なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

2021年12月

スーパーシティ構想の概要図
(内閣府サイトのスーパーシティのページより)

このブログ記事の概要
近年、政府・与党により、スーパーシティ構想(デジタル田園都市構想)が推進されているが、同構想では、交通、医療・介護、学校、行政サービス、水道・エネルギーなど官民の様々なサービスの住民の利用履歴・移動履歴・購買履歴・閲覧履歴などの個人データを共通IDやデータ共通基盤で名寄せ・突合して事業者や行政が利活用する仕組みとなっている。

しかし同構想はマイナンバー法や個人情報保護法上違法のおそれがあり、また、スーパーシティ法(改正国家戦略特区法)は、主権者のはずの住民・国民を蚊帳の外にして、国・自治体・事業者の会議が構想を計画・実施するスキームであり、国民主権原理や地方自治・住民自治に反し、国民のプライバシー権や人格権を侵害する違憲の可能性がある。

1.スーパーシティ構想(デジタル田園都市構想)の共通IDの問題
政府・与党は近年、スーパーシティ構想を推進し、現在の政府与党はこれを「デジタル田園都市構想」という名称で目玉政策の一つとしています。

・地域の「困った」を最先端のJ-Tech(※)が、世界に先駆けて解決する。企業の技術力を、地域で役立てる!スーパーシティの実現を国がともに取り組みます!|内閣府
・デジタル田園都市国家構想実現会議|内閣官房

内閣官房とデジタル庁の「デジタル田園都市国家構想実現会議」の第1回の牧島かれん・デジタル庁大臣の資料によると、デジタル田園都市(スーパーシティ)の官民の提供する様々なサービスの住民の利用履歴などの個人データの名寄せに「統合ID」という名称の共通IDを利用することが明記されています。

デジタル田園都市のイメージ

(関連)
・前橋市のデジタル田園都市構想・スーパーシティ構想の共通IDの「まえばしID」はマイナンバー法などから大丈夫なのか?

2.官民の共通IDのxID社のxIDに対して個人情報保護委員会が「マイナンバー法違反のおそれ」とのプレスリリースを公表
しかし、このような官民サービスの共通IDに関しては、つい最近もxID社の共通IDのxIDが炎上したばかりです。

(関連)
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)


つまり、自治体の施設利用の予約システムなど、官民のさまざまなサービスの国民の利用履歴などの個人データを名寄せして自治体や民間企業などが利活用するための共通IDとして開発され、石川県加賀市などで約1年前から利用が開始されたxID社のxIDについて、渋谷区が施設予約システムへの導入を計画中と今年秋に報道されたことに対して、ネット上では、xIDはマイナンバー法がマイナンバー(個人番号)と同等のものとして定める「広義の個人番号」(いわゆる「裏番号」)に該当し、それをマイナンバー法9条が定める税・社会保障・災害対策以外の目的の共通IDに利用することは違法ではないかとの大きな批判が起こりました。

これに対して10月には個人情報保護委員会は、xIDの問題に関して、プレスリリース(「令和3年10月22日個人情報保護委員会「番号法第2条第8項に定義される個人番号の範囲について(周知)」)を出してマイナンバー法違反のおそれがあるとダメ出しをしています。
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会

個人情報保護委員会「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)の抜粋

『マイナンバー法第2条第8項において、個人番号(マイナンバー)とは、第5項に定義される番号そのものだけでなく「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」とされています。

また、その該当性については、その生成の由来から個人番号に対応するものと評価できるか否か及び個人番号に代わって用いられることを本来の目的としているか否かの観点を総合的に勘案して判断されます。

唯一無二性や悉皆性等の特性を利用して個人の特定に用いている場合等は、個人番号(マイナンバー)に該当するものと判断されることがあり、その場合、マイナンバー法第9条に定めのない目的に利用していたり、保管していたりすると、マイナンバー法に抵触するおそれがありますのでご留意ください。』

つまり、マイナンバー(個人番号)は、行政の効率化やコストダウンなどのために、国がすべての国民に(悉皆性)、一人一つのマイナンバーを付番し(唯一無二性)、さまざまな官庁や自治体などが分散して保有する国民・住民の個人データをマスターキーとして名寄せ・突合できるようにしたものです。

しかしマイナンバーは行政や自治体が保有するさまざまな国民の個人データを名寄せ・突合できてしまう強力なマスターキーであるため、それが国や大企業などに不正に利用されると、国民の個人データが国に勝手に名寄せ・突合され、「国家の前で国民が丸裸にされるがごとき状態」の危険(金沢地裁平成17年5月30日判決・住基ネット訴訟)というプライバシー侵害のリスクや監視国家のリスク、国により国民がさまざまな個人データを名寄せ・突合されその情報をもとに勝手にプロファイリングされてしまうリスクなど深刻な人権侵害のリスクが存在します。

そこでマイナンバー法は、マイナンバーの利用目的を、税・社会保障・災害対応の3つだけに限定し、それ以外の目的で行政や自治体、民間企業などがマイナンバーを利用することを禁止しています(法9条)。また、本人や行政や自治体、民間企業などが税・社会保障・災害対応の3つ以外の目的でマイナンバーを提供することも禁止(法19条)するなど、厳しい歯止めの法規制を設けて、マイナンバーによるプライバシー侵害のリスクやプロファイリングのリスクを防止しています。

そして、マイナンバー法は、マイナンバー(個人番号)だけでなく、『個人番号と性質上同等のものについても、個人番号と性質上同等のものであるのに、個人番号としての規制を免れることは適当でないため、そのようなものは個人番号と同等の規制をおよぼすべきである』として、「個人番号と性質上同等のもの」(=「広義の個人番号」)も個人番号(マイナンバー)と同様のものとして扱い、法規制を行うとしています(法2条8項かっこ書き)。この「個人番号と性質上同等のもの」の性質とは、国がすべての国民に(悉皆性)、一人一つの個人番号(唯一無二性)を付番するという性質、つまり悉皆性と唯一無二性があることであるとされています(水町雅子『逐条解説マイナンバー法』85頁、86頁)。

この10月の個人情報保護委員会のプレスリリースを受けて、公的施設の予約システムへのxIDの導入計画を検討していた渋谷区はその計画を撤回しました。また、xID社もxIDの仕組みを見直し12月より新たなxIDを提供する旨を公表しました。

このような官民の共通IDのxIDをマイナンバー違反のおそれがあるとする個人情報保護委員会のプレスリリースや、「広義の個人番号」「裏番号」に関するマイナンバー法の立案担当者の弁護士の水町雅子先生の解説書などに照らすと、政府与党が推進しているスーパーシティ構造・デジタル田園都市構想の共通IDも、スーパーシティやデジタル田園都市の住民の個人データを管理し、名寄せするための番号である以上、他の地域からの住民の転入や転出などがあることから、国が国民すべてに付番する一人一つ(悉皆性・唯一無二性)の性質を有する番号とならざるを得ず、やはりxIDと同様に、「広義の個人番号」「裏番号」に該当し、マイナンバー法9条違反のおそれがあるのではないでしょうか。

3.国家戦略特区法・スーパーシティ法の問題
ジャーナリストの堤未果氏『デジタル・ファシズム-日本の資産と主権が消える』39頁以下は、日本の政府与党の推進するスーパーシティ構想は、2010年代から中国の抗州市などで開発が行われたスーパーシティを自民党の片山さつき氏が視察し、新自由主義の経済学者で元内閣府特命担当大臣の竹中平蔵氏らと協議の上、その考え方を日本の政府与党に持ち込んだものとされています。(そして2013年には国家戦略特区法が成立し、2020年にはスーパーシティ法(改正国家戦略特区法)が国会で成立しました。)

また、堤氏の同書41頁は、日本のスーパーシティ構想には3つの問題があるとしています。

つまり、スーパーシティの計画の企画・立案や決定・実施について、迅速性を重視し、自治体の長と事業者で構成される「区域会議」が企画・立案などを行い、国からの認可等を受けるスキームとなっており、住民投票制度やパブコメ制度などが必須となっていないなど、地元の住民の意思や意見がほとんど反映されない仕組みとなっており、地方自治・住民自治に反すること事業者に有利に法制度が設計されたスーパーシティで事業者による事故などが発生し住民が被害を受けた場合に誰が責任を負うのか不明確であること③個人情報の取扱が大幅に緩和されてしまうこと、の3点をあげています。

4.スーパーシティ構想と国民主権原理、地方自治・住民自治の問題
この点、①について、内閣府サイトの国家戦略特区の解説ページをみると、たしかに自治体の長と事業者等で構成される「区域会議」がスーパーシティの計画を企画・立案し、国の認可を得て計画を進めるスキームとなっており、主権者であるはずの自治体の住民・国民の意見や意思を無視してスーパーシティが立案・実施されていく仕組みとなっており、これはわが国の国民主権(憲法1条)地方自治の本旨のなかの特に住民自治(92条)に抵触しているのではないかと思われます。

スーパーシティ法の概要図
(内閣府サイトのスーパーシティ法の解説ページより)

5.スーパーシティ構想と個人情報保護法・マイナンバー法の問題
また③の個人情報・個人データの問題に関しては、上の内閣府サイトは、「交通・移動、金融決済、行政、医療・介護、教育、エネルギー・水道などの分野間のデータ連携を行い、ビッグデータやAIを活用し、社会的課題の解決を行う」と解説しています。

そして、「スーパーシティでは、データ連携基盤整備事業が事業の核になります。複数のサービスのデータ連携を条件としているので、このデータ連携基盤の有無がスーパーシティであるかどうかの一つの目安・区分になります。」として、「行政、交通、医療・介護、学校、水道・エネルギーなどのデータ活用事業活動の実施を促進するため、データの連携を可能とする基盤を通じて、必要な時に必要なデータを迅速に連携・共有する「国家戦略特区データ連携基盤」が重要となる」と解説しています。

データ基盤の図
(内閣府サイトより)

このように見てみると、スーパーシティにおける「「交通・移動、金融決済、行政、医療・介護、教育、エネルギー・水道など」の官民のサービスの住民・国民の利用履歴や移動履歴・位置情報、購入履歴などの個人データはデータ連携基盤で連結され、民間企業や自治体等の行政が利活用し放題であることが大前提となっており、これは行政・自治体の保有する国民・住民の個人データの連携・名寄せ・突合を税・社会保障・災害対策の3つの利用目的だけに限定し国民のプライバシー権を守りプロファイリングの危険を防止しようというマイナンバー法の趣旨・目的に180度反する内容となっています。

同時に、行政・自治体・事業者間で、データ連携基盤により住民・国民の利用履歴や移動履歴・位置情報、購入履歴などのビッグデータを名寄せ・突合しAIにより分析などを行わせるというスーパーシティ構想は、個人情報保護法制の趣旨・目的にも180度反するものです。

国・企業などの事業者は、国民・利用者の個人情報・個人データを収集する際は利用目的をできるだけ特定し、収集する個人情報・個人データを「必要最低限」にしなければならないとする個人情報保護法15条や、本人の同意なしの個人データの目的外利用や第三者提供を原則禁止する法16条1項や法23条1項にもスーパーシティ構想の住民の個人データのデータ連携基盤による連携と、AI分析などによる個人データの利活用は違反・抵触することになります。(さらに医療データなどの要配慮個人情報に関しては、収集にあたっては原則、本人の同意が必要であり(法17条2項)、またオプトアウト方式による第三者提供は禁止されています(法23条2項))。

さらに、個人情報保護法の特別法であるマイナンバー制度は、マイナンバー(個人番号)という各行政機関や自治体の保有する国民・住民の個人データを名寄せ・突合できる強力なマスターキーを作成する一方で、国民のプライバシー保護や、監視国家の危険の防止、そして後述するプロファイリングの危険の防止のために、各行政機関や全国の自治体が保有する個人データは従来通り分散管理することとして一元管理・集中管理はしないと国民に説明してきました。

しかし企業・行政のニーズに応じて住民・国民の個人データを「データ共通基盤」や「共通ID」により集中管理・一元管理するスーパーシティ・デジタル田園都市は、国民のプライバシー保護や監視国家の危険の防止、国民のプロファイリングの危険の回避のために、行政が保有する国民の個人データは分散管理するという政府の基本的な考え方に反しているのではないでしょうか。

マイナンバー制度の概要図
(内閣府のマイナンバー制度の解説サイトより)
・マイナンバー制度について|内閣府

6.EU、アメリカ、日本の個人データ保護法の「プロファイリング拒否権」
個人情報保護法、個人データ保護法の先進国であるEUでは、2018年からGDPR(EU一般データ保護規則)が施行されていますが、GDPR22条1項は、AIやコンピュータの個人データの自動処理の結果による法的決定・重要な決定を拒否する権利(プロファイリング拒否権)を明記しています。このプロファイリング拒否権は、コンピュータやAIの個人データの自動処理により人間が選別・差別されることの防止、つまり、人間が人間として扱われず、工場のベルトコンベアーに乗ったモノのように機械的に扱われることを防止する、つまり人間の個人の尊重(尊厳)と個人の基本的人権の確立(憲法13条)を守るための権利です(山本龍彦『AIと憲法』104頁)。

最近の日本の情報法の学者先生のなかには、西側諸国の個人情報保護法制・個人データ保護法制の真の立法目的は、このプロファイリング拒否権であるとする説を唱えておられる先生も存在するように、個人データ保護法制において、このプロファイリング拒否権は極めて重要な考え方です。(プロファイリング拒否権の歴史については、高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁参照)。

・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

日本においても、2000年の労働省の「労働者の個人情報保護に関する行動指針」の第2、6(6)は、このGDPR22条1項を先取りしたような条文を置いており、2019年6月27日の厚労省・労政審基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁もAIによる従業員のプロファイリング・監視の危険を指摘しており、日本においてもプロファイリング拒否権は無縁な考え方ではありません。

また、2021年4月にはEUは警察などによるAIの顔認証技術の防犯カメラを「禁止」し、雇用の採用選考や学校、出入国管理などの行政サービス、電気・ガス・水道などの社会インフラへのAI利用を「高リスク」として法規制するなどの「AI規制法案」を公表しました。

・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞

さらに、アメリカのカリフォルニア州サンフランシスコ市も、2019年に警察や公共機関によるAIの顔認証技術の防犯カメラの使用を禁止する条例が成立するなど、アメリカでも同様の動きが起きています。

・サンフランシスコ市、顔認証技術の使用を禁止へ|BBC

このような国民・住民の人権保障のための、EUのGDPR22条1項やAI規制法案、アメリカのサンフランシスコ市の防犯カメラ禁止条例、日本の労働省「労働者の個人情報保護に関する行動指針」第二、6(6)などに照らすと、日本のスーパーシティのスキームは、西側自由主義諸国の個人データ保護法の流れからみて非常に時代遅れであると思われます。

日本のスーパーシティ構想・デジタル田園都市構想は、「共通ID」「データ連携基盤」によりスーパーシティの住民・国民の24時間365日のあらゆる個人データを収集し、名寄せ・突合し、分析・加工・提供などを行って利活用するものであり、プロファイリング拒否権の考え方からおよそかけ離れています。

(なお、「個人情報を企業や行政に利活用されるのが嫌な住民・国民はスーパーシティから出ていけばいい」と、スーパーシティ賛成派の方々は主張するかもしれません。しかし、わが国の主権者である住民・国民に対して「嫌ならスーパーシティから出ていけ」と主張するのは国民主権(憲法1条)や地方自治・住民自治(92条)の観点から完全に本末転倒です。また、政府はスパーシティ法により、順次、日本のデジタル田園都市・スーパーシティを拡大していく方針であり、「嫌なら出ていけ」との主張は、「嫌な国民は日本から出ていけ」という暴論と同じなのではないでしょうか。)

7.「デジタル荘園」としてのスーパーシティ・デジタル田園都市-中世に逆戻り?
さらに、日本のスーパーシティ構想・デジタル田園都市構想の、「データ連携基盤」がスーパーシティの事業の核になる」との「データ駆動社会」という政府の考え方は、わが国の主権者たる国民・個人を主体的で自律的な人格を持つ人間として扱うのではなく、ベルトコンベアーの上のモノどころか、スーパーシティという「デジタル荘園」「荘園の王」である企業や行政のために個人データを生産する「奴隷」「家畜」のように国民・個人を扱い、その生成された個人データを「共通ID」、「データ連携基盤」やAIで収集・分析・加工を行い、「荘園の王」であるIT企業や製薬会社、自動車メーカーなどが経済的利益を享受するという仕組みとなっています。

このような「デジタル荘園」は、18世紀のフランス革命やアメリカ独立戦争などの市民革命により、荘園や教会、ギルド、大学などの「中間団体」を打倒し、国民が主権者として政府を樹立し、自らで自らを統治するという「近代」以降の自由な民主主義の社会から、時代を逆戻りして「中世」の荘園などが国民を奴隷か家畜のように支配する社会に戻るかのような愚かな行為なのではないでしょうか。

また、この「デジタル荘園」は、国民主権(憲法前文、1条)や国民の個人の尊重と基本的人権(憲法13条)を明記するわが国の憲法そのものに違反する違法・違憲ものなのではないでしょうか。(「デジタル荘園」については、山本龍彦「プラットフォーマーと消費者(下) 「デジタル封建制」統制を」2020年1月29日付日本経済新聞参照。)

・山本龍彦「プラットフォーマーと消費者(下) 「デジタル封建制」統制を」|日経新聞

スーパーシティ構想などに関して、日本政府が中世のようにあまりにも国民の人権保障を軽視し、大企業・国による個人データの利活用ばかりを重視した時代遅れな個人データ保護行政を行っていると、EUからGDPR45条の十分性認定を取消されるなど、日本政府の掲げる「信頼性のある自由なデータ流通政策」(DFFT(Data Free Flow with Trust)もうまくいかないのではないでしょうか。

8.西側自由主義諸国の共通番号制度
なお、日本のマイナンバーに類似する制度としては、ナチスドイツがIBMのパンチカード型のコンピュータによる国民の個人情報の分析等により、ユダヤ人や障害者等を強制収容所に送ったことへの反省に立つ欧州では、国家による個人情報・個人データの取扱に慎重です。

日本のマイナンバーに類似する制度としては、ドイツ・イタリアは課税のための納税者番号しか存在しません。フランス健康保険カード、自治体の行政サービス等を受けるための日常生活カード身分証明カードの3つがそれぞれ分かれて国民に発効されることとなっており、行政がこれらの3つのカードに紐付いた個人データを名寄せ・突合などする場合には裁判所の許可が必要になるなど、個人データの厳格な管理が行われています。

アメリカ社会保障番号が存在し、かつては連邦政府職員の身分証明や納税者の管理、医療分野などで幅広い利用が行われていましたが、2000年代に入ってから、国民のプライバシー保護の観点から、多くの州で企業にこの社会保障番号のオプトアウト手続きの導入を義務付けるなど、社会保障番号の利用を制限する法規制が行われています。

そのため、現在、税・社会保障・災害対策の3つの利用目的にマイナンバーを利用し、さらにマイナンバーカードの電子証明書のシリアル番号を健康保険証、運転免許証や図書館利用カード、民間企業の社員証などに利用可能としたり、電磁証明書のシリアル番号の民間企業の活用を奨励している日本は、マイナンバーやマイナンバーカードの面でも西側自由主義諸国の中で国民のプライバシー保護や人権保障を行おうという時代の流れに大きく逆行しています(国際大学グローバルコミュニケーションセンター「諸外国における国民ID制度の現状等に関する調査研究報告書」『平成24年版情報通信白書』(総務省)より)。

・国際大学グローバルコミュニケーションセンター「諸外国における国民ID制度の現状等に関する調査研究報告書」『平成24年版情報通信白書』(総務省)

9.住基ネット訴訟最高裁判決との関係
話を日本に戻して、住基ネット訴訟の最高裁判決(最高裁平成20年3月6日判決)は、①住基ネットによる個人情報の利用・管理等は法令に基づいており②「行政事務の効率化」などの住基ネットの目的は正当な行政目的の範囲内であり③住基ネットにシステム技術上の不備または法制度上の不備があり、そのために国民の個人情報が法令上の根拠なく、あるいは行政目的を逸脱して漏洩するなどの具体的な危険は生じていないこと、などをあげて住基ネットは適法・合憲であるとしています(興津征雄「住基ネットの合憲性」『新・判例ハンドブック 情報法』(宍戸常寿編)200頁)。

この住基ネット訴訟判決に照らすと、①スーパーシティ構想における個人情報の利用・管理などはマイナンバー法9条や個人情報保護法15条、16条、23条などに違反している可能性があります。

また、②スーパーシティ法1条が定める「我が国の経済社会の活力の向上及び持続的発展を図るためには、国が定めた国家戦略特別区域において、経済社会の構造改革を重点的に推進することにより、産業の国際競争力を強化するとともに、国際的な経済活動の拠点を形成する」という同法の趣旨・目的自体は問題がないとしても、③スーパーシティ構想は、マイナンバー法や個人情報保護法の観点から法令上の不備があり、また国民主権原理や地方自治・住民自治の観点から違憲のおそれが高くしたがって、スーパーシティ法およびスーパーシティ構想がもし訴訟となった場合、住基ネット訴訟の判例に照らして裁判所から違法・違憲と判断される可能性があるのではないでしょうか。

そもそも個人情報保護法は、国や企業などによる個人情報の利用と個人の権利利益の保護のバランスをとることを目的とするものであり(法1条)、その前提として個人の人格尊重の理念の下に、個人情報は慎重に取り扱われるべき」であるということを基礎理念としています(法3条)。

にもかかわらず、国民個人の個人の尊重やプライバシー権などの人格権の保護の面を無視し、事業者や行政による個人情報の利活用の面ばかりを重視しているこの国家戦略特区法とスーパーシティ法は、個人情報保護法の趣旨・目的に反しているだけでなく、個人の尊重と基本的人権の確立という目的のために国・自治体などの統治機構は手段として存在する(憲法11条、97条)という、西側自由主義諸国の近代憲法の一つであるわが国の憲法の趣旨・目的そのものに抵触するものです。

事業者が主権者のはずの国民・住民の意思を無視し、国民・住民の個人データを好き勝手に利活用し経済的利益をあげることを国家が手助けするという、この新自由主義思想の塊のようなスーパーシティ構想は、中国や北朝鮮や旧共産圏の東欧などのような国家主義・全体主義の国にはなじむのでしょうが、自由な民主主義を掲げる日本で実施することは個人情報保護法やマイナンバー法違反であり、国民のプライバシー権や人格権などを侵害し(憲法13条)、国民主権原理(1条)、地方自治・住民自治(92条)などに抵触する違法・違憲なものであり、日本で実施することは法的に不可能なのではないでしょうか。

(なお、堤氏の前掲の『デジタル・ファシズム』44頁によると、国家戦略特区法は2013年に国会で成立したそうですが、その際には国会は「特定秘密保護法案」(いわゆる「共謀罪法案」)に野党やマスコミ、野党支持者達の批判が集中しており、国家戦略特区法はほとんど審議されないままスピード成立してしまったそうです。同様に、スーパーシティ法も2020年5月に、国会における検察官の定年延長問題に野党やマスコミ、野党支持者達の批判が集中し、スーパーシティ法案も約10時間の審議をしただけでスピード成立してしまったとのことです。与党だけでなく、野党やマスコミなどの責任は重大です。)

10.まとめ
このように、政府与党が推進しているスーパーシティ構想・デジタル田園都市構想は、さまざまな官民のサービスの個人データを連携する共通IDの部分に関してだけでもマイナンバー法9条違反の可能性が高く、データ連携基盤でさまざまな住民・国民の個人データを名寄せ・突合しAI解析などを行うことは個人情報保護法15条、16条、23条などに違反しています。

さらに、主権者である住民・国民を蚊帳の外にして、国・自治体・事業者だけで、交通、金融決済、医療・介護、行政サービス、水道・エネルギーなどの各分野の住民・国民の個人データをデータ連携基盤で連携し、AI分析などで各事業者の営業活動を実施させるというスーパーシティ構想・デジタル都市構想のスキームそのものが国民主権(憲法1条)や地方自治(92条)、人格権・プライバシー権(13条)などを定めるわが国の憲法に抵触しています。

与党が圧倒的に有利な国会などの政治的状況をみると、今からスーパーシティ構想・デジタル田園都市構想を覆すことは困難と思われますが、しかし国民の個人情報やプライバシー、国民の個人の尊重や人格権、国民主権や地方自治などの憲法を定める価値を守るために、今からでも野党やマスコミはスーパーシティ構想の問題を追及すべきであり、国民もこの問題に関心を持つべきです。

このブログ記事が面白かったら、ブックマークやシェアをお願いします!

■参考文献
・水町雅子『逐条解説マイナンバー法』85頁、86頁
・興津征雄「住基ネットの合憲性」『新・判例ハンドブック 情報法』(宍戸常寿編)200頁
・堤未果『デジタル・ファシズム 日本の資産と主権が消える』39頁、41頁、45頁
・黒田充『あれからどうなった?マイナンバーとマイナンバーカード』85頁
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・山本龍彦「プラットフォーマーと消費者(下) 「デジタル封建制」統制を」|日経新聞
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・サンフランシスコ市、顔認証技術の使用を禁止へ|BBC
・国際大学グローバルコミュニケーションセンター「諸外国における国民ID制度の現状等に関する調査研究報告書」『平成24年版情報通信白書』(総務省)
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記


■関連する記事

・前橋市のデジタル田園都市構想・スーパーシティ構想の共通IDの「まえばしID」はマイナンバー法などから大丈夫なのか?
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・Log4jの脆弱性に関する情報をネット上などでやり取りすることはウイルス作成罪に該当するのか考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた





























このエントリーをはてなブックマークに追加 mixiチェック

log4j

このブログ記事の概要
「Log4jの脆弱性などの情報をSNSやウェブサイトなどでやり取りしたり情報共有したりすることはウイルス作成罪に該当するおそれがある」との日本ハッカー協会などの見解は、ウイルス作成罪に関する法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」や刑法の教科書における、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」に関するバグの問題などの解説から疑問の余地がある。

1.Log4jの脆弱性の情報をネット上でやり取りしたり共有するとウイルス作成罪に該当する?
Javaのログ出力ライブラリ「Apach Log4j」ゼロデイ脆弱性があることが発覚し、12月10日(金)ごろからTwitterなどネット上で大きな話題となり、システム関係の方々は対応に追われています。

ところで、このLog4jの脆弱性に関して、日本ハッカー協会(@JapanhackerA)は12月13日昼につぎのようなTwitter上のツイートを行いました。

日本ハッカー協会1
日本ハッカー協会2
(日本ハッカー協会のTwitterより)
https://twitter.com/JapanhackerA/status/1470229222681878530

また、これを受けてITmedia NEWSも12月13日夜に「「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた」との記事を掲載しました。
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

このITmedia NEWSの記事を読むと、取材に対して、日本ハッカー協会の杉浦隆幸理事は、『「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある。」「そもそも警察が検挙するのかは分からない」(同)としつつも、現状の法整備では共有などの行為でも法に触れるリスクがあるという。』』と回答したとのことです。

また、取材に対して日本ハッカー協会の杉浦理事は、『「画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある」』と回答したとのことです。

たしかにウイルス作成罪(不正指令電磁的記録作成罪・刑法168条の2、168条の3)に関しては、現在、最高裁でCoinhive事件が係争中であり、とくにその構成要件の「不正性」(=社会的許容性)にcoinhiveが抵触するのか否かが争点となり、12月9日には最高裁で弁論が行われ、最高検の検察側の主張がITリテラシーに欠けるなどと大きな批判がネット上に寄せられ、社会的注目が集まっているところです。しかし、日本ハッカー協会の主張は妥当といえるのでしょうか?

2.ウイルス作成罪(不正指令電磁的記録作成罪)から考える
刑法のウイルス作成罪(不正指令電磁的記録作成罪)の条文はつぎのようになっています。

(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
 前項の罪の未遂は、罰する。

(不正指令電磁的記録取得等)
第168条の3 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

つまり、ごくおおまかにいうと、不正指令電磁的記録作成罪とは、「正当な理由」がないのに、「人(=他人)の電子計算機(=コンピュータやスマホなど)における実行の用に供する目的」で、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる(=「反意図性」)べき不正(=「不正性」)な指令を与える電磁的記録(=いわゆるコンピュータ・ウイルス)」を、他人の電子計算機(=コンピュータ、スマホなど)に実行させるために「作成」または「提供」「取得」または「保管」することを処罰する罪です(刑法168条の2,168条の3)。

3.「人の電子計算機における実行の用に供する目的」
不正指令電磁的記録作成罪は、2001年(平成13年)にサイバー犯罪条約が制定され日本が批准したことを受けて、2011年(平成23)年6月に国会で「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定されたことを受けて刑法に新設された罪です。この法改正においては、参議院法務委員会で「犯罪の構成要件などを国民に周知すること」が付帯決議され、法務省の立案担当者「いわゆるコンピュータ・ウイルスに関する罪について」との文書を作成し、法務省サイトで公表されています。
・いわゆるコンピュータ・ウイルスに関する罪について|法務省

不正指令電磁的記録作成罪は、上で条文をみたとおり、「人(=他人)の電子計算機における実行の用に供する目的」がある必要があります。つまり、本罪は単にウイルスのプログラムを作成等するだけでなく、「他人の電子計算機における実行の用に供する目的」がないと犯罪が成立しないいわゆる「目的犯」です。

この点、この法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、「人の電子計算機における実行の用に供する目的」についてつぎのように解説しています。

すなわち、他人のコンピュータ上でプログラムを動作させる行為一般を指すものではなく,不正指令電磁的記録であることの情を知らない第三者のコンピュータで実行され得る状態に置くことをいうものである。このように 「実行の用に供する」に当たるためには,対象となる,不正指令電磁的記録が動作することとなる電子計算機の使用者において,それが不正指令電磁的記録であることを認識していないことが必要である。

不正指令電磁的記録提供罪は,後記のとおり,それが不正指令電磁的記録等であることを認識している者に取得させる行為であるが,この場合も,提供の相手方以外の第三者(使用者)が不正指令電磁的記録であることを認識していないのにこれを当該第三者の電子計算機で実行され得る状態に置く目的があることを要する。

法務省文書1
法務省文書2
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」6頁、7頁より)

つまり、ウイルス作成罪は、「人の電子計算機における実行の用に供する目的」を要する目的犯であるため、他人・第三者のパソコンやスマホのユーザーが、ウイルスがウイルスであると知らないこと、認識していないことが必要です。

この点、日本のエンジニア等の方々が、Log4jのソースコードやプログラムなどにおける脆弱性の部分などの情報をTwitterなどのSNSやウェブサイト、ブログなど、ネット上でやり取りしたり情報共有することは、Log4jの脆弱性の対策、セキュリティ対策をする目的であると思われ、「人の電子計算機における実行の用に供する目的」が欠けるので、ウイルス作成罪の犯罪は成立しないのではないでしょうか。

(もちろん逆に、ウイルスであると知らない他人・第三者のパソコン・スマホなどでウイルスを動作させる目的で、Log4jのプログラム、ソースコードの脆弱性の部分をSNSやウェブサイトなどでやり取りしたり情報共有したりした場合には、「人の電子計算機における実行の用に供する目的」があるとして、本罪が成立する可能性があります。)

4.「正当な理由がないのに」
つぎに、上で条文を確認したとおり、ウイルス作成罪は、「正当な理由がない」ことが犯罪成立に必要となります。つまり、ウイルス作成罪の「反意図性」「不正性」などの構成要件が満たされたとしても、「正当な理由」があった場合には、違法性がないことになり(違法性阻却)、本罪は成立しません。

この点、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、つぎにように開設しています。
「正当な理由がないのに」とは「違法に」という意味である。ウイルス対策ソフトの開発・試験等を行う場合には,自己のコンピュータで,あるいは,他人の承諾を得てそのコンピュータで作動させるものとして,コンピュータ・ウイルスを作成・提供することがあり得るところ,このような場合には 「人の電子計算機における実行の,用に供する目的」が欠けることになるが,さらに,このような場合に不正指令電磁的記録作成・提供罪が成立しないことを一層明確にする趣旨で 「正当な理由がないのに」との要件が規定されたものである。

つまり、セキュリティ会社などがウイルス対策ソフトなどを研究開発したり作成・試験することは違法性が欠けるので、ウイルス作成罪に該当しないことを明確化するために、この「正当な理由がないのに」の文言が条文に置かれたと法務省の本文書は解説しています。

そして法務省の本文書はつぎのように解説を続けています。

このほか,コンピュータ・ウイルスを発見した人が,ウイルスの研究機関やウイルス対策ソフトの製作会社に対しウイルスの研究ウイルス対策ソフトの更新に役立ててもらう目的で,ウイルスであることを明らかにした上で,そのウイルスを提供し,ウイルスの研究機関やウイルス対策ソフトの製作会社が,そのような目的で用いるためにこれを取得する場合なども 「人の電子計算機における実行の用に供する」目的による提供や取得とはいえないので,不正指令電磁的記録提供罪や同取得罪は成立しないが,それぞれ「正当な理由がある」場合にも該当するといえる(なお,この例の場合には 「人の電子計算機における実行の用に供する」行為に当たらないから,不正指令電磁的記録供用罪も成立しない 。)

法務省文書3
法務省文書4
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁より)

すなわち、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、ウイルスを発見した人が、研究機関やセキュリティ会社などに、ウイルスの研究や対策に役立ててもらう目的、つまりセキュリティ対策の目的で、当該ウイルスを研究機関やセキュリティ会社などに提供などすることや、ウイルス対策の目的で研究機関やセキュリティ会社などが当該ウイルスをセキュリティ対策の目的で当該ウイルスを取得する場合などは、「正当な理由がある」ので、違法性が欠けて、ウイルス作成罪や提供罪、収集罪、保管罪などは成立しないと明記しています。

したがって、今回発覚したLog4jの脆弱性について、その脆弱性をつくウイルス・マルウェアや攻撃の方法や結果などを発見し、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行うために、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、まさに法務省のウイルス作成罪の立案担当者の本文書の「「正当な理由がある」場合に該当する」に当たるといえるので、違法性が欠けて、ウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

5.「バグ」の問題-「反意図性」と「不正性」
上で条文を確認したとおり、ウイルス作成罪は、パソコンやスマホなどのユーザーの「意図に反する」(反意図性)、かつ、「不正」(不正性)な動作をさせるプログラムを作成・提供・収集・保管した場合に成立する犯罪です。

つまりウイルス作成罪の「ウイルス」とは、パソコン・スマホなどのユーザーの「意図」に反し、かつ「不正」な動作をさせるものとされています。そしてこの「不正」とは、「社会的許容性がないこと」とされています(西田典之・橋爪隆補訂『刑法各論 第7版』413頁)。

この点、この「不正性」(=社会的許容性)とプログラムのバグとの関係について、法務省の本文書はつぎのように解説しています。

いわゆるバグについては,プログラミングの過程で作成者も知らないうちに発生するプログラムの誤りないし不具合をいうものであり,重大なものも含め,コンピュータの使用者にはバグは不可避的なものとして許容されていると考えられることから,その限りにおいては,「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」との要件も 「不正な」との要件も欠くこととなり,不正指令電磁的,記録には当たらないこととなる。

他方,プログラムの不具合が引き起こす結果が,一般に使用者がおよそ許容できないものであって,ソフトウエアの性質や説明などに照らし,全く予期し得ないものであるような場合において,実際にはほとんど考えられないものの,例えば,プログラムにそのような問題があるとの指摘を受け,その不具合を十分認識していた者が,この際それを奇貨として,このプログラムをウイルスとして用いて他人に害を与えようとの考えの下に,あえて事情を知らない使用者をだましてダウンロードさせたようなときは,こうしたものまでバグと呼ぶのはもはや適当ではないと思われ,不正指令電磁的記録供用罪が成立し得ることとなる。

もっとも,不正指令電磁的記録に関する罪が成立し得るのは,そのプログラムが不正指令電磁的記録であることを認識した時点以降に行った行為に限られ,それより前の時点で行った行為についてはこれらの罪は成立しない。

つまり、法務省の本文書は、プログラムのバグは、「コンピュータの使用者(=ユーザー)にはバグは不可避的なものとして許容されていると考えられることから」「反意図性」もなく、社会的許容性があり「不正性」もないので、原則として、「重大なものも含め」ウイルス作成罪等は成立しないとしています。

ただし、あるプログラムのバグが一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合であって、そのようなプログラムのバグを奇禍として、その重大なバグのあるプログラムを、他人・第三者のユーザーに害を与える目的で、当該ユーザーをだまして当該重大なバグのあるプログラムをダウンロードさせるなどの行為はウイルス作成罪に該当し得るとしています。

しかし法務省の本文書は、その場合であっても、ウイルス作成罪が成立するためには、その犯人・行為者は、当該プログラムがウイルスに相当するプログラムであることを認識した後であることが必要であり、それ以前にダウンロードや提供などをした場合には犯罪は成立しないとしています(目的犯)。

したがって法務省の立案担当者は、一般論としてウイルス作成罪との関係では、重大なものも含めプログラムのバグは、原則として、「反意図性」と「不正性」がないため、ウイルス作成罪の「ウイルス」(不正指令電磁的記録)に該当しないとしています。

また、今回のLog4jの脆弱性・バグは、「一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合」という例外的な場合に該当するとも考えられますが、しかし仮にそうであっても、Log4jの脆弱性・バグについてウイルス作成罪が成立するためには、行為者・犯人には、「他人・第三者のユーザーに害を与える目的」で、Log4jの脆弱性・バグがウイルスに相当するものであることを認識した後に、提供・保管などを行う必要があります。

したがって、「反意図性」と「不正性」、バグの問題との関係においても、エンジニアや研究者などの方々が、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行う目的で、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、法務省の本文書が説明するように、他人に害を与える目的があるという例外的な場合を除いて、原則としてウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

6.保護法益
法務省の「いわゆるコンピュータ・ウイルスに関する罪について」は、ウイルス作成罪の保護法益(罪の趣旨・目的)を、『本罪は,電子計算機のプログラムが 「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき不正な指令」を与えるものではないという,電子計算機のプログラムに対する社会一般の者の信頼を保護法益とする罪であり文書偽造の罪(刑法第17章)などと同様、社会的法益に対する罪である』と解説しています。

この点、刑法の教科書は、「現代社会においては、世界的な規模でコンピュータネットワークが政治、経済、社会活動の重要なインフラとなっていることを考慮すると、コンピュータプログラムが健全に機能していることに対する社会一般の信頼を保護法益とする」と解説しています(西田・橋爪・前掲412頁)。

このウイルス作成罪の、「コンピュータのプログラムは反意図性や不正性のあるものではないという、コンピュータプログラムへの社会一般の信頼」や、「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能していることに対する社会一般の信頼」などの社会的法益がウイルス作成罪の保護法益であることを考えると、「「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能」するために、多くのエンジニアの方々などがLog4jの脆弱性の対策のためにネット上や職場などで日夜連日、活躍・奮闘なさっていることに対して、さすがのcoinhive事件の神奈川県警サイバー犯罪対策本部などでも、ウイルス作成罪などで検挙などすることはあまり考えにくいのではないでしょうか。

7.ウイルスの「画像」
なお、ITmedia NEWSの記事によると、日本ハッカー協会は、画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある』と取材に回答しているとのことです。

しかし、法務省の「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁や刑法の教科書は、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録とは、「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの、たとえば、不正なプログラムのソースコードを記録した電磁的記録や、そのソースコードを紙媒体に印刷したものなどがこれにあたる」(西田・橋爪・前掲413頁)としています。
法務省文書7
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁より)

つまり、法務省の本文書などは、ウイルスのソースコード等を紙にプリントアウトしたもの等も、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるとしています。

ウイルスのソースコード等を紙にプリントしたものなどでも「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるのですから、ウイルスのソースコードやプログラム等を仮にPCやスマホ画面のスクリーンショットやハードコピーにより「画像」にしたとしても、その画像が「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの」、つまり「不正な指令を記述した電磁的記録その他の記録」に該当すると判断される余地もあるように思われるので、ウイルスのソースコード等を画像にしたからウイルス作成罪との関係で安全であるとは必ずしもいえないのではないでしょうか。この点には疑問が残ります。

8.まとめ
このように、ウイルス作成罪・不正指令電磁的記録作成罪について、法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」を基に、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」つまりバグの問題、保護法益の問題などの各論点を検討してみましたが、少なくとも法務省の立案担当者の考え方によれば、今回のLog4jの脆弱性やそれをつくウイルスや攻撃などの情報をセキュリティ対策目的でSNSやウェブサイトなどでやり取りしたり情報共有したりすることは、原則としてウイルス作成罪は成立しないのではないでしょうか。(日本ハッカー協会のご見解は、同協会の「弁護士費用助成サービス」を宣伝する意図もあるのではないでしょうか。)

とはいえ、このウイルス作成罪はとくに「不正性」の部分があいまい・漠然としており、Coinhive事件では、coinhiveが社会的に妥当なプログラムなのか否か、意見が分かれていた2018年当時に、神奈川県警と神奈川県の検察は、自らのウェブサイトにcoinhiveを設置していただけのモロ氏を立件・起訴してしまい、現在、coinhive事件は最高裁で係争中です。また、ITmedia NEWSも指摘するとおり、2017年のWizard Bible事件も、警察が不正アクセス禁止法とウイルス作成罪の容疑で逮捕・略式起訴を行ってしまっており、警察・検察当局によるウイルス作成罪の解釈や運用は以上にグレーな部分が大きいといえます。

そもそも犯罪と刑罰については、国家が犯人・被告人に刑罰という不利益な処分を科すものですから、「刑法の謙抑性」「疑わしきは被告人の利益に」との大原則があり、また罪刑法定主義とともに、刑法などの法律の条文には「通常の判断能力を有する一般人の理解」で法律の条文が理解できる必要があるという「規定の明確性」が要求されます(憲法31条、最高裁昭和50年9月10日判決・徳島市公安条例事件)。そのため、ウイルス作成罪の「不正性」の部分の構成要件が非常にあいまい・漠然としており、警察・検察当局が恣意的ともいえるグレーな運用を行っていることは、憲法31条との関係で違法・違憲の可能性があります。

そのため、coinhive事件においては、事件が係属している最高裁第一小法廷はぜひまともな判断を示していただきたいと思っています。裁判長は刑法学の重鎮の東大名誉教授の山口厚先生でありますし。

また、先日、本記事について、ITmedia NEWSにLog4jの脆弱性の件は不正指令電磁的記録作成罪の「正当な理由」がある等として同罪は成立しないと考える余地もあるのではないか、セキュリティや刑法の専門家に取材してほしいとの趣旨の意見を同社サイトの入力フォーマットからお伝えしてみたところ、ITmedia NEWS編集部より、「本記事は大きな反響をいただいており、さらにセキュリティの専門家や弁護士などに取材することを検討中」との返信をいただきました。

ITmedia NEWS編集部におかれては、セキュリティや情報法の専門家の産業技術総合研究所主任研究員の高木浩光先生や、刑法・刑事訴訟法のサイバー犯罪に詳しい成城大学の指宿信教授や筑波大学の渡邊卓也准教授などの学者・研究者や、法務省、警察庁・警視庁、検察庁などのサイバー犯罪の担当部署などに取材をして、ぜひ続報を報道していただきたいと思います。

このブログ記事が面白かったら、ブックマークやいいね、シェアをお願いします!

■関連する記事
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁、413頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

■関連する記事
・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件について横浜地裁で無罪判決が出される

・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える





























このエントリーをはてなブックマークに追加 mixiチェック

senkyo_touhyou
1.外国人を対象に含む武蔵野市住民投票条例案が市議会で否決
3か月以上滞在の外国人を対象に含む武蔵野市住民投票条例案が同市議会で12月21日に否決されました。本ブログ記事では、この武蔵野市住民投票条例案が憲法・行政法との関係で問題がなかったのか考えてみたいと思います。
・武蔵野市の住民投票条例案、なぜ否決されたのか?市長がこだわる「先進性」|東京新聞

2.住民投票制度
(1)住民投票制度
住民投票制度は、日本の法制度においてはおおむね4つの制度が存在します。すなわち、①憲法95条の国会が特定の自治体だけに適用される地方特別法を制定する場合に必要となる住民投票、②市町村合併特例法による市町村合併に関する住民投票、③条例に基づく住民投票、④意識調査としての法律に基づかない住民投票、の4つです。

そして武蔵野市で問題になったのは、③の条例に基づく住民投票であり、そのの条例による住民投票の対象に日本にきて3か月経過した短期滞在の外国人を含めることができるかという問題です。

(2)条例による住民投票の概要
1982年に制定された高知県窪川町の「窪川町原子力発電所設置についての町民投票に関する条例」がわが国に最初に制定された住民投票条例ですが、このような個別の問題に関する住民投票条例が制定される一方で、一般的な住民投票条例(「常設型」と呼ばれる)も1997年に大阪府箕面市市民参加条例が制定されており、武蔵野市の住民投票条例はこの常設型に該当します。

これらの住民投票条例は、投票結果が議会や行政に対して法的拘束力を持つものではない「諮問型」ですが、そもそも住民投票条例の結果が法的拘束力を持つことが許されるかという問題については、憲法92条以下が採用する地方自治体の長(行政)と地方議会による二元的代表システムを前提とした地方自治法の趣旨に反して許されないとするのが多数説とされています(宇賀克也『地方自治法概説 第7版』367頁)。

(3)参政権と住民投票
住民投票制度の趣旨・目的は、地方自治体の行政や政治について、住民参加の機会を拡大するためのものであるとされています。現在の日本の地方自治制度を、地方議会による代表制民主主義が原則であるとする学説は、それを補完する住民投票は、直接民主主義として例外的に正当化されるとし、住民投票は直接民主主義の一つであると解しています(宇賀・前掲365頁)。

なお、国・自治体の行政や議会等に関して国民が平穏に請願を行う権利である請願権(憲法16条)参政権の一つであると解されていることを考えると(渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法Ⅰ 基本権』432頁)、広く住民の意見を募るという自治体の条例に基づく住民投票は、直接民主主義の一つであり、参政権の一つであると考えられます。

この点、武蔵野市の住民投票条例案の成立を推進していた同市の松下玲子市長らは、「住民投票は参政権ではないので、憲法15条1項が参政権を認めているのは日本国民だけであるとの批判はあたらない」と主張していたとのことですが、住民投票は参政権の一つなので、松下氏らの主張はこの点、正しくありません。

3.憲法からみた外国人の参政権
(1)外国人の参政権
外国人の人権は、「権利の性質上」適用できるものは外国人にも認められるとするのが判例と憲法学の通説です(最高裁昭和53年10月4日判決・マクリーン事件、芦部信喜・高橋和之補訂『憲法 第7反』92頁)。

この点、参政権や入国の自由などの基本的人権は原則として「権利の性質上」、外国人には認められないとするのが判例・通説です(野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』225頁、最高裁平成7年2月28日判決)。

(2)最高裁平成7年2月28日判決
すなわち、外国人の参政権が争われた事件で最高裁平成7年2月28日判決はつぎのように判示しています。

『憲法一五条一項にいう公務員を選定罷免する権利の保障が我が国に在留する外国人に対しても及ぶものと解すべきか否かについて考えると、憲法の右規定は、国民主権の原理に基づき、公務員の終局的任免権が国民に存することを表明したものにほかならないところ、主権が「日本国民」に存するものとする憲法前文及び一条の規定に照らせば、憲法の国民主権の原理における国民とは、日本国民すなわち我が国の国籍を有する者を意味することは明らかである。そうとすれば、公務員を選定罷免する権利を保障した憲法一五条一項の規定は、権利の性質上日本国民のみをその対象とし、右規定による権利の保障は、我が国に在留する外国人には及ばないものと解するのが相当である。』

『前記の国民主権の原理及びこれに基づく憲法一五条一項の規定の趣旨に鑑み、地方公共団体が我が国の統治機構の不可欠の要素を成すものであることをも併せ考えると、憲法九三条二項にいう「住民」とは、地方公共団体の区域内に住所を有する日本国民を意味するものと解するのが相当であり、右規定は、我が国に在留する外国人に対して、地方公共団体の長、その議会の議員等の選挙の権利を保障したものということはできない。

『(しかし、)憲法第八章の地方自治に関する規定は、民主主義社会における地方自治の重要性に鑑み、住民の日常生活に密接な関連を有する公共的事務は、その地方の住民の意思に基づきその区域の地方公共団体が処理するという政治形態を憲法上の制度として保障しようとする趣旨に出たものと解されるから、我が国に在留する外国人のうちでも永住者等であってその居住する区域の地方公共団体と特段に緊密な関係を持つに至ったと認められるものについて、その意思を日常生活に密接な関連を有する地方公共団体の公共的事務の処理に反映させるべく、法律をもって、地方公共団体の長、その議会の議員等に対する選挙権を付与する措置を講ずることは、憲法上禁止されているものではないと解するのが相当である。しかしながら、右のような措置を講ずるか否かは、専ら国の立法政策にかかわる事柄であ(る)。(ただし国会がそのような立法を行わないとしてもそれは憲法違反とはならない)。

つまり本判決は、国民主権の観点から、国政レベルの選挙権・参政権は日本国民のみを対象としており、地方レベルの選挙権・参政権についてもそれは同様である。ただし、憲法における92条以下の地方自治の「その地方の住民の意思に基づきその区域の地方公共団体が処理するという政治形態を憲法上の制度として保障しようとする趣旨」(=住民自治)の観点から、地方自治体の長など地方レベルの選挙について永住外国人であって自治体と特段の密接な関係を持つに至った者について「国会の立法」で地方選挙権を付与することは「国の立法政策」として許容されるとしています。

4.武蔵野市の住民投票条例案の検討
この点、上でみたように、住民投票も国民・住民の参政権の一部であると考えられます。そして本最高裁判決が外国人の地方レベルの参政権について「国の立法政策」の問題であり、「国会」「法律」を作成した場合には外国人の地方レベルの参政権も許容される余地があるとしているにもかかわらず、外国人の地方レベルの参政権を認める内容の国会の立法を待たずに「条例」で住民投票の権利を外国人にも付与しようとした武蔵野市議会および武蔵野市は、本最高裁判決に照らして違法・違憲のおそれがあると思われます(憲法15条1項、93条2項)

(なお、川崎市の住民投票条例なども、3か月以上日本に滞在する外国人に対して住民投票の権利を認めていますが、国会での外国人の地方レベルの参政権に関する立法を待たずに制定された川崎市の同条例も、上でみた判例・通説に照らして違法・違憲の可能性があると思われます。)

5.外国人の表現の自由・集会の自由とその限界
また、判例・通説は、外国人には「権利の性質上」、表現の自由・集会の自由など(憲法21条1項)の精神的自由は認められるとしていますが、上でみたように国政レベルの参政権は認められないこととの関係から、外国人の表現の自由、集会の自由などは大きな制約を受けるとしています。具体的には、日本に在留する外国人には、日本の政治に直接介入するような集会・結社の自由や、政府打倒の表現行為など許容されないとされています(芦部・高橋・前掲92頁、最高裁昭和53年10月4日判決・マクリーン事件)。

そのため、日本に在留する外国人が、武蔵野市がこのような住民投票条例を可決するように武蔵野市やネット上などで、政治的表現や集会、デモ等を行ったなどの表現行為についても、上でみたような判例・通説が外国人に許容する表現の自由の限界を超えるものとして、違法・違憲の可能性があるのではないでしょうか(憲法21条1項、12条、13条(公共の福祉・内在的制約論))。…

(なおこの点、2016年に制定されたヘイトスピーチ解消法は、立憲民主党などが主導したものですが、立憲民主党の活動を支持・応援しているいわゆる「カウンター」などの反差別活動家・人権活動家や、「しばき隊」などの立憲民主党の実力部隊の構成員は、日本に在留する外国人が多く含まれているようであり、それらの外国人達が、ヘイトスピーチ解消法などの立法活動のために社会やネット上などで政治的表現活動を行うことや、現実社会でデモやカウンター行為などの政治的な集会の自由や表現の自由に関する権利を行使することは、日本の国会の立法活動への直接的な介入であるといえるので、「日本の政治に直接介入するような集会・結社の自由」に該当し、判例・通説に照らして違法・違憲である可能性があるのではないでしょうか。そして、そのような外国人達による政治介入を経て成立したヘイトスピーチ解消法は、その立法過程に憲法上の瑕疵があると言えるのではないでしょうか。)

(関連)
・「表現の不自由展かんさい」実行委員会の会場の利用承認の取消処分の提訴とその後を憲法的に考えた-泉佐野市民会館事件・思想の自由市場論・近代立憲主義
・ヘイトスピーチ対策法案を憲法から考える

5.まとめ
以上のように、憲法15条1項、93条2項などに関する判例・通説に照らすと、武蔵野市の住民投票条例案は違法・違憲の可能性が高いといえます。日本の憲法学の通説的な見解によれば、このような結論になると思われます。

近年のマスメディアや立憲民主党・日本共産党などの野党や、リベラル派・左派の方々は社会学者やフェミニスト、人文科学系の学者、反差別活動家、人権活動家などの「多様性」「ジェンダー平等」「フェミニズム」「ポリティカル・コレクトネス」などの意見や主張を熱心に聞く一方で、憲法学者や法律学者の意見や、一般の日本国民の意見を不当に軽視・無視しているように思われます。

マスメディアや立憲民主党・日本共産党などの野党は、社会学者や人文科学系の学者、フェミニストや反差別活動家などの意見や主張だけでなく、憲法学者・法律学者などの見解も真摯に耳を傾けるべきです。日本社会は社会学やフェミニズムなどだけで回っているのではないのですから。

とくに、上でみたような憲法学・行政法などの初歩的な法的知識を無視し、社会学者や外国人などの「多様性」「ポリティカル・コレクトネス」などの意見・主張に安易に流されて今回の短期滞在の外国人をも対象に含む住民投票条例案の可決を目指して活動してきた武蔵野市議会や、武蔵野市、松下玲子市長の政治的責任・法的責任は重大です。

近年、日本の隣国の中国は、覇権主義・全体主義に基づいて、国際法やモラルを無視してなりふり構わぬ膨張主義政策を展開しています。中国あるいは北朝鮮、ロシアなどが、日本に在住する中国人等を利用するなど、合法・非合法を問わずあらゆる手段を行使して日本の政治・経済・行政などに介入してくる危険は、机上の空論ではなく現実の危険です。

武蔵野市の松下市長や立憲民主党、日本共産党などのリベラル派・左派の方々は、「多様性」や在留外国人の人権の問題だけでなく、主権者たる日本国民の個人の尊重や基本的人権の確立、日本の安全保障などをも重視すべきです。外国人の参政権の問題は、日本国民の国民主権・民主主義と、国家の主権の問題です。

■参考文献
・渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法Ⅰ 基本権』432頁
・芦部信喜・高橋和之補訂『憲法 第7反』92頁
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』225頁
・宇賀克也『地方自治法概説 第7版』365頁、367頁

このブログ記事が面白かったら、ブックマークやいいね、シェアをお願いします!

■関連する記事
・「表現の不自由展かんさい」実行委員会の会場の利用承認の取消処分の提訴とその後を憲法的に考えた-泉佐野市民会館事件・思想の自由市場論・近代立憲主義
・ヘイトスピーチ対策法案を憲法から考える
・京都朝鮮学園事件判決とヘイトスピーチ規制立法について
・日本共産党の衆院選公約の「非実在児童ポルノ」政策は憲法的に間違っているので撤回を求める
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・東京医科大学の一般入試で不正な女性差別が発覚-憲法14条、26条、日産自動車事件
・懐風館高校の頭髪黒染め訴訟についてー校則と憲法13条・自己決定権
・自民党憲法改正草案の緊急事態条項について考える
・自民党憲法改正草案を読んでみた(憲法前文~憲法24条まで)
・自民党憲法改正草案を読んでみた(憲法25条~憲法102条まで)





























このエントリーをはてなブックマークに追加 mixiチェック

最高裁
1.コインハイブ事件
■追記
2022年1月22日に最高裁第一小法廷(山口厚裁判長)でこのコインハイブ事件について無罪判決が出されました。詳しくはこちらをご参照ください。
・【速報】コインハイブ事件の最高裁判決で無罪判決が出される

あるウェブデザイナーの方(モロ氏、以下「被告人」)が、自身のウェブサイトに仮想通貨採掘アプリ「coinhive」を設置していたことが、不正指令電磁的記録等罪(いわゆるウイルス罪・刑法168条の2以下)に問われたいわゆるコインハイブ事件において、2018年の横浜地裁平成30年3月27日判決は、不正指令電磁的記録等罪の構成要件における、「反意図性」の該当は認めたものの、「不正性」(社会的許容性)の該当は認められるとはいえないとして、被告人を無罪としました。

ところが、控訴審の東京高裁令和2年2月7日判決(栃木力裁判長)は、「反意図性」および「不正性」の両方が成立するとして、被告人を罰金10万円の有罪とし、ネット上では高裁判決に対して、多くの批判が沸き起こりました。

(関連)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件

とくに、本高裁判決は、「不正性(社会的許容性)」について、『『本件プログラムコードは、(略)、その使用によって、プログラム使用者(閲覧者)に利益を生じさせない一方で、知らないうちに電子計算機の機能を提供させるものであり、一定の不利益を与える類型のプログラムといえる上、その生じる不利益に関する表示等もされないのであるから、(略)、プログラムに対する信頼保護という観点から社会的に許容すべき点は見当たらない。』という文章を何回もコピペで使いまわしてcoinhiveの不正性を強調しています。

この東京高裁に対して、被告人のモロ氏と弁護人の平野敬弁護士が最高裁に上告を行ったところ、最高裁は弁論を行うことを決定し、本日(2021年12月9日)、その弁論が最高裁で行われました。

2.最高裁での弁論
本日の最高裁の弁論について、弁護士ドットコムニュースはつぎのように報道しています。
・コインハイブ事件で最高裁弁論、弁護側改めて無罪主張 判決期日は追って指定|弁護士ドットコムニュース

弁護側は憲法上、刑法上、刑事訴訟法上の問題があると指摘。1審と2審で判断が分かれた不正性について「コインハイブが社会的に許容されていなかったと断じることはできない」などと述べ、無罪を主張した。

検察側は「クリプトジャッキングに相当する行為で、国際的にもサイバー犯罪として取り締まられている。今回の行為の違法性を否定するならCPU等の無断使用を解禁することになり、日本を世界中からの草刈り場に置くことと等しい」などと上告棄却を求め、結審した。

また、弁護士ドットコムニュースによると、弁論後の記者会見で、平野敬弁護士とモロ氏はつぎのように述べたとのことです。

モロ氏
「これがもし有罪となってしまった場合、クリエイターの方々がやりにくい世の中になってしまうと思うので、無罪という形で正しい判決がいただけることを願っています」

平野敬弁護士
「クリプトジャッキングと言うのは他人のウェブサイトを不正に改ざんして、仮想通貨採掘ツールを埋め込む行為をいう。今回のケースのように、自分のウェブサイトにJavaScriptを設置して、仮想通貨を採掘する行為とはまるで違うものだ。たしかに、世界ではクリプトジャッキングが問題になっていて、刑事的な訴追対象になっているのは事実だが、それと今回のケースを意図的に混同しようとする検察官の主張は悪質で、誤導的な説明だったと思う

つまり、平野弁護士は、「他人のウェブサイトを不正に改ざんして、仮想通貨採掘ツールを埋め込む行為(クリプトジャッキング)と、自らのサイトにツールを設置した本件はまったく異なるのに、両者を混同させる主張をしている検察側の主張は悪質」と述べておられますが、このご見解は非常に正当であると思います。

3.サラミ法?一厘事件ではないのか?
また、本日の最高裁の弁論を傍聴した、寿司アイコン様(@mecab)のツイートによると、弁論はおおむねつぎのような感じだったようです。
mecab様のツイート
(寿司アイコン様(@mecab)のTwitterより)
https://twitter.com/mecab/status/1468823606742634496

このツイートによると、検察側はおおむねつぎのように主張したそうです。
「他人のコンピュータリソース無断でつかうのは不正なことは常識である。影響は軽微だというが、「サラミ法」を知らないのか。」
この点、「サラミ法」とは「犯罪や不正行為の手口の一つで、一回あたりの数量や影響を発覚しにくい小さな値に抑え、数多くの対象や回数に分散して繰り返す手法」です(e-words.jpより)。

しかし、本事件において、モロ氏がcoinhiveを設置したサイトは自らの一つのウェブサイトであり、しかもcoinhiveで得られた収益は数百円程度で、しまもcoinhiveの仕様で1000円未満は支払対象外だったため、モロ氏が実際に受け取った収益は0円です。

このような事実を、「一回あたりの数量や影響を発覚しにくい小さな値に抑え、数多くの対象や回数に分散して繰り返す手法」の「サラミ法」として弁論で主張を行った検察側は、事実を不当に大きく表現し、今回のcoinhive事件があたかも日本のIT業界やデジタル業界を揺るがすような凶悪な重大事件であると裁判官に訴えようとしているように思われますが、このような誇大妄想的な主張は、法曹三者の法律家の一人である検察官の主張としてどうなのでしょうか。

モロ氏が得たcoinhiveの収益が実際には0円であり、設置したサイトも自身のサイト一つであったことを考えると、最高検の検察官達は、サラミ法でなく、明治時代の大審院の一厘事件(煙草一厘事件、大審院明治43年10月11日判決)の判決に思いを致すべきだったのではないでしょうか。

つまり、ある農家がタバコに関して非常に軽微な違法行為をしたところ、当時の最高裁にあたる大審院は、形式的には法律違反で刑罰の構成要件に該当するとしても、あまりにも軽微な違法行為は可罰的違法性が欠ける、すなわち違法性が阻却されるとして無罪の判決を出しています。

本件の最高検の検察官達も、被告人が自らのサイトで一人で設置したcoinhiveで得られた収益が実際には0円だったのですから、仰々しく「サラミ法」などを持ち出すのではなく、「一厘事件」の判例の可罰的違法性の問題を検討すべきだったのではないでしょうか。

4.刑法違反とならないためにパソコンやスマホのスタンドアローンでの利用が要求される?
また、検察側は本日の弁論で、「今回の行為の違法性を否定するならCPU等の無断使用を解禁することになり、日本を世界中からの草刈り場に置くことと等しい」と主張したそうです。

しかし、エンジニアなどの専門家ではない、我われ一般人のユーザーにとって、自分のパソコンのCPU等が、とくにネットに接続して使用している状態においては、ネットワークやISP、その先のサーバー等とさまざまな情報のやり取りをした上でネットを閲覧したりメールを授受したり、クラウドのサービスを利用しているわけであり、エンジニアなどの専門家ではない一般人のユーザーにとっては、自分のパソコンのCPC等がある程度は「無断使用」されている状況は当たり前なのではないでしょうか?

本事件の東京高裁判決の裁判官達も「ウェブサイト上のバナー広告は表示されているから不正性はない」と判示していますが、東京高裁の裁判官達や本件の最高検の検察官達は、パソコンのモニター画面の裏側のCPU等で、さまざまなプログラムやソースコードなどが稼働し、ネットやISPやさまざまなサーバーとやり取りをしている、そのそれらの多くのプログラムやソースコード、各種のサーバーなどの目的等を逐一把握し、それらをすべて同意や合意のもとに利用できているのでしょうか?

近年は、スマホやパソコンにおけるcookieやFlocなどを利用したネットの行動ターゲティング広告において、DMP業者などがユーザー・国民のネットの閲覧履歴や位置情報・移動履歴や購入履歴などを収集・分析・加工・販売している個人データの取扱が、個人情報保護法の観点から違法・不当なのではないかと、例えば2019年の就活生の内定辞退予測データの販売などに関するリクルートキャリアやトヨタなどの「リクナビ事件」において大きな社会的問題となりました。リクルートキャリアやトヨタなどは、同年に個人情報保護委員会や厚労省から、個人情報保護法違反、職業安定法違反であるとして行政指導を受けています。

ネット上の広告にはこのような個人の尊重やプライバシー、人格権などの基本的人権(憲法13条)に関する大きな問題があるのに、最高検の検事達や東京高裁の裁判官達は、「ネットの広告はユーザーに表示されているから合法で、coinhiveはユーザーに表示されていないから違法で犯罪」と主張するのでしょうか。しかしそれはあまりにも個人情報保護法などの国会の制定した法律や、一般国民の感覚とかけ離れているのではないでしょうか?

(参考)
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

あるいは、最高検の検察官の主張のように、国民や企業などが不正指令電磁的記録作成罪などの刑法に違反しないためには「CPU等の無断使用を禁止すべき」などと言い出したら、それこそクラウドサービスや5Gどころか、1980年代、90年代のパソコン通信だけでなく、そもそも冷戦下に生み出されたインターネットへの接続すら放棄し、パソコンをスタンドアローン「鎖国」の状態で利用することが必要となるのではないでしょうか。

しかし、近年、クラウドや5Gの時代となり、「日本社会のデジタル化」が国策の一つとなりデジタル庁が設置され、ますますスマホやパソコンなどをネットに接続し、官民がデジタル社会における経済活動などを推進しようとしている世の中なのに、「CPU等の無断使用」を禁止せよと主張する最高検の検察官達や本事件の東京高裁の裁判官達の考え方は、さすがにあまりにも時代錯誤であり、ITリテラシーが無さすぎなのではないでしょうか。

かりにそれで検察官や裁判官の方々は刑法的に満足だとしても、それでは「刑法守ってデジタル敗戦」となってしまい、日本社会のITやデジタルが1970年代以前に逆戻りしてしまうのではないでしょうか。

5.まとめ
そもそも、検察官は裁判所に対して「法の正当な適用を請求」する職責を負っており(検察庁法4条)、「法と正義の実現を目指して公平・公正でならねばならない」という「検察官の客観義務」を負っており、かりに訴訟の経緯がそう要求する場合には、検察官は無罪を主張しなければならないとされています(田宮裕『刑事訴訟法 新版』24頁)。

この検察官の客観義務の観点からは、「とにかく神奈川県警が立件した以上は有罪としたい」という本件における検察官側の姿勢には大きな疑問を感じます。また繰り返しになりますが、裁判官や検察官や神奈川県警サイバー犯罪担当などのITリテラシーの低さを感じます。

(一般人の私が述べてもしかたのないことですが、「デジタル社会」が国策となる現在、さすがにそろそろ司法試験にも個人情報保護法やITパスポート的なものも試験科目に加えたり、あるいは検察官、警察官や裁判官の職場研修などに個人情報保護法やIT・情報セキュリティの初歩などを導入することを、最高裁や法務省、検察庁などは検討すべきなのではないでしょうか。)

同時に、本日の弁論後の記者会見でモロ氏が述べておられたように、「これがもし有罪となってしまった場合、クリエイターの方々がやりにくい世の中になってしまう」、つまりITやデジタル関係のエンジニアの方々や法人などが、自分達の研究開発しているプログラムやIT関係の先端技術が、いつ裁判所や検察官、警察などから不正指令電磁的記録作成罪などに抵触する違法なものであると判断されるか分からないという、IT技術、先端のテクノロジーの研究開発に予測可能性がなくなってしまうという大問題があります。これでは日本のITやデジタルに関する企業やエンジニア、学者・研究者の方々などは委縮して、自由に研究開発や学問研究、企業活動を行うことができなくなってしまいます。

そのため、本事件について、最高裁はぜひまともな判決を出してほしいと思います。本事件の最高裁第一小法廷の裁判長は、刑法学の重鎮の山口厚・東大名誉教授です。ぜひとも、山口厚先生のまともなご判断を期待したいところです。

(余談)
本日の平野敬弁護士(@stdaux)のツイートにつぎのようなものがあったのですが、一番下は冗談ではなく本当なのでしょうか。いくらサイコーな最高裁とはいえ、ちょっと演出過剰というか、エヴァのゼーレの会議や、サンダーバードの会議などを連想してしまいます・・・。

スドー先生ツイート
(平野敬弁護士のTwitterより)
https://twitter.com/stdaux/status/1468841211637399560

しかし、本日の最高裁の弁論の前の平野先生のツイートは、サイコーにカッコいいとしかいいようがありません。
スドー先生ツイート2

■追記(2021年12月10日)
12月9日の最高裁の弁論について、小野マトペ様(@ono_matope)がTwitter上で、詳細な傍聴メモを公開なさっています。
小野マトペ様ツイート
(小野マトペ様(@ono_matope)のTwitterより)
・https://twitter.com/ono_matope/status/1468858327094657028

この傍聴メモをみると、「第一審の横浜地裁の証人の高木浩光氏の、coinhiveが作動した際にもパソコンの快適性などは損なわれないとの主張は、高木氏がMacBook Pro を使用した再現実験を元にした主張であるので信用できない」などと最高検の検察側が主張しているのは、これも検察官のITリテラシーのなさを表しており、思わず笑ってしまいます。

ところで、モロ氏・平野弁護士側は、憲法31条は、法律の明確性を要求しているが、不正指令電磁的記録作成罪の「不正性」は専門家でも判断が困難であるなど明確性を欠き違法・違憲である」とも弁論で主張されていたとのことです。

憲法31条は「何人も、法律の定める手続によらなければ、その生命若しくは自由を奪はれ、又はその他の刑罰を科せられない。」と、いわゆる適正手続きの原則を定めています。

これは、警察や行政などの公権力を手続き的に拘束し、国民の人権を手続き的に保障するものですが、これは法律で定められた手続きが適正であることだけでなく、法律の実体の規定の内容自体も適正でなければならないことを要求していると判例・通説は解しています。この法律の実体の適正性には、罪刑法定主義や、法律の「規定の明確性」(犯罪の構成要件の明確性、表現の自由の規制立法の明確性など)が含まれていると解されています(芦部信喜・高橋和之補訂『憲法 第7版』252頁)。

この「規定の明確性」に関して裁判所は、「通常の判断能力を有する一般人の理解」で法律や条例の規定の内容が理解できることが必要であるとしています(徳島市公安条例事件・最高裁昭和50年9月10日判決)。

この点、本事件で争点になっている不正指令電磁的記録作成罪(刑法168条の2)のとくに「不正性(社会的許容性)」に関する構成要件は、まさに本事件が最高裁まで争われ、文献などをみても刑法学者などの専門家の間でも意見が分かれているなど、非常に難解であいまい・漠然としたものとなっており、「通常の判断能力を有する一般人の理解」で本罪の「不正性」を理解することは困難であり、本罪の構成要件は明確性を欠くので、憲法31条に照らして違法・違憲とのモロ氏・平野弁護士側の主張は正当であると思われます。(本事件の最高裁判決が出されたら、国会はその判決を踏まえて、不正指令電磁的記録作成罪の条文の見直しなどを実施すべきであると思われます。)

上でもみたとおり、コンピュータウイルス等に関するこの不正指令電磁的記録作成罪の構成要件が明確性を欠き、まさにモロ氏の本事件のように、警察・検察側の恣意的な判断や運用でITに関するエンジニアやIT企業が立件・逮捕などされてしまうことは、エンジニアの方やIT企業などの予測可能性を害し、ITに関する自由な研究開発や企業経営が委縮してしまうことになりかねません。憲法31条の観点からも、本事件について最高裁のまともな判断が望まれます。

このブログ記事が面白かったらブックマークやいいねをお願いします!

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』411頁
・田宮裕『刑事訴訟法 新版』24頁
・芦部信喜・高橋和之補訂『憲法 第7版』252頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・コインハイブ事件で最高裁弁論、弁護側改めて無罪主張 判決期日は追って指定|弁護士ドットコムニュース
・寿司アイコン様(@mecab)のTwitterのツイート
・小野マトペ様(@ono_matope)のTwitterのツイート

■関連する記事
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件について横浜地裁で無罪判決が出される
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング




























このエントリーをはてなブックマークに追加 mixiチェック

1634668211929

このブログ記事の概要
本年3月に個人情報の問題が発覚したLINE社は、10月の有識者委員会の最終報告書を受けて個人情報の安全管理や委託先の監督、社内のコンプライアンスやガバナンスの強化を誓ったはずであるが、再び委託先の職員がGitHubへのLINEPayの個人情報漏洩事故を起こしたことは、個人情報保護法、資金決済法、ベネッセ個人情報漏洩事件判決等や、コンプライアンス、ガバナンスとの関係で非常に問題である。

1.LINE Pay の約13万人の決済情報がGitHub上に公開されていたことが発覚
2021年12月6日のITmediaニュースなどの報道や、LINE社のプレスリリースによると、通信アプリ大手LINE社の決済サービスLINE Payについて、約13万人分のアカウントの決済情報などの個人データが、LINE社の業務委託先の関連会社の従業員により、ソフトウェア開発のプラットフォームサイトのGitHub上で公開されていたことが発覚したとのことです。
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE

(関連記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密

2.事案の概要
LINE社のプレスリリースによると、LINE Payのポイント付与漏れの調査について、LINE社からグループ会社に調査の業務委託を行ったところ、当該調査を行うためのプログラムおよび対象となる決済に関する情報を、委託先のグループ会社の従業員が、GitHub上にアップロートし公開状態にしてしまい、それが閲覧できる状態になっていたとのことです。

公開状態になった情報のアカウント数は、133484件で、うち日本国内は51543アカウント、残り約8万件は海外のユーザーのアカウントであるとのことです。そして公開状態になった決済情報等の期間は2020年12月26日から2021年4月2日まで、そしてこれらの決済情報等が公開状態になっていた期間は、2021年9月12日から2021年11月24日までであったそうです。

また、公開状態になっていた情報は、対象ユーザーの識別子(LINEのアプリケーション内でユーザーを識別するためにプログラムにより自動的に割り当てられた識別子)、加盟店管理情報、キャンペーン情報であり、このキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれるとのことです。(氏名、住所、クレジットカード番号などの漏洩は確認されていない。)

そしてこの公開状態になっていた決済情報等に対しては、LINE社の調査の結果、11件の外部からのアクセスが確認されたとのことです。

2021年11月24日に、LINE社のモニタリング業務でGitHub上に決済情報等が公開されていることが発覚し、同日、LINE社はGitHub上の当該情報の削除を行い、11月30日にアクセス状況などの調査を完了し、同社は12月6日に、情報が漏洩したユーザーに対して通知を実施したとのことです。

3.検討
(1)個人情報保護法
今回GitHub上に公開状態となった、ユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などは、「個人に関する情報であって」、「当該情報…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるので、個人情報(個人情報保護法2条1項1号)に該当し、個人データです(同法2条6項)。とくにユーザー識別子はそれ自体は数字や英数字などの羅列にすぎないとしても、LINE社内の顧客の個人情報データベースで名寄せすれば、容易にユーザー識別子から特定の個人を識別できるので個人情報・個人データに該当します(個人情報保護法ガイドラインQ&A1-15など)。

(なお、ユーザー識別子がかりにLINE社内の顧客個人データベースと容易に照合できず、個人情報に該当しない場合であったとしても、2022年4月から施行される令和2年改正個人情報保護法で新設された「個人関連情報」(法26条の2)には該当することになります(佐脇紀代志『一問一答令和2年個人情報保護法』62頁)。)

そのため、LINE社は自社が保有する個人データについて、漏えい、滅失又はき損の防止などのために安全管理措置を講じることが要求されます(同法20条)。また、個人情報保護法は、個人情報を取扱う事業者に対して、自社の社内の安全管理措置だけでなく、安全管理措置の一環として、従業員の監督(同法21条)と委託先の監督(同法22条)を実施することを要求しています。

そして、個人情報保護委員会・金融庁「金融分野における個人情報の保護に関するガイドライン」(平成29年2月)8条は安全管理措置に関して金融機関は組織的安全管理措置・人的安全管理措置・技術的安全管理措置を講じなければならないとしています。また、同ガイドライン10条は委託先の監督について規定しています。

本年3月に、①LINE社の日本国内のLINEの個人情報が中国の委託先からアクセス可能であったことや、②日本国内のLINEの画像データ・動画データなどがすべてLINE社の韓国の関連会社のサーバーに保存されていたこと等が発覚し、大きな社会的問題となりましたが、今回の事件においても、LINE社は個人データの安全管理のうち、委託先への監督の部分が非常に弱く、問題が多いように見受けられます。また、委託先からのアクセス制御などが十分でないこともLINE社の抱える問題のように思われます。

この点、「金融分野における個人情報の保護に関するガイドライン」8条は、金融機関の事業者は、①組織的安全管理措置において、業務の委託に関して規程を整備することを要求し、また、②技術的安全管理措置においては、委託先や従業員などに適切なアクセス制御を行うことを要求しています。さらに、③同ガイドライン10条(委託先の管理)は、金融機関の事業者は、(a)委託先が個人データに関して適切な安全管理措置を講じることができるか、立入検査を行うなどして、あらかじめ十分に確認することや、(b)業務委託契約において個人データの取扱や、目的外利用の禁止、漏洩事故発生時の対応などを明記し、(c)定期的に立入検査を実施して委託先の安全管理の状況を確認することなどを規定しています。

今回の事件では、LINE社がポイント付与漏れの調査をグループ会社に委託したとのことですが、当該グループ会社が個人データの安全管理を十分に実施できる体制にあることを、LINE社の個人データ管理責任者などが委託先の選定基準などの規程に基づき十分にチェックしたのか、個人データ保護責任者などがあらかじめ当該グループ会社を立入検査するなどして、現場の安全管理の状況を十分確認したのかなどが問われると思われます。

また、ポイント付与漏れの調査のために、13万件のユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などの個人データをそのままグループ会社に提供する方法に問題がなかったのか、また今回のポイント付与漏れの調査のために、①グループ会社の従業員がGitHubなど外部のネットワークにアクセスすることが必要だったのか、②GitHubなど外部のネットワークへのアクセスを遮断する環境にすべきだったのではないか、③グループ会社のポイント付与漏れの調査を行う従業員へのLINE社の個人データを扱うサーバーのアクセス権設定は適切だったのか、などが問題になると思われます。

なお、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」は、個人データの漏洩などの事故が発生した場合には、①事件の原因などの調査を行い、②再発防止策などを策定・実施し、③被害を受けた個人に対して連絡を行い、④類似事案の発生や二次被害の発生を防止するために記者会見やプレスリリースなどで漏洩事故を公表するとともに、⑤個人情報保護委員会や監督官庁などに報告することを求めています。

この点、今回の個人情報漏洩事故においては、プレスリリースによると、LINE社は事故原因の調査や事故の状態のリカバリー、被害を受けた顧客への通知などは実施したようですが、個人情報保護委員会や総務省、金融庁・財務局などの監督官庁への報告を実施したのかは不明であり、この点もし実施していないなら報告を実施すべきであると思われます。(個人情報保護委員会は、報告徴求や立入検査などを行い、行政指導などを実施する権限があります(同法40条~42条)。

(2)資金決済法
LINE Payのサービスを提供しているLINE社は、資金決済法上の前払式支払手段発行者に該当します。そして資金決済法21条は利用者の個人データの保護のための安全管理措置を講じること、同法21条の2は委託先への監督を実施することを求めています。

また、前払式支払手段に関する内閣府令44条以下は、これも前払式支払手段を実施する事業者の安全管理措置や委託先の監督に関して、委託先に関してあらかじめ安全管理を十分に実施できる委託先を選定することや、委託後も定期的に立入検査を実施することなどを規定しています。加えて、金融庁の「事務ガイドライン(第三分冊:金融会社関係)」のなかの「 5.前払式支払手段発行者関係」も、委託先への監督について、委託先における個人データへのアクセス権設定などに関して詳細な規定が置かれています(前払ガイドラインⅡ-2ー3ー1)。なお同ガイドラインは、前払式支払手段の発行者の業務委託先を財務局または金融庁に届け出ることを求めています。

さらに、資金決済法は、財務局または金融庁は、前払式支払手段発行者およびその委託先に対して、報告徴求や立入検査を実施する権限(同法24条)と、業務改善命令などを発出する権限(同法25条)を規定しています(堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁)。

(3)守秘義務
金融機関は、金融機関と顧客との間に成立した取引関係に関連して金融機関が知り得た情報(顧客の財産状況、預金残高の出入り、債務残高など)を正当な理由なく第三者に漏洩してはならない義務を負っており、これが金融機関の守秘義務です。

預金残高や債務残高などの情報は、顧客の経済的信用にかかわるとくにデリケートな情報であり、これらは顧客の社会的信用やプライバシーに係る重要な情報であるからです。

金融機関が正当な理由なく顧客の決済情報などを漏洩した場合、当該金融機関は不法行為に基づく損害賠償責任(民法709条)を負う可能性があります(西尾信一『金融取引法 第2版』18頁)。

そのため、LINE社は今回の事件で、顧客から民事上の訴訟を提起される法的リスクがあります。

(4)裁判例-Yahoo!BB顧客情報漏洩事件(大阪地裁平成18年5月19日判決)・ベネッセ個人情報漏洩事件(最高裁第二小法廷平成29年10月23日判決)
(a)Yahoo!BB顧客情報漏洩事件

2004年2月に発覚したYahoo!BB顧客情報漏洩事件では、ヤフー株式会社等が「Yahoo!BB」の名称でADSLのインターネット接続サービスを提供していたところ、約450万人分の個人情報漏洩が発生しました。ヤフー等は社外から社内サーバーのメンテナンス作業を実施するためにリモートメンテナンスサーバーを設置していたところ、ヤフー等のメンテナンス作業の委託先企業の社員が、リモートアクセスのために付与されていたユーザーID・パスワードを用いて顧客個人情報サーバーにアクセスし、顧客個人情報を不正に取得するなどしていました。

これに対して個人情報が漏洩した顧客などがプライバシー侵害などを理由に提起した本訴訟では、裁判所は、「電気通信事業者における個人情報保護に関するガイドラインや個人情報保護法における安全管理措置の規定を踏まえると、ヤフー等は、電気通信事業者として、顧客個人情報への不正なアクセスや当該情報の漏洩の防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。」「ヤフー等のリモートアクセスの管理体制は、(略)極めて不十分であったと言わざるを得ず、ヤフー等は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反した」として、ヤフー等に対して不法行為に基づく損害賠償責任(一人あたり5000円)を認めています(山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁)。

(b)ベネッセ個人情報漏洩事件
また、2014年に発覚したベネッセ個人情報漏洩事件も、ベネッセの業務委託先の社員がベネッセの顧客個人情報データベースに不正にアクセスし、約3500万件の個人情報を持ち出した事件でしたが、顧客がプライバシー侵害を理由としてベネッセに提起した民事の損害賠償請求訴訟において、大阪高裁平成28年6月29日判決が「本件漏えいによって、控訴人が迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として顧客側の主張を斥けたのに対して、その上告審の最高裁第二小法廷平成29年年10月23日判決は、「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(略),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる」として、審理を大阪高裁に差戻し、これを受けた差戻審の大阪高裁令和元年11月20日判決は、ベネッセの安全管理措置違反によるプライバシー侵害により、顧客が不法行為に基づく損害を被ったとして、ベネッセの損害賠償責任を認める判決を出しています(損害額一人あたり1000円)。

すなわち、ベネッセ個人情報漏洩事件においては、大阪高裁が、個人情報漏洩事故により顧客が単に「不快感や不安感」を抱いただけではプライバシー侵害による不法行為責任は成立しないとしたのに対して、最高裁は、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いただけでもプライバシー侵害による不法行為は成立するとしています。

このように、Yahoo!BB顧客情報漏洩事件においては、裁判所は、個人情報を取扱う事業者に安全管理措置違反(個人情報保護法20条など)があり顧客の個人情報が漏洩した場合、プライバシー侵害による不法行為に基づく損害賠償責任が事業者側に発生するとしています。そして、ベネッセ個人情報漏洩事件の最高裁は、事業者の個人情報漏洩により、顧客に迷惑電話がかかってくるようになったであるとか、クレジットカードなどが不正に使用され金銭的損害が発生したなどの個別具体的な損害が発生していなくても、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いたのであればプライバシー侵害による不法行為責任は成立するとしています。

そのため、今回のLINE社のGitHub上への個人情報漏洩事件も、LINE社の安全管理措置違反(個人情報保護法20条)、委託先の監督の違反(同法22条)によりGitHub上に約13万件の個人情報が漏洩してしまったのであり、この事件により「不快感や不安感」を抱いた顧客がLINE社を相手にプライバシー侵害を理由とする不法行為による損害賠償請求訴訟を提起した場合、LINE社に損害賠償の支払いを命じる判決がでる可能性も無きにしもあらずなのではないでしょうか。

4.まとめ
LINE社に関しては、本年3月に朝日新聞の峯村健司氏等が、LINE社の委託先の中国企業が同社の日本国内の個人データにアクセス可能であったり、韓国のLINEの関連会社のサーバーに日本国内のLINEのすべての画像データ・動画データなどが保存されていることをスクープし、LINEを行政サービスに利用していた総務省などの官庁や地方自治体などが当該サービスを一時中断するなど、大きな社会問題となりました。その後、4月下旬に個人情報保護委員会および総務省はLINE社に対して行政指導を実施し、4月30日には内閣官房・個人情報保護委員会・金融庁・総務省は「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。

そして、10月18日には、ZホールディングスのLINEの個人情報の問題に関する有識者委員会は最終報告書を公表しました。この報告書は、①2017年に制定された中国の国家情報法についてLINE社が法務部門などによる詳細な検討を怠っていたこと、しかし情報セキュリティ部門が同法のリスクを経営陣に報告していたのに、LINE社の経営陣は中国の国家情報法の問題を経営上の課題として取り上げず、適切な対応を怠ったこと②LINE社の公的部門への渉外担当部門が日本の国・自治体に対して合計3回、「日本国内のLINEの個人データは日本国内のサーバーにある」と虚偽の説明を行っていたことは、LINE社の経営陣がLINEはもともと韓国製のものであるという事実を隠す「韓国隠し」のために組織ぐるみで実施されたと考えるのが自然である等と、③LINE社の個人情報の取扱が杜撰なだけでなく、LINE社の経営陣がコンプライアンスやガバナンスの面で非常に大きな問題を抱えていたことを明らかにしています。
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

LINE社とZホールディングス社は、この10月の有識者委員会の最終報告書を受けて、LINE社のコンプライアンスやガバナンスに大きな問題があり、その改善に取り組むとの意思を表明したはずでしたが、今回のGitHubにおける13万件の個人情報漏洩事故の発覚は、「またか」という感があります。とくに中国の個人情報の件で大きな問題であった、委託先の監督(個人情報保護法22条)の部分が、今回のGitHubの事故でも問題であったことは、LINE社とZホールディングス社にとっては大きな課題なのではないでしょうか。LINE社は、約8800万人の日本国内のユーザーが利用するデジタル・プラットフォーム事業者として、これ以上ユーザーの信頼を裏切らないためにも、真摯な対応を行うべきではないでしょうか。

なお、2021年1月には、三井住友銀行やNEC、NTTデータなどのシステムのソースコードを、システム開発会社の従業員がGitHub上にアップロードしてしまう事件が発生しました。GitHubの取扱をどのようにすべきか、日本の企業のシステム開発部門や法務部門、経営陣などは真剣に検討する必要があるかもしれません。

このブログ記事が面白かったら、ブックマークやいいねをお願いします!

■参考文献
・佐脇紀代志『一問一答令和2年個人情報保護法』62頁
・堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁
・西尾信一『金融取引法 第2版』18頁
・山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁
・岡村久道『個人情報保護法 第3版』218頁、227頁
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)































このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ