なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 刑法・刑事法

smartphone_big_screen_u
1.はじめに
山口県阿武町の4630万円誤振込事件について、山口地裁で2月28日に電子計算機使用詐欺罪で懲役3年、執行猶予5年とする有罪判決が被告人に出されました(山口地裁令和5年2月28日判決)。この判決について、被告人代理人弁護士の山田大介先生が法律事務所サイトで判決文を公開されていたため読んでみました(「電子計算機使用詐欺被告事件(いわゆる4630万円誤送金事件)判決について」|山田大介法律事務所)。結論からいうと、私はこの判決に反対です。

■追記(2023年3月14日)
裁判所ウェブサイトに本判決が掲載されていました。
・山口地裁第3部 令和5年2月28日判決 令和4(わ)69 電子計算機使用詐欺被告事件|裁判所

■前回のブログ記事
・山口県阿武町の4630万円誤振込事件は電子計算機使用詐欺罪が成立するのか考えた

2.事実の概要
2022年4月8日、山口県阿武町は住民税非課税世帯等に対する臨時特別給付金として誤って4630万円を被告人XのA銀行の普通預金口座(X口座)に振り込んだ。Xはこの金銭をオンラインカジノサービスに利用しようとし、合計約4300万円を決済代行業者のB銀行口座等に振込んだ。

(その後、決済代行業者は約4300万円を阿武町に返金し、阿武町は300万円を法的に回収した。さらに民事訴訟においてXは解決金350万円を阿武町に支払うことで和解が成立した。)

加えて阿武町がXを刑事告訴したのが本件訴訟である。裁判において検察側はXには電子計算機使用詐欺罪が成立すると主張したため、同罪の成立の有無が争点となった。

3.判決の要旨
『2 関係証拠によれば、阿武町職員が、令和4年4月8日に本件誤振込金をX口座に振り込んだ事実が認められるところ、最高裁第二小法廷平成8年4月26日判決(以下、「平成8年判例」という。)を前提とすると、この時点で、XとA銀行との間に本件誤振込金相当額の普通預金契約が成立し、XがA銀行に対し本件誤振込金相当額の預金債権を有していたものと認めることができる。

3 検察官は、このようなXとA銀行との権利関係を踏まえ、最高裁第二小法廷平成15年3月12日決定(以下、「平成15年判決」という。)を引用し、XにはA銀行に対し誤った振込みがあることを告知すべき義務(以下、これを単に「告知義務」という。)があり、Xはこれに違反して本件送金行為等に及んでいるのであるから、本件送金行為等は正当な権利行使ではない旨主張している。裁判所は、この検察官の主張は、…結論においては正当なものと考えた。以下、理由を述べる。

(1)Xに告知義務があるかについて
(略)しかし、平成15年判例は、誤って受取人口座に金銭が振り込まれた場合、これを知った被仕向銀行が、自行の口座入金手続に過誤がないかを調査し、さらに、仕向銀行及び仕向銀行を通じて振込依頼人に照会するなどした上、組戻しの手続を採るというのが銀行実務(以下、「調査等手続」という。)であることを前提として、誤って受取人口座に金銭が振り込まれた場合に、関係者間での無用な紛争の発生を防いだり、あるいは、被仕向銀行が振込依頼人と受取人との間の紛争等に巻き込まれないようにすることで振込送金制度の円滑な運用を維持するために、被仕向銀行に調査等手続を採る利益を認めるとともに、その利益を実質的なものとするために、受取人口座に誤った振込みがあったことを受取人が知った場合には、信義則に基づき受取人に被仕向銀行に対する告知義務を課することを内容としているものである。…そうすると、被仕向銀行が受取人口座に誤った振込みがあることを既に知っていたとしてもなお、受取人には被仕向銀行に対する告知義務があるというべきである。…このことは被仕向銀行の窓口で取引する場合であろうと、インターネットを通じて電子計算機に情報を入力して取引する場合であろうと変わりはない。(略)

(2)告知義務に違反しているXが本件送金行為等を行うことは許されるか。
(略)告知義務に違反している受取人が、被仕向銀行が調査等手続を完了するまでの間に、…権利行使することを許せば、…平成15年判例の趣旨を没却することになる。そうすると、…告知義務に違反している受取人が、誤って受取人口座に振り込まれた金銭分の預金について権利行使をすることは、信義則に基づき許されないというべきである。(略)

4 一方、本件送金行為等の際、Xがインターネットに接続した携帯電話機に、本件送金行為等に関する情報を入力している(以下、「本件各入力行為」という。)ことは明らかである。そして、本件各入力行為によって入力された情報は、Xが直接入力したX口座の情報等だけでなく、その前提として、本件送金行為等が正当な権利行使であるという情報も含まれると解される。そうすると、本件送金行為等が正当な権利行使でないにもかかわらず、本件送金行為等が正当な権利行為であるという情報をA銀行の電子計算機に与えているのであるから、本件各入力行為は、電子計算機使用詐欺罪の「虚偽の情報を与えた」に該当する。そして、虚偽の情報を与えた結果、Xが判示のとおりのオンラインカジノサービスを利用し得る地位を得ているのであるから、「財産上不法の利益を得た」にも該当する。
 以上のとおりであるから、判示各事実には、いずれも電子計算機使用詐欺罪が成立する。
(※下線、太字は筆者)

4.検討
本判決に反対

(1)本判決の概要
本判決はまず、誤振込の事案である最高裁第二小法廷平成8年4月26日判決(以下「平成8年判決」)が、誤振込があったとしても受取人には預金債権が有効に成立するとしていることをあげています。つぎに本判決は、これも誤振込の事案である最高裁第二小法廷平成15年3月12日決定(以下「平成15年決定」)が、銀行には誤振込があった場合の組戻し制度があり、そのための確認・照会の業務の必要性があるので、受取人には誤振込があったことを銀行に告知する信義則上の義務(告知義務)があるとしています。(ただし平成15年決定の事案は、誤振込を受けた受取人が銀行窓口の職員から金銭の払出しを受けた事案であり、つまり銀行員という人間をだました事案であり、詐欺罪(刑法246条)が成立した事案です。)

その上で、本判決は平成15年決定の受取人の信義則上の告知義務を強調し、本件で争点となっている電子計算機使用詐欺罪(刑法246条の2)の条文が「虚偽の情報」を電子計算機に入力することが犯罪の構成要件であると規定しているところ、「本件各入力行為によって入力された情報は、Xが直接入力したX口座の情報等だけでなく、その前提として、本件送金行為等が正当な権利行使であるという情報も含まれると解される。」としています。

そして本判決は「本件送金行為等が正当な権利行使でないにもかかわらず、本件送金行為等が正当な権利行使であるという情報をA銀行の電子計算機に与え」たことは電子計算機使用詐欺罪の「虚偽の情報」を与えたことに該当するとして、同罪の成立を認めています。

(2)本判決の検討
しかし、電子計算機使用詐欺罪の条文上の構成要件は「虚偽の情報」を与えて財産上不法の利益を得る犯罪であるところ、この「虚偽の情報」とは架空入金などの事例のように、入金・振込の事実がまったく存在しない実態を伴わない情報のことを指すとされています(西田典之「コンピューターの不正利用と財産犯」『ジュリスト』885号16頁、西田典之・橋爪隆補訂『刑法各論 第7版』235頁)。

この点、本件では阿武町から4630万円の誤振込はなされているのですから、平成8年判決に照らすと、Xには4630万円の預金債権が有効に成立しています。つまりこれは架空入金・架空振込ではないのですから電子計算機使用詐欺の「虚偽の情報」を与えたことにはなりません。

そもそも本判決が引用する平成15年決定の事案は、上でもふれたように、誤振込を受けた受取人が銀行窓口で銀行員をだました事例であり、これは人間を「欺罔」し「錯誤」に陥れて「財産上不法の利益を得」ているので詐欺罪が成立した事例です。

しかし阿武町の本件は、インターネットバンキングで受取人のXは取引を行っており、人間をだましているわけではありません。つまり本判決は電子計算機使用詐欺を検討するにあたり、構成要件がまったく異なる一般の詐欺罪に関する平成15年決定を援用して検討を行っていることは、法令の解釈や判例の適用を誤っており間違っているといえます。そのため本件では電子計算機使用詐欺罪は成立しないと考えるべきです。

たしかに本件においては被告人のXの行為は道徳的にみて非常に悪い行為です。しかし民事裁判ではXは解決金を支払うことで和解が成立しています。罪刑法定主義(憲法31条)の観点からは、この上もしXに刑事罰を科すべきというのであれば、裁判所が刑法上、無理筋の強引な解釈をして有罪判決を下すのではなく、まずは国会で電子計算機使用詐欺罪について刑法を一部改正した上で処罰を行うべきと考えられます。(同様の裁判所の「先走り」的な行為は先般のCoinhive事件の高裁判決でもみられたところです。)

本件は被告人側が即日控訴したとのことであり、高裁あるいは最高裁の判断が注目されます。

■参考文献
・「電子計算機使用詐欺被告事件(いわゆる4630万円誤送金事件)判決について」|山田大介法律事務所
・西田典之・橋爪隆補訂『刑法各論 第7版』235頁
・西田典之「コンピューターの不正利用と財産犯」『ジュリスト』885号16頁
・鎮目征樹・西貝吉晃・北條孝佳・荒木泰貴・遠藤聡太・蔦大輔・津田麻紀子『情報刑法Ⅰ』254頁
・林幹人「誤振込みと詐欺罪の成否」『平成15年度重要判例解説』165頁
・園田寿「誤入金4630万円を使い込み それでも罪に問うのは極めて難しい」論座・朝日新聞2022年5月26日
・“4630万円誤振込事件”、「電子計算機使用詐欺」のままでは無罪|郷原信郎が斬る



[PR]




タグ :
阿武町
4630万円
誤振込
山口地裁令和5年2月28日判決
電子計算機使用詐欺罪
これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

saiban_small_no_gavel
1.はじめに
刑事事件において捜査機関が被疑者・被告人の指紋、DNA型、顔写真などのデータを収集し、これをデータベースに保存していることが問題となっています。これに対して初めて被疑者・被告人の指紋、DNA型、顔写真などのデータの抹消を命じる画期的な判決(名古屋地判令4・1・18・控訴中)が出されたとのことで、見てみたいと思います。

2.事案の概要
原告Xは、自らの居住地の近隣においてマンション建設を行っていた建設会社の従業員とトラブルになり暴行を加えた容疑で現行犯逮捕された起訴されたものの無罪判決が確定した者である。捜査機関は捜査の過程で、Xの承諾の下にXの指紋、DNA型、顔写真、携帯電話のデータを取得した。

本件訴訟は、XがY1(愛知県)およびY2(国)に対しては警察官の現行犯逮捕、捜索差押えおよび取調べに違法がある等として国家賠償法に基づく賠償を求めるとともに、Y2に対し、捜査機関が取得したXの指紋、DNA型、顔写真および携帯電話の各データの抹消などを求めたものである。これに対して裁判所は携帯電話のデータについてはXの主張を認めなかったものの、Xの指紋、DNA型および顔写真の各データについては抹消を命じる判決を出したものである。(控訴中)

3.判旨
(1)指紋、DNA型および被疑者写真のデータベース化について
憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人もみだりにその容貌・姿態を撮影されない自由を有すると解される(最高裁昭和44年12月24日大法廷判決、最高裁平成7年12月15日第三小法廷判決)。また、DNA型(略)についても、基本的には識別性、検索性を有するものとして、少なくとも指紋と同程度には保護されるべき情報であるため、何人もみだりにDNA型を採取されない自由を有すると解される(略)。

もとより、これらの自由も公共の福祉のために必要があるときには、相当な制限を受けることはありうるものであり(略)しかしながら、情報の漏出や、情報が誤って用いられるおそれがないとは断言できないものであり、また、継続的に保有されるとして場合に将来どのように使われるか分からないことによる一般的な不安の存在や被侵害意識が惹起され、結果として、国民の行動を萎縮させる効果がないともいえないことからすれば、何の不利益もないとは言い難いのであって、みだりに使用されない自由に対する侵害があると言わざるを得ない。

既述のとおり主として自由主義を基本的価値として標榜する諸外国において、データベースを整備するに際し、DNA型の採取、管理等に関する立法措置を講じ、対象犯罪、保存期間、無罪判決確定時等の削除などの規制を設けているのは、国民の私生活における自由への侵害になりうるとの理解があるものと解される…。

(2)本件各データの削除の可否について
警察法上、犯罪鑑識施設の維持管理その他犯罪鑑識に関する事務が警察庁の所掌事務の一つに掲げられ(同法17条、5条4項20号)、指掌紋規則等については、いずれも犯罪鑑識に関する事務の実施のために必要な事項として警察法81条及び同法施行規則13条1項に基づき制定されたものである。…指掌紋規則等が上記各法令に基づいて制定されていることについて、適法な法律の委任によらないとまで認めることはできない。

そこで、指掌紋規則等を見ると、主として警察当局における指掌紋規則等の取扱いについての規程となっており、データベースの運用に関する要件、対象犯罪、保存期間、抹消請求権について規定がなく、被疑者の指掌紋規則等の抹消については、①指掌紋規則等に係る者が死亡したとき、②指掌紋を保管する必要がなくなったときに抹消しなければならないとされているのみである。

この抹消を義務付ける場合の「必要がなくなったとき」について、令和3年5月11日参議院内閣委員会議事録によれば、政府参考人は、要旨、保管する必要がなくなったときに該当するか否かについては個別具体の事案に即して判断する…と答弁している。

しかしながら、指紋、DNA型及び被疑者写真にはみだりに使用されない一定の保護法益が認められるべきであるから…犯罪捜査のための必要性があるといった公共の福祉の観点から比較衡量して検討する必要があ(る)。

この点、…当該被疑事実以外の余罪の捜査や(少なくとも一定の範囲内の)有罪判決が確定した場合に再犯の捜査に使用するために保管することは許容できると解される。

しかし、…指紋、DNA型及び被疑者写真を取得する前提となった被疑事実について、公判による審理を経て、犯罪の証明がないと確定した場合については、継続的保管を認めるに際して、データベース化の拡充の有用性という抽象的な理由をもって、犯罪捜査に資するとするには不十分であり、余罪の存在や再犯のおそれ等があるなど、少なくとも当該被疑者との関係でより具体的な必要性が示されることを要するというべきであって、これが示されなければ、「保管する必要がなくなった」と解すべきである。

指紋、DNA型及び被疑者写真をみだりに使用されない利益…当該権利自体が人格権を基礎に置いているものと解することは可能であるから、指紋、DNA型及び被疑者写真を取得された被疑者であった者は、訴訟において、人格権に基づく妨害排除請求として抹消を請求することができると解するのが相当である…。

(なお携帯電話のデータについては、本判決は、同データの保管は、刑事確定訴訟記録法または記録事務規程を根拠としており、これらの規定は過去に行われた刑事事件等の記録を一定期間保管することを目的としていること、保存期間の定めがあること等を指摘し、抹消の対象外としている。)
4.検討
(1)本判決の判断枠組み
本判決は、憲法13条は国民の私生活上の自由は公権力の行使に対しても保護されるべきことを規定しているとし、京都府学連事件(最高裁昭和44年12月24日判決)と指紋押捺に関する判例(最高裁平成7年12月15日判決)をあげて、国民にはみだりに容貌・姿態を撮影されない自由、みだりに指紋押捺をさせられない自由があることを指摘し、さらにDNA型についても、識別性・検索性があることから、「少なくとも指紋と同程度には保護されるべき情報」であるとして、何人もみだりにDNA型を採取されない自由を有すると判示しています。

そしてこれらの自由も公共の福祉から制約されることがあるが、しかしこれらの情報の漏出や、情報が誤って用いられる危険、国民の行動への萎縮効果の問題があると指摘しています。

さらに本判決は小山剛教授などの意見書を参考に、ドイツやイギリスなどの立法例を検討し、それらの立法例ではデータベースの対象となる犯罪、管理、保存期間、無罪判決確定時の削除などの規定を置いており、それに対して日本の法制度は国民の人権保障の観点から「脆弱」であると指摘しています。

その上で本判決は指掌紋規則等を検討し、「指掌紋を保管する必要がなくなったときに抹消する」との規定について検討をし、裁判で無罪の確定判決が出された場合にはこの規定に該当すると判示しています。そして本判決は、指紋、DNA型および被疑者写真を取得された被疑者であった者は、訴訟において人格権に基づく妨害排除請求権として抹消を請求できるとして、本事例では抹消を認めています。国側は「データベース化の拡充の有用性」という理由付けで抗弁を行っているようですが、極めて抽象的な理由付けであり、本判決は妥当であると思われます。

(2)携帯電話のデータについて
本判決は指紋、DNA型および被疑者写真の各データについては抹消を認めていますが、携帯電話のデータについては抹消を認めていません。本判決は、同データの保管は、刑事確定訴訟記録法または記録事務規程を根拠としていますが、やや形式的な理屈付けに思われます。

2005年に施行されその後数次の改正が行われている個人情報保護法は、顔データやDNAデータだけでなく、携帯電話に関するデータに関しても、個人データ・個人関連情報として保護の対象としています。また近時の警察のGPS捜査に関する判例(最高裁平成29年3月15日判決)は、位置情報についても継続的・網羅的に収集された場合には違法なプライバシー侵害となりうると判示してGPS捜査には立法が必要であるとしています。

このように考えると、本判決が携帯電話のデータに関しては抹消の対象外としたことには疑問が残ります。

(3)その他
立法論としては、欧州などに比べて日本のこれらの警察当局の各データベースにおける人権保障は本判決も指摘するとおり「脆弱」であるため、国・国会は警察当局の各データベースについて対象となる犯罪、管理、保存期間、無罪判決確定時の削除などの規定や削除の手続き方法などについて立法を行うべきです。「データベース化の拡充の有用性」という抽象的な理屈付けで国や警察当局がこれらのデータベースを漫然と拡大させることは、国民の私生活上の自由を侵害すると考えられ、憲法13条の趣旨に違反すると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・『判例時報』2522号(2022年8月21日号)62頁
・乾直行「無罪判決確定者による顔写真、指掌紋、DNA型の抹消請求が認められた事例 名古屋地判令4・1・18」『季刊刑事弁護』112号92頁



[広告]






タグ :
警察
DNA
指紋
顔写真
データベース
裁判
名古屋地判令4・1・18
security
privacy
個人情報
このエントリーをはてなブックマークに追加 mixiチェック

internet_online_kessai
1.阿武町4630万円誤振込事件の代理人弁護士が記者会見で無罪を主張
2022年5月に、山口県阿武町が国の新型コロナに関する臨時特別給付金4630万円を同町の24歳の男性の銀行口座に誤って振込み、男性が当該金銭をネットバンキングで複数のオンラインカジノの決済代行業者に振込んだ事件については、9月22日に男性が阿武町に解決金約340万円を支払うことで民事裁判上の和解が成立しました。

また、阿武町は男性を電子計算機使用詐欺罪で刑事告訴しているところ、10月に初公判が行われることを受けて、男性の弁護人の山田大輔弁護士が9月29日に記者会見を行い、「男性は無罪である」との訴訟方針を明らかにしたとのことです。

・4630万円誤振込・弁護士が会見で無罪主張「事実はあったが、違法ではない」|テレビ山口

本事件は4630万円もの金銭を町役場から誤振込で受け取った男性が、それを奇禍として当該金銭をオンラインカジノに使ってしまい、非常に大きな社会的非難を招きました。たしかにこの男性のふるまいは道徳的に問題であると思われますが、しかしこの男性の行為は電子計算機使用詐欺罪などの刑罰の適用が妥当といえるのでしょうか?

結論を先取りすると、本事件で電子計算機使用詐欺罪は成立しないと思われます。以下見てみたいと思います。

2.電子計算機使用詐欺罪
刑法
(電子計算機使用詐欺)
第246条の2 前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。

(1)行為
本事件が問題となる電子計算機使用罪(刑法246条の2)の前段部分は、銀行等のコンピュータに「虚偽の情報」または「不正な指令」を与えて「財産権の得喪もしくは変更に係る不実の電磁的記録」を作成し、これによって自己または第三者に財産上の利益を得せしめる行為です。

ここでいう「不実の電磁的記録」とは、銀行等の顧客元帳ファイルにおける預金残高記録などが該当するとされています。「不正な指令」とは改変されたプログラムなどを指します。

(2)「虚偽の情報」
またここでいう「虚偽の情報」とは、銀行等のコンピュータ・システムにおいて予定されている事務処理の目的に照らしその内容が真実に反する情報をいうとされています。言い換えれば、入金等の入力処理の原因となる経済的・資金的な実態を伴わないか、それに符合しない情報を指します(園田寿「誤入金4630万円を使い込み それでも罪に問うのは極めて難しい」論座・朝日新聞2022年5月26日)。例えば架空の入金データの入力等がこれに該当します。

一方、銀行等の役職員が金融機関名義で不良貸付のためにコンピュータ端末を操作して貸付先の口座へ貸付金を入金処理するなどの行為は本罪にあたりません。

なぜなら、たとえこのような行為が背任罪になりうるとしても、貸付行為自体は民事法上は有効とされる結果、電子計算機に与えられた情報も虚偽のものとはいえず、作出された電磁的記録も不実のものとはいえないからです(東京高裁平成5年6月29日・神田信金事件、西田典之・橋爪隆補訂『刑法各論第7版』235頁)。

同様に、インターネット・バンキング等を利用した架空の振替送金データの入力は「虚偽の情報」に該当し、その結果改変された銀行等の顧客元帳ファイル上の口座残高記録は「不実の電磁的記録」にあたり本罪が成立することになります。あるいはネット・バンキングの他人のID番号とパスワードを無断で利用し銀行等の顧客元帳ファイル上のデータを変化させ、自らの利用代金などの請求を免れる行為も本罪が成立します。(西田・前掲236頁)

3.本事件の検討
ここで本事件をみると、誤振込であるとはいえ、阿武町から本件の男性に4630万円は民事上有効に振込まれ、男性の銀行口座には4630万円が有効に存在します(ただし民事上の不当利得返還請求の問題が発生する(民法703条、704条)。)。

そして男性はその自らの銀行口座の4630万円の金銭に対して、ネットバンキングから複数のオンラインカジノの決済代行業者の口座に振込の入力を行っています。この男性の振込入力は原因関係として民事上有効に存在する金銭に対するものであり、また他人のIDやパスワードを入力などしているわけではなく、さらに不正なコンピュータ・プログラムをネット・バンキングのシステムに導入している等の事情もないので、2.(2)の金融機関の不良貸付の事例と同様に、電子計算機使用詐欺罪は成立しないことになると考えられます。

したがって、本事件の男性の代理人の山田弁護士の「無罪である」との訴訟方針は正しいと思われます。

4.まとめ
このように本事件では電子計算機使用詐欺罪は成立せず、男性は無罪になる可能性が高いと思われます。たしかにこの男性の行為は道徳的には問題でありますが、この問題に関しては民事上、不当利得返還請求権が阿武町には発生し、民事上解決が可能です。現に本事件は9月に裁判上の和解が成立しています。それをさらに刑法をもってこの男性を処罰するというのは、刑罰の謙抑性や「法律なくして刑罰なし」の罪刑法定主義(憲法31条、39条)の観点からも妥当でないと思われます。

本事件は報道によると、阿武町の町役場では職員がコロナの臨時特別給付金の振込の事務作業をたった一人で行っていたことがこの4630万円もの巨額の誤振込につながったとのことであり、むしろ町役場の給付金支払いの事務作業を適切に行う体制整備を怠っていた阿武町役場の幹部や花田憲彦町長などの方こそ大きな社会的責任・政治的責任を負うべきなのではないでしょうか。

とはいえ、銀行や保険などの金融機関や行政機関などにおいて誤振込、誤払いは残念ながら多く発生しているところ、そのような誤振込を受けた人間がその金銭をネットバンキングなどで使用してしまったような場合に電子計算機使用詐欺罪は成立するのかという本事件の事例は先例となる裁判例がないようであり、本事件について裁判所が司法判断を示すことは、金融機関などの実務上、非常に有益であると思われます。

■参考文献
・西田典之・橋爪隆『刑法各論 第7版』233頁
・大塚裕史・十河太郎・塩谷毅・豊田兼彦『基本刑法Ⅱ各論 第2版』263頁
・畑中龍太郎・中務嗣治郎・神田秀樹・深山卓也「振込の誤入金と預金の成立」『銀行窓口の法務対策4500講Ⅰ』957頁
・園田寿「誤入金4630万円を使い込み それでも罪に問うのは極めて難しい」論座・朝日新聞2022年5月26日



[広告]








タグ :
誤振込
4630万円
電子計算機使用詐欺罪
阿武町
刑法
裁判
法律
security
サイバー刑法
これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

最高裁

2022年1月20日、Coinhive事件について、東京高裁判決で不正指令電磁的記録保管罪(刑法168条の3)10万円の罰金の有罪判決を受けていた被告人のウェブデザイナーのモロ氏に対して、最高裁は東京高裁判決を破棄自判し無罪との判決を出したとのことです。これは非常に画期的な判決です。

1.Coinhive事件の事案の概要
ウェブデザイナーの被告人(モロ氏)は自らが運営する音楽ウェブサイトAの維持運営費捻出のため、2017年9月から11月にかけてウェブサイトAの閲覧者が使用するコンピュータについて閲覧者本人の同意を得ることなく仮想通貨のマイニング(採掘作業)を実行させるコインハイブ(coinhive)というプログラムコード(スクリプト)が設置された海外のサーバーにアクセスさせ、コインハイブのプログラムコードを取得させマイニングをさせるために、ウェブサイトAを構成するファイル内にコインハイブを呼出すタグを設置したところ、2018年に神奈川県警に不正指令電磁的記録保存罪(刑法168条の3)に該当するとして起訴された。

第一審判決(横浜地裁平成31年3月27日判決)は、不正指令電磁的記録保存罪(刑法168条の3)について、その構成要件の「反意図性」は認めたものの、「不正性」(=社会的許容性)は満たしていないとして被告人を無罪とした。

これに対して検察側が控訴した第二審判決(東京高裁令和2年2月7日判決)は、「プログラムの反意図性は、当該プログラムの機能について一般的に認識すべきと考えられるところを基準とした上で、一般的なプロブラム使用者の意思から規範的に判断されるべきものである」としつつも、「本件プログラムコードで実施されるマイニングは、…閲覧者の電子計算機に一定の負荷を与えるものであるのに、このような機能の提供に関して報酬が発生した場合にも閲覧者には利益がもたらされないし、マイニングが実行されていることは閲覧中の画面等には表示されず、閲覧者に、マイニングによって電子計算機の機能が提供されていることを知る機会やマイニングの実行を拒絶する機会も保障されていない。」として、「反意図性を肯定した原判決の結論に誤りはない」としています。

そして本高裁判決は、「刑法168条の2以下の規定は、一般的なプログラム使用者の意に反する反意図性のあるプログラムのうち、不正な指令を与えるものを規制の対象としている。」とし、「本件プログラムコードは、…知らないうちに電子計算機の機能を提供させるものであって、一定の不利益を与える類型のプログラムと言える上、その生じる不利益に関する表示等もされないのであるから、このようなプログラムについて、プログラムに対する信頼保護という観点から社会的に許容すべき点は見あたらない」として「不正性」があるとして、被告人を有罪として罰金10万円としています。これに対して被告人側が上告したのが本最高裁判決です。

2.最高裁の判断
これに対して2022年1月20日の最高裁第一小法廷(山口厚裁判長)は、罰金10万円を命じた2審・東京高裁判決を破棄自判し、無罪との判決を出しました。裁判官5人全員一致の判断だったとのことです。

弁護士ドットコムニュースによると、最高裁はおおむねつぎのように述べたとのことです。

第一小法廷はマイニングによりPCの機能や情報処理に与える影響は、「サイト閲覧中に閲覧者のCPUの中央処理装置を一定程度使用するに止まり、その仕様の程度も、閲覧者がその変化に気付くほどのものではなかった」と指摘。

ウェブサイトの運営者が閲覧を通じて利益を得る仕組みは「ウェブサイトによる情報の流通にとって重要」とし、「広告表示と比較しても影響に有意な差異は認められず、社会的に許容し得る範囲内」と述べ、「プログラムコードの反意図性は認められるが不正性は認められないため、不正指令電磁的記録とは認められない」と結論づけた。
(「コインハイブ事件の有罪判決、破棄自判で「無罪」に最高裁」『弁護士ドットコムニュース』2022年1月20日付より)
・コインハイブ事件の有罪判決、破棄自判で「無罪」に 最高裁|弁護士ドットコムニュース

3.最高裁判決の評価
この最高裁判決の概要をみると、最高裁はウェブサイトの運営者が閲覧を通じて利益を得る仕組みは「ウェブサイトによる情報の流通にとって重要」とし、「広告表示と比較しても影響に有意な差異は認められず、社会的に許容し得る範囲内」と判示していることは非常に画期的であると思われます。

東京高裁判決は、マイニングソフトによるサイト閲覧者の「損得勘定」に非常に敏感で、サイト閲覧者がウェブサイトを閲覧して少しでも経済的負担を受けるであるとか、PC等が少しでも摩耗することは絶対に許されないという、サイト閲覧者は絶対的な「お客様」という価値判断をもとに判決を行っていました。

これに対しては、「東京高裁判決はサイト閲覧者の側からの視点でしか物事を考えておらず、これは不正指令電磁的記録の罪は一般的・類型的な一般人の判断を元に「反意図性」や「不正性」が判断されるべきところ、東京高裁判決はサイトを作り運用する側の人間からの視線が欠けている」などと批判されているところでした(渡邊卓也「不正指令電磁的記録に関する罪における版「意図」性の判断」『情報ネットワーク・ローレビュー』19巻16頁など)。

しかし本最高裁判決は、ウェブサイトの作成者・運営者の視線も取り入れ、「ウェブサイトの運営者が閲覧を通じて利益を得る仕組みは「ウェブサイトによる情報の流通にとって重要」とし、「広告表示と比較しても影響に有意な差異は認められず、社会的に許容し得る範囲内」としており、非常にバランスのとれた、まともな判決であると思われます。

「ネット広告はサイト閲覧者に表示されているから合法だが、閲覧者の見えないところでマイニングソフトが稼働していることは違法で許されない」としていた東京高裁の裁判官や、神奈川県警サイバー犯罪本部、「マイニングソフトが稼働していることをサイト運営者はサイト閲覧者に明示しなければ不正指令電磁的記録作成罪等に該当するおそれがある」などの注意喚起の資料を作成していた警察庁・警視庁は、ITリテラシーや情報セキュリティ、個人情報保護法などの基礎を今一度勉強しなおすべきです。

また、東京高裁は、「本マイニングソフトは50%などの負荷の設定が可能であり、サイト閲覧者のPCへの負担は重大で違法性は高い」等としていました。

さらに、第一審の横浜地裁で被告人側の証人として出頭した高木浩光先生のcoinhiveがサイト閲覧者のPCにおよぼす負荷が低いことや、PCの使いごこちは低下しないとの証言について、最高検の検事達は「証人の再現実験による証言は、証人のPCがMacbook Proであることから信用できない」等とこれも非常にITリテラシーのない主張や、被告人のモロ氏が自らのサイトにcoinhiveを設置したのに、最高検の検事達は「これはクリプトジャッキングであり、弁護人たちはサラミ法も知らないのか」などと見当はずれな主張をしていたことについても、本最高裁判決は、「マイニングによりPCの機能や情報処理に与える影響は、「サイト閲覧中に閲覧者のCPUの中央処理装置を一定程度使用するに止まり、その仕様の程度も、閲覧者がその変化に気付くほどのものではなかった」と判示していることも非常に正当であり、まともな判決であるといえます

4.高木浩光先生の見解
情報法と情報セキュリティが専門の産業技術総合研究所主任研究員の高木浩光先生は、”coinhive事件の東京高裁判決は、コンピュータ・プログラムの「機能」と「動作」を混同している(例えばマイニングは「機能」であり、「サーバーから与えられた値に乱数を加えてハッシュ計算を繰り返し、目標の結果が出たらサーバーに報告する処理」は「動作」である)と指摘しています(高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁))。

その上で高木先生は、東京高裁判決の「機能」と「動作」を整理しなおすと、①閲覧に必要なものでない点と、②無断で電子計算機の機能を提供させて利益を得ようとする、という2点を問題視するが、これは「刑法の判例・通説が「利益窃盗」は処罰できない」としていることを覆すものであるが、不正指令電磁的記録作成罪に関する法務省の法制審でも国会でも、そのような視点からの検討や議論はまったくなされておらず、東京高裁判決は違法・不当であると批判されています(高木・前掲46頁、岡部節・岡部天俊「不正指令電磁的記録概念と条約適合的解釈 : いわゆるコインハイブ事件を契機として」『北大法学論集』70巻6号155頁)。

5.まとめ
このCoinhive事件は、被告人のモロ氏に対して神奈川県警サイバー犯罪担当の警官たちが「お前のやってることは犯罪なんだよ!」などと罵倒するなど、高圧的な取り調べなどが問題となりました。

また、上でもふれたとおり、「犯罪当時、coinhiveが違法か合法か両方の意見があったのなら違法と判断すべきである」との判決や、サイト閲覧者は「お客様」であるかのような価値観に基づいて有罪判決を出した東京高裁の裁判官達や、最高検の検事達の「これはクリプトジャッキングであり、「常識」でダメだとわかるでしょ。サラミ法も知らんの?」などの発言も、ITリテラシーがなく、また「疑わしきは被告人の利益に」「刑法の謙抑制」などの刑法の大原則に反しています。

警察庁はサイバー犯罪への対応を強化するために、東京にサイバー犯罪対応の専従部門を設置し、また国民のSNSをAIで捜査するシステムの導入などを発表していますが、そのような取り組みの前に、まずは警察・検察・裁判官のITリテラシーや情報セキュリティ、個人情報保護法、刑法の「疑わしきは被告人の利益に」などの教育を、法務省や最高裁、国家公安委員会などは再検討すべきなのではないでしょうか。なお、「デジタル化」を国策として推進している政府与党も、司法試験の試験科目にいい加減そろそろ個人情報保護法などを含めるべきではないでしょうか。

さらに、このCoinhive事件においては、不正指令電磁的記録の罪(刑法168条の2、同168条の3)の「反意図性」や「不正性」などの構成要件が専門家や裁判所にすら判断がわかれるあいまい・漠然とした難解なものであることが明らかになりました。

憲法31条は適正手続きの原則を定め、法的手続きが適正であるだけでなく法律の内容も適正であることが要求され、法律の条文には「明確性の原則」が求められます。そのため法律の条文には「通常の判断能力を有する一般人の理解」で法律の内容が理解できることが要求されます(最高裁昭和50年9月10日判決・徳島市公安条例事件)。そのため、本最高裁判決を踏まえて、政府与党や国会は、不正指令電磁的記録の罪の刑法の条文の改正作業を開始すべきです。

(なおサイバー犯罪関連としては、平成29年に警察のGPS捜査についても最高裁から「警察の内規ではなく国会の立法によるべき」との判決が出されました。国会はGPS捜査についても立法を行うべきです。)

加えて、警察庁は「仮想通貨を採掘するツール(マイニングツール)に関する注意喚起」というサイトにて、マイニングツール設置者に対して「マイニングツールが設置されていることを明示しないと犯罪になるおそれがある」と注意喚起していますが、警察庁は本最高裁判決を受けてこの注意喚起や警察の捜査などに関する内規などを見直す必要があると思われます。
・仮想通貨を採掘するツール(マイニングツール)に関する注意喚起|警察庁
 警察庁マイニング
(警察庁サイトより)

■追記(2022年1月21日)
裁判所ウェブサイトが早くもこのコインハイブ事件の最高裁判決を掲載しています。裁判所もこの判決が重要な判例であると考えているのだと思われます。
・最高裁判所第一小法廷令和4年1月20日判決(令和2(あ)457  不正指令電磁的記録保管被告事件)  

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件について横浜地裁で無罪判決が出される
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【最高裁】令状なしのGPS捜査は違法で立法的措置が必要とされた判決(最大判平成29年3月15日)

■参考文献
・大塚仁『大コンメンタール刑法 第3版 第8巻』340頁
・西田典之・橋爪隆補訂『刑法各論 第7版』411頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・渡邊卓也『ネットワーク犯罪と刑法理論』263頁
・岡田好史「自己の運営するウェブサイトに閲覧者の電子計算機をして暗号資産のマイニングを実行させるコードを設置する行為と不正指令電磁的記録に関する罪-コインハイブ事件控訴審判決」『刑事法ジャーナル』68号159頁
・岡部天俊「不正指令電磁的記録概念と条約適合的解釈 : いわゆるコインハイブ事件を契機として」『北大法学論集』70巻6号155頁
・「コインハイブ事件の有罪判決、破棄自判で「無罪」に最高裁」『弁護士ドットコムニュース』2022年1月20日付
・不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える|高木浩光@自宅の日記
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・渡邊卓也「不正指令電磁的記録に関する罪における版「意図」性の判断」『情報ネットワーク・ローレビュー』19巻16頁

















タグ :
coinhive
最高裁
神奈川県警
山口厚
高木浩光
渡邊卓也
ウイルス罪
暗号資産
仮想通貨
マイニング
このエントリーをはてなブックマークに追加 mixiチェック

log4j

このブログ記事の概要
「Log4jの脆弱性などの情報をSNSやウェブサイトなどでやり取りしたり情報共有したりすることはウイルス作成罪に該当するおそれがある」との日本ハッカー協会などの見解は、ウイルス作成罪に関する法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」や刑法の教科書における、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」に関するバグの問題などの解説から疑問の余地がある。

1.Log4jの脆弱性の情報をネット上でやり取りしたり共有するとウイルス作成罪に該当する?
Javaのログ出力ライブラリ「Apach Log4j」ゼロデイ脆弱性があることが発覚し、12月10日(金)ごろからTwitterなどネット上で大きな話題となり、システム関係の方々は対応に追われています。

ところで、このLog4jの脆弱性に関して、日本ハッカー協会(@JapanhackerA)は12月13日昼につぎのようなTwitter上のツイートを行いました。

日本ハッカー協会1
日本ハッカー協会2
(日本ハッカー協会のTwitterより)
https://twitter.com/JapanhackerA/status/1470229222681878530

また、これを受けてITmedia NEWSも12月13日夜に「「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた」との記事を掲載しました。
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

このITmedia NEWSの記事を読むと、取材に対して、日本ハッカー協会の杉浦隆幸理事は、『「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある。」「そもそも警察が検挙するのかは分からない」(同)としつつも、現状の法整備では共有などの行為でも法に触れるリスクがあるという。』』と回答したとのことです。

また、取材に対して日本ハッカー協会の杉浦理事は、『「画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある」』と回答したとのことです。

たしかにウイルス作成罪(不正指令電磁的記録作成罪・刑法168条の2、168条の3)に関しては、現在、最高裁でCoinhive事件が係争中であり、とくにその構成要件の「不正性」(=社会的許容性)にcoinhiveが抵触するのか否かが争点となり、12月9日には最高裁で弁論が行われ、最高検の検察側の主張がITリテラシーに欠けるなどと大きな批判がネット上に寄せられ、社会的注目が集まっているところです。しかし、日本ハッカー協会の主張は妥当といえるのでしょうか?

2.ウイルス作成罪(不正指令電磁的記録作成罪)から考える
刑法のウイルス作成罪(不正指令電磁的記録作成罪)の条文はつぎのようになっています。

(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
 前項の罪の未遂は、罰する。

(不正指令電磁的記録取得等)
第168条の3 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

つまり、ごくおおまかにいうと、不正指令電磁的記録作成罪とは、「正当な理由」がないのに、「人(=他人)の電子計算機(=コンピュータやスマホなど)における実行の用に供する目的」で、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる(=「反意図性」)べき不正(=「不正性」)な指令を与える電磁的記録(=いわゆるコンピュータ・ウイルス)」を、他人の電子計算機(=コンピュータ、スマホなど)に実行させるために「作成」または「提供」「取得」または「保管」することを処罰する罪です(刑法168条の2,168条の3)。

3.「人の電子計算機における実行の用に供する目的」
不正指令電磁的記録作成罪は、2001年(平成13年)にサイバー犯罪条約が制定され日本が批准したことを受けて、2011年(平成23)年6月に国会で「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定されたことを受けて刑法に新設された罪です。この法改正においては、参議院法務委員会で「犯罪の構成要件などを国民に周知すること」が付帯決議され、法務省の立案担当者「いわゆるコンピュータ・ウイルスに関する罪について」との文書を作成し、法務省サイトで公表されています。
・いわゆるコンピュータ・ウイルスに関する罪について|法務省

不正指令電磁的記録作成罪は、上で条文をみたとおり、「人(=他人)の電子計算機における実行の用に供する目的」がある必要があります。つまり、本罪は単にウイルスのプログラムを作成等するだけでなく、「他人の電子計算機における実行の用に供する目的」がないと犯罪が成立しないいわゆる「目的犯」です。

この点、この法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、「人の電子計算機における実行の用に供する目的」についてつぎのように解説しています。

すなわち、他人のコンピュータ上でプログラムを動作させる行為一般を指すものではなく,不正指令電磁的記録であることの情を知らない第三者のコンピュータで実行され得る状態に置くことをいうものである。このように 「実行の用に供する」に当たるためには,対象となる,不正指令電磁的記録が動作することとなる電子計算機の使用者において,それが不正指令電磁的記録であることを認識していないことが必要である。

不正指令電磁的記録提供罪は,後記のとおり,それが不正指令電磁的記録等であることを認識している者に取得させる行為であるが,この場合も,提供の相手方以外の第三者(使用者)が不正指令電磁的記録であることを認識していないのにこれを当該第三者の電子計算機で実行され得る状態に置く目的があることを要する。

法務省文書1
法務省文書2
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」6頁、7頁より)

つまり、ウイルス作成罪は、「人の電子計算機における実行の用に供する目的」を要する目的犯であるため、他人・第三者のパソコンやスマホのユーザーが、ウイルスがウイルスであると知らないこと、認識していないことが必要です。

この点、日本のエンジニア等の方々が、Log4jのソースコードやプログラムなどにおける脆弱性の部分などの情報をTwitterなどのSNSやウェブサイト、ブログなど、ネット上でやり取りしたり情報共有することは、Log4jの脆弱性の対策、セキュリティ対策をする目的であると思われ、「人の電子計算機における実行の用に供する目的」が欠けるので、ウイルス作成罪の犯罪は成立しないのではないでしょうか。

(もちろん逆に、ウイルスであると知らない他人・第三者のパソコン・スマホなどでウイルスを動作させる目的で、Log4jのプログラム、ソースコードの脆弱性の部分をSNSやウェブサイトなどでやり取りしたり情報共有したりした場合には、「人の電子計算機における実行の用に供する目的」があるとして、本罪が成立する可能性があります。)

4.「正当な理由がないのに」
つぎに、上で条文を確認したとおり、ウイルス作成罪は、「正当な理由がない」ことが犯罪成立に必要となります。つまり、ウイルス作成罪の「反意図性」「不正性」などの構成要件が満たされたとしても、「正当な理由」があった場合には、違法性がないことになり(違法性阻却)、本罪は成立しません。

この点、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、つぎにように開設しています。
「正当な理由がないのに」とは「違法に」という意味である。ウイルス対策ソフトの開発・試験等を行う場合には,自己のコンピュータで,あるいは,他人の承諾を得てそのコンピュータで作動させるものとして,コンピュータ・ウイルスを作成・提供することがあり得るところ,このような場合には 「人の電子計算機における実行の,用に供する目的」が欠けることになるが,さらに,このような場合に不正指令電磁的記録作成・提供罪が成立しないことを一層明確にする趣旨で 「正当な理由がないのに」との要件が規定されたものである。

つまり、セキュリティ会社などがウイルス対策ソフトなどを研究開発したり作成・試験することは違法性が欠けるので、ウイルス作成罪に該当しないことを明確化するために、この「正当な理由がないのに」の文言が条文に置かれたと法務省の本文書は解説しています。

そして法務省の本文書はつぎのように解説を続けています。

このほか,コンピュータ・ウイルスを発見した人が,ウイルスの研究機関やウイルス対策ソフトの製作会社に対しウイルスの研究ウイルス対策ソフトの更新に役立ててもらう目的で,ウイルスであることを明らかにした上で,そのウイルスを提供し,ウイルスの研究機関やウイルス対策ソフトの製作会社が,そのような目的で用いるためにこれを取得する場合なども 「人の電子計算機における実行の用に供する」目的による提供や取得とはいえないので,不正指令電磁的記録提供罪や同取得罪は成立しないが,それぞれ「正当な理由がある」場合にも該当するといえる(なお,この例の場合には 「人の電子計算機における実行の用に供する」行為に当たらないから,不正指令電磁的記録供用罪も成立しない 。)

法務省文書3
法務省文書4
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁より)

すなわち、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、ウイルスを発見した人が、研究機関やセキュリティ会社などに、ウイルスの研究や対策に役立ててもらう目的、つまりセキュリティ対策の目的で、当該ウイルスを研究機関やセキュリティ会社などに提供などすることや、ウイルス対策の目的で研究機関やセキュリティ会社などが当該ウイルスをセキュリティ対策の目的で当該ウイルスを取得する場合などは、「正当な理由がある」ので、違法性が欠けて、ウイルス作成罪や提供罪、収集罪、保管罪などは成立しないと明記しています。

したがって、今回発覚したLog4jの脆弱性について、その脆弱性をつくウイルス・マルウェアや攻撃の方法や結果などを発見し、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行うために、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、まさに法務省のウイルス作成罪の立案担当者の本文書の「「正当な理由がある」場合に該当する」に当たるといえるので、違法性が欠けて、ウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

5.「バグ」の問題-「反意図性」と「不正性」
上で条文を確認したとおり、ウイルス作成罪は、パソコンやスマホなどのユーザーの「意図に反する」(反意図性)、かつ、「不正」(不正性)な動作をさせるプログラムを作成・提供・収集・保管した場合に成立する犯罪です。

つまりウイルス作成罪の「ウイルス」とは、パソコン・スマホなどのユーザーの「意図」に反し、かつ「不正」な動作をさせるものとされています。そしてこの「不正」とは、「社会的許容性がないこと」とされています(西田典之・橋爪隆補訂『刑法各論 第7版』413頁)。

この点、この「不正性」(=社会的許容性)とプログラムのバグとの関係について、法務省の本文書はつぎのように解説しています。

いわゆるバグについては,プログラミングの過程で作成者も知らないうちに発生するプログラムの誤りないし不具合をいうものであり,重大なものも含め,コンピュータの使用者にはバグは不可避的なものとして許容されていると考えられることから,その限りにおいては,「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」との要件も 「不正な」との要件も欠くこととなり,不正指令電磁的,記録には当たらないこととなる。

他方,プログラムの不具合が引き起こす結果が,一般に使用者がおよそ許容できないものであって,ソフトウエアの性質や説明などに照らし,全く予期し得ないものであるような場合において,実際にはほとんど考えられないものの,例えば,プログラムにそのような問題があるとの指摘を受け,その不具合を十分認識していた者が,この際それを奇貨として,このプログラムをウイルスとして用いて他人に害を与えようとの考えの下に,あえて事情を知らない使用者をだましてダウンロードさせたようなときは,こうしたものまでバグと呼ぶのはもはや適当ではないと思われ,不正指令電磁的記録供用罪が成立し得ることとなる。

もっとも,不正指令電磁的記録に関する罪が成立し得るのは,そのプログラムが不正指令電磁的記録であることを認識した時点以降に行った行為に限られ,それより前の時点で行った行為についてはこれらの罪は成立しない。

つまり、法務省の本文書は、プログラムのバグは、「コンピュータの使用者(=ユーザー)にはバグは不可避的なものとして許容されていると考えられることから」「反意図性」もなく、社会的許容性があり「不正性」もないので、原則として、「重大なものも含め」ウイルス作成罪等は成立しないとしています。

ただし、あるプログラムのバグが一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合であって、そのようなプログラムのバグを奇禍として、その重大なバグのあるプログラムを、他人・第三者のユーザーに害を与える目的で、当該ユーザーをだまして当該重大なバグのあるプログラムをダウンロードさせるなどの行為はウイルス作成罪に該当し得るとしています。

しかし法務省の本文書は、その場合であっても、ウイルス作成罪が成立するためには、その犯人・行為者は、当該プログラムがウイルスに相当するプログラムであることを認識した後であることが必要であり、それ以前にダウンロードや提供などをした場合には犯罪は成立しないとしています(目的犯)。

したがって法務省の立案担当者は、一般論としてウイルス作成罪との関係では、重大なものも含めプログラムのバグは、原則として、「反意図性」と「不正性」がないため、ウイルス作成罪の「ウイルス」(不正指令電磁的記録)に該当しないとしています。

また、今回のLog4jの脆弱性・バグは、「一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合」という例外的な場合に該当するとも考えられますが、しかし仮にそうであっても、Log4jの脆弱性・バグについてウイルス作成罪が成立するためには、行為者・犯人には、「他人・第三者のユーザーに害を与える目的」で、Log4jの脆弱性・バグがウイルスに相当するものであることを認識した後に、提供・保管などを行う必要があります。

したがって、「反意図性」と「不正性」、バグの問題との関係においても、エンジニアや研究者などの方々が、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行う目的で、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、法務省の本文書が説明するように、他人に害を与える目的があるという例外的な場合を除いて、原則としてウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

6.保護法益
法務省の「いわゆるコンピュータ・ウイルスに関する罪について」は、ウイルス作成罪の保護法益(罪の趣旨・目的)を、『本罪は,電子計算機のプログラムが 「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき不正な指令」を与えるものではないという,電子計算機のプログラムに対する社会一般の者の信頼を保護法益とする罪であり文書偽造の罪(刑法第17章)などと同様、社会的法益に対する罪である』と解説しています。

この点、刑法の教科書は、「現代社会においては、世界的な規模でコンピュータネットワークが政治、経済、社会活動の重要なインフラとなっていることを考慮すると、コンピュータプログラムが健全に機能していることに対する社会一般の信頼を保護法益とする」と解説しています(西田・橋爪・前掲412頁)。

このウイルス作成罪の、「コンピュータのプログラムは反意図性や不正性のあるものではないという、コンピュータプログラムへの社会一般の信頼」や、「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能していることに対する社会一般の信頼」などの社会的法益がウイルス作成罪の保護法益であることを考えると、「「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能」するために、多くのエンジニアの方々などがLog4jの脆弱性の対策のためにネット上や職場などで日夜連日、活躍・奮闘なさっていることに対して、さすがのcoinhive事件の神奈川県警サイバー犯罪対策本部などでも、ウイルス作成罪などで検挙などすることはあまり考えにくいのではないでしょうか。

7.ウイルスの「画像」
なお、ITmedia NEWSの記事によると、日本ハッカー協会は、画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある』と取材に回答しているとのことです。

しかし、法務省の「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁や刑法の教科書は、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録とは、「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの、たとえば、不正なプログラムのソースコードを記録した電磁的記録や、そのソースコードを紙媒体に印刷したものなどがこれにあたる」(西田・橋爪・前掲413頁)としています。
法務省文書7
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁より)

つまり、法務省の本文書などは、ウイルスのソースコード等を紙にプリントアウトしたもの等も、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるとしています。

ウイルスのソースコード等を紙にプリントしたものなどでも「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるのですから、ウイルスのソースコードやプログラム等を仮にPCやスマホ画面のスクリーンショットやハードコピーにより「画像」にしたとしても、その画像が「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの」、つまり「不正な指令を記述した電磁的記録その他の記録」に該当すると判断される余地もあるように思われるので、ウイルスのソースコード等を画像にしたからウイルス作成罪との関係で安全であるとは必ずしもいえないのではないでしょうか。この点には疑問が残ります。

8.まとめ
このように、ウイルス作成罪・不正指令電磁的記録作成罪について、法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」を基に、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」つまりバグの問題、保護法益の問題などの各論点を検討してみましたが、少なくとも法務省の立案担当者の考え方によれば、今回のLog4jの脆弱性やそれをつくウイルスや攻撃などの情報をセキュリティ対策目的でSNSやウェブサイトなどでやり取りしたり情報共有したりすることは、原則としてウイルス作成罪は成立しないのではないでしょうか。(日本ハッカー協会のご見解は、同協会の「弁護士費用助成サービス」を宣伝する意図もあるのではないでしょうか。)

とはいえ、このウイルス作成罪はとくに「不正性」の部分があいまい・漠然としており、Coinhive事件では、coinhiveが社会的に妥当なプログラムなのか否か、意見が分かれていた2018年当時に、神奈川県警と神奈川県の検察は、自らのウェブサイトにcoinhiveを設置していただけのモロ氏を立件・起訴してしまい、現在、coinhive事件は最高裁で係争中です。また、ITmedia NEWSも指摘するとおり、2017年のWizard Bible事件も、警察が不正アクセス禁止法とウイルス作成罪の容疑で逮捕・略式起訴を行ってしまっており、警察・検察当局によるウイルス作成罪の解釈や運用は以上にグレーな部分が大きいといえます。

そもそも犯罪と刑罰については、国家が犯人・被告人に刑罰という不利益な処分を科すものですから、「刑法の謙抑性」「疑わしきは被告人の利益に」との大原則があり、また罪刑法定主義とともに、刑法などの法律の条文には「通常の判断能力を有する一般人の理解」で法律の条文が理解できる必要があるという「規定の明確性」が要求されます(憲法31条、最高裁昭和50年9月10日判決・徳島市公安条例事件)。そのため、ウイルス作成罪の「不正性」の部分の構成要件が非常にあいまい・漠然としており、警察・検察当局が恣意的ともいえるグレーな運用を行っていることは、憲法31条との関係で違法・違憲の可能性があります。

そのため、coinhive事件においては、事件が係属している最高裁第一小法廷はぜひまともな判断を示していただきたいと思っています。裁判長は刑法学の重鎮の東大名誉教授の山口厚先生でありますし。

また、先日、本記事について、ITmedia NEWSにLog4jの脆弱性の件は不正指令電磁的記録作成罪の「正当な理由」がある等として同罪は成立しないと考える余地もあるのではないか、セキュリティや刑法の専門家に取材してほしいとの趣旨の意見を同社サイトの入力フォーマットからお伝えしてみたところ、ITmedia NEWS編集部より、「本記事は大きな反響をいただいており、さらにセキュリティの専門家や弁護士などに取材することを検討中」との返信をいただきました。

ITmedia NEWS編集部におかれては、セキュリティや情報法の専門家の産業技術総合研究所主任研究員の高木浩光先生や、刑法・刑事訴訟法のサイバー犯罪に詳しい成城大学の指宿信教授や筑波大学の渡邊卓也准教授などの学者・研究者や、法務省、警察庁・警視庁、検察庁などのサイバー犯罪の担当部署などに取材をして、ぜひ続報を報道していただきたいと思います。

このブログ記事が面白かったら、ブックマークやいいね、シェアをお願いします!

■関連する記事
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁、413頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

■関連する記事
・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件について横浜地裁で無罪判決が出される

・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える





























タグ :
log4j
脆弱性
ウイルス作成罪
不正指令電磁的記録作成罪
日本ハッカー協会
ITmediaNEWS
security
高木浩光
これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ