【特別企画】
サイバー犯罪条約と国内法整備の課題
〜ネットワーク犯罪抑制の切り札となり得るか!〜
ネットマークス
2002/1/24
本記事の内容 サイバー犯罪条約という仰々しい名前 サイバー犯罪条約の概略と適用範囲 日本がサイバー犯罪条約を批准する理由(なぜ必要なのか) サイバー犯罪条約起草の背景 サイバー犯罪条約の内容とは サイバー犯罪条約手続き法とは 条約の特徴と国内法整備の課題 |
サイバー犯罪条約という仰々しい名前 |
「サイバー犯罪」と聞くと、SFチックなものを連想するかもしれないし、それだけで拒否反応を示す方もおられるかもしれない。何だか名前からして、偉そうで、煩わしそうな匂いがする。最初にこの条約の存在を知ったとき、私は映画『ターミネーター2』に登場した、ジョン・コナー少年が銀行のATMの暗証番号をモバイル機器で解読するシーンを連想してしまった。この業界にいる人間ながら稚拙な連想でお恥ずかしい限りである。
そもそも「サイバー」という言葉が何なのか。それすらが怪しいのだ。世には「サイバー」と付けば「新しい」「カッコイイ」などというイメージを創出する気配があり、それを良しとしてはいないか……。
愚痴は置いといて国語辞典を引いてみると「コンピュータネットワークにかかわる〜」と書かれている。英英辞典だと「:computer:computer network, combining form」と書かれており、「コンピュータないしコンピュータネットワークに関する〜」ということになる。そうすると「サイバー犯罪条約はコンピュータないし、ネットワークに関する犯罪を取り締まる法律だ」という解釈にたどり着くのだが、実はそれは違う。では一体何なのか?
サイバー犯罪条約の概略と適用範囲 |
平たくいえば、どのような犯罪であろうが対応可能な法律と考えてよい。空き巣だろうが、痴漢だろうが、当て逃げだろうが、当該の犯罪にコンピュータが関連しているという嫌疑が強い場合、その時点で当該のコンピュータは捜査の対象となる。つまり「空き巣の盗んだ物日記」や「当て逃げの告白」がデータとしてパソコンなどに残っていれば、刑事手続き上の証拠として差し押さえるということなのである。
例えば、データを差し押さえられたり、ハードディスクを封印されたりするのだ。ISPにデータを改ざんされないように保管させる「保全命令」も出すことができる。それどころか、ネットワークにて犯罪に関する情報がやりとりされると認められる場合、トラフィックデータ(通信の経路、日時などを示すデータ)をリアルタイムで傍受することをも認めている。
つまり適用範囲は、不正アクセスは当然のこと犯罪全般にわたり、犯罪データがあるという嫌疑があればネットワークに接続されていないコンピュータでも捜査の対象になるということだ。極端な話、テキストデータが編集・保存できるものであれば、捜査の対象になるものと考えた方がよさそうである。当然携帯電話などもその範囲である。
ここまでくると「サイバー犯罪条約」というネーミングセンスが少々怪しくなってきた感じがする。それでは次に「なぜ日本がその条約を批准するのか」「日本にとって必要な条約なのか」という点について触れてみたい。
日本がサイバー犯罪条約を批准する理由 (なぜ必要なのか) |
日本にはすでに不正アクセス禁止法や、電子商取引に関する法律、高度情報ネットワーク形成に関する法律など、数々のIT関連の法規が存在する。しかし、ネットワークを通じた詐欺やストーカー行為など身近な犯罪から、サーバクラッキングやデータ破壊、それに付随する業務妨害行為、ウイルス類の頒布などの深刻な被害は年々増加傾向にある。
これらをして、実情に即した適切な法的整備という面で、日本は明らかに1歩出遅れているのである。ある種のネット犯罪に関しては、上記の法規では、事実上手出しができないという点もあり、民間からの被害報告を把握したところで、実際には何もしようがないという無残な現状が、日本の捜査機関の抱える大きな問題である。それだけに強力な手続き法を明記したサイバー犯罪条約への批准は、すでに骨子の出来上がった国際条約の批准という大義名分を持つ点で、日本政府にとって渡りに船であるといえるし、日本が本条約を批准した最も大きな理由であることはほぼ間違いない。
またインターネットの性質上、犯罪に関する証拠のたぐいや、捜査範囲は、必ずしも国内に収まるとは限らない。また外国に手出しできないというのでは、従来の著作権法と同様に骨抜きにされる懸念もある。それを防ぐためには、各国間で統一した見解にのっとった条約を批准し、国際間捜査共助を定めることが、条約批准国にとって「自国がネットを通じた犯罪源とならない」ための大きな原動力となるのである。
サイバー犯罪条約起草の背景 |
サイバー犯罪条約の起草元は、欧州評議会(Council of Europe)という。欧州評議会は20世紀半ばに、「人権・民主主義・法の支配」という価値観を共有する西欧10カ国によって結成された国際機関である。人権を重んじる団体が、なぜ「傍受を容認し、個人のプライバシーを侵害する可能性のある」国際条約を起草したのかは疑問が残るところだ。
一説には、大規模盗聴システム「エシュロン」とのかかわりがあるともいわれている。米国をはじめとするエシュロン利用国により、欧州の経済に関する機密情報が筒抜けになり、結果として経済の低迷を招いているという欧州評議会側の被害意識が、評議会で過半数を占めたため、対抗措置としての条約起草に至ったという推測がなされている。目下のところ、はっきりとした起草の理由については明確にされておらず、表向きは「コンピュータ犯罪対策」とされている。
サイバー犯罪条約の内容とは |
まず何を犯罪とするかという実体法の部分について。
- 違法アクセス(権限のないアクセス制御を越える、不正規の方法でアクセスをする)
- 違法傍受(通信を途中で盗聴)
- データ妨害、システム妨害(消去、破壊、改変)
- 上記1〜3を目的とした製品や不正プログラム(ウイルスのたぐい)を販売や配布したりすること
- 上記1〜3を目的とした製品や不正プログラム(ウイルスのたぐい)を保有すること。「保有する」とはHDDやFDに保有しているのは当然のこと、そのソースプログラムを印刷物の形式で持っていても該当すると考えた方がよい
- 法律的に真正であると分かるものを、法的に偽ることを目的として改ざんすること(コンピュータによる通貨・有価証券類の偽造、住民台帳データなど)
- コンピュータ関連の詐欺・業務妨害(銀行オンラインシステムや、証券取引システム、通販サイトに対するアタック行為など、明らかに相手に経済的ダメージを与えるもの)
- 児童ポルノ関連(画像をHDDなどに保管することも禁止。対応は各国任せで、適用しない権利を留保する)
- 著作権に反する行為
- 1と9に関するほう助と教唆行為
- 2・3・6・7・9の未遂(明らかに試みがあった場合)
ここまで書くとさすがに難しいかもしれないが、ほとんどは国内法にてすでに対応されているので、あらためて覚える必要などない。しかし、2(違法傍受)と4(販売・配布)については新法の立案が必要であり、特にSnifferのような盗聴ツールと表裏一体のネットワークトラブルシューティングツールの扱いが微妙になる可能性があることは、頭に入れておきたい。
次にどのようにして捜査を行うかという、刑事手続き法の部分について話をしよう。この部分で本条約の特異な点が続々登場してくる。
サイバー犯罪条約手続き法とは |
手続き法は捜査について示す部分だが、それらの適用対象は大体以下のようになる。
- 実体法の項目のほとんど
- コンピュータが使われた犯罪のすべて
- 電子的な形式で(データファイルとして)残されている、犯罪の証拠の収集
具体的な手続き(捜査)の内容は以下のようになりそうだ。
(ア) | 上記1・2・3に該当する犯罪について、明らかな証拠隠滅の恐れがある場合は、当該データについて保全(完全性を維持)を命じることができる(ISPなどに対して) |
(イ) | 上記(ア)に該当するデータについて、データ管理者は保全のうえ、捜査機関に開示できるようにすること |
(ウ) |
適用対象1・2・3に該当する場合 |
(エ) | 適用対象1・2・3に該当する場合 ・捜査機関は、コンピュータの知識を持っている者が適切に押収などの措置を取れるように、 データ保有者にパスワードなどの情報を提供するように命令できる ・捜査機関は、コンピュータのデータ、ドライブ、メディア、端末本体を押収できる ・捜査機関は、データの複製、保全、オフライン化と消去する権限を持つ |
(オ) | 適用対象1・2・3に該当する場合、トラフィックデータ(通信の経路、日時、サイズ、メールのヘッダなど)を捜査機関はリアルタイムに収集・記録できる(ISPに命令 または 捜査機関単独) |
(カ) | 国内法によって規定される重大犯罪(麻薬関連、銃器関連、集団密航、殺人)に関して、捜査機関はコンテントデータを傍受できる(通信の内容を傍受する) |
というように以上の6カ条に集約される。上記の下線部分は注目すべき事項であり、今後の法制化に向けて問題となる点であろうと思われる。いずれにせよ、電子データが証拠とされるということは、逆にいえば、削除や改変によって容易に犯罪の足跡を消すことが可能である。よって強制処分に相当する手続きが早急に行えるようにする法的整備が、行われることは当然のことといえる。
以上のようにサイバー犯罪条約は、犯罪全体を通じて、電子的に保管された証拠データを捜査機関が適宜閲覧したり、押収したりすることを認めることになっている。
条約の特徴と国内法整備の課題 |
ここまでで、条約の大部分は把握していただけたと思う。とにかく捜査の段階にてデータやメディア・ハードの押収や、通信の傍受など、いままでのネットワークに関する法規に比較して、手続きが強引ともいえるほど強力になっているのが特徴だ。
こんなに強引な条約を丸ごと国内法で保証するというのは、大論争必至と思われるので、当然ながら肝心な部分には留保できる権限が付帯されている。しかし担当省庁からわれわれ業界が受けた説明では、留保の部分は明確にされていない。メディアへの露出が極端に少ないのも気になる。IT関連職や業界の利害関係からして、「もう少しエンジニアが関心を寄せてもいい条約である」と、筆者は思う次第である。例えば以下に問題と思われる事柄を挙げるが、これらを皆さんはどう受け止められるであろうか?
- 捜査機関がISPにデータ保全命令を出す
・ISPが捜査協力に際して負担する労働力と費用と時間
・ISP業務への影響と、公共の利益に基づく捜査とのバランス
・捜査国際共助による24時間体制の確立のため、ISPも24時間対応が迫られる
- だれが捜査するのか、どこが捜査機関として機能するのか
・現状での省庁からは人員を割ける状態ではない
・新規に権限のある機関を設けるのか
- トラフィックデータにはメールのヘッダのようにある程度個人を特定可能な情報が含まれることもある。それをすべて極秘に傍受し、極秘として捜査を終了する
・傍受行為がブラックボックス化する
・どんな犯罪だろうと適用される
・犯罪の重大性に依存せず、傍受するためには強制処分としての新規立法が必要
・ISPが強制処分に協力する義務は規定されておらず、新規立法が必要
上記2については、具体的な手続き内容(エ)にある「コンピュータの知識を持つ者」がISPの方か、捜査機関のプロパーな人間かで状況が異なってくる。しかし実際の捜査範囲はISPのデータセンターの中だけに収まらないと書かれているので、「新たな権限ある機関」が登場すると考えるのが妥当ではないかと思われる。
この条約が国内法で保証され、効果的に機能することによって、ネットワーク犯罪をはじめとするトラブルが少しでも減ってほしい。そしてエンドユーザー1人1人にも、こうした条約からセキュリティに関する意識を高めていただければと思う次第である。
Profile | |
株式会社ネットマークス ネットワークセキュリティ事業部 プロフェッショナルサービス室 情報セキュリティ全般を守備範囲とするコンサルタント。ISMS、BS7799、FISCのコンサルティングから セキュリティ診断・テキスト執筆・情報セキュリティポリシ策定まで幅広く担当。JNSA(日本ネットワークセキュリティ協会)ではISO/IECに関するWGや、関連法規の政策部会にて活動中。好きな言葉「食べ放題」。 メールアドレスはuzaki.syunsuke@netmarks.co.jp |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|