なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 刑法・刑事法

log4j

このブログ記事の概要
「Log4jの脆弱性などの情報をSNSやウェブサイトなどでやり取りしたり情報共有したりすることはウイルス作成罪に該当するおそれがある」との日本ハッカー協会などの見解は、ウイルス作成罪に関する法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」や刑法の教科書における、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」に関するバグの問題などの解説から疑問の余地がある。

1.Log4jの脆弱性の情報をネット上でやり取りしたり共有するとウイルス作成罪に該当する?
Javaのログ出力ライブラリ「Apach Log4j」ゼロデイ脆弱性があることが発覚し、12月10日(金)ごろからTwitterなどネット上で大きな話題となり、システム関係の方々は対応に追われています。

ところで、このLog4jの脆弱性に関して、日本ハッカー協会(@JapanhackerA)は12月13日昼につぎのようなTwitter上のツイートを行いました。

日本ハッカー協会1
日本ハッカー協会2
(日本ハッカー協会のTwitterより)
https://twitter.com/JapanhackerA/status/1470229222681878530

また、これを受けてITmedia NEWSも12月13日夜に「「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた」との記事を掲載しました。
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

このITmedia NEWSの記事を読むと、取材に対して、日本ハッカー協会の杉浦隆幸理事は、『「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある。」「そもそも警察が検挙するのかは分からない」(同)としつつも、現状の法整備では共有などの行為でも法に触れるリスクがあるという。』』と回答したとのことです。

また、取材に対して日本ハッカー協会の杉浦理事は、『「画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある」』と回答したとのことです。

たしかにウイルス作成罪(不正指令電磁的記録作成罪・刑法168条の2、168条の3)に関しては、現在、最高裁でCoinhive事件が係争中であり、とくにその構成要件の「不正性」(=社会的許容性)にcoinhiveが抵触するのか否かが争点となり、12月9日には最高裁で弁論が行われ、最高検の検察側の主張がITリテラシーに欠けるなどと大きな批判がネット上に寄せられ、社会的注目が集まっているところです。しかし、日本ハッカー協会の主張は妥当といえるのでしょうか?

2.ウイルス作成罪(不正指令電磁的記録作成罪)から考える
刑法のウイルス作成罪(不正指令電磁的記録作成罪)の条文はつぎのようになっています。

(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
 前項の罪の未遂は、罰する。

(不正指令電磁的記録取得等)
第168条の3 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

つまり、ごくおおまかにいうと、不正指令電磁的記録作成罪とは、「正当な理由」がないのに、「人(=他人)の電子計算機(=コンピュータやスマホなど)における実行の用に供する目的」で、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる(=「反意図性」)べき不正(=「不正性」)な指令を与える電磁的記録(=いわゆるコンピュータ・ウイルス)」を、他人の電子計算機(=コンピュータ、スマホなど)に実行させるために「作成」または「提供」「取得」または「保管」することを処罰する罪です(刑法168条の2,168条の3)。

3.「人の電子計算機における実行の用に供する目的」
不正指令電磁的記録作成罪は、2001年(平成13年)にサイバー犯罪条約が制定され日本が批准したことを受けて、2011年(平成23)年6月に国会で「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定されたことを受けて刑法に新設された罪です。この法改正においては、参議院法務委員会で「犯罪の構成要件などを国民に周知すること」が付帯決議され、法務省の立案担当者「いわゆるコンピュータ・ウイルスに関する罪について」との文書を作成し、法務省サイトで公表されています。
・いわゆるコンピュータ・ウイルスに関する罪について|法務省

不正指令電磁的記録作成罪は、上で条文をみたとおり、「人(=他人)の電子計算機における実行の用に供する目的」がある必要があります。つまり、本罪は単にウイルスのプログラムを作成等するだけでなく、「他人の電子計算機における実行の用に供する目的」がないと犯罪が成立しないいわゆる「目的犯」です。

この点、この法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、「人の電子計算機における実行の用に供する目的」についてつぎのように解説しています。

すなわち、他人のコンピュータ上でプログラムを動作させる行為一般を指すものではなく,不正指令電磁的記録であることの情を知らない第三者のコンピュータで実行され得る状態に置くことをいうものである。このように 「実行の用に供する」に当たるためには,対象となる,不正指令電磁的記録が動作することとなる電子計算機の使用者において,それが不正指令電磁的記録であることを認識していないことが必要である。

不正指令電磁的記録提供罪は,後記のとおり,それが不正指令電磁的記録等であることを認識している者に取得させる行為であるが,この場合も,提供の相手方以外の第三者(使用者)が不正指令電磁的記録であることを認識していないのにこれを当該第三者の電子計算機で実行され得る状態に置く目的があることを要する。

法務省文書1
法務省文書2
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」6頁、7頁より)

つまり、ウイルス作成罪は、「人の電子計算機における実行の用に供する目的」を要する目的犯であるため、他人・第三者のパソコンやスマホのユーザーが、ウイルスがウイルスであると知らないこと、認識していないことが必要です。

この点、日本のエンジニア等の方々が、Log4jのソースコードやプログラムなどにおける脆弱性の部分などの情報をTwitterなどのSNSやウェブサイト、ブログなど、ネット上でやり取りしたり情報共有することは、Log4jの脆弱性の対策、セキュリティ対策をする目的であると思われ、「人の電子計算機における実行の用に供する目的」が欠けるので、ウイルス作成罪の犯罪は成立しないのではないでしょうか。

(もちろん逆に、ウイルスであると知らない他人・第三者のパソコン・スマホなどでウイルスを動作させる目的で、Log4jのプログラム、ソースコードの脆弱性の部分をSNSやウェブサイトなどでやり取りしたり情報共有したりした場合には、「人の電子計算機における実行の用に供する目的」があるとして、本罪が成立する可能性があります。)

4.「正当な理由がないのに」
つぎに、上で条文を確認したとおり、ウイルス作成罪は、「正当な理由がない」ことが犯罪成立に必要となります。つまり、ウイルス作成罪の「反意図性」「不正性」などの構成要件が満たされたとしても、「正当な理由」があった場合には、違法性がないことになり(違法性阻却)、本罪は成立しません。

この点、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、つぎにように開設しています。
「正当な理由がないのに」とは「違法に」という意味である。ウイルス対策ソフトの開発・試験等を行う場合には,自己のコンピュータで,あるいは,他人の承諾を得てそのコンピュータで作動させるものとして,コンピュータ・ウイルスを作成・提供することがあり得るところ,このような場合には 「人の電子計算機における実行の,用に供する目的」が欠けることになるが,さらに,このような場合に不正指令電磁的記録作成・提供罪が成立しないことを一層明確にする趣旨で 「正当な理由がないのに」との要件が規定されたものである。

つまり、セキュリティ会社などがウイルス対策ソフトなどを研究開発したり作成・試験することは違法性が欠けるので、ウイルス作成罪に該当しないことを明確化するために、この「正当な理由がないのに」の文言が条文に置かれたと法務省の本文書は解説しています。

そして法務省の本文書はつぎのように解説を続けています。

このほか,コンピュータ・ウイルスを発見した人が,ウイルスの研究機関やウイルス対策ソフトの製作会社に対しウイルスの研究ウイルス対策ソフトの更新に役立ててもらう目的で,ウイルスであることを明らかにした上で,そのウイルスを提供し,ウイルスの研究機関やウイルス対策ソフトの製作会社が,そのような目的で用いるためにこれを取得する場合なども 「人の電子計算機における実行の用に供する」目的による提供や取得とはいえないので,不正指令電磁的記録提供罪や同取得罪は成立しないが,それぞれ「正当な理由がある」場合にも該当するといえる(なお,この例の場合には 「人の電子計算機における実行の用に供する」行為に当たらないから,不正指令電磁的記録供用罪も成立しない 。)

法務省文書3
法務省文書4
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁より)

すなわち、法務省「いわゆるコンピュータ・ウイルスに関する罪について」8頁は、ウイルスを発見した人が、研究機関やセキュリティ会社などに、ウイルスの研究や対策に役立ててもらう目的、つまりセキュリティ対策の目的で、当該ウイルスを研究機関やセキュリティ会社などに提供などすることや、ウイルス対策の目的で研究機関やセキュリティ会社などが当該ウイルスをセキュリティ対策の目的で当該ウイルスを取得する場合などは、「正当な理由がある」ので、違法性が欠けて、ウイルス作成罪や提供罪、収集罪、保管罪などは成立しないと明記しています。

したがって、今回発覚したLog4jの脆弱性について、その脆弱性をつくウイルス・マルウェアや攻撃の方法や結果などを発見し、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行うために、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、まさに法務省のウイルス作成罪の立案担当者の本文書の「「正当な理由がある」場合に該当する」に当たるといえるので、違法性が欠けて、ウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

5.「バグ」の問題-「反意図性」と「不正性」
上で条文を確認したとおり、ウイルス作成罪は、パソコンやスマホなどのユーザーの「意図に反する」(反意図性)、かつ、「不正」(不正性)な動作をさせるプログラムを作成・提供・収集・保管した場合に成立する犯罪です。

つまりウイルス作成罪の「ウイルス」とは、パソコン・スマホなどのユーザーの「意図」に反し、かつ「不正」な動作をさせるものとされています。そしてこの「不正」とは、「社会的許容性がないこと」とされています(西田典之・橋爪隆補訂『刑法各論 第7版』413頁)。

この点、この「不正性」(=社会的許容性)とプログラムのバグとの関係について、法務省の本文書はつぎのように解説しています。

いわゆるバグについては,プログラミングの過程で作成者も知らないうちに発生するプログラムの誤りないし不具合をいうものであり,重大なものも含め,コンピュータの使用者にはバグは不可避的なものとして許容されていると考えられることから,その限りにおいては,「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」との要件も 「不正な」との要件も欠くこととなり,不正指令電磁的,記録には当たらないこととなる。

他方,プログラムの不具合が引き起こす結果が,一般に使用者がおよそ許容できないものであって,ソフトウエアの性質や説明などに照らし,全く予期し得ないものであるような場合において,実際にはほとんど考えられないものの,例えば,プログラムにそのような問題があるとの指摘を受け,その不具合を十分認識していた者が,この際それを奇貨として,このプログラムをウイルスとして用いて他人に害を与えようとの考えの下に,あえて事情を知らない使用者をだましてダウンロードさせたようなときは,こうしたものまでバグと呼ぶのはもはや適当ではないと思われ,不正指令電磁的記録供用罪が成立し得ることとなる。

もっとも,不正指令電磁的記録に関する罪が成立し得るのは,そのプログラムが不正指令電磁的記録であることを認識した時点以降に行った行為に限られ,それより前の時点で行った行為についてはこれらの罪は成立しない。

つまり、法務省の本文書は、プログラムのバグは、「コンピュータの使用者(=ユーザー)にはバグは不可避的なものとして許容されていると考えられることから」「反意図性」もなく、社会的許容性があり「不正性」もないので、原則として、「重大なものも含め」ウイルス作成罪等は成立しないとしています。

ただし、あるプログラムのバグが一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合であって、そのようなプログラムのバグを奇禍として、その重大なバグのあるプログラムを、他人・第三者のユーザーに害を与える目的で、当該ユーザーをだまして当該重大なバグのあるプログラムをダウンロードさせるなどの行為はウイルス作成罪に該当し得るとしています。

しかし法務省の本文書は、その場合であっても、ウイルス作成罪が成立するためには、その犯人・行為者は、当該プログラムがウイルスに相当するプログラムであることを認識した後であることが必要であり、それ以前にダウンロードや提供などをした場合には犯罪は成立しないとしています(目的犯)。

したがって法務省の立案担当者は、一般論としてウイルス作成罪との関係では、重大なものも含めプログラムのバグは、原則として、「反意図性」と「不正性」がないため、ウイルス作成罪の「ウイルス」(不正指令電磁的記録)に該当しないとしています。

また、今回のLog4jの脆弱性・バグは、「一般にユーザーがおよそ許容できない重大なもので、プログラムの性質などから全く予期できないものであるような場合」という例外的な場合に該当するとも考えられますが、しかし仮にそうであっても、Log4jの脆弱性・バグについてウイルス作成罪が成立するためには、行為者・犯人には、「他人・第三者のユーザーに害を与える目的」で、Log4jの脆弱性・バグがウイルスに相当するものであることを認識した後に、提供・保管などを行う必要があります。

したがって、「反意図性」と「不正性」、バグの問題との関係においても、エンジニアや研究者などの方々が、Log4jの脆弱性への対策や、Log4jの脆弱性をつくウイルスや攻撃などへの対策を議論し研究・開発等するなどの各種のセキュリティ対策を行う目的で、Log4jの脆弱性への対策や脆弱性をつくウイルスや攻撃などの情報をSNSやウェブサイトなどでやり取りしたり情報共有などすることは、法務省の本文書が説明するように、他人に害を与える目的があるという例外的な場合を除いて、原則としてウイルス作成罪、提供罪、取得罪、保管罪などは犯罪不成立となるのではないでしょうか。

6.保護法益
法務省の「いわゆるコンピュータ・ウイルスに関する罪について」は、ウイルス作成罪の保護法益(罪の趣旨・目的)を、『本罪は,電子計算機のプログラムが 「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき不正な指令」を与えるものではないという,電子計算機のプログラムに対する社会一般の者の信頼を保護法益とする罪であり文書偽造の罪(刑法第17章)などと同様、社会的法益に対する罪である』と解説しています。

この点、刑法の教科書は、「現代社会においては、世界的な規模でコンピュータネットワークが政治、経済、社会活動の重要なインフラとなっていることを考慮すると、コンピュータプログラムが健全に機能していることに対する社会一般の信頼を保護法益とする」と解説しています(西田・橋爪・前掲412頁)。

このウイルス作成罪の、「コンピュータのプログラムは反意図性や不正性のあるものではないという、コンピュータプログラムへの社会一般の信頼」や、「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能していることに対する社会一般の信頼」などの社会的法益がウイルス作成罪の保護法益であることを考えると、「「政治・経済・社会の重要インフラのコンピュータネットワーク等のコンピュータプログラムが健全に機能」するために、多くのエンジニアの方々などがLog4jの脆弱性の対策のためにネット上や職場などで日夜連日、活躍・奮闘なさっていることに対して、さすがのcoinhive事件の神奈川県警サイバー犯罪対策本部などでも、ウイルス作成罪などで検挙などすることはあまり考えにくいのではないでしょうか。

7.ウイルスの「画像」
なお、ITmedia NEWSの記事によると、日本ハッカー協会は、画像が直接不正指令を与えるわけではないため、文字を画像に変えたものは問題ない。情報を共有するには一工夫を加えるなど、うまくやる必要がある』と取材に回答しているとのことです。

しかし、法務省の「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁や刑法の教科書は、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録とは、「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの、たとえば、不正なプログラムのソースコードを記録した電磁的記録や、そのソースコードを紙媒体に印刷したものなどがこれにあたる」(西田・橋爪・前掲413頁)としています。
法務省文書7
(法務省「いわゆるコンピュータ・ウイルスに関する罪について」5頁、6頁より)

つまり、法務省の本文書などは、ウイルスのソースコード等を紙にプリントアウトしたもの等も、本罪の刑法168条の2第1項2号の「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるとしています。

ウイルスのソースコード等を紙にプリントしたものなどでも「不正な指令を記述した電磁的記録その他の記録」に該当する可能性があるのですから、ウイルスのソースコードやプログラム等を仮にPCやスマホ画面のスクリーンショットやハードコピーにより「画像」にしたとしても、その画像が「内容としてはコンピュータウイルスとして実質的に完成しているが、そのままではいまだコンピュータにおいて動作させる状態にないもの」、つまり「不正な指令を記述した電磁的記録その他の記録」に該当すると判断される余地もあるように思われるので、ウイルスのソースコード等を画像にしたからウイルス作成罪との関係で安全であるとは必ずしもいえないのではないでしょうか。この点には疑問が残ります。

8.まとめ
このように、ウイルス作成罪・不正指令電磁的記録作成罪について、法務省の立案担当者の「いわゆるコンピュータ・ウイルスに関する罪について」を基に、「人の電子計算機における実行の用に供する目的」、「正当な理由がなく」および「反意図性」・「不正性」つまりバグの問題、保護法益の問題などの各論点を検討してみましたが、少なくとも法務省の立案担当者の考え方によれば、今回のLog4jの脆弱性やそれをつくウイルスや攻撃などの情報をセキュリティ対策目的でSNSやウェブサイトなどでやり取りしたり情報共有したりすることは、原則としてウイルス作成罪は成立しないのではないでしょうか。(日本ハッカー協会のご見解は、同協会の「弁護士費用助成サービス」を宣伝する意図もあるのではないでしょうか。)

とはいえ、このウイルス作成罪はとくに「不正性」の部分があいまい・漠然としており、Coinhive事件では、coinhiveが社会的に妥当なプログラムなのか否か、意見が分かれていた2018年当時に、神奈川県警と神奈川県の検察は、自らのウェブサイトにcoinhiveを設置していただけのモロ氏を立件・起訴してしまい、現在、coinhive事件は最高裁で係争中です。また、ITmedia NEWSも指摘するとおり、2017年のWizard Bible事件も、警察が不正アクセス禁止法とウイルス作成罪の容疑で逮捕・略式起訴を行ってしまっており、警察・検察当局によるウイルス作成罪の解釈や運用は以上にグレーな部分が大きいといえます。

そもそも犯罪と刑罰については、国家が犯人・被告人に刑罰という不利益な処分を科すものですから、「刑法の謙抑性」「疑わしきは被告人の利益に」との大原則があり、また罪刑法定主義とともに、刑法などの法律の条文には「通常の判断能力を有する一般人の理解」で法律の条文が理解できる必要があるという「規定の明確性」が要求されます(憲法31条、最高裁昭和50年9月10日判決・徳島市公安条例事件)。そのため、ウイルス作成罪の「不正性」の部分の構成要件が非常にあいまい・漠然としており、警察・検察当局が恣意的ともいえるグレーな運用を行っていることは、憲法31条との関係で違法・違憲の可能性があります。

そのため、coinhive事件においては、事件が係属している最高裁第一小法廷はぜひまともな判断を示していただきたいと思っています。裁判長は刑法学の重鎮の東大名誉教授の山口厚先生でありますし。

また、先日、本記事について、ITmedia NEWSにLog4jの脆弱性の件は不正指令電磁的記録作成罪の「正当な理由」がある等として同罪は成立しないと考える余地もあるのではないか、セキュリティや刑法の専門家に取材してほしいとの趣旨の意見を同社サイトの入力フォーマットからお伝えしてみたところ、ITmedia NEWS編集部より、「本記事は大きな反響をいただいており、さらにセキュリティの専門家や弁護士などに取材することを検討中」との返信をいただきました。

ITmedia NEWS編集部におかれては、セキュリティや情報法の専門家の産業技術総合研究所主任研究員の高木浩光先生や、刑法・刑事訴訟法のサイバー犯罪に詳しい成城大学の指宿信教授や筑波大学の渡邊卓也准教授などの学者・研究者や、法務省、警察庁・警視庁、検察庁などのサイバー犯罪の担当部署などに取材をして、ぜひ続報を報道していただきたいと思います。

このブログ記事が面白かったら、ブックマークやいいね、シェアをお願いします!

■関連する記事
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁、413頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・「Log4j」の脆弱性を突く攻撃手段の情報共有は違法?日本ハッカー協会に聞いた|ITmedia NEWS

■関連する記事
・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件について横浜地裁で無罪判決が出される

・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える





























タグ :
#log4j
#脆弱性
#ウイルス作成罪
#不正指令電磁的記録作成罪
#日本ハッカー協会
#ITmediaNEWS
#security
#高木浩光
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

最高裁
1.コインハイブ事件
■追記
2022年1月22日に最高裁第一小法廷(山口厚裁判長)でこのコインハイブ事件について無罪判決が出されました。詳しくはこちらをご参照ください。
・【速報】コインハイブ事件の最高裁判決で無罪判決が出される

あるウェブデザイナーの方(モロ氏、以下「被告人」)が、自身のウェブサイトに仮想通貨採掘アプリ「coinhive」を設置していたことが、不正指令電磁的記録等罪(いわゆるウイルス罪・刑法168条の2以下)に問われたいわゆるコインハイブ事件において、2018年の横浜地裁平成30年3月27日判決は、不正指令電磁的記録等罪の構成要件における、「反意図性」の該当は認めたものの、「不正性」(社会的許容性)の該当は認められるとはいえないとして、被告人を無罪としました。

ところが、控訴審の東京高裁令和2年2月7日判決(栃木力裁判長)は、「反意図性」および「不正性」の両方が成立するとして、被告人を罰金10万円の有罪とし、ネット上では高裁判決に対して、多くの批判が沸き起こりました。

(関連)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件

とくに、本高裁判決は、「不正性(社会的許容性)」について、『『本件プログラムコードは、(略)、その使用によって、プログラム使用者(閲覧者)に利益を生じさせない一方で、知らないうちに電子計算機の機能を提供させるものであり、一定の不利益を与える類型のプログラムといえる上、その生じる不利益に関する表示等もされないのであるから、(略)、プログラムに対する信頼保護という観点から社会的に許容すべき点は見当たらない。』という文章を何回もコピペで使いまわしてcoinhiveの不正性を強調しています。

この東京高裁に対して、被告人のモロ氏と弁護人の平野敬弁護士が最高裁に上告を行ったところ、最高裁は弁論を行うことを決定し、本日(2021年12月9日)、その弁論が最高裁で行われました。

2.最高裁での弁論
本日の最高裁の弁論について、弁護士ドットコムニュースはつぎのように報道しています。
・コインハイブ事件で最高裁弁論、弁護側改めて無罪主張 判決期日は追って指定|弁護士ドットコムニュース

弁護側は憲法上、刑法上、刑事訴訟法上の問題があると指摘。1審と2審で判断が分かれた不正性について「コインハイブが社会的に許容されていなかったと断じることはできない」などと述べ、無罪を主張した。

検察側は「クリプトジャッキングに相当する行為で、国際的にもサイバー犯罪として取り締まられている。今回の行為の違法性を否定するならCPU等の無断使用を解禁することになり、日本を世界中からの草刈り場に置くことと等しい」などと上告棄却を求め、結審した。

また、弁護士ドットコムニュースによると、弁論後の記者会見で、平野敬弁護士とモロ氏はつぎのように述べたとのことです。

モロ氏
「これがもし有罪となってしまった場合、クリエイターの方々がやりにくい世の中になってしまうと思うので、無罪という形で正しい判決がいただけることを願っています」

平野敬弁護士
「クリプトジャッキングと言うのは他人のウェブサイトを不正に改ざんして、仮想通貨採掘ツールを埋め込む行為をいう。今回のケースのように、自分のウェブサイトにJavaScriptを設置して、仮想通貨を採掘する行為とはまるで違うものだ。たしかに、世界ではクリプトジャッキングが問題になっていて、刑事的な訴追対象になっているのは事実だが、それと今回のケースを意図的に混同しようとする検察官の主張は悪質で、誤導的な説明だったと思う

つまり、平野弁護士は、「他人のウェブサイトを不正に改ざんして、仮想通貨採掘ツールを埋め込む行為(クリプトジャッキング)と、自らのサイトにツールを設置した本件はまったく異なるのに、両者を混同させる主張をしている検察側の主張は悪質」と述べておられますが、このご見解は非常に正当であると思います。

3.サラミ法?一厘事件ではないのか?
また、本日の最高裁の弁論を傍聴した、寿司アイコン様(@mecab)のツイートによると、弁論はおおむねつぎのような感じだったようです。
mecab様のツイート
(寿司アイコン様(@mecab)のTwitterより)
https://twitter.com/mecab/status/1468823606742634496

このツイートによると、検察側はおおむねつぎのように主張したそうです。
「他人のコンピュータリソース無断でつかうのは不正なことは常識である。影響は軽微だというが、「サラミ法」を知らないのか。」
この点、「サラミ法」とは「犯罪や不正行為の手口の一つで、一回あたりの数量や影響を発覚しにくい小さな値に抑え、数多くの対象や回数に分散して繰り返す手法」です(e-words.jpより)。

しかし、本事件において、モロ氏がcoinhiveを設置したサイトは自らの一つのウェブサイトであり、しかもcoinhiveで得られた収益は数百円程度で、しまもcoinhiveの仕様で1000円未満は支払対象外だったため、モロ氏が実際に受け取った収益は0円です。

このような事実を、「一回あたりの数量や影響を発覚しにくい小さな値に抑え、数多くの対象や回数に分散して繰り返す手法」の「サラミ法」として弁論で主張を行った検察側は、事実を不当に大きく表現し、今回のcoinhive事件があたかも日本のIT業界やデジタル業界を揺るがすような凶悪な重大事件であると裁判官に訴えようとしているように思われますが、このような誇大妄想的な主張は、法曹三者の法律家の一人である検察官の主張としてどうなのでしょうか。

モロ氏が得たcoinhiveの収益が実際には0円であり、設置したサイトも自身のサイト一つであったことを考えると、最高検の検察官達は、サラミ法でなく、明治時代の大審院の一厘事件(煙草一厘事件、大審院明治43年10月11日判決)の判決に思いを致すべきだったのではないでしょうか。

つまり、ある農家がタバコに関して非常に軽微な違法行為をしたところ、当時の最高裁にあたる大審院は、形式的には法律違反で刑罰の構成要件に該当するとしても、あまりにも軽微な違法行為は可罰的違法性が欠ける、すなわち違法性が阻却されるとして無罪の判決を出しています。

本件の最高検の検察官達も、被告人が自らのサイトで一人で設置したcoinhiveで得られた収益が実際には0円だったのですから、仰々しく「サラミ法」などを持ち出すのではなく、「一厘事件」の判例の可罰的違法性の問題を検討すべきだったのではないでしょうか。

4.刑法違反とならないためにパソコンやスマホのスタンドアローンでの利用が要求される?
また、検察側は本日の弁論で、「今回の行為の違法性を否定するならCPU等の無断使用を解禁することになり、日本を世界中からの草刈り場に置くことと等しい」と主張したそうです。

しかし、エンジニアなどの専門家ではない、我われ一般人のユーザーにとって、自分のパソコンのCPU等が、とくにネットに接続して使用している状態においては、ネットワークやISP、その先のサーバー等とさまざまな情報のやり取りをした上でネットを閲覧したりメールを授受したり、クラウドのサービスを利用しているわけであり、エンジニアなどの専門家ではない一般人のユーザーにとっては、自分のパソコンのCPC等がある程度は「無断使用」されている状況は当たり前なのではないでしょうか?

本事件の東京高裁判決の裁判官達も「ウェブサイト上のバナー広告は表示されているから不正性はない」と判示していますが、東京高裁の裁判官達や本件の最高検の検察官達は、パソコンのモニター画面の裏側のCPU等で、さまざまなプログラムやソースコードなどが稼働し、ネットやISPやさまざまなサーバーとやり取りをしている、そのそれらの多くのプログラムやソースコード、各種のサーバーなどの目的等を逐一把握し、それらをすべて同意や合意のもとに利用できているのでしょうか?

近年は、スマホやパソコンにおけるcookieやFlocなどを利用したネットの行動ターゲティング広告において、DMP業者などがユーザー・国民のネットの閲覧履歴や位置情報・移動履歴や購入履歴などを収集・分析・加工・販売している個人データの取扱が、個人情報保護法の観点から違法・不当なのではないかと、例えば2019年の就活生の内定辞退予測データの販売などに関するリクルートキャリアやトヨタなどの「リクナビ事件」において大きな社会的問題となりました。リクルートキャリアやトヨタなどは、同年に個人情報保護委員会や厚労省から、個人情報保護法違反、職業安定法違反であるとして行政指導を受けています。

ネット上の広告にはこのような個人の尊重やプライバシー、人格権などの基本的人権(憲法13条)に関する大きな問題があるのに、最高検の検事達や東京高裁の裁判官達は、「ネットの広告はユーザーに表示されているから合法で、coinhiveはユーザーに表示されていないから違法で犯罪」と主張するのでしょうか。しかしそれはあまりにも個人情報保護法などの国会の制定した法律や、一般国民の感覚とかけ離れているのではないでしょうか?

(参考)
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

あるいは、最高検の検察官の主張のように、国民や企業などが不正指令電磁的記録作成罪などの刑法に違反しないためには「CPU等の無断使用を禁止すべき」などと言い出したら、それこそクラウドサービスや5Gどころか、1980年代、90年代のパソコン通信だけでなく、そもそも冷戦下に生み出されたインターネットへの接続すら放棄し、パソコンをスタンドアローン「鎖国」の状態で利用することが必要となるのではないでしょうか。

しかし、近年、クラウドや5Gの時代となり、「日本社会のデジタル化」が国策の一つとなりデジタル庁が設置され、ますますスマホやパソコンなどをネットに接続し、官民がデジタル社会における経済活動などを推進しようとしている世の中なのに、「CPU等の無断使用」を禁止せよと主張する最高検の検察官達や本事件の東京高裁の裁判官達の考え方は、さすがにあまりにも時代錯誤であり、ITリテラシーが無さすぎなのではないでしょうか。

かりにそれで検察官や裁判官の方々は刑法的に満足だとしても、それでは「刑法守ってデジタル敗戦」となってしまい、日本社会のITやデジタルが1970年代以前に逆戻りしてしまうのではないでしょうか。

5.まとめ
そもそも、検察官は裁判所に対して「法の正当な適用を請求」する職責を負っており(検察庁法4条)、「法と正義の実現を目指して公平・公正でならねばならない」という「検察官の客観義務」を負っており、かりに訴訟の経緯がそう要求する場合には、検察官は無罪を主張しなければならないとされています(田宮裕『刑事訴訟法 新版』24頁)。

この検察官の客観義務の観点からは、「とにかく神奈川県警が立件した以上は有罪としたい」という本件における検察官側の姿勢には大きな疑問を感じます。また繰り返しになりますが、裁判官や検察官や神奈川県警サイバー犯罪担当などのITリテラシーの低さを感じます。

(一般人の私が述べてもしかたのないことですが、「デジタル社会」が国策となる現在、さすがにそろそろ司法試験にも個人情報保護法やITパスポート的なものも試験科目に加えたり、あるいは検察官、警察官や裁判官の職場研修などに個人情報保護法やIT・情報セキュリティの初歩などを導入することを、最高裁や法務省、検察庁などは検討すべきなのではないでしょうか。)

同時に、本日の弁論後の記者会見でモロ氏が述べておられたように、「これがもし有罪となってしまった場合、クリエイターの方々がやりにくい世の中になってしまう」、つまりITやデジタル関係のエンジニアの方々や法人などが、自分達の研究開発しているプログラムやIT関係の先端技術が、いつ裁判所や検察官、警察などから不正指令電磁的記録作成罪などに抵触する違法なものであると判断されるか分からないという、IT技術、先端のテクノロジーの研究開発に予測可能性がなくなってしまうという大問題があります。これでは日本のITやデジタルに関する企業やエンジニア、学者・研究者の方々などは委縮して、自由に研究開発や学問研究、企業活動を行うことができなくなってしまいます。

そのため、本事件について、最高裁はぜひまともな判決を出してほしいと思います。本事件の最高裁第一小法廷の裁判長は、刑法学の重鎮の山口厚・東大名誉教授です。ぜひとも、山口厚先生のまともなご判断を期待したいところです。

(余談)
本日の平野敬弁護士(@stdaux)のツイートにつぎのようなものがあったのですが、一番下は冗談ではなく本当なのでしょうか。いくらサイコーな最高裁とはいえ、ちょっと演出過剰というか、エヴァのゼーレの会議や、サンダーバードの会議などを連想してしまいます・・・。

スドー先生ツイート
(平野敬弁護士のTwitterより)
https://twitter.com/stdaux/status/1468841211637399560

しかし、本日の最高裁の弁論の前の平野先生のツイートは、サイコーにカッコいいとしかいいようがありません。
スドー先生ツイート2

■追記(2021年12月10日)
12月9日の最高裁の弁論について、小野マトペ様(@ono_matope)がTwitter上で、詳細な傍聴メモを公開なさっています。
小野マトペ様ツイート
(小野マトペ様(@ono_matope)のTwitterより)
・https://twitter.com/ono_matope/status/1468858327094657028

この傍聴メモをみると、「第一審の横浜地裁の証人の高木浩光氏の、coinhiveが作動した際にもパソコンの快適性などは損なわれないとの主張は、高木氏がMacBook Pro を使用した再現実験を元にした主張であるので信用できない」などと最高検の検察側が主張しているのは、これも検察官のITリテラシーのなさを表しており、思わず笑ってしまいます。

ところで、モロ氏・平野弁護士側は、憲法31条は、法律の明確性を要求しているが、不正指令電磁的記録作成罪の「不正性」は専門家でも判断が困難であるなど明確性を欠き違法・違憲である」とも弁論で主張されていたとのことです。

憲法31条は「何人も、法律の定める手続によらなければ、その生命若しくは自由を奪はれ、又はその他の刑罰を科せられない。」と、いわゆる適正手続きの原則を定めています。

これは、警察や行政などの公権力を手続き的に拘束し、国民の人権を手続き的に保障するものですが、これは法律で定められた手続きが適正であることだけでなく、法律の実体の規定の内容自体も適正でなければならないことを要求していると判例・通説は解しています。この法律の実体の適正性には、罪刑法定主義や、法律の「規定の明確性」(犯罪の構成要件の明確性、表現の自由の規制立法の明確性など)が含まれていると解されています(芦部信喜・高橋和之補訂『憲法 第7版』252頁)。

この「規定の明確性」に関して裁判所は、「通常の判断能力を有する一般人の理解」で法律や条例の規定の内容が理解できることが必要であるとしています(徳島市公安条例事件・最高裁昭和50年9月10日判決)。

この点、本事件で争点になっている不正指令電磁的記録作成罪(刑法168条の2)のとくに「不正性(社会的許容性)」に関する構成要件は、まさに本事件が最高裁まで争われ、文献などをみても刑法学者などの専門家の間でも意見が分かれているなど、非常に難解であいまい・漠然としたものとなっており、「通常の判断能力を有する一般人の理解」で本罪の「不正性」を理解することは困難であり、本罪の構成要件は明確性を欠くので、憲法31条に照らして違法・違憲とのモロ氏・平野弁護士側の主張は正当であると思われます。(本事件の最高裁判決が出されたら、国会はその判決を踏まえて、不正指令電磁的記録作成罪の条文の見直しなどを実施すべきであると思われます。)

上でもみたとおり、コンピュータウイルス等に関するこの不正指令電磁的記録作成罪の構成要件が明確性を欠き、まさにモロ氏の本事件のように、警察・検察側の恣意的な判断や運用でITに関するエンジニアやIT企業が立件・逮捕などされてしまうことは、エンジニアの方やIT企業などの予測可能性を害し、ITに関する自由な研究開発や企業経営が委縮してしまうことになりかねません。憲法31条の観点からも、本事件について最高裁のまともな判断が望まれます。

このブログ記事が面白かったらブックマークやいいねをお願いします!

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』411頁
・田宮裕『刑事訴訟法 新版』24頁
・芦部信喜・高橋和之補訂『憲法 第7版』252頁
・高木浩光「コインハイブ不正指令事件の控訴審逆転判決で残された論点」『Law&Technology』91号46頁
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・コインハイブ事件で最高裁弁論、弁護側改めて無罪主張 判決期日は追って指定|弁護士ドットコムニュース
・寿司アイコン様(@mecab)のTwitterのツイート
・小野マトペ様(@ono_matope)のTwitterのツイート

■関連する記事
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・コインハイブ事件について横浜地裁で無罪判決が出される
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング




























タグ :
#コインハイブ
#coinhive
#最高裁
#弁論
#不正指令電磁的記録作成罪
#ウイルス作成罪
#山口厚
#サラミ法
#高木浩光
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

スマホ
このブログ記事の概要
練馬区が親と学校の生徒の子どもに、家庭のSNSルールを作成させ、学校に提出させるプリントに、子どものSNSのパスワードの記入欄があることは、情報セキュリティの観点から問題なだけでなく、子どもや親の自己決定権やプライバシー権、不正アクセス禁止法などの観点からも問題である。

1.練馬区が、親子が家庭のSNSルールを話し合い学校に提出させるプリントにSNSのパスワードの記入欄があることが炎上
11月30日に、Twitter上である練馬区の中学生の子どもの親の方がつぎのような怒りのツイートをなさり、Twitter上で注目されています。
ちょっと、アホすぎて人権侵害すぎて言葉がないんだけど。
練馬区の中学校からのプリントで、「我が家のSNSルールを保護者と話し合ってかけ」「終わったら学校に提出しろ」ってやつに、「SNSパスワードを書け」って欄があるのだけど。
なに考えてんだ!?
私的領域への越権行為も甚だしい!

snsルール1

そしてこの方の前後のツイートによると、問題となっている練馬区の家庭のSNSルールのプリントとはつぎのようなものとのことです。

SNS練馬区ルール2
SNS練馬区ルール1
・令和元年度第2回練馬区いじめ等対応支援チーム【教育指導課】(令和2年1月15日)|練馬区
・【資料7】「SNS練馬区ルール~自分も相手も守る10の決意~」リーフレット(案)(PDF)|練馬区

この練馬区教育委員会「SNS練馬区ルール」の資料によると、たしかに練馬区教育委員会が区内の学校に対して、親子に家庭のSNSルールを話し合わせ、作成させて提出を求める「SNS練馬区ルール~自分と相手を守る10の決意~」とのプリントの、「我が家のSNSルール 簡易作成シート」の上から4番目には、たしかに「SNSのパスワードは__です。このパスワードは(  (例)家族で)共有します。」との記入欄があります。

これは冒頭の親の方のお怒りもごもっともとしかいいようがありません。

2.情報セキュリティの観点から
たしかに近年、SNSを子どもが利用して、いわゆる「出会い系」などの犯罪にあってしまったり、いじめ被害を受けることなどが大きな社会問題となっています。

そのため、内閣府サイトをみると、内閣府の「子供・若者育成支援」部門の「青少年有害環境対策」担当は、「ネットの危険から子どもを守るために」との施策のサイトのなかで、「子供たちが安全に安心してインターネットを利用できるように家庭でのルール作りの例、フィルタリングの概要、改正青少年インターネット環境整備法等について紹介します」との「保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」」との資料のPDFファイルを公開しています。

この内閣府「保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」」のリーフレットの2ページ目はつぎのようになっています。

内閣府リーフレット
(内閣府サイトより)
・ネットの危険から子供を守るために > 保護者の皆さまへ|内閣府

そのため、小学校・中学校などで、子どもをSNSやネットの犯罪やいじめ被害などから守るために、親子でそれぞれの家庭内のSNS利用のルールを話し合い、そのルールを作成するという政策はたしかに内閣府などが実施しているようです。

しかし、この内閣府のリーフレットにも、親子で話し合った家庭のSNSルールをプリントに書いて学校や教育員会に提出せよとは一言もかかれていません。また、この内閣府のリーフレットの2ページ目の一番下の「STEP4 レベルアップ期」の右側のチェック項目には、「他人にIDやパスワードは絶対に教えません。」と明記されています。

内閣府リーフレット2

むしろ内閣府のこのリーフレットは、3ページ目で、携帯電話各社が用意している、フィルタリングの活用を奨励しています。
内閣府フィルタリング


この点、経産省の傘下組織で、民間企業などに対する情報セキュリティのガイドラインの作成や、情報セキュリティに関する国家資格の運営などを行っている、IPA(独立行政法人 情報処理推進機構)のウェブサイトの「情報セキュリティ」に関するページの「個人の方」の中の「3つのセキュリティポイント」は、「ポイント2:パスワードは絶対に他人に教えない」としています。また、IPAサイトの「今パスワードが危ない!ちょこっとプラス パスワード あなたは大丈夫?」との解説ページも、「他人に一度でもパスワードを教えたことがある」パスワードは危険であるとしています。

IPAパスワード
(IPAサイトより)
・3つのセキュリティポイント|IPA
・チョコっとプラスパスワード|IPA

このように内閣府やIPAのサイトなどをみてみると、練馬区の教育委員会が、親子に家庭でSNSの利用のルールを話し合わせることは内閣府などの政策に合致していると思われますが、しかし親子で話し合った家庭のSNSルールをプリントに書いて学校や教育委員会に提出させることは、内閣府のサイトにも記述がなく、むしろ親の子どもに対する教育やしつけに関する自己決定権(憲法13条)や親や子どものプライバシー権(憲法13条)を侵害する、練馬区という公権力による個人や家庭への不当な介入のおそれがあるのではないでしょうか。

また、練馬区は「SNS練馬区ルール」において、親と子どもが家庭のSNSルールを話し合った結果をプリントに書いて提出させる際に、SNSのパスワードを記載して学校に提出すること、そしてSNSのパスワードは家族で共有することを要求していますが、これは上でみた内閣府やIPAのサイトやガイドラインなどに明らかに違反しています。

情報セキュリティ保護の観点からは、子どもであっても「IDやパスワードは絶対に他人に教えない」べきであり、また家族であってもSNSのパスワードを安易に共有すべきではないのではないでしょうか。

このように、学校の子どもの親と子どもに家庭のSNS利用のルールを話し合わせ、その結果をプリントに書いて学校・教育委員会に提出すること、そしてそのSNSルールのプリントにSNSのパスワードの記載をすることを要求している練馬区は、内閣府などの子ども・若者政策部門の実施していない施策を実施しており、親の子どもの家庭内の教育やしつけに関する自己決定権や、親や子どものプライバシー権(憲法13条)を侵害しているおそれがあり、また、SNSのパスワードをプリントに書いて学校・教育委員会に提出を求めていることと、家族でSNSパスワードを共有することを求めていることは、情報セキュリティの保護の観点から間違っていると思われます。

3.不正アクセス禁止法違反のおそれ?
ところで、この練馬区の問題は、どうして同区の教育委員会が、SNSルールのプリントに、家庭のSNSルール(これも問題がありますが)だけでなく、SNSのパスワードを記入して学校・教育委員会に提出することを求めているのかが気になります。

この点、1999年に制定された不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)は、大まかにいうと、ネットワークを通じて、他人のIDやパスワードなどの識別符号を不正に入力して他人になりすましてコンピュータを利用できる状態にする行為や、コンピュータの弱点(セキュリティホール)を突いて不正にアクセスし、他人のコンピュータを利用できる状態にする行為(不正アクセス行為)を禁止しています(法2条4項1号~3号)。(西田典之・橋爪隆補訂『刑法各論 第7版』145頁)

そして、2012年(平成24年)の法改正で、IDやパスワードなどの識別符号を不正に取得する行為や、いわゆるフィッシング行為が処罰の対象になりました。つまり、不正アクセス行為の用に供する目的で、他人の識別符号を取得する行為(同法4条、12条1号)と、不正に取得された他人の識別符号を保管する行為(同法6条、12条3項)が処罰対象となりました。(西田・橋爪・前掲146頁)

したがって、ここから先は仮定の話となりますが、「SNS練馬区ルール」に関して、もし練馬区の教育委員会が、生徒・子どものSNSのパスワードを、生徒・子どものSNSなどにおける書き込みや人間関係などを確認や把握する等のために、教育委員会の職員などが、生徒・子どもに「なりすまし」て、生徒・子どもにかわってSNSにアクセスするためにSNSのパスワードをプリントに記入して提出することを求めているとしたら、それは「不正アクセス行為」のために「他人の識別符号を取得する行為」や「不正に取得された他人の識別符号を保管する行為」に該当するため、不正アクセス禁止法違反であり、処罰の対象となります。

そのため、一体何のために練馬区教育委員会が、生徒等のSNSのパスワードの提供を求めていたのかが問題となります。

警察庁は本年5月に、SNSをAI捜査するシステムの導入を公表するなど、警察庁・警視庁はサイバー犯罪への対応を強化していますが、警視庁などは練馬区教育員会などに事情を聞くなど、取り調べる必要はないのでしょうか。

(関連記事)
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査

4.親や子どもの自己決定権やプライバシー権など憲法の基本的人権の観点から
この練馬区の問題で連想されるのは、2020年3月に成立し、同年4月から施行された香川県ゲーム条例です(香川県ネット・ゲーム依存症対策条例(令和2年香川県条例第24号))。

同条例18条2項は、「子どものネット・ゲーム依存症につながるようなコンピュータゲームの利用に当たっては、1日当たりの利用時間が60分まで(学校等の休業日にあっては、90分まで)の時間を上限とすること」や、「スマートフォン等の使用(略)に当たっては、義務教育終了前の子どもについては午後9時までに、それ以外の子どもについては午後10時までに使用をやめること」などを保護者に努力義務として課しています。

このような努力義務とはいえ厳しい基準の規定が、戦前のような国家主義・全体主義ではなく、自由な民主主義を定める現行憲法下の日本において、公権力による家庭への不当な介入ではないのか、そもそも「ネット・ゲーム依存症」というものが医学的・科学的に正しいものなのか、などが大きな社会的注目を集めました。

そしてこの香川県ゲーム条例に対しては、①親の子どものしつけや教育などの自己決定権(憲法13条)やプライバシー権の侵害(憲法13条)であること、②子ども自身が1日どのくらいゲームをするか自己決定するという自己決定権の侵害や、子どものゲームをする権利(憲法13条の定める幸福追求権から導き出される新しい人権)や子どものプライバシー権の侵害、③そして政府が「ネット・ゲーム依存症」を公式に認めておらず、国会がゲーム規制法を制定していない現状で、香川県が「ネット・ゲーム依存症」の防止と称して、子どものゲームやスマホの利用を規制する条例を制定することが、自治体は「法律の範囲内で条例を制定することができる」と規定している憲法94条違反であるとして、現在、高松地裁で訴訟が行われているところです。
・「ゲーム条例は憲法違反で人権侵害」高校生と母親が香川県を提訴へ|KSB瀬戸内海放送ニュース

(関連記事)
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・香川県ネット・ゲーム依存症対策条例素案を法的に考えた-自己決定権・条例の限界・憲法94条・ゲーム規制条例

この香川県ゲーム条例訴訟の行方も大いに気になりますが、練馬区のこの「SNS練馬区ルール」の取組も、子どもをネットやSNSの弊害から守るためと称して、練馬区という自治体が、情報セキュリティの知識もあいまいなままネットやSNSを「悪者」として、憲法や法令、子どもや親の自己決定権やプライバシー権(憲法13条)などを軽視して暴走し、違法・不当に公権力たる練馬区が家庭に介入しているといえるのではないでしょうか。

5.まとめ
練馬区は情報セキュリティの知識や、憲法、不正アクセス禁止法などの条文などを再確認し、自治体・教育委員会や学校が子どもや家庭に対して行うことができることと、できないことの再確認を実施する必要があるのではないでしょうか。公権力の個人や家庭への違法・不当な介入は、個人の尊重と基本的人権の確立を国家の目的(憲法11条、97条)とする民主主義・近代立憲主義の現行憲法が固く戒めるところです。

■追記(2021年12月4日)
12月3日付の弁護士ドットコムニュースが、この練馬区のSNSルールの件を取り上げました。
・生徒に「SNSのパスワード」を提出させる…練馬区の中学校でミス、教育委員会が謝罪|弁護士ドットコムニュース

この記事によると、練馬区教育委員会内でも生徒のパスワードを記入させたプリントを学校に提出させることは問題があるとの意見があったため、パスワードの欄は記入しないでプリントを提出するよう学校に指示したところ、ある中学校がそれを失念し、パスワードを記入したプリントを受け取ってしまったとのことです。そして、誤って収集してしまったパスワードは276人分のものだったとのことです。

この点、練馬区個人情報保護条例7条(適正取得の原則)は、練馬区の行政機関に対して『実施機関は、個人情報を収集するときは、(略)利用する業務の目的を明確にし、その業務の目的の達成に必要な最小限の範囲内で、適法かつ公正な手段によって本人から直接収集しなければならない。』と規定しています。

練馬区個人情報保護条例7条
(練馬区個人情報保護条例7条。練馬区サイトより)

つまり、同条例7条は、練馬区の行政機関が個人情報を収集する場合は、その利用目的を明確に定め、その利用目的の達成に必要な最小限の範囲内で個人情報の収集をすることを定めているため、今回の事件では、練馬区教育委員会はそもそもその業務のために必要でない生徒のパスワードという個人情報を収集してしまっているので、同条例7条違反であると思われます。

なお、弁護士ドットコムニュースの記事によると、練馬区教育委員会は、「提出された生徒のリーフレットは、学校の「鍵のかかる場所」で保管し、各家庭に直接返却をおこなっているため、パスワードの漏洩は発生していないとしている。」と説明しているとのことですが、SNSのパスワードを学校に提出してしまった276人の生徒とその親に対しては、練馬区教育委員会と中学校は、情報セキュリティの観点から、SNSのパスワードの変更を実施するよう要請すべきであると思われます。

■追記(2021年12月10日)
12月10日付の朝日新聞の記事がこの事件を取り上げていました。
・(フカボリ)子のSNSパスワード、知るべきか 東京・練馬「家族で共有」記入させ提出…謝罪|朝日新聞

しかしこの朝日新聞の記事は、つぎの兵庫県立大学准教授竹内和雄氏(教職)のコメントにあるように、「子どもが中学生までは親がSNSのパスワードなども含めて管理すべきだ」という、かなり保守的というか、まるで昭和時代の「PTAの教育ママ」ようなトーンのようです。

■中学生までは、ルール設け関与を
兵庫県立大学准教授の竹内和雄氏(教職)のコメント
 子どものスマホ利用の問題に詳しい竹内和雄・兵庫県立大准教授は「子どものSNS利用をパスワードを含め保護者が管理するように学校が促すことは必要」とし、区教委に理解を示す。

 犯罪に巻き込まれる恐れのほか、子ども自身が不適切な内容を投稿して将来の就職活動などで不利益を被るケースも理由に挙げる。「中学生の頃までは、パスワードも含めてSNS利用は保護者が積極的に関与する必要がある。ただ、親子でよく話し合いルールを定め、子どもの納得感も得られるのが望ましい」と話す。

 たとえば、普段はLINEの投稿内容をチェックしないが、帰宅時間が遅いなど保護者が危険を感じた際はチェックすることもある、といったルールを決めておくことを提案する。
(「(フカボリ)子のSNSパスワード、知るべきか 東京・練馬「家族で共有」記入させ提出…謝罪」2021年12月10日付朝日新聞より)

たしかに家族法上、親には子どもに対して、子どもの福祉のために、監護権、教育権、財産管理権などの親権(民法820条)を持っています。この親権は、かつては親(父)が子を権力的に支配する権利で、子はそれに服従するべきだと考えられてきたところ、20世紀以降、子どもを権利の主体と正面から認めて、親権は子どもの利益、子どもの福祉を守る面が重視され、親権は子の利益を守る親の義務と考えられるようになってきたとされています(二宮周平『家族法 第4版』207頁)。

さらに1989年に国連で採択され日本も批准している「子どもの権利条約」は、子どもの利益を守るといっても、それは子どもが未熟、未発達だから保護するのではなく、子ども自身に発達し成長する権利があり、親や国はそれを援助する義務があるとする考え方を採っています(二宮・前掲207頁)。

そして、子どもも国民の一人である以上、プライバシー権や自己決定権(憲法13条)や、SNSやスマホなどで情報を発信したり受信したりする表現の自由(同21条1項)、通信の秘密(同21条2項)などの基本的人権を有しています。

子どもの権利条約も、第16条1項は「いかなる児童も、その私生活、家族、住居若しくは通信に対して恣意的に若しくは不法に干渉され又は名誉及び信用を不法に攻撃されない。」と子どものプライバシー権や通信の秘密などを規定し、それらの人権が恣意的または不法に干渉される等してはならないと規定しています。

また同13条1項は「児童は、表現の自由についての権利を有する。この権利には、口頭、手書き若しくは印刷、芸術の形態又は自ら選択する他の方法により、国境とのかかわりなく、あらゆる種類の情報及び考えを求め、受け及び伝える自由を含む。」と、子どもの表現の自由や、「情報および考えを求め、受けおよび伝える自由」などの人権を有していると規定しており、同2項は、これらの子どもの人権は、「(a)他の者の権利又は信用の尊重」「(b)国の安全、公の秩序又は公衆の健康若しくは道徳の保護」の目的のためのみに「法律」を根拠として規制が許されると規定しいます。

そのため、子どもの安全や健康などを守るために、親が子どものSNSなどに関与することが許容されるとしても、それは子どものプライバシー権、表現の自由、通信の秘密などの基本的人権への制約である以上、パターナリスティックな制約であり、子どもの個別の発達段階に応じてできるだけ抑制的な必要最低限の関与や制約が求められると思われます。

民事上、ある個人が何か物を買ったりするための前提となる意思能力(自己の行為の結果を弁識するに足りるだけの精神能力)はおおむね14歳、15歳から認められるが個別具体的な判断が必要とされます。また、刑事上、犯罪の刑事責任を問われる刑事責任能力については、刑法が14歳未満は処罰しないと規定しています(刑法41条)。さらに、家族法関係では、家事事件手続法169条1項1号などが、親の親権停止や親権喪失の審判などにおいて、15歳以上の子どもの意見を聴取しなければならないと規定しています。

このように、それぞれの法律ごとに趣旨・目的が異なるため、ばらつきはあるものの、おおむね14歳、15歳であれば子どもであってもその意思や意見を成人と同様に扱うと民法、刑法、家族法などは規定しており、裁判例はとくに意思能力について、子どもごとの個別具体的な判断が必要であるとしています。

したがって、上の朝日新聞の記事の竹内和雄・兵庫県立大学准教授のコメントの、「中学生まではパスワードを含めた親の関与が必要」としている点は、小学生くらいまでならともかく、14歳、15歳の中学生の子どもに対して一律にパスワードなどを親が知っているべきとすることは、子どものプライバシー権や通信の秘密などへの介入・規制として、やや強すぎるのではないかと思われます。

また、竹内准教授のコメントは、「普段はLINEの投稿内容をチェックしないが、帰宅時間が遅いなど保護者が危険を感じた際はチェックすることもある、といったルールを決めておく」としていることは、LINEは通常は、「5ちゃんねる」やFacebookやTwitterなどの比較的多数の人間とのやり取りをするSNSではなく、1対1などの関係のやり取りをするSNSであることを考えると、その秘匿性・私事性はより高いと思われ、これは1対1の電子メールや、鍵のかかった家具に保存している日記などを、本人以外の者がそのPCのパスワードで起動したり家具の鍵を開けて、閲覧するようなものであり、プライバシー権や通信の秘密との関係でやや「やりすぎ」、「親の過剰な介入」なのではないでしょうか。

中学生の子どもに対して、パスワードを親と共有したり、場合によっては中学生の子どものLINEを親が閲覧すること等の強硬手段に出る前に、まずは内閣府の保護者向け資料が奨励するように、携帯キャリア各社が用意しているスマホのフィルタリングなどを活用すべきなのではないでしょうか。


上でもみた内閣府の「保護者向け普及啓発リーフレット「ネットの危険から子供を守るために」」 2頁目「家庭のルールを考えましょう」も、子どもの年齢や発達段階に応じて4段階に分けて、「家族のルール」の例を示していますが、おそらく小学生が対象であろう一番最初の「初めてのインターネット期」から一番最後の「SNSレベルアップ期」すべての例示をみても、「親が子どもとパスワードを共有する」であるとか、「親が危険と感じたら、本人の同意なしに、子のパスワードを使用して子どものLINEなどのSNSのなかのメッセージなどを閲覧してよい」とは記載されていません。むしろ「SNSレベルアップ期」には、「他人にIDやパスワードは絶対に教えません。」との例が明示されています。そしてこの内閣府の保護者向け資料は3ページ目で、携帯キャリア各社が用意しているスマホのフィルタリングなどを活用することを奨励しています。
内閣府リーフレット
(内閣府サイトより)
・ネットの危険から子供を守るために > 保護者の皆さまへ|内閣府

竹内准教授のご本人のウェブサイトを拝見すると、竹内氏は中学校で約20年間教師を勤めたあとに2012年から学者となったと記されておりご年齢から、ITや情報セキュリティ、憲法の基本的人権や、教育法、家族法や子どもの権利条約などに関する最近の状況にあまりお詳しくない可能性があるのではないでしょうか。

上でもみたとおり、親の親権は、19世紀ごろまでは親の子どもの支配権であったものが、現在では、子どもを権利の主体として、子どもの発達や成長を親や国・自治体などが援助することと考えられています。そのため、子どものSNSなどの利用に対して親や学校などが関与・介入することがパターナリズムとして許容されるとしても、それが、親や学校が子どものSNSやパスワードなどの子どもの表現の自由、通信の秘密やプライバシーなどを支配・管理するものであっては本末転倒なのではないでしょうか。

少なくとも練馬区の事件のように、教育委員会や中学校が親と子どもにSNSのパスワードの提出を求めるであるとか、親と子どもでSNSのパスワードを共有すること要求すること等は、情報セキュリティや個人情報保護法、憲法や家族法などの観点から、完全に違法・不当な行為であると思われます。

なお、朝日新聞をはじめ最近のマスメディアの多くは、時事問題の報道において、社会学者やフェミニスト、人文系の学者の先生方にコメントを求めることが非常に多くなっている一方で、法律学者などに対して取材して報道する記事が非常に少なくなっていると、読者として個人的に感じています。社会学や人文学も重要ですが、法律学も社会の問題を考える上で重要な学問分野です。

朝日新聞などのマスメディアは、この練馬区の事件のように、教育学だけでなく、情報セキュリティや個人情報保護法、情報法、憲法や家族法などが関係する問題に関しては、教育学の専門家にコメントを求めるだけでなく、法律学などの専門家にもコメントを求めるべきではないでしょうか。

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』145頁
・二宮周平『家族法 第4版』207頁
・荒牧重人・西原博史など『新基本法コンメンタール 教育関係法』408頁、410頁

この記事が面白かったら、ブックマークやいいね等をお願いします!



























タグ :
#練馬区
#SNSルール
#パスワード
#学校
#security
#privacy
#自己決定権
#不正アクセス禁止法
#SNS練馬区ルール
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.台湾の政府要人のLINEアカウントがハッキング攻撃を受ける
台湾政府要人がイスラエル企業のマルウェア・スパイウェア「Pegasus」(ペガサス)により通信アプリLINEのアカウントにハッキング攻撃を受けていた事件が報道されています。「Pegasus」は、標的のスマートフォンなどのデータへのアクセスや、スマホのカメラやマイクの機能を強制的にオンにして情報を収集するとされています。

それらの報道のなかで、7月29日付の産経新聞「スパイウエア取り締まり困難 政府要人は自衛を」という記事が、神戸大学森井昌克教授(電気通信工学)の「こうした監視ツールは昔からある。法的に禁止することは難しい」等のコメントを掲載していますが、この森井教授のコメントにはネット上でさまざまな疑問の声が寄せられています。またこの産経新聞記事は、「スパイウエアは…国際社会でも使用を禁止する動きはない。」としている点もよくわかりません。
・スパイウエア取り締まり困難 政府要人は自衛を|産経新聞

2.不正指令電磁的記録作成罪(ウイルス作成罪)
神戸大学の森井教授は「法的に禁止することは難しい」とコメントを寄せれおられますが、しかし、2011年(平成23年)にはわが国の国会では、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定され、コンピュータ・ウイルスに関する罪の不正指令電磁的記録作成等罪(いわゆるウイルス作成罪)が刑法に新設されました(刑法168条の2、168条の3)。

刑法
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

つまり、新設された不正指令電磁的記録作成等の罪である刑法168条の2第1項1号は、コンピュータやスマホなどのユーザーに対して「正当な理由がないのに」「意図に反する動作」をさせる「不正な指令」を与えるプログラムを作成したり提供したり、他人のコンピュータ等で実行させることを犯罪として3年以下の懲役または50万円以下の罰金という罰則の対象としています。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、この「意図」について、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断する」としており、スマホ内のデータへアクセスし、またスマホのカメラやマイクの機能を強制的にオンにしてデータを収集する「Pegasus」などのスパイウェアの挙動は「意図に反する動作」に該当します。

また、法務省の同文書は、「不正な指令」について、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断する」とし、例えばコンピュータのストレージのデータを消去するためのプログラムがストレージ内のデータを消去することは「不正な指令」に該当しないが、例えば官庁の通知・通達などの文書ファイルを偽装した実はストレージ内のデータを消去させるファイル等は「不正な指令」に該当するとしています。そのため、「Pegasus」などのスパイウェアは社会的許容性もなく「不正な指令」に該当します。

さらに、「正当な理由がないのに」とは、例えばウイルス対策ソフトの研究開発のためにウイルス対策ソフト会社がコンピュータウイルスを作成などする行為に本罪が成立しないことを明確化するために国会審議で追加されたものです(西田典之・橋爪隆補訂『刑法各論 第7版』412頁)。「Pegasus」などのスパイウェアが一般人や政府要人のスマホ等に導入され動作することはこれに該当しないので、「Pegasus」などは「正当な理由がないのに」に該当します。

したがって、「Pegasus」などのスパイウェアについては、もしこれが日本の一般国民や政府要人などのスマホ等にインストールされ動作した場合、不正指令電磁的記録作成等の罪が成立するといえるので、「法的に禁止することは難しい」としている森井教授や産経新聞は正しくないと考えられます。

そもそもこの不正指令電磁的記録作成等の罪・ウイルス作成罪などは、2004年に日米欧など約50か国が批准し成立したサイバー犯罪条約への対応として制定されたものです。日本だけでなく、例えばイギリスでは「コンピュータ不正利用法」の3A条にウイルス作成罪が設けられ、イタリアの刑法615条の5もウイルスに関する罪を規定しています。さらにロシア中国などの刑法にもウイルス罪の規定は設けられています(財団法人社会安全研究財団「諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書」(平成23年10月)5頁より)。
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団

また、ドイツでは最近、国や州が疑わしい国民のパソコンやスマホなどにスパイウェアを導入して監視を行うための法律案が準備中であるそうですが、同様の内容の法律が2008年にドイツ連邦憲法裁判所で国民の「コンピュータ基本権」という「新しい人権」に抵触する違憲なものであり無効とする判決(オンライン監視事件・2008年2月27日連邦裁判所第一法定判決 BVerfGE 120.274.Urteil v.27.2.2008)が出されたことは、このブログでも取り上げたとおりです。
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権-なか2656のblog

そのため、「スパイウエアは(略)、国際社会でも使用を禁止する動きはない。」としている産経新聞記事のこの部分も正しくありません

3.個人情報保護法から
さらに、この産経新聞記事は、森井教授の「(スパイウェアを)法的に禁止することは難しい」というコメントの理由として、「個人情報を監視するソフトの定義が明確でないのが一因。もし、利用者のデータ収集を禁じれば、ネット通販交流サイト(SNS)などのアプリも規制を受けることになってしまうからだ。」と記述しています。

この説明が、森井教授か産経新聞記者のどちらの見解なのかは不明ですが、しかし、SNSやネット通販サイトなどは、一応は、個人情報保護法に基づき、それぞれの運営会社において、プライバシーポリシーで個人データの利用目的や個人データの第三者提供先、委託先、個人データの開示・訂正・削除・利用停止などの手続きなどを規定し、会社サイトなどで公表するなどして、個人情報・個人データの収集・管理などが(一応は)法律に則り実施されているのが一般的です。

したがって、「もし、利用者のデータ収集を禁じれば、ネット通販やSNSなどのアプリも規制を受けることになってしまう」ので「スパイウェアなどを法的に禁止できない」という説明は無茶苦茶であり、この点は個人情報保護法からもまったく正しくありません

4.まとめ
このように、この産経新聞の記事は、刑法や個人情報保護法などの観点から正しくない点が多く存在します。産経新聞は多くの国民が記事などを読むマスメディアなのですから、スパイウェアなどについて報道するにあたり、もう少し刑法や個人情報保護法、情報法などに関する法的知識情報リテラシーを持った上で取材や報道を行うべきではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁の事務方トップに伊藤穣一氏とのニュースを考えた
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団
・イスラエル企業開発のスパイウェア 世界中の記者や活動家を監視か|NewsWeek
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記















タグ :
#産経新聞
#森井昌克
#スパイウェア
#Pegasus
#LINE
#不正指令電磁的記録罪
#ウイルス作成罪
#個人情報
#security
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

news_shinbunshi
1.京アニ放火事件の犯人を治療した医師のインタビュー記事
2019年7月18日に京都アニメーションの放火事件が起きました。これを受けて、7月17日の朝日新聞は、京アニ放火事件の犯人である青葉真司・被告人の治療を行った医師の上田敬博氏のインタビュー記事を掲載しています。
・手術12回で救った主治医 京アニ事件、被告が流した涙|朝日新聞

この記事を読むと、上田医師が朝日新聞の取材に対して、犯人の病状や手術や治療の内容、治療時の患者である犯人の発言の内容などをかなり詳しくインタビューで答えていることが気になります。刑法は医師の秘密漏示罪(刑法134条)を規定し、個人情報保護法も個人情報について、本人の同意のない目的外利用や第三者提供を禁止していますが(個人情報保護法16条、23条)、刑法や個人情報保護法などの関係で、上田医師がマスメディアの取材に回答を行っていることが妥当なのか気になります。

2.医師の守秘義務・秘密漏示罪
医師などの医療関係者には職業倫理として患者のプライバシーについて守秘義務があるだけでなく、刑法は、医師や薬剤師などに対して、「正当な理由」がないのに、その業務上知り得た人の秘密を漏らしてはならないと秘密漏示罪を規定し、刑法上の守秘義務を課しています。

刑法
(秘密漏示)
第134条 医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。

対象となる「秘密」については、「一般に知られていない非公知の事実」なので、患者の病状、病歴、治療の内容、患者の氏名・住所・家族の情報、職業、処方箋の内容など、カルテや処方箋などに書かれる情報など医師が業務上取扱った患者の情報すべてが対象となります。

「正当な理由」がないのに患者の秘密を洩らしたことが秘密漏示罪となるので、①法令に規定がある場合(例えば、伝染病予防法3条により医師が保健所等に患者を届け出る場合)、②他人の利益を保護するために本人の秘密を漏示した場合は比較考量により他人の利益が上回る場合、③本人が承諾した場合などは「正当な理由」があるとされ、違法性が阻却されるので本罪は成立しないとされています(大塚仁『刑法概説(各論)第3版補訂版』128頁)。

この点、医師などの守秘義務を負う者の守秘義務(秘密漏示罪)と、医師などに取材を行い報道をするマスメディアの取材の自由、報道の自由との関係が問題となります。

「報道機関の報道は、民主主義社会において、国民が国政に関与するにつき、重要な判断の資料を提供し、国民の「知る権利」に奉仕するもの」(最高裁昭和44年11月26日・博多駅テレビフィルム提出命令事件)であるので、国民が民主主義の政治に参加するための判断の資料を提供する、つまり国民の「知る権利」に奉仕する重要な機能を持っているので、表現の自由(憲法21条1項)の保障のもとにあるとされています。

また、外務省秘密電文漏洩事件において最高裁は、「報道機関が公務員に対し秘密を漏示するようにそそのかしたからといって、直ちに当該行為の違法性が推定されるものではなく、それが真に報道の目的からでたものであり、その手段・方法が法秩序全体の精神に照らし相当なものとして社会観念上是認されるものである限りは、実質的に違法性を欠き正当な業務行為である。」と判示しています(最高裁昭和53年5月31日判決)。

つまり、最高裁は、「真に報道目的」であり、取材や報道の手段・方法が社会通念に照らして相当であれば、取材・報道の対象者と取材・報道をしたマスメディアについては正当業務行為(刑法35条)として違法性が阻却されるとしています(西田典之『刑法各論 第7版』118頁)。

3.医師のインタビュー記事を考える
今回の京アニ放火事件の犯人の治療にあたった医師の新聞社のインタビュー記事は、京アニ放火事件が、国内外から人気の高いアニメスタジオの建物に対して精神疾患を有する犯人がガソリンを放って放火を行い、36人もの死者・35人の負傷者が出たという、非常に社会的に注目される重大な事件であることから、日本における建物の防災・防犯や精神疾患を有する者への死刑制度のあり方などを考える上で重要な資料であり、マスメディアがこの事件を取材し報道を行うことは、「報道目的」があることは間違いないように思われます。

しかし、それが視聴率稼ぎのための、バラエティー番組やワイドショー的なイエロージャーナリズム的なものが目的であった場合にはそれが「真の報道目的」に該当するかは疑問の余地があります。

今回の朝日新聞の上田医師へのインタビュー記事を読むと、「重大な犯罪を侵した犯人に対しても治療を行う医師の姿」や、「犯人に命の大切さを知ってほしいと願う医師の姿」など、「人間の生命や健康」の重要性を報道することがこの記事の意図であると思われます。

この記事の意図は報道として一般論としては重要とは思われますが、しかし、その記事の意図を表現するために、犯人の治療を行った医師にインタビューを行い、当該犯人の火傷の状況や、手術が12回におよんだこと、患部の皮膚を再生させるための治療の内容、治療の際に犯人が発言した発言内容などを詳細に、職業倫理や刑法が守秘義務を定める医師に質問し回答を得ているこのインタビュー記事の手段・方法は社会通念に照らして相当であるといえるかは疑問が残ります。

4.リアルな報道・「実名報道」
この京アニ放火事件に関しては、新聞社・TV局などマスメディアが「実名報道」にこだわり、遺族の方の多くの反対や、多くの国民のネット上などにおける反対にもかかわらず、マスメディアが被害者の死者・負傷者の実名を報道したことも大きな社会問題となりました。

この点、マスメディア側は、「重大な事件の重みを社会に伝えるため」には被害者等の実名報道がどうしても必要であると主張しています。

しかし、やや分野は違いますが、モデル小説の作家の表現の自由とモデルとされた者の名誉権やプライバシー権との関係が問題となった「石に泳ぐ魚」事件において、最高裁は「本件小説の出版等がされれば、被上告人(=モデルとされた人物)の精神的苦痛が倍加され、被上告人が平穏な日常生活や社会生活を送ることが困難となるおそれがある。そして,本件小説を読む者が新たに加わるごとに、被上告人の精神的苦痛が増加し、被上告人の平穏な日常生活が害される可能性も増大する」として、このモデル小説の出版等の差止と慰謝料の支払いを命じています。

このようにモデル小説の「石に泳ぐ魚」事件において、「文学」という芸術に関する表現行為においても、モデルとなった人物本人を特定できるように、モデル本人の顔の腫瘍などをリアルに赤裸々に詳細な表現を行うことは違法であると日本の最高裁は判断していますが、同じ表現行為であるマスメディアの報道・取材においても、事件に巻き込まれた被害者の方々・遺族の方々に関して執拗な取材を行い、被害者の実名報道を行うことや、また、守秘義務を負っている医師に詳細なインタビューを実施し、その内容を詳細に報道することは、仮に裁判となった場合、裁判所に違法と評価される可能性があるのではないでしょうか。

マスメディアにとって、「重大な犯罪の重みを社会に伝えること」が仮に重要な使命であるとしても、マスメディアが刑法上守秘義務を負っている医師に犯人の病状などを詳細に聞き出し、れを事細かに報道することや、犯罪について被害者や遺族などに対して執拗な取材をし、実名報道やあまりにも詳細な報道を行うことは、国民の「知る権利」に奉仕するものではなく、権利の濫用ともいうべきものであって、社会的に是認されないのではないでしょうか。

5.患者の委縮
また、刑法の医師等の秘密漏示罪は、患者などの本人のプライバシー保護が保護法益とされています。しかし、医師が安易に患者の病状などをマスメディアの取材に応じて答えることは、医師や病院などの医療に対する国民・患者の信頼を大きく損ねてしまうのではないでしょうか。

つまり、病院や医師の治療が適切に行われるためには、患者が自分の病状や自分の置かれている状況などの極めてプライベートでセンシティブな事柄を正直に医師等に申告することが必要になります。 簡単な風邪などならともかく、ガンやHIV、精神疾患など、公にされれば社会的差別の対象となる傷病・疾病は現在も多く存在します。

にもかかわらず、今回の京アニ事件の医師のインタビュー記事のように、医師が安易にマスメディアに患者の病状などを詳細に話してしまい、メディアもそれを詳細に報道してしまうことは、日本社会の多くの患者に、自分の病状等を医師などに正直に申告することを躊躇させてしまうのではないでしょうか。

6.まとめ
このような点で、仮に刑法などの法的な問題を形式的にはクリアできたとしても、この京アニ事件の医師のインタビュー記事は、医師にも新聞社にもさまざまな問題があるように思われます。

■補足・個人情報保護法について
なお、個人情報保護法は、①法令に基づく場合、②人の生命・身体・財産の保護のために必要で、本人の同意を得ることが困難な場合、③公衆衛生の向上や児童の健全な発達のためで、本人の同意を得ることが困難な場合、④国などの機関の事務に協力する場合、などについては、本人の同意なしに個人情報の目的外利用や第三者提供を認めていますが、この京アニ放火事件の犯人に関する医師のインタビュー記事は、この①から④のいずれにも該当しません(法16条3項、23条1項)。

また、患者の病歴・カルテ情報・処方箋情報などの医療情報は、要配慮個人情報として、とりわけ慎重な収集・利用・提供が要求されるセンシティブな個人情報です(法2条3項、17条2項、23条2項かっこ書)。

さらに、報道機関などは報道の目的のためには個人情報取扱事業者としての義務が適用されないことになっていますが、しかし個人情報に関する安全管理措置を講じること、透明性を確保すること、苦情に対応すること等の個人情報保護法上の責務を自ら講じることが求められています(法76条)。













このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ