualified as a military objective during an armed conflict under international humanitarian law

国際人道法のもとにおいて目標物が、武力紛争の際の軍事施設であるかどうかが問題である。

ここで、法的な話としては、イスラエル対イスラミック・ジハードが、「武力紛争」であるとされていること、サイバー攻撃者の施設が、軍事施設といえるか、ということが問題となっています。

イスラエル対 イスラミック・ジハード が、国際法上の「武力紛争」といえるのか、という問題があるかと思います。この点については、河西辰哉「ガザ地区における武装的暴力と国際人道法」という論文があって、2008年当時の紛争については、その性格を否定しています。ただし、当時と現在の紛争とでは、レベルも違いそうです。

今回の紛争について、テロ対警察活動なのか、それとも武力紛争なのか、という点については、
2018-19JINSA’s Gemunder Center Hybrid Warfare Task Force “Defending the Fence: Legal and Operational Challenges in Hamas-Israel Clashes”, という論文があります。 この論点は、非国際的武力紛争という論点なので、もうちょっと研究してから、コメントします。

If so, the issues to consider are proportionality and precautions in attack. See Additional Protocol I, arts. 51, 52, 57 and customary IHL.

軍事目標だとすると、攻撃における比例原則と事前警告を考慮することが論点となる。ジュネーブ追加議定書Ⅰ、51条、52条、57条と国際人道慣習法を参照せよ

なので、ジュネーブ諸条約追加ですね。外務省のページは、こちら

第51条 文民たる住民の保護

1 文民たる住民及び個々の文民は、軍事行動から生ずる危険からの一般的保護を受ける。この保護を実効 的なものとするため、適用される他の国際法の諸規則に追加される2から8までに定める規則は、すべて の場合において、遵守する (以下略)

第52条 民用物の一般的保護

1民用物は、攻撃又は復仇 きゆう の対象としてはならない。民用物とは、2に規定する軍事目標以外のすべての 物をいう

2攻撃は、厳格に軍事目標に対するものに限定する。軍事目標は、物については、その性質、位置、用途 又は使用が軍事活動に効果的に資する物であってその全面的又は部分的な破壊、奪取又は無効化がその時 点における状況において明確な軍事的利益をもたらすものに限る。 (以下、略)

第57条 攻撃の際の予防措置

1軍事行動を行うに際しては、文民たる住民、個々の文民及び民用物に対する攻撃を差し控えるよう不断 の注意を払う。

2攻撃については、次の予防措置をとる。

(a)攻撃を計画し又は決定する者は、次のことを行う。

(i)攻撃の目標が文民又は民用物でなく、かつ、第五十二条2に規定する軍事目標であって特別の保護 の対象ではないものであること及びその目標に対する攻撃がこの議定書によって禁止されていないこ とを確認するためのすべての実行可能なこと。 (以下、略)

(c)文民たる住民に影響を及ぼす攻撃については、効果的な事前の警告を与える。ただし、事情の許さな い場合は、この限りでない

ということになります。

報道からするときに、攻撃のなされている物理的な本拠地であれば、軍事目標と解釈されるように思います。