なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:ウイルス作成罪

LINE
1.台湾の政府要人のLINEアカウントがハッキング攻撃を受ける
台湾政府要人がイスラエル企業のマルウェア・スパイウェア「Pegasus」(ペガサス)により通信アプリLINEのアカウントにハッキング攻撃を受けていた事件が報道されています。「Pegasus」は、標的のスマートフォンなどのデータへのアクセスや、スマホのカメラやマイクの機能を強制的にオンにして情報を収集するとされています。

それらの報道のなかで、7月29日付の産経新聞「スパイウエア取り締まり困難 政府要人は自衛を」という記事が、神戸大学森井昌克教授(電気通信工学)の「こうした監視ツールは昔からある。法的に禁止することは難しい」等のコメントを掲載していますが、この森井教授のコメントにはネット上でさまざまな疑問の声が寄せられています。またこの産経新聞記事は、「スパイウエアは…国際社会でも使用を禁止する動きはない。」としている点もよくわかりません。
・スパイウエア取り締まり困難 政府要人は自衛を|産経新聞

2.不正指令電磁的記録作成罪(ウイルス作成罪)
神戸大学の森井教授は「法的に禁止することは難しい」とコメントを寄せれおられますが、しかし、2011年(平成23年)にはわが国の国会では、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定され、コンピュータ・ウイルスに関する罪の不正指令電磁的記録作成等罪(いわゆるウイルス作成罪)が刑法に新設されました(刑法168条の2、168条の3)。

刑法
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

つまり、新設された不正指令電磁的記録作成等の罪である刑法168条の2第1項1号は、コンピュータやスマホなどのユーザーに対して「正当な理由がないのに」「意図に反する動作」をさせる「不正な指令」を与えるプログラムを作成したり提供したり、他人のコンピュータ等で実行させることを犯罪として3年以下の懲役または50万円以下の罰金という罰則の対象としています。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、この「意図」について、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断する」としており、スマホ内のデータへアクセスし、またスマホのカメラやマイクの機能を強制的にオンにしてデータを収集する「Pegasus」などのスパイウェアの挙動は「意図に反する動作」に該当します。

また、法務省の同文書は、「不正な指令」について、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断する」とし、例えばコンピュータのストレージのデータを消去するためのプログラムがストレージ内のデータを消去することは「不正な指令」に該当しないが、例えば官庁の通知・通達などの文書ファイルを偽装した実はストレージ内のデータを消去させるファイル等は「不正な指令」に該当するとしています。そのため、「Pegasus」などのスパイウェアは社会的許容性もなく「不正な指令」に該当します。

さらに、「正当な理由がないのに」とは、例えばウイルス対策ソフトの研究開発のためにウイルス対策ソフト会社がコンピュータウイルスを作成などする行為に本罪が成立しないことを明確化するために国会審議で追加されたものです(西田典之・橋爪隆補訂『刑法各論 第7版』412頁)。「Pegasus」などのスパイウェアが一般人や政府要人のスマホ等に導入され動作することはこれに該当しないので、「Pegasus」などは「正当な理由がないのに」に該当します。

したがって、「Pegasus」などのスパイウェアについては、もしこれが日本の一般国民や政府要人などのスマホ等にインストールされ動作した場合、不正指令電磁的記録作成等の罪が成立するといえるので、「法的に禁止することは難しい」としている森井教授や産経新聞は正しくないと考えられます。

そもそもこの不正指令電磁的記録作成等の罪・ウイルス作成罪などは、2004年に日米欧など約50か国が批准し成立したサイバー犯罪条約への対応として制定されたものです。日本だけでなく、例えばイギリスでは「コンピュータ不正利用法」の3A条にウイルス作成罪が設けられ、イタリアの刑法615条の5もウイルスに関する罪を規定しています。さらにロシア中国などの刑法にもウイルス罪の規定は設けられています(財団法人社会安全研究財団「諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書」(平成23年10月)5頁より)。
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団

また、ドイツでは最近、国や州が疑わしい国民のパソコンやスマホなどにスパイウェアを導入して監視を行うための法律案が準備中であるそうですが、同様の内容の法律が2008年にドイツ連邦憲法裁判所で国民の「コンピュータ基本権」という「新しい人権」に抵触する違憲なものであり無効とする判決(オンライン監視事件・2008年2月27日連邦裁判所第一法定判決 BVerfGE 120.274.Urteil v.27.2.2008)が出されたことは、このブログでも取り上げたとおりです。
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権-なか2656のblog

そのため、「スパイウエアは(略)、国際社会でも使用を禁止する動きはない。」としている産経新聞記事のこの部分も正しくありません

3.個人情報保護法から
さらに、この産経新聞記事は、森井教授の「(スパイウェアを)法的に禁止することは難しい」というコメントの理由として、「個人情報を監視するソフトの定義が明確でないのが一因。もし、利用者のデータ収集を禁じれば、ネット通販交流サイト(SNS)などのアプリも規制を受けることになってしまうからだ。」と記述しています。

この説明が、森井教授か産経新聞記者のどちらの見解なのかは不明ですが、しかし、SNSやネット通販サイトなどは、一応は、個人情報保護法に基づき、それぞれの運営会社において、プライバシーポリシーで個人データの利用目的や個人データの第三者提供先、委託先、個人データの開示・訂正・削除・利用停止などの手続きなどを規定し、会社サイトなどで公表するなどして、個人情報・個人データの収集・管理などが(一応は)法律に則り実施されているのが一般的です。

したがって、「もし、利用者のデータ収集を禁じれば、ネット通販やSNSなどのアプリも規制を受けることになってしまう」ので「スパイウェアなどを法的に禁止できない」という説明は無茶苦茶であり、この点は個人情報保護法からもまったく正しくありません

4.まとめ
このように、この産経新聞の記事は、刑法や個人情報保護法などの観点から正しくない点が多く存在します。産経新聞は多くの国民が記事などを読むマスメディアなのですから、スパイウェアなどについて報道するにあたり、もう少し刑法や個人情報保護法、情報法などに関する法的知識情報リテラシーを持った上で取材や報道を行うべきではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁の事務方トップに伊藤穣一氏とのニュースを考えた
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団
・イスラエル企業開発のスパイウェア 世界中の記者や活動家を監視か|NewsWeek
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記















このエントリーをはてなブックマークに追加 mixiチェック

computer_desktop_document
1.はじめに
本日の新聞報道などによると、仮想通貨「モネロ」の採掘(マイニング)のために他人のパソコンを無断で作動させるプログラム「コインハイブ」(Coinhive)をウェブサイト上に保管したなどとして、不正指令電磁的記録保管罪に問われたウェブデザイナーの男性の刑事事件の判決が本日、3月27日に横浜地裁で出され、同判決は、「不正な指令を与えるプログラムに該当すると判断するには、合理的な疑いが残る」として無罪を言い渡したとのことです。(求刑罰金10万円。)これはナイスな司法判断です。

2.横浜地裁判決の概要
本日の朝日新聞によると、横浜地裁判決の判旨はおおむねつぎのようであったそうです。

『判決は、コインハイブが閲覧者の同意を得ていないことなどから、「人の意図に反する動作をさせるプログラムだ」と認定した。一方で、①閲覧者のPCに与える消費電力の増加は広告と大きく変わらない②当時、コインハイブに対する意見が分かれており、捜査当局から注意喚起や警告もなかった――などと指摘。「社会的に許容されていなかったと断定できない」として、ウイルスには当たらないと結論づけた。』
(「コインハイブ裁判 無罪の男性「一安心という気持ち」朝日新聞2019年3月27日付より)

3.不正指令電磁的記録作成等罪
今回の事件で問題となった、不正指令電磁的記録作成等罪(刑法168条の2、168条の3)は、平成23年に新設された比較的新しい罪です。

(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 (略)
(略)

(不正指令電磁的記録取得等)
第168条の3 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する

不正指令電磁的記録作成等罪が成立するためには、電子計算機(パソコン、携帯電話など)について、「意図に反する」(168条の2第1項1号)動作をさせる「不正な指令」(1項1号)を与える電磁的記録(コンピュータウイルス)を作成・提供・供用し(1項・2項)、あるいは取得・保管したこと(168条の3)が必要となります。

この点、「意図に反する」とは、当該コンピュータプログラムの機能が一般的・類型的な使用者の意図に反するものをいうとされています。

この「意図に反する」について、本横浜地裁判決は、「「コインハイブが閲覧者の同意を得ていないことなどから、「人の意図に反する動作をさせるプログラムだ」と認定した」点は、まあ常識的な判断かと思われます。

つぎに、この「不正な指令」にプログラムが該当するか否かについては、「そのプログラムの機能を考慮した場合に社会的に許容しうるものであるかという点が判断基準となる」と解されています。「たとえば、使用者のサイト閲覧の履歴から使用者の嗜好に応じたバナー広告を表示させるアドウェアなどは「不正な指令」からは除かれるが、詐欺目的のワンクリックウェアなどはこれに含まれる」とされています(西田典之『刑法各論 第7版』413頁)。

今回のコインハイブ事件は、コインハイブというプログラムが、「不正な指令」との関係で適法とされる「使用者のサイト閲覧の履歴から使用者の嗜好に応じたバナー広告を表示させるアドウェア」とどこが違うのかという点が大きな争点となりました。

この点、本横浜地裁判決は、「①閲覧者のPCに与える消費電力の増加は広告と大きく変わらない②当時、コインハイブに対する意見が分かれており、捜査当局から注意喚起や警告もなかった」と判断した上で、「「社会的に許容されていなかったと断定できない」として、ウイルスには当たらない」との無罪判決を出したことは極めて妥当な司法判断であったと思われます。

そもそも、この不正指令電磁的記録作成等罪については、構成要件の一つが「不正な指令」すなわち、「社会的に許容しうるものであるか」という非常に漠然としたものになっている点が罪刑法定主義の観点から学説より批判されています。

また、刑事法の大原則は、「疑わしきは被告人の利益に」であって、「疑わしきは警察・検察の利益に」ではありません。コインハイブの事例に関しては、警察・検察当局は、グレーな問題であるから立件して処罰してしまえという非常に前のめりなスタンスをとっています。しかしグレーな分野は大原則に立ち戻って、「疑わしきは被告人の利益に」と考えるべきです。

そして国会は今回の横浜地裁判決を受けて、不正指令電磁的記録作成等罪の構成要件の明確化などの刑法の一部改正の活動をすみやかに行うべきです。

■関連するブログ記事
・サイト等にCoinhive等の仮想通貨マイニングのプログラムを設置するとウイルス作成罪(不正指令電磁的記録作成罪)が成立するのか?
・ウェブサイトに仮想通貨のマイニングのソフトウェアやコードを埋め込む行為は犯罪か?

■参考文献
・西田典之『刑法各論 第7版』413頁
・渡邊卓也『ネットワーク犯罪と刑法理論』263頁
・鎮目征樹「サイバー犯罪」『法学教室』2018年12月号109頁


法律・法学ランキング

刑法各論 <第7版> (法律学講座双書)

このエントリーをはてなブックマークに追加 mixiチェック

警察庁
(警察庁サイトより)

5月下旬にcoinhiveなど仮想通貨マイニングのプログラムについてブログ記事を書きましたが、つい最近の新聞各紙によると、とうとう警察当局が大々的に動き出したようです。

■関連するブログ記事
・サイト等にCoinhive等の仮想通貨マイニングのプログラムを設置するとウイルス作成罪(不正指令電磁的記録作成罪)が成立するのか?

6月14日にはつぎのような報道が新聞各紙で行われました。

・違法マイニングで16人摘発 10県警、仮想通貨獲得で不正アクセス|産経新聞

記事タイトルのとおり、全国の10県警が16人の容疑者を不正指令電磁的記録作成罪の疑いで摘発したとのことです。

この問題に関して、新聞の取材に対し、産業技術総合研究所の高木浩光主任研究員は「(HPが閲覧者の)CPUを使うのは表現(方法)の一部として日ごろ行われていることだから、『意図に反する動作をさせる』に該当しない」とコメントしておられます。

・仮想通貨マイニング初立件 「不正採掘」真っ向対立 警察「PC無断使用」/弁護側「合法」|毎日新聞

ところで、6月15日には、警察庁は仮想通貨マイニング(仮想通貨マイニングツール)についてつぎのような注意喚起をサイト上で発表しています。

・仮想通貨を採掘するツール(マイニングツール)に関する注意喚起|警察庁サイバー犯罪プロジェクト

この注意喚起においては、警察当局が仮想通貨マイニングについて、とくに「自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。」と、「サイト閲覧者にマイニングツール設置を明示しているか否か」を犯罪の成立のポイントとして重視していることがうかがわれます。

したがって、今後も自身のウェブサイト等にcoinhiveなどの仮想通貨マイニングのプログラムを設置しようと考えている方は、当該ウェブサイトにはマイニングツールを設置していることを明示する必要があると思われます。

Q&A インターネットの法的論点と実務対応 第2版

基本刑法II 各論 第2版

このエントリーをはてなブックマークに追加 mixiチェック

コインハイブ

1.はじめに
最近、SNSにて、「Coinhiveはウイルス作成罪などが成立するのか?」という話題につきやや盛り上がっているため、私も少し調べてみました。

■関連するブログ記事
・サイト等にCoinhive(仮想通貨マイニングのプログラム)を設置した被疑者16名を警察がウイルス作成罪で摘発

2.Coinhiveとは
Coinhive(コインハイブ)とは、サイトの運営者がサイトの閲覧者のPC等に仮想通貨を採掘(マイニング)させその収益を受け取るサービスです(マイニングツール、仮想通貨マイニング)。

サイト運営者がCoinhiveのJavaScriptコードをサイトに埋め込むと、そのサイトを閲覧した人のPCのCPUパワーを使い、仮想通貨「Monero」を採掘し、採掘益の7割がサイト運営者に、3割がCoinhiveの運営者に分配される仕組みであるそうです。

「多くのウェブサイトには邪魔な広告が表示されている。その代替手段を提供することが我々の目的だ」とCoinhiveの運営者は同サービスの趣旨を示しているそうです(「話題のCoinhiveとは?仮想通貨の新たな可能性か、迷惑なマルウェアか」ITmedia2017年10月11日付)。

・話題の「Coinhive」とは? 仮想通貨の新たな可能性か、迷惑なマルウェアか|ITmedia

この点、トレンドマイクロは同社のサイトでCoinhiveについて、つぎのように説明しています。

「Coinhive の公式サイトによると、1 日に 10~20 人の訪問者がいる Web サイトで、1 カ月に約 0.3 XMR(2018 年 3 月 7 日時点で約 1 万 1,100 円)の利益を上げることが可能とされています。つまり、少ないリソースでも十分な発掘が期待できる Monero は、インターネット利用者のリソースを盗用して発掘を行うサイバー犯罪者たちにとって、収益可能性の高い仮想通貨の 1 つと言えます。」(「2018 年にサイバー犯罪者が狙う最大の標的は「仮想通貨の発掘」?」トレンドマイクロ)

・2018 年にサイバー犯罪者が狙う最大の標的は「仮想通貨の発掘」?|トレンドマイクロ

3.ウイルス作成罪(不正指令電磁的記録作成罪)とは
(1)ウイルス作成罪(不正指令電磁的記録作成罪)の概要
ウイルス作成罪(不正指令電磁的記録作成罪)とは、刑法の一部改正により平成23年に新設された刑罰です(刑法168条の2、168条の3)。

刑法

(不正指令電磁的記録作成等)
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。

(2)保護法益・構成要件など
不正指令電磁的記録作成等罪は、「コンピュータ・プログラムに対する社会一般の信頼」という社会的な法益を保護しようとする刑罰です。

そして、不正指令電磁的記録作成等罪の構成要件はつぎのとおりです。

①「正当な理由がないのに」
②「人の電子計算機における実行の用に供する目的で」(目的)
③「「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録その他の記録を(同条同項1号)」(客体)
④「作成し、又は提供」(行為)

(3)「正当な理由がないのに」
ここで、まずやや分かりにくいのは、①「正当な理由がないのに」ですが、法務省の立案担当者は、「「正当な理由がないのに」とは「違法に」という意味である」と解説しています。

そして具体例として、「ウイルス対策ソフトの開発・試験等を行う場合…コンピュータ・ウイルスを作成・提供することがあり得る…このような場合には、「人の電子計算機における実行の用に供する目的」が欠ける」と解説しています。

・「いわゆるコンピュータ・ウイルスに関する罪について」法務省サイト

(4)「不正な指令」
つぎに、Coinhiveと不正指令電磁的記録作成等罪との関係で一番悩ましいのは、③「「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録その他の記録を」のなかの「不正な指令」をどのように解釈すべきかです。

この点、上述の法務省の立案担当者の解説ペーパーは、「プログラムによる指令が「不正」なものに当たるか否かは、その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断することになる。不正指令電磁的記録作成等罪の処罰対象となるのは、このような意味での不正指令電子的記録であり、これに該当するか否かの判断において核となるのは、そのプログラムが使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える」か否かである。」としています。

(5)裁判例
ところで、不正指令電磁的記録作成等罪が成立するとされた裁判例をみると、①ネット上の有料アダルト動画サイトの運営者が、被害者らに利用料金の支払いを心理的に強制するために被害者のPCに女性の半裸画像を表示し続けるプログラムをダウンロードさせ実行させた事案(京都地裁平成24年7月3日)や、②被告人の掲示板に脅迫文言を書き込ませるウイルスを被害者(被告人の民事訴訟の相手方)のPCに感染させ書き込ませ虚偽の被害申告を行った事案(大阪地裁堺支部平成25年8月27日)などがある一方で、③市販のオンラインストレージ(=クラウドサービス)等を使用者の了解なくインストールして設定した事案においても不正指令電磁的記録作成等罪の成立が認められています。 (①②について、東京弁護士会『Q&Aインターネットの法的論点と実務対応』337頁、③について、浅田和茂・井田良『新基本法コンメンタール刑法 第2版』365頁)

個人的には、③の裁判例については、「その意図に反する動作をさせるべき不正な指令」に当てはまるとして、市販のドロップボックスなどのようなプログラムをインストールしたことが、「その機能を踏まえ、社会的に許容し」えないと判断されるのは疑問なものがあります。

(6)学説
学説も、「「不正」という概念が多義的であり、その判断基準が規範的に理解された意図に依存していることからすれば、これらの要件によって具体的な基準が明示されるとはいえない」と批判的です(浅田・井田・前掲365頁)

4.まとめ
このように裁判例をみると、裁判所は「不正な指令」を広範に解釈できると考えているようです。一般人からみてもこれはアウトだろと思う悪質なプログラムだけでなく、無断とはいえ市販のプログラムをインストールしただけでも不正指令電磁的記録作成等罪が成立する可能性があるようです。

そのため、サイトやブログ運営者は、Coinhiveなどの仮想通貨マイニング・マイニングツールに係わるプログラムをサイトなどに設置することには慎重であるべきと思われます。

■参考文献
・大塚裕史・十河太朗・塩谷穀・豊田兼彦『基本刑法Ⅱ各論 第2版』450頁
・浅田和茂・井田良『新基本法コンメンタール刑法 第2版』365頁
・東京弁護士会『Q&Aインターネットの法的論点と実務対応 第2版』337頁

基本刑法II 各論 第2版

Q&A インターネットの法的論点と実務対応 第2版

新基本法コンメンタール刑法[第2版] (新基本法コンメンタール(別冊法学セミナー))

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ