LINE
1.台湾の政府要人のLINEアカウントがハッキング攻撃を受ける
台湾政府要人がイスラエル企業のマルウェア・スパイウェア「Pegasus」(ペガサス)により通信アプリLINEのアカウントにハッキング攻撃を受けていた事件が報道されています。「Pegasus」は、標的のスマートフォンなどのデータへのアクセスや、スマホのカメラやマイクの機能を強制的にオンにして情報を収集するとされています。

それらの報道のなかで、7月29日付の産経新聞「スパイウエア取り締まり困難 政府要人は自衛を」という記事が、神戸大学森井昌克教授(電気通信工学)の「こうした監視ツールは昔からある。法的に禁止することは難しい」等のコメントを掲載していますが、この森井教授のコメントにはネット上でさまざまな疑問の声が寄せられています。またこの産経新聞記事は、「スパイウエアは…国際社会でも使用を禁止する動きはない。」としている点もよくわかりません。
・スパイウエア取り締まり困難 政府要人は自衛を|産経新聞

2.不正指令電磁的記録作成罪(ウイルス作成罪)
神戸大学の森井教授は「法的に禁止することは難しい」とコメントを寄せれおられますが、しかし、2011年(平成23年)にはわが国の国会では、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定され、コンピュータ・ウイルスに関する罪の不正指令電磁的記録作成等罪(いわゆるウイルス作成罪)が刑法に新設されました(刑法168条の2、168条の3)。

刑法
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

つまり、新設された不正指令電磁的記録作成等の罪である刑法168条の2第1項1号は、コンピュータやスマホなどのユーザーに対して「正当な理由がないのに」「意図に反する動作」をさせる「不正な指令」を与えるプログラムを作成したり提供したり、他人のコンピュータ等で実行させることを犯罪として3年以下の懲役または50万円以下の罰金という罰則の対象としています。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、この「意図」について、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断する」としており、スマホ内のデータへアクセスし、またスマホのカメラやマイクの機能を強制的にオンにしてデータを収集する「Pegasus」などのスパイウェアの挙動は「意図に反する動作」に該当します。

また、法務省の同文書は、「不正な指令」について、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断する」とし、例えばコンピュータのストレージのデータを消去するためのプログラムがストレージ内のデータを消去することは「不正な指令」に該当しないが、例えば官庁の通知・通達などの文書ファイルを偽装した実はストレージ内のデータを消去させるファイル等は「不正な指令」に該当するとしています。そのため、「Pegasus」などのスパイウェアは社会的許容性もなく「不正な指令」に該当します。

さらに、「正当な理由がないのに」とは、例えばウイルス対策ソフトの研究開発のためにウイルス対策ソフト会社がコンピュータウイルスを作成などする行為に本罪が成立しないことを明確化するために国会審議で追加されたものです(西田典之・橋爪隆補訂『刑法各論 第7版』412頁)。「Pegasus」などのスパイウェアが一般人や政府要人のスマホ等に導入され動作することはこれに該当しないので、「Pegasus」などは「正当な理由がないのに」に該当します。

したがって、「Pegasus」などのスパイウェアについては、もしこれが日本の一般国民や政府要人などのスマホ等にインストールされ動作した場合、不正指令電磁的記録作成等の罪が成立するといえるので、「法的に禁止することは難しい」としている森井教授や産経新聞は正しくないと考えられます。

そもそもこの不正指令電磁的記録作成等の罪・ウイルス作成罪などは、2004年に日米欧など約50か国が批准し成立したサイバー犯罪条約への対応として制定されたものです。日本だけでなく、例えばイギリスでは「コンピュータ不正利用法」の3A条にウイルス作成罪が設けられ、イタリアの刑法615条の5もウイルスに関する罪を規定しています。さらにロシア中国などの刑法にもウイルス罪の規定は設けられています(財団法人社会安全研究財団「諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書」(平成23年10月)5頁より)。
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団

また、ドイツでは最近、国や州が疑わしい国民のパソコンやスマホなどにスパイウェアを導入して監視を行うための法律案が準備中であるそうですが、同様の内容の法律が2008年にドイツ連邦憲法裁判所で国民の「コンピュータ基本権」という「新しい人権」に抵触する違憲なものであり無効とする判決(オンライン監視事件・2008年2月27日連邦裁判所第一法定判決 BVerfGE 120.274.Urteil v.27.2.2008)が出されたことは、このブログでも取り上げたとおりです。
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権-なか2656のblog

そのため、「スパイウエアは(略)、国際社会でも使用を禁止する動きはない。」としている産経新聞記事のこの部分も正しくありません

3.個人情報保護法から
さらに、この産経新聞記事は、森井教授の「(スパイウェアを)法的に禁止することは難しい」というコメントの理由として、「個人情報を監視するソフトの定義が明確でないのが一因。もし、利用者のデータ収集を禁じれば、ネット通販交流サイト(SNS)などのアプリも規制を受けることになってしまうからだ。」と記述しています。

この説明が、森井教授か産経新聞記者のどちらの見解なのかは不明ですが、しかし、SNSやネット通販サイトなどは、一応は、個人情報保護法に基づき、それぞれの運営会社において、プライバシーポリシーで個人データの利用目的や個人データの第三者提供先、委託先、個人データの開示・訂正・削除・利用停止などの手続きなどを規定し、会社サイトなどで公表するなどして、個人情報・個人データの収集・管理などが(一応は)法律に則り実施されているのが一般的です。

したがって、「もし、利用者のデータ収集を禁じれば、ネット通販やSNSなどのアプリも規制を受けることになってしまう」ので「スパイウェアなどを法的に禁止できない」という説明は無茶苦茶であり、この点は個人情報保護法からもまったく正しくありません

4.まとめ
このように、この産経新聞の記事は、刑法や個人情報保護法などの観点から正しくない点が多く存在します。産経新聞は多くの国民が記事などを読むマスメディアなのですから、スパイウェアなどについて報道するにあたり、もう少し刑法や個人情報保護法、情報法などに関する法的知識情報リテラシーを持った上で取材や報道を行うべきではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁の事務方トップに伊藤穣一氏とのニュースを考えた
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団
・イスラエル企業開発のスパイウェア 世界中の記者や活動家を監視か|NewsWeek
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記