引越ししました
→http://kaie-dakini.hp.infoseek.co.jp/index.html
自動にジャンぷ しませんw
コンピュータセキュリティー
コンピューターにおける問題の起こりえることとしては、次のことがあげられる。
・不正プログラムの侵入(ウイルス)
・パスワードからの個人情報の流出
・サーバー侵入からの個人情報の流出
などがあげられる。また、ウイルスに一度でもかかった事のあるひとは、ユーザー全体の約8割にのぼると言われている。
「第1款 コンピュータ・データ及びシステムの機密性、インテグリティ及び可用性に対する犯罪」と題されているものである。そこでは、第2条「違法アクセス(Illegal access)」、第3条「違法傍受(Illegal interception)」、第4条「データ妨害(Data Interference)」、第5条 「システム妨害(System Interference)」、第6条「機器の不正使用(Misuse of devices)」の5つの類型が、犯罪類型としてあげられている。
主な感染方法は、
1.「メールのでの添付」
これはかなり悪質であり、ファイヤーウォールやワクチンがない場合は防ぐには個人の開かないというのが最善である。
よって知らないアドレスのURL(拡張子が.exe)や添付などは開かないのが感染への未然対策である。またML(メーリングリスト)に登録をして添付ファイルを個人にではなく登録アドレスに送るとまれにウイルス化することがある。
2.「違法アクセス(Illegal access)」
これは、「コンピュータ・システムの全体又は一部に対し、権利なく、意図的に、アクセスがなされた場合」を犯罪とするものである。前出の説明用メモランダムによると、かかる行為は、システム及びデータの正当な利用者に障害をもたらし、また、再構築のために高額の費用負担を要する改変又は破壊を発生させるかもしれない点から違法とされなければならないとさている。また、このような妨害行為は,機密のデータ及び機密事項に対するアクセスを発生させる可能性があり、また、より危険な形態のコンピュータ関連犯罪を実行するように奨励することになってしまうかもしれないという点も指摘されているのである。これは、比較法的には、無権限アクセス禁止の立法趣旨が、一般にコンピューター・システムのインテグリティの保護であることと対応するものであろう。
禁止される行為は、「アクセス」行為である。説明用メモランダムによると、「『アクセス』は,コンピュータ・システム(ハードウェア,コンポーネント,システム上に記憶されたデータ,ディレクトリ,トラフィック・データ及びコンテントに関連するデータ)の全部又は一部に入ることを意味する。」とされている。これは、我が国での「不正アクセス禁止法」のアクセスの定義規定である「電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」と同一の状態を指し示すものと解釈することができよう。では、違法アクセスの犯罪の成立しうる範囲はどうか。上記メモによるとき、同一のネットワーク上にある他のコンピュータ・システムへの侵入も含まれるとされているから、特定電子計算機すなわち「電気通信回線に接続している電子計算機」を犯罪成立の対象としている我が国の範囲をすべて含むことは間違いがない。比較法的には、外部のネットワークへの侵入を要件とする法域が存在しており、そのような法域では、この第1文と齟齬することになる。もっとも、第2文においては、各加盟国が、他のシステムであることを犯罪成立の要件とする権利が留保されている(ほかには、セキュリティ手段がなされていること、データ取得の意図があること、不誠実な意図があること、などを要件として付加しうる)から、具体的な「違法アクセス」の犯罪の成立範囲は、加盟国ごとに区々になることが予想されよう。また、我が国においても、条約案における「システムに入る」という文言が、1台のコンピューターであっても成立するという意味であれば、条約案は、我が国の不正アクセス禁止法よりも成立範囲が広いことになり、留保ないしはあらたな立法が必要になることになる。
3. 「違法傍受(Illegal interception)」
この第3条の規定は、「コンピュータ・データの非公開送信(non-public transmission)に対し、技術的な手段による権利なくなされる故意の傍受」を刑事的に違法とするものであり、通信上のプライバシー保護を目的とするものである。
この「非公開の送信」というのは、送信の性質であって、データの性質とは違うとされていることから、TCP/IPプロトコルによる通信は、もちろんのこと、金銭的対価が支払われるまで、商業目的上機密に保たれているようなもの (例えば、スクランブルされた放送)でも、非公開の送信として、傍受から保護されることになる。また、データの送信については、その手段として無線が選択されていたとしても、この傍受の対象となることとされている。一方、企業における従業員のメールについても、権利なくしてなされる傍受から保護されなければならないとされている点は注目に値する。
なお、刑事責任の要件としては、「意図的に」かつ「権利なく」実行されることが必要とされる。 我が国において、組織犯罪対策立法(その通信傍受の規定)の制定の際に電気通信の会話の傍受を一般に禁止し、その例外として犯罪捜査のために法定の手続きによる傍受を許すというシステムにすべきではないかと議論されたことがある。その時点においては、結局、そのようなアプローチは見送られたが、現在の制定法からいくと、電気通信事業法、有線電気通信法、電波法の規定などにより違法傍受が刑罰化されているところでもある。なお、この点について誤解が強いので、明確にしておくべきは、電気通信事業法、有線電気通信法の通信の秘密の保護は、何人に対しても、傍受行為を禁止しているのである。この点について詳述すると、電気通信事業法は、その第4条1項で「電気通信事業者の取り扱い中にかかる通信の秘密は、侵してはならない。」としているが、「通信の秘密を侵す」というのは、当事者以外の第三者が積極的意思を持って知得しようとすることのほか、第三者にとどまっている秘密をそのものが漏えい(他人が知りうる状態にしておくこと)すること及び窃用(本人の意思に反して自己または他人の利益のために用いること)することもそれぞれ独立して「秘密を侵す」こととなると解されている。従って、違法傍受に対して、それなりの対応はなされているということは言える。しかしながら、現状では、利用者宅内の無線通信についての傍受に対する対応が不十分ということになり、この違法傍受の規定により、一般的に禁止するという形での国内法の整備の問題がでてくるであろう。
また、「権利なく」という要件との関係も問題である。インターネットにおいては、その性質上、侵入検知等の目的等から種々の手段によりパケットの分析がなされる。ネットワーク管理者の業務もあるし、また、警察機関等が、ネットワークセキュリティの維持の観点から監視すること(いわゆる日本版FIDNET構想である)もあろう。通信されるパケットの性質については、通信の秘密の保護の対象ということになる。現行法のもとでも、これらの行為が許されている(もっとも、日本版FINDET構想については、やや疑問が残ろう)のは、「正当な業務行為」と解されているものと思われるが、この条約案との関係で、我が国でも、これらのパケット分析・監視行為の法的位置づけが、明らかにされることが期待されるいえよう。
また、事業場における使用者による従業員の電子メールのチェックについては、事業場における会社資産の利用及びその管理という観点から、許されるものと解されるのが一般であると思われるが、この条約案との関係では、一般的に、違法傍受であると解されることとの関係で、どのような要件のもと適法な傍受とできるのかという問題が発生するものと思われる。
4.データ妨害(Data Interference)および 第5条 システム妨害(System Interference)
「データ妨害」の規定は、権利なく、コンピュータ・データの毀損、消去、劣化、改変又は 弱化をなす行為を、刑罰化しようとするものである(第4条)。一方、「システム妨害」は、コンピュータ・データの入力、伝送、毀損、消去、劣化、改変又は弱化によって、 重大な妨害(the serious hindering)をなすことを刑罰化しようというものである(第5条)。
我が国の現行法では、「データ」妨害の処罰の観点からは、権利義務に関する電磁的記録についての毀棄(刑法259条)が準備されている。電磁的記録毀棄は、「権利義務に関する」という対象の限定(権利・義務に事実上変動を与えることとなるようなものであるかどうかが問題となる)がなされており、例えばプログラム自体は、保護の対象とならないとされる。従って、条約案の「データ妨害」の条項のほうが、広い範囲を守備範囲とすることになる。
一方、「システム」妨害の処罰の観点からは、現行法としては、偽計・威力業務妨害罪(刑法 233条・234条)または、電子計算機損壊等業務妨害罪(同法234条の2)が準備されている。例えば、ウイルスによってシステムの作動に影響をおよぼすような行為は、これらの条項によって処罰が可能であると考えられる。偽計・威力業務妨害罪において 「妨害とは、業務の執行自体を妨げる場合に限らず、広く業務の経営を阻害する一切の行為を指す。(大判昭8・4・12刑集12-413)」と解されていることもあって、条約案が「重大な」妨害であることを要求しておることもあって、我が国の業務妨害罪の対応範囲の方が広いということもいえよう。
ちなみに、この条約案においては、スパム行為に対して通信が意図的に重大な妨害にさらされた場合に、このシステム妨害に該当すると考えられている。我が国においても、スパムをどのように位置づけるかという議論がさらに活発になされることが必要となろう。
5.機器の濫用
は、上述の違法アクセス、違法傍受、データ妨害、システム妨害に関連して、それらの犯罪を実行する意図で、装置またはデータの製造、販売、調達、輸入、配布、利用可能化をすること、装置またはデータの保有を刑罰化すべきとしている。いわゆる「ハッカーツール」などを犯罪目的で、それを入手しようとすることを処罰しようとするものである。
具体的には、バック・オリフィスなどのコンピューターのリモート・コントロールソフト、パスワードのサイト(これに対しては、不正アクセス禁止法で対応済みといえよう)、また、不正傍受の関係でいえば、衛星放送・通信に対してのスクランブル解除装置もこの対応する中に入ることになる(これについては著作権法で対応済み)。
6.個人パスの流出
WEB上ではなかなか知られることはないが、ハードディスク内に直接的に入力内容を記録するプログラムをいれられた場合に、皮肉にも何処でなにを入力したかも明確にプログラム内のファイルに記録されてしまう。
たとえば、http://---.---/---/---.--.-- input pass 12345;の様に、明確に記録されてしまう。こんな事はそうあるわけではないが、見知らぬファイルがある時には、そのファイルの正体を見極めることが必要だと思う。
7.サイトでのDL
違う名前を付け、ウイルスと言う事を伏せてダウンロード、インストールするとウイルスなんてこともよくある事で、そのウイルスのアンインストールプログラムをさがしだせっ!みたいな悪質な人間が存在する。
こういったサイトは、有名で大型なサイトでもある事なので、防ぎようの無い気がする。
8.ハッカーのサーバー荒らし
個人情報としては、最も効率的で、防ぎようのない事柄である。大物のサーバーなどは、なかなか侵入などは聞かないが、小物サーバーは恰好の的みたいだ。最近も某オンラインゲームサーバーが侵入された。サーバー犯罪を防ぐために「 最近、多発しているサイト攻撃を阻止するため、クリントン大統領は来週(2月第3週)、電子商取引サイト、インターネット・サービス・プロバイダ、インターネット・セキュリティ会社、ネットワーク関連機器の製造会社らの幹部と会談する予定だ。 2月8日を皮切りに発生した一連のサービス使用不能(DoS)攻撃は、Amazon.com、Buy.com、CNN.com、Datek Online、eBay、E*Tradeなどのサイトを一時閉鎖させた。クリントン大統領は、攻撃の手からサイトを守る措置として閉鎖が最善の防御策とは思えないとインタービューで述べ、「それらの攻撃を退治する万能薬はないかもしれないが、この素晴らしい資産を閉鎖させたくない」と付け加えた。 一方、捜査官および諜報員はこの一連の攻撃の徹底捜査に乗り出した。
Eric Holden司法副長官は「ハッカーは犯罪者なのだから総力をあげて犯人を見つけだして起訴し、そして刑務所に入れるつもりだ。我々はこの攻撃を単なる悪ふざけとは見ていない」とUSA Todayに述べた。 攻撃の発信元を突き止めるには、大容量のコンピュータ・システムを多数使った捜査が必要になる。John Bentavoglio司法次官補は「この攻撃には、少なくとも何ダースもの、否何百もの無関係な第三者のコンピュータ・システムが使われた」と述べた。2000-02-10」SecurityWireより抜粋個人情報流出における問題点は個人情報がなんの役にも立たなくなってしまう。
ここまでコンピューター犯罪を挙げてきたがここからは、関連犯罪を説明して行きたいと思います。
これは、法的な目的のために、真正であると考えられ、または、そう取り扱われる意図をもって、コンピュータ・データの入力、改変、消去又は弱化をし、その結果、その結果として真正でないデータをもたらした場合をコンピュータ関連偽造(第7条)として刑罰化しようとするものである。我が国においては、すでに私(公)電磁的記録の不正作出罪(刑法161 条の2)がある。電磁的記録不正作出罪では、データ(電磁的記録)が、「権利、義務または事実証明に関する」電磁的記録であることおよび、人の事務処理を誤らしむる目的が必要とされている。これと比較すると、データに限定がなされていない点で、条約案のほうが、対象として広いことになると思われるが、その一方で、条約案において、「法的な目的のために」という文言があるため、結局、同一の適用範囲になるのではないかと思われる。
「コンピュータ関連詐欺」
第8条は、自己又は他人のために経済上の利益を得ることを意図して、権利なく、意図的に、 コンピュータ・データの入力、改変、消去、又は弱化やコンピュータ又はシステムに対する妨害によって他人に財産的な損失を発生させた場合を刑罰化しようとするものである。我が国においては、詐欺は、処分行為という行為を行うことが必要とされ、例えば、列車のキセル行為などのように、処分行為を認めるのについて、微妙な事案も存在するが、条約案においては、他人に財産的な損失を発生させることのみでたりるとされている。この点について、どのような適用の差異が生じるかは今後の検討の課題である。
その他の実定法との関係では、タイトル3は、「コンテント関連犯罪」として、第9条 児童ポルノグラフィ関連犯罪を定める。これは、児童ポルノの電子的な製造、所持および頒布のさまざまな局面を刑罰化しようというものである。もっとも、我が国においては、児童ポルノについて、「児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律」 が成立し、平成11年11月1日に施行されている。そこでは、同法7条において、児童ポルノの頒布等が処罰されており、条約案は、実質的には、我が国と同様の規定であると考えて良いであろう。もっとも、条約案は、児童ポルノの「電子的な」行為に規制を及ぼそうという趣旨であるが、我が国においては、それらが「電磁的な形態」をとったとしても、かかる規制の効力は及ぶものと考えられるので、条約案の批准等にあたって留保や国内法の整備という観点が新たに必要になるとはあまり思えない。
また、条約案によれば、「著作権及び関連諸権利の侵害に関連する犯罪」(タイトル4)として、著作権の侵害行為について、故意に、商業的規模で、コンピュータ・システムという手段によって実行された場合において、刑罰化しなくてはならないとされている(第10条)。
国際協力
サイバー犯罪条約に関して、先週まで見てきたのは、国内的にどのように法律を整備するかという観点からの議論であった。しかしながら、ネットワーク犯罪は、その本質上、クロスボーダー的要素を持ち、関係国が連携して、犯罪者の行った行為を突き止め、適正な処罰を下すことが必要になる。刑事的な処罰およびそのための捜査などの強制力を伴った手続は、それぞれ各国の主権の問題と関連しているので、ある国の捜査当局が、他の国に出向いていって強制力を行使するというわけにはいかない。そこで、できるかぎり、この伝統的な主権についての考え方のもとで、関係当局が協力していこうということが必要になる。
サイバー犯罪条約は、第3章「国際協力」の項目の下、一般原則と特別規定を設けている。一般原則においては、協力に関する一般原則、引渡にかんする原則、共助に関する一般原則についてふれられ、一方、特別規定においては、「コンピュータ・データの応急保全」「保全されたデータの応急開示」などの応急の措置に対する共助、「コンピュータ・データへのアクセスに関する共助」「公然と入手可能なデータに対する国境を超えたアクセス」「トラフィック・データのリアルタイム収集に関する共助」「コンテント・データの傍受に関する共助」などの捜査権限に関する共助、週7日24時間ネットワークについて定められている。
1 引渡に関する原則(24条)
犯罪者の引渡とは、逃亡犯罪人の現在する国からその者を訴追または刑事制裁の執行のために請求国に引き渡すことである。そこでは、我が国では、請求国と被請求国との間でとくに条約を必要としないで、引き渡しをなしうるという態度をとっている。もっとも、米国との間には、1980年に日米犯罪人引渡条約を締結しているし、また、その手続きの執行のために、逃亡犯罪人引渡法がある。
サイバー犯罪条約案では、長期が1年以上である刑よりも重い刑で処罰される犯罪行為については、引渡がなされるべきであるとされている。
2 捜査に関する共助について
ある犯罪行為の証拠が、外国に存在する場合について、その場合の証拠収集の一般的なルートは、国際捜査共助法に基づく場合における捜査の実際の手続きについては、共助を求める国からの嘱託書に基づいて、外務大臣、法務大臣、国家公安委員会、都道府県警察、そしてその際の裁判所による令状の発付というおのおのの手続きをへて行われる。この規定によると、きわめて時間 がかかることとなる。また、この手続きについて、かかる犯罪行為が、わが国で行われた場合にも、処罰可能であることが、要件となっている。
サイバー犯罪条約では、一般的な情報提供などを定めた規定(26条)などとともに国内法の整備の項目でふれた各種手続きについての共助についていくつか興味深い規定をおいている。
(1) 29条 「記憶されたコンピュータ・データの応急保全」
これは、16条のシステムを国際的に提供するものである。すなわち、共助の要請を受けた国のために、管理者が、そのデータを保全することを確保しようというのである。これは、データの保全の目的であることもあり、上述したような双方可罰性が、その共助のための要件とされていないという特徴がある(ただし一定の場合に留保は可能)。
この保全の要請に対しては、自国の主権、安全、公序その他の基本的な利益を損なう場合、または、その犯罪が政治犯罪または政治犯罪に関係する犯罪であると判断する場合に限り、保全の要請を拒絶することができるが、逆にそれ以外の理由では拒絶できないことが明らかにされている。
(2) 30条「保全されたトラフィック・データの応急開示」
これは、自国のコンピュータを介してなされた通信が、第三国に所在するサービス・プロバイダや、要請を受けたプロバイダー以外のプロバイダーを経由していることに気がついた場合には、その被要請国は、要請をなした国に対して、他の国に所在するサービス・プロバイダーがどこであるかを確認し、他の国からの通信経路が、どのようになっているかを確認するために十分な量のトラフィック・データを提供しなければならないとされている。
(3) 国内法的な手法の共助への拡張
国内法の整備の点で見た「記憶されたコンピュータ・データへのアクセス(19条参照)に対する共助」(31条)や「トラフィック・データのリアルタイム収集()に関する共助」(33条)「コンテント・データの傍受に関する共助」(34条)が定められている。
トラフィック・データについては、よりゆるやかなアプローチが、認めうるのではないかと議論されているところである。一方、コンテント・データについては、既存の共助および国内法にゆだねることが明らかにされている。
(4) コンピュータ・データに対する国境を超えたアクセス
刑事手続きにおける証拠収集活動が、主権の問題と密接に関連していることは上述したが、サイバー犯罪条約においては、ある国が他の国内に所在する記憶されたコンピュータ・データに対し、共助要請なしにいわば、片面的にアクセスをなしうるのは、どのような場合か、が熱心に議論された。結局、一般的なルールを定めることはできなかったが、アクセスされるデータが、公然と利用可能なものである場合、または、データについて適法な管理権を有するものが、適法から自発的な同意をした場合には、いわば、片面的な活動がなされうることで同意をみている(32条)。これは、コンピューター・データのボーダーレスな特徴を物語っているといえよう。
話は少々細かくなってしまったが、完全なるセキュリティが存在しない今、個人の心の慎重さが最大のセキュリティと言えよう。