イスラエル軍、イスラム過激派のサイバー部隊に空爆実施。サイバー攻撃への即時反撃と説明

「イスラエル軍、イスラム過激派のサイバー部隊に空爆実施。サイバー攻撃への即時反撃と説明」という記事がでています(ZDNet)

なお、英語での記事ですと、Zark Doffman“Israel Responds To Cyber Attack With Air Strike On Cyber Attackers In World First” 、Kate O’Flaherty”Israel Retaliates To A Cyber-Attack With Immediate Physical Action In A World First “があるかと思います。

論点的には、まず、ハマスのサイバー攻撃が、どのようなレベルのものであったのか、ということになります。武力攻撃といえるのか、それとも、イスラエルの重要インフラに多大な影響を与える「主権」にたいする介入レベルだったのか、ということになります。O’Flaherty記事によれば、イスラエル軍とハマスとの戦闘の間における攻撃であったということです。

少なくても、イスラエルの主権に対する介入レベルであったことは間違いがないので、イスラエルは、これに対して、有形力でもって、反撃するということで、復仇( retaliation )ということになるかと思います。

この場合、論点としては、手法・結果において、受けた被害が釣り合うのかという比例原則の論点になるのではないかと思います。

サイバーによって直接は人は死なないから、違法なのではないか、と主張される(ZDNet)としても、 現在の戦闘作戦において、サイバー攻撃の役割を考えるときに、 具体的には、そのようないえないのではないか、という気もします。

もっとも、イスラエルの行き過ぎた殺傷力の行使は、違法であるということがいわれているので、今回も同様であると位置づけられるのかもしれません。もうすこし、具体的な事実関係がわからないとなんともコメントがだせないかもしれません。

英国における暗号資産への規制

前回、ご紹介したタスクフォース報告書は、その2.23以降においては、「暗号資産と金融サービス規制」の考察に移ります。

2.23では、


英国の金融サービス規制は、 金融行動監視機構 (FCA)およびイングランド銀行によって幅広く実施されている(健全性規制機構(PRA)を含む)。
•FCAの規制は、消費者を害から守り、英国の金融サービス部門の完全性を保護し、強化し、そして消費者の利益のために有効な競争を促進することを目的とする。
•イングランド銀行の規制は、(PRAを通じて)企業の安全性と健全性を確保し、(金融政策委員会および当行の金融市場インフラストラクチャの監督を通じて)金融の安定性に脅威を及ぼしかねないシステミックリスクを排除または軽減することを目的とする。

としています。そして、規制を一覧とした表を準備しています(表2.A)。


暗号アセットの一般的な使用方法

規制の枠内(perimeter)か、どうか

詳細

最も一般的なユースケース

交換手段として

暗号資産の種類によって異なる

決済サービス規則 の下での決済サービス規制は、法定通貨ファンドを含む活動のみをカバーしている。したがって、交換手段として使用される暗号資産は規制枠内には入らない。しかし、交換手段として使用される暗号資産には、電子マネーの定義を満たしうるものがある。

BitcoinやLitecoinなどの交換トークンは、商品やサービスの売買を可能にするために使用できうるが、通貨やマネーとは見なされない。例えば、中央によって発行されるなど、特定の方法で構成され、 第三者に受け入れられ ている場合、ユーティリティトークンは電子マネーと考えられうる。

規制された支払いサービスを促進するため。
枠内決済サービス規則 に規定されているように、規制されている決済サービスを容易にするために暗号資産が使用される場合、このサービスを運営する事業は規制枠内に入る。
暗号資産は、国境を越えた取引の媒介として使用できる(例えば、GBP  –  Bitcoin  –  USD)。このようなサービスの側面は決済サービス規則の送金として規制されているが、これには取引の暗号資産部分は含まれない。

暗号資産への直接投資用

暗号資産の種類と投資家の種類による。

暗号資産への直接投資は、暗号資産が証券トークンであるか、または、投資が、投資スキームであるとして規制されていない限り規制枠内に収まらない。

Bitcoin、などの交換トークン、証券、ユーティリティトークンはすべて、企業や消費者によって投資の一形態として保有できる

暗号資産を参照する金融商品を通じてなされる間接投資

範囲内

暗号資産を参照する金融商品は、規制枠内に入る可能性がある。また、 これらの商品は、第2次金融商品指令(MiFID II)に基づく金融商品である可能性もある。

暗号資産を参照する金融商品には、差額契約(CFD)、オプション、先物、取引所債、集団投資スキームの単位、またはオルタナティブ投資ファンドが含まれる

資金調達ツール、または分散ネットワークの作成など、特定のプロジェクトをサポートするために設計されたプロセスの一部として。

証券トークンの場合-範囲内

証券トークンは、RAOに規定されている特定投資に相当する。
例えば、それらは、株式、債券、または集団投資スキームの単位などの有価証券(または、その特性から類似のものであることを意味します)である。それらは、第2次金融商品指令(MiFID II)に基づく譲渡可能な証券または金融商品である可能性もありうる。

証券トークンまたはユーティリティトークンは通常、ICOを通じて発行される。決済トークンはICOを通じて発行することもできる。
同上
ユーティリティトークンの場合-いいえ

ユーティリティトークンは、通常、RAOに規定されている特定投資の特徴を持っていない
同上

暗号資産の定義が「 何らかの種類のDLTを使用し、電子的に転送、保管、または取引することができる、暗号化された、価値または契約上の権利のデジタル表現 」であるということは、前のエントリで触れています。

表現されている価値または契約上の権利がなんであるのか、というのが、金融規制の適用についてきわめて重要な意味を有しているというのが、上の表からわかることになります。

これを図にすると、次のようになるかと思います。暗号資産というのは、英国においては、アンブレラ的な概念であって、電子マネー、仮想通貨、金融商品、特定投資、ユーティリティなどをも含むものということになります。

「価値または権利のデジタル表現」とされているわけですが、まさに表現されている価値・権利が何なのか、ということが、個々のリスクを考えるのに影響を及ぼすということになります。前に、「「仮想通貨を暗号資産とよびかえる」と単純にいっていいのか、微妙な問題があるといえそうです」としたわけですが、むしろ、現在の法体系は、上の図でいう、「仮想通貨」のためのリスク対応体制を整えているので、 呼称の変更は、拙速であるように思えます。

英国における「暗号資産」の概念

G20やFATFでの「暗号資産」をめぐる議論をみてきたわけですが、金融の本場、英国において、どのように議論されているか、というのを見ていくことにしたいと思います。

英国では、2018年10月に「暗号資産タスクフォース 最終報告」が公表されています。https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/752070/cryptoassets_taskforce_final_report_final_web.pdf

この報告書は、 財務省・金融行動監視機構・英国銀行 がまとめたものです。

構成としては、第1章 序章、第2章 主たる概念、第3章 分散台帳技術(以下、DLT)のインパクト 、第4章 暗号資産のインパクト、第5章 結論と反応からなりたっています。

報告書の概観は、1.8に述べられているので、それをみると


第2章では、主要概念の概要を説明し、英国市場の概要を説明し、暗号資産の種類とDLTを区別するためのTaskforceのフレームワークを説明する。 また、現在の規制が種々の暗号資産の利用に対してどのように適用されるかという限界を明らかにしている。

第3章では、金融サービスにおけるDLTの影響について考察する。 それは規制当局が、仕事と革新的な会社のそれの両方を通して見た利益を探求して、そしてDLTのさらなる展開への障壁を明らかにしている。

•第4章では、暗号資産に関連するリスクと潜在的な利点について評価する。

•第5章では、タスクフォースの結論と、HM財務省、 金融行動監視機構 、およびイングランド銀行が取るべき行動について説明する。

となっています。この報告書の記述に関して、きわめて参考になるのは、第2章 主たる概念のうちの暗号資産に関する記述であると思われます。

  • 2.9 暗号資産はDLTの1つのアプリケーションです。すべての暗号資産が何らかの形式のDLTを利用する一方で、DLTのすべてのアプリケーションが暗号資産を含むわけではありません。現在最も一般的な暗号資産は、パーミッションなしの元帳をもとに発行されています。
  • 2.10 暗号資産について広く合意された定義は1つもありません。大まかに言って、暗号資産は、何らかの種類のDLTを使用し、電子的に転送、保管、または取引することができる、暗号化された、価値または契約上の権利のデジタル表現です。暗号資産の例には、BitcoinとLitecoin(およびその他の「cryptocurrencies」)、およびInitial Coin Offering(ICO)プロセスを通じて発行されるもの(「トークン」と呼ばれることが多い)があります(略)。
  • 2.11タスクフォースは、大まかにいって3つのタイプの暗号資産があると考えています。
    A.決済(Exchange)トークン –  Bitcoin、Litecoinなどの「暗号通貨」と呼ばれることがよくある。それらは、DLTプラットフォームを利用しており、中央銀行や他の中央機関による発行/背景がされていない。これらは、証券トークンまたはユーティリティトークンによって提供される種類の権利またはアクセスを提供するのではなく、決済の手段として、または投資のために使用されます。
    B.証券トークン – 金融サービス市場法(2000)(規制措置)命令(RAO)に定められている「特定の投資」に相当する。所有権、特定の金額の返戻金、または将来の利益の分配権などの権利を提供する場合がある。それらは、EUの第2次金融商品指令(MiFID II)の市場における譲渡可能な証券または金融商品である可能性もあります。
    C.ユーティリティトークン – 通常はDLTプラットフォームを使用して提供される特定の製品またはサービスへのアクセスと引き換えることができる。

そして、この報告書によれば、それぞれの目的等をまとめると上のような図になるといっている。

そして、報告書においては、上の三種類に応じて、現在の英国の規制の状況を概説しているのである(2.24-)

規制の詳細については、省略するが、結局、暗号資産というものが、その表象しているものの性質に応じてきわめて多彩なタイプを含んでいるということは、念頭においてしかるべきものであるように思われる。


「暗号資産」の用語について (2)

平成30年9月28日「「暗号資産に関する監督・監視ラウンドテーブル -最近の進展と将来の課題- (“Roundtable on Supervisory Oversight of Crypto-Assets –Recent Developments and Challenges Going Forward-”)」が東京(於:金融庁)で開催されました。[1]

ここで、我が国でも暗号資産という用語を一般的に利用するということが明確になったということになるかと思います。

2018年11月 G20 BUENOS AIRES ACTION PLANが公表されました。このアクションプランにおいては、

「16.技術革新の恩恵をフルに享受するために、暗号資産の潜在的なリスクを監視し、必要に応じて多国間の対応を評価します。 我々は、暗号資産に関連するAML / CFTリスクに対して効果的でグローバルなリスクベースの対応が緊急に必要であることを認識しています。 FATFの支援を得て、暗号およびその他の仮想資産に最近修正されたFATF規格を適用することを約束します。 私たちは、IOSCOが暗号資産プラットフォームに取り組むのを楽しみにしています。 我々はまた、サイバーレジリエンスの強化にも尽力しており、金融機関のサイバーインシデントへの対応及びそれからの回復に関連する効果的な手段を特定するためのイニシアチブに関する進捗状況について2019年サミットに報告するようFSBに依頼します。 Bali Fintech Agendaを歓迎します。」

http://www.g20.utoronto.ca/2018/2018-buenos-aires-action-plan.html

2018年12月21日 「仮想通貨交換業等に関する研究会」で報告書が公表されました。同報告書(31ページ)は、

最近では、国際的な議論の場において、“crypto-asset”(「暗号資産」)との表現が用いられつつある。また、現行の資金決済法において、仮想通貨交換業者に対して、法定通貨との誤認防止のための顧客への説明義務を課しているが、なお「仮想通貨」の呼称は誤解を生みやすい、との指摘もある。

こうした国際的な動向等を踏まえれば、法令上、「仮想通貨」の呼称を「暗号資産」に変更することが考えられる。

https://www.fsa.go.jp/news/30/singi/20181221-1.pdf

新聞報道等でも、「仮想通貨、「暗号資産」に名称変更へ 金融庁  2018/12/17 17:37」という報道がなされたりしていました。

で、「暗号資産」という用語が一般化したか、というと、そうとまでは、言い切れないかもしれません。

2019年1月9日 欧州銀行監督局は、” 「暗号資産」についての欧州委員会助言に関する報告書Report with advice for the European Commission on crypto-assets ” を公表しています。この報告書においては、

暗号資産は、認知される/本質的な価値の一部に関して、暗号技術と分散元帳テクノロジに主に依存する一種の私有資産です。 暗号資産は、種々の形態において存在し、決済/交換型のトークン(例えば、いわゆる仮想通貨 (VC))、投資型のトークン、および商品またはサービスにアクセスするために適用されるトークン(いわゆる「ユーティリティ」トークン)を含む。

と論じられています(要約)。また、その7ページの用語についての表においては、

現在、国際標準設定機関によって使用されている暗号資産の共通の分類法はありません。 しかし、一般的に言えば、暗号資産の基本的な分類法は、暗号資産の3つの主なカテゴリーから構成されています。

とされています。

また、2019年4月には、FATFから報告書が公表されています。

 FATFは、これらの要件の基礎として「仮想資産」という用語を採用することを決定しました。これは、デジタルで取引または移転することができ、支払いまたは投資目的で使用できる価値のデジタル表現として定義されます。 これには、G20で「暗号資産」と呼ばれているテクノロジや、国内法で「仮想通貨」と呼ばれているテクノロジが含まれます。 この用語は、改訂されたFATF勧告が異なる技術に関して中立であることを確実にするのを助け、将来の開発に対応することができます。

同報告書 2頁 注1

これらを見ていくと、「仮想通貨を暗号資産とよびかえる」と単純にいっていいのか、微妙な問題があるといえそうです。仮想通貨は、暗号資産の一類型のみなので、これを暗号資産と呼びかえると(日本において)世界的に語るときには、広義の暗号資産(仮想通貨以外にもデジタルで表象される有価証券的なものなどを含む)と狭義の暗号資産(仮想通貨)が生まれます。暗号資産とクリプトアセットにしましょうかね(あたかも、Personal Dataとパーソナルデータが違う意味をもつように-ここら辺のセンスのなさは、10数年たっても変わらないわけです) 。


[1] https://www.fsa.go.jp/news/30/virtual_currency/20181009.html

「暗号資産」の用語について (1)

暗号資産の用語が用いられるようになっていった経緯については、以下のようにまとめられるかと思います。

2018年2月10日、フランスとドイツが、 3月のアルゼンチンのG20の 蔵相・中央銀行担当者会議で 暗号ポリシを議論するように要請しました。この手紙において「”通貨”であると誤って名付けられてられており、リスクに着目していない。」として、仮想通貨という名称が問題であるという態度が示されていました(France and Germany demand Bitcoin clampdown )。

2018年3月14日 日本は、G20サミット(次週からは、蔵相・中央銀行担当者会議)において暗号ルールを制定するのを支援するという態度を明らかにしました。 https://news.bitcoin.com/japan-to-call-for-crypto-rules-at-the-g20-summit/ [1]

 3月20日 G20の 蔵相・中央銀行担当者会議 コミュニケ は、以下のとおりです。[2]

そのコミニュケでは

「我々は、その基礎となる暗号資産を含む技術革新が、金融システムと経済の効率性と包括性をより広く改善する可能性を秘めていることを認識しています。 しかしながら、暗号資産は、消費者および投資家の保護、市場の健全性、脱税、マネーロンダリングおよびテロ資金調達に関して問題を提起します。 暗号資産には、主権通貨の重要な特質が欠けています。 ある時点で、彼らは金融安定性に影響を与える可能性があります。 私達は、 FATFが、 暗号資産に適用する規格を 実行し、規格に対するFATFレビューを待ち望み、 FATFに対してグローバルな実装を進めることを求めます。我々は、国際基準設定機関(SSB)に対し、その義務に従って暗号資産とそのリスクの監視を継続し、必要に応じて多国間の対応を評価するよう要請します。」

http://www.g20.utoronto.ca/2018/2018-03-30-g20_finance_communique-en.pdf

と述べています(パラグラフ9)。

なお、財務省では、この会議の概要が公表されています。

注目された仮想通貨に関しては、会議では「暗号資産*1」と定義された上で、それが「ソブリン通貨の主要な特性」を欠いていると指摘される一方、「暗号資産の基礎となる技術を含む技術革新が、金融システムの効率性と包摂性及びより広く経済を改善する可能性を有している」という認識が共有された。木原副大臣からは、中でも国際的協調が特に必要なマネロン・テロ資金供与対策に関し、2015年のFATFガイダンスの内容を拘束力のあるFATF基準に格上げすることを期待するとともに、仮想通貨交換業についての法制度が未整備の国は現行のFATFガイダンスに則り速やかに法整備を進めることが必要である、と発言した。その結果、コミュニケでは、「暗号資産に提供される形でのFATF基準の実施にコミットし、FATFによるこれらの基準の見直しに期待し、FATFに対し世界的な実施の推進を要請」することが確認された。

G20ブエノスアイレスの概要https://www.mof.go.jp/public_relations/finance/201805/201805d.html

2018年7月1日には、“ FATF Report to the G20 Finance Ministers and Central Bank Governors”が公表されています[3]。

報告の構成は、以下のとおりです。

  •  FATFのプログラム(5-15)
  • マネーロンダリングおよびテロリスト金融のリスク(7-8)
  • 仮想通貨/暗号資産の規制環境(9-11)
  • 世界標準およびガイダンス(12-)
  •  大量破壊兵器にたいする金融への対抗(16-18)
  • テロリズムへの金融対抗(19-22)
  • 恩恵的情報保有者の透明性可用性の向上(23-) 
  •  刑事司法システムの効率性の向上(26-28)
  •  リスク解消(29-)
  •  フィンテック・レグテック/デジタルid

ちなみにですが、この報告書では、 仮想通貨/暗号資産 という表現がとられています。(2018年3月では、仮想通貨という表現でした)

20か国財務大臣・中央銀行総裁会議声明(仮訳)(2018年7月21-22日 於:アルゼンチン・ブエノスアイレス)においては、暗号資産という用語が用いられています[4] ただし、具体的な定義規定は、存在していません。

「10.  暗号資産の基礎となるものを含む技術革新は、金融システム及びより広く経済に重要な便益をもたらし得る。しかしながら、暗号資産は消費者及び投資家保護、市場の健全性、脱税、マネーロンダリング、並びにテロ資金供与に関する問題を提起する。暗号資産は、ソブリン通貨の主要な特性を欠いている。暗号資産は、現時点でグローバル金融システムの安

定にリスクをもたらしていないが、我々は、引き続き警戒を続ける。我々は、FSB及び基準設定主体からのアップデートを歓迎するとともに、暗号資産の潜在的なリスクを監視し、必要に応じ多国間での対応について評価するための更なる作業を期待する。我々は、FATF基準の実施に関する我々の3月のコミットメントを再確認し、2018年10月に、この基準がどのように暗号資産に適用されるか明確にすることをFATFに求める。」

続きます。


[1] https://news.bitcoin.com/japan-to-call-for-crypto-rules-at-the-g20-summit/

[2] http://www.g20.utoronto.ca/2018/2018-03-30-g20_finance_communique-en.pdf

[3] http://www.fatf-gafi.org/media/fatf/documents/reports/FATF-Report-G20-FM-CBG-July-2018.pdf

[4] https://www.mof.go.jp/international_policy/convention/g20/20180722.htm

暗号資産-福岡ブロックチェーンエコノミー勉強会

山崎先生が主催する福岡ブロックチェーンエコノミー勉強会が、4月27日に開かれました。

テーマは、 法規制の対象としての「暗号資産」とは? です。

講師の顔ぶれは

  • 高橋郁夫 弁護士 駒澤綜合法律事務所
  • 岡田仁志 国立情報学研究所
  • 吉井和明 弁護士 弁護士法人ALAW&GOODLOOP
  • 安土茂享 株式会社chaintope
  • 山崎重一郎 近畿大学

勉強会のイベントのページは、こちらです

山崎先生のイントロのスライドが、公表されています。スライドシェア

私のスライドも公表してもらうことになっています。それに並行して、ちょっと考察をエントリにしていこうかと思います。

政府、反撃用ウイルス初保有へ サイバーで新対処策

「政府、反撃用ウイルス初保有へ サイバーで新対処策 」という記事がでています。

(1)日本の安全保障を揺るがすようなサイバー攻撃を受けた場合

(2)反撃する

(3)コンピューターウイルスを作成、保有する方針

だそうです

(1)の要件については、武力攻撃事態等(武力攻撃事態及び武力攻撃予測事態 )等をいうのかしら、とか、逆にそのレベルに達しない場合は、どうなるのだろうか、とか考えていたりします。

ちょっとしたメモとしては、このブログの「サイバーにおける自衛権、武力攻撃、武力行使、対抗措置」があります。

(2)については、攻撃者に対して、強制的な効果を有することが要件になるのか、また、証拠取得のみはどうか、という論点もありそうです。

論文としては「アクティブサイバー防御をめぐる比較法的検討」を書いていたりしますので、それも参考になるかと思います。ただし、この論文は、民間企業における攻撃を受けたこと機会とする強制的な反撃をめぐる論点なので、国家のなす防衛行為は、考察の範囲外ということになります。

ジョゼフナイ 露のサイバー攻撃 報復警告と外交で対処

読売新聞 4月29日 一面には、ジョセフ・ナイ教授の「露のサイバー攻撃 報復警告と外交で対処」が掲載されています。

読売新聞のナイ教授の記事としは、2017年5月1日の「サイバーと倫理」2018年8月26日 「 露のサイバー攻撃 戦闘伴わぬ「新兵器」」 に継ぐものかと思います。

内容としては、

1)2016年のロシアの大統領選に対するサイバー攻撃に対しては、効果的な対応ができなかった

2)この状況が変わってきている。

3)2018年中間では、ロシアの情報工作を阻止したこと

4)ハイブリッド戦争のようなグレーゾーンでも抑止を強調するドクトリンは、有効であること

5)経済制裁・渡航禁止措置は、有効であること

6)外交も必要となること

7)特定の種類の民間施設に対する攻撃に制限をもうけ、衝突の危険を極小化する大まかなルールの交渉は可能であること

8)現状は、民主主義的な開放性を米国のほうが、失うものが大きいこと

9)「米国が順守を誓い、ロシアが違反してきた規範はどれなのかをずばり明らかにする」べきという議論に賛成すること

10)公開のプログラムと放送は、容認されるが、隠密の組織的活動を通じた自己宣伝は、拒否すること

あたりでしょうか。

特に昨年の同名の論考(サブタイトルが、戦闘伴わぬ「新兵器」)から、比較すると、具体的な対抗措置の有効性について考察していることと、具体的な規範について考察し、今後の方向性を示唆している点で非常に興味深いと考えます。

9)についていうと、伝統的なエスピオナージの理論と現代的な情報の限界をどこに置くかというのは、国際法の文脈でも議論されてきていたことは、このブログでも触れています。特に、タリンマニュアル2.0 パネルのエントリの質疑応答が参考になります。そこを再度引用しましょう。

1:24-)DNCについては、
(シュミット)国際法のグレイゾーンとして興味深いエリアだといえます。というのは、シュミット先生の見解によると、「国際法における禁止されている干渉」の問題と考えられるからです。これは、国際法は、主権国家は、他の主権国家の「Domaine Reserve」といわれる部分に強制的な方法(coercive manner)で、干渉することは禁止されています。これに対して、エスピオナージは、国際法の違反には該当しないとされます。マニュアルでは、この点を描こうとしています。ここで、「強制的」(coercion)とは何かという問題になります。これについては二つの見解があります。一つはLiis先生の見解で、今一つは、シュミット先生の見解です。他国の民主国家に対する情報提供はすべて適法であるという考え方も存在し得ますが、シュミット先生の見解としては、この点は、ラインを超える場合のみが、この場合に該当するという見解です。超える場合としては、「過程を操作してしまう場合」については、国際法の違反と考えることができるという立場です。(追加・ロシアは)意図的にファジーな状態にしているので、法的には、「優秀な」法律家といえるでしょう。

この「ラインを越える場合」というのは、どのような場合をいうのか、という問題について、ナイ教授は、「隠密の組織的活動」を、国際的に違法とするべきだと主張していると理解しました。するとこの場合の要件は、「隠密性」と「組織性」になります。国内法における言論の自由市場の考え方も、隠密な、組織活動が違法となることを否定しないでしょうから、まさに、国際法と国内法の次元の裂け目(アベンジャーズか、ドクターフーか)を塞ぐ解釈になるかと思います。

英国の両用ツールについての詳細なガイドライン

「ウイルス罪、有罪と無罪の境界はどこにあるのか」の記事で

サイバー犯罪条約の規定に合わせて2006年に修正した箇所も含め、詳細なガイドラインを公開。起訴に当たって検察官(prosecutor)が考慮すべき点を明らかにしている。

という部分があります。この点については、私は、「情報セキュリティに関する両用ツールの開発等の行為と法的規制について―― 英国法からの示唆」( 掲載誌 InfoCom REVIEW 50巻p17~27) ISSN 1341-0024で論じているので、その内容を簡単に紹介します。

英国においてコンピュータのインテグリティへの犯罪を定めるコンピュータ不正使用法1990には、サイバー犯罪条約で定めるような「デバイス」についての規定を有していませんでした。そこで、サイバー犯罪条約の規定に適合させるために、「警察・司法法2006(Police and Justice Act 2006)」によって以下の規定が定められました。この規定(同法3A)の定めは、

3A (コンピュータ不正使用法-筆者追加)1条もしくは3条の犯罪において使用されるツール(articles)の作成、提供、取得
(1)1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するために、ツールを、作成、改変、提供、ないしは提供を申し込むことは、犯罪である。
(2) 1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するのに使われることがありそうだ(likely to be used)と信じて、ツールを、提供、ないしは提供を申し込むことは、犯罪である。
(3) 1条もしくは3条の犯罪を侵そうとして、もしくは、侵すのを幇助しようとして、ツールを取得することは、犯罪である。
(4) 本条において、ツールとは、電子的形態におけるプログラムないしは、データを含む。
(5)本条において有罪とされたものは、
(a) 略式裁判によりイングランドおよびウエールズにおいて、12月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(b) 略式裁判によりスコットランドにおいて、6月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(c) 正式起訴にもとづき、2年以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
の責任を負う。

というものでした。

この規定(同法3A)は、主観的態様によって3つの犯罪形態(目的の場合、犯罪の相当性の確信の場合、故意の場合)になることが明らかにされています。一方、客観的な行為に着目すると、作成/改変と提供/提供の申込とでは、主観的態様のレベルが異なることになります。

作成/改変行為については、犯罪目的がないといけないのに対して、提供/提供の申込については、犯罪の相当の蓋然(likely)性に対する確信で犯罪が成立するとしています。

この条項をめぐって、まさに提供/提供の申込に対する犯罪行為については、情報セキュリティの研究者、侵入試験者、そして、その余のプロに対して法的不明確さを生じてしまうと批判されました。

この批判に対応することを考えていたのか、英国検事局(Crown Prosecution Service)は、コンピュータ不正使用法の適用についてガイドラインを公表しています。

そのガイドラインによれば、「合法的な産業が、コンピュータ・システムのセキュリティに関与して、『ツール』(これは、電子的形態におけるプログラムもしくは、データを含んでいる)を作成し、ハードウエアやソフトウェアのテスト・監査に利用している。ツールには、したがって、両用の可能性があり、検察官は、容疑者が刑事的な意図を有していたかを確認することが必要になる。」とされています。そして、起訴にあたって、検察官は、具体的に

 組織、会社、もしくは他の主体は、きっちりとした、時宜にあった契約書、条項、条件もしくは利用方針を有しているか
 学生、消費者、他のものが、コンピュータ不正利用法、適法な行為および不適法な行為を意識していているか。
 学生、消費者、他のものが、コンピュータ不正使用法を違反するという意図がないという宣誓書に署名しているか。

などの事項を考慮すべきであるとされているのです。

また、ガイドラインは、

コンピュータ不正使用法3A条(2)は、1条もしくは3条の犯罪を犯すのに使われる、もしくは、犯すのを幇助するのにつかわれる、ようになりそうだ(likely)と信じて道具を提供する、もしくは、提供することを対象としている。
ツールが、罪を犯すのに利用(もしくは誤用)されることがありそうだ(likelihood)ということを決定するのに際しては、検察官は、以下のことを考慮すべきである。

として
 ツールは、コンピュータ不正使用法の犯罪(たとえば、コンピュータ資源に対する無権限アクセス)を犯す目的を、主として、故意に、唯一のために、開発されてきているのか。
 ツールは、コマーシャルベースで、広く利用可能なものか、もしくは、適法な販売チャンネルで売却されているのか。
 ツールは、適法な目的のために広く利用されるか。
 実質的にインストールベースであるのか。
 もともとの意図された目的と比較して、そのツールが、罪を犯すのに使われるにいたった状況は何か。

という要素をあげています。

ツールの目的が、主として犯罪目的であるのかどうか、配布・販売形態はどのようなものか、適法利用の可能性がどの程度か、誤用状況の理由はどうかなどの諸事情をみて総合判断すべきということになります。

これらのガイドラインが、実際の裁判のなかで、どのように活用されているのか、などは、調査していませんが、これらの項目があげられているだけでも、議論の整理としては非常に重要であるような気がします。