児童ポルノ・児童買春・児童福祉法・強姦・強制わいせつ・青少年条例・不正アクセス禁止法・わいせつ電磁的記録記録被告事件弁護人 奥村徹弁護士の見解(弁護士直通050-5861-8888 hp@okumura-tanaka-law.com)

性犯罪・福祉犯(強姦罪・強制わいせつ罪・児童ポルノ・児童買春・青少年条例違反)の被疑者(犯人側)の弁護を担当しています。専門家向けの情報を発信しています。

2号不正アクセス罪における「アクセス制御」とは?

夏井先生に教わりました。
 文理解釈ならこうなる。文理説。
 現実に追随して、拡張が許されるか・どこまで拡張できるかが問題だが、論者は、
    拡張したいなら改正しろ
と声高だ。

 明確な反対説もないのだが、日本の裁判所ではこれが通らない。

 まずは、法文。
「特定電子計算機」の「特定利用の制限の全部又は一部を解除するもの」。
とされており、保護の対象は、「特定電子計算機」であって、「特定電磁的記録」とか「情報」ではない。

2条3項
 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

 また、「アクセス管理者」の定義においても、「当該特定電子計算機の動作」が保護対象であって、個々のファイル・電磁的記録ではないことが明らかである。

第二条
1項 この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。

 なお、2号不正アクセス罪の構成要件

3条2項
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)  

二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

 では、webサーバーのあるファイルやホルダーにパーミッションが設定されている場合は、「アクセス制御機能」か?

 法文上、アクセス制御の対象は「特定電子計算機」とされており、ファイルやホルダーではないから、ファイルやホルダーにパーミッションが設定されていても、「アクセス制御機能」ではない。

 不正アクセス禁止法は、「特定利用」すべてを対象としているのではなく「特定電子計算機」の「特定利用」のみを対象としている。「特定電子計算機」のリソースの「特定利用」ではない。要するに、マシンへのログオンの部分の制御を保護するものである。

 詳論すると、「特定利用」とは、「電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用」のことだけを指す(2条1項)。つまり、すべての電子計算機の利用のことではなく、電気通信回線に接続された電子計算機の利用だけを法の適用対象として限定するために「特定利用」という概念が新設された。
 その上で、特定利用の中でも、アクセス制御機能が付加された電子計算機について、法の適用を考えることになる。
 従って、CGIを利用する場合でも、暗号等を利用する場合でも、電磁的記録(ファイル・フォルダー)に対するアクセス制御は、当該電磁的記録に対するアクセス制御に過ぎず電子計算機に対するアクセス制御ではない。
 確かに、CGIなどでは、電子計算機の機能を利用してアクセス制御をするわけだが、それは、電子計算機それ自体の利用に対する制御ではなく、電磁的記録の利用に対する制御である。
 
石井説でも、端的に「有体物としての電子計算機」が保護対象とされている。
「無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。」という。

日弁連サイバー犯罪条約の研究P9
サイバー犯罪条約の刑事学的意義(奈良産業大学法学部石井徹哉)
第3 情報セキュリティの刑事的保護
本条約は、不正アクセスを、コンピュータシステムへの無権限のアクセスとして定義する。もっとも付帯可能な条件として、セキュリティの侵害、データの入手・不誠実な意図を有していたことあるいは他のシステムとの関連牲を要件として付加することを認めている。この点、セキュリティの侵害の要件がわが国の不正アクセス禁止法にいう「アクセス制御」と同一であるとみて、現行の不正アクセス禁止法で対処可能であるとの見解もある。しかしながら、これは情報セキュリティおよびコンピュータシステムの概念を曲解するものであって妥当ではない。そもそも現行の不正アクセス禁止法においては、情報セキュリティの概念が欠落しているといえる。
まず、わが国の不正アクセス禁止法は「電子計算機の利用」を基礎としてアクセス行為を規定している。文理上、これはハードとしての、有体物としての電子計算機であるコンピュータの利用であって、そこでなされている個々の情報処理と解釈することはできない。これを立法者の意思であるからとして許容する向きもあるが、立法者がもしそのような意思をもっていたのであるならばその意思を適切に反映する文言を使用すべきであって、それを僻怠しながら、可能な語義をこえる解釈を強いるのは妥当でない。文理解釈による「電子計算機の利用」とシステムへのアクセスの相違を無権限アクセスとの関連で例示するならば、httpプロトコルを処押するサーバをネットワークに接続している場合、当該コンピュータの利用は当該ネットワークに接続している者であれば誰でも可能であるし、誰に対しても利用の権限は付与されているといえる。しかしながら、あるディレクトリないしはデータに対してhtaccessによるbasic認証によってアクセスを制御している場合、アクセス権限があり適切なID/PASSWDを使用してデータを要求した者には、サーバはデータを送出するのであるが、無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。さらに、ハードとしての電子計算機が問題であるから、不正アクセス禁止法にいう管理者も、ハードを単位として考えるべきで、同一のサーバマシンを共有している場合には、たとえ各利用者が別のURLないしIPアドレスによってサーバの運用をしているとしても、これらの者は同法にいう管理者とはなりえないのである。
これに対して、条約ではコンピュータシステムに対するアクセスを問題とするものであり、ここではハードとしての電子計算機それ自体ではなく、プログラムにしたがってデータを自動処理するシステムが問題となっている。また、条約上の不正アクセス行為の規制は、データないしシステムの妨害の予備的行為として位置づけられているといえ、これらとあわせて考えると、情報セキュリティを問題にしているといえる。注意すべきことは、情報技術上の概念としての情報セキュリティは、不正アクセス禁止法にいう「電気通信に関する秩序の維持」や「高度情報通信社会の健全な発展」とも異なるし、俗にいうネットワークの安全性でもない。このような言柴で表現されているものは、せいぜい一般市民の安心感であって、これ日体は法的保護の対象とはいえない。コンピュータシステムがデータを処押することによって規定されていることから示されるように、データ・セキュリティが重要である。具体的には、データの同・性の確保、権限ある者のみによるデータへのアクセス、適切なアドレスへのデータの伝送の確保がデータ・セキュリティの内容といえる。したがって、データ・セキュリティの観点からは、コンピュータシステムがネットワーク構成されているか、スタンド・アローンかということは問題ではない。コンピュータシステム内のデータが不正に処理されるということは、無権限のデータ・アクセスがその内実をなしているのである。この点において、現行の不止アクセス禁止法は、情報セキュリティの観点から全面的に改正されることを必要としているといえる。

 また、高橋郁夫弁護士も、「システムが作動しうる状態にさせる行為をアクセスといい」と指摘しており、個々のファイルが保護対象であるとはされていない。

日弁連サイバー犯罪条約の研究P14
第2条 不正アクセス(高橋郁夫)
4 アクセスの定義について
英国法の下では暗号の解読も、アクセスの1つの行為態様であるアウトプットと解されるので、無権限アクセスが成立すると解されることが確認された。不正アクセス禁止法においては、システムが作動しうる状態にさせる行為をアクセスといい、かつ、アクセスの結果が発生した場合に限って処罰されることになるので、暗号解読行為は、アクセス行為に含まれないことになるものと思われる。
(中略)
蔵置されたファイルに対する暗号の解読行為は、傍受とは、もはや言えないので本条の解釈問題となる可能性がある。暗号化することによって、そのファイルの管理権限を持つ者の機密性に対する期待は現代社会において十分に保護に値するものと考えられるので刑罰化する必要があるものと考えられる。新しい不正アクセス禁止法は基本ソフトが反応しうる状態となることをもってアクセスとしているので、この方向からの規制の方向は、困難になるものと考えられる。むしろ営業秘密の漏えい等に対する刑事罰の方向で刑事罰とすることが妥当と考えられ、この点は、不正競争防止法の改正の先のひとつの論点として議論されるべき問題と考えられる。

 経済産業省の報告書でも、わが国の不正アクセス罪における「アクセス制御」概念が外国にくらべて厳しいことが指摘されている。
つまり、システムについて現実にアクセス制御がなされていることが必要だというのである。

サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」
http://www.meti.go.jp/kohosys/press/0002626/1/020418cyber.pdf
無権限アクセスの成否については、米国のUSC の第1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第2 項に規定されているが、米国と比べると厳格なものとなっている。

 逐条解説や警察庁通達2000.1.21によっても、「ファイア・ウォールに対する侵害行為」(不可罰)と対比して、「特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為」とすると説明されている。

逐条P48
第三項は、本法における中核的な概念であるアクセス制御機能について定義したものである。
第一条の趣旨① アで述べたとおり、コンピュータをネットワークに接続して営まれる社会経済活動の安全の確保は、一般に、その利用権者をID・パスワード等の識別符号により識別し、識別符号が入力された場合にのみその利用を認めることとするコンピュータの機能(アクセス制御機能) により実現されている。すなわち、特定電子計算機の特定利用につき当該特定電子計算機の動作を管理するアクセス管理者(第一項) は、当該特定利用をすることについて許諾した利用権者に識別符号を付し(第二項)、本項で規定するアクセス制御機能によって識別符号が入力された場合にのみ特定電子計算機の特定利用ができるようにシステムを構築することで、利用権者にのみ許諾した範囲の特定利用をさせるようにして、特定電子計算機の動作の管理を具体化させているところである。
ところで、アクセス管理者が特定電子計算機の特定利用を制限する方法は、必ずしも、利用権者等に付した識別符号の入力による方法に限定されるわけではない。外部からの侵入を防ぐネットワーク上のセキュリティシステムとして広く使われているものにファイア・ウォール(防火壁の意味。そのために用いられるハードウェア・ソフトウェアの総称。)があるが、本法においては、識別符号を用いて利用権者等を識別することにより特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為ととらえ、識別符号を用いないファイア・ウォールに対する侵害行為を禁止、処罰の対象としていない。これは、アクセス管理者が特定利用を制限する方法として識別符号を用いるものが一般的に広く採用され、これによる利用権者等の識別に対する社会的信頼がコンピュータ・ネットワークを成り立たせる基礎となっていると考えられるためであるが、そのほかに、ファイアー・ウォールによる利用制限の内容が相手方からみて必ずしも明らかでないこと、ファイア・ウォールの方式には様々なものがありその意義が必ずしも明確ではないことなどの理由もあり、まずは、識別符号によるアクセス制御機能について規定することとしたものである。

 ところで、
あるウェブサイトにおいて,管理者の設定により,CGIプログラムファイル(csvmail.cgi),CGIログファイル等のファイルにつき,その内容の閲覧にはパスワード認証が要求されており,一般のウェブサイト閲覧者がかかるファイル内容の閲覧を行うことはできないよう設定されていた。
という場合の、「特定電子計算機」というのは、そのウエブサイトが置かれているサーバーコンピュータである。
 そして、インターネットを通じてそのサーバーにアクセスすることが「特定利用」であって、サーバーへのアクセスについて「特定利用の制限の全部又は一部を解除する」識別符号が求められるのであれば、「特定電子計算機」に対するアクセス制御があるが、ウェブサイトに相談室を設けて、一般に対してサーバーへのアクセスを許可していたのであれば、「特定電子計算機」に対するアクセス制御があるとはいえない。


 ホームページの閲覧が特定利用にあたることは、警察庁通達。

警察庁通達2000.1.21
ウ動作の管理
特定利用につき「特定電子計算機の動作を管理する」とは、特定電子計算機の特定利用を誰にどのような範囲で行わせるかを決定することを意味する。したがって、アクセス管理者は、単に特定電子計算機に係るシステムの運用管理を行っている者ではなく、当該システムを誰に利用させるか等を決定する権限のある者(企業等の法人であれば、法人そのもの)である。
また、「動作を管理する」者であることから、特定電子計算機を所有するかどうか、物理的に管理しているかどうかは問わない。
エ特定利用
インターネットへの接続(インターネット接続事業者(以下「プロバイダ」
という。)のダイアルアップルータの利用)、電子メールの送受信(プロバイダ等のメールサーバの利用)、ホームページの閲覧(企業、プロバイダ等のWWWサーバの利用)、ホームページを通じて行うインターネット・ショッピング(企業のWWWサーバの利用、注文等の処理を行うサーバの利用)等が具体例として挙げられる。
 特定電子計算機の利用であっても、当該特定電子計算機のキーボードを直接操作することによって行うものは特定利用ではない。

通達 不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について その1

著作権もないんでしょうからUPしときます。

平成12年1月21日
                    警察庁
                    丙生企発第3 1号
                    丙生環発第2号
                    丙技発第1号
        警察庁生活安全局長
        警察庁情報通信局長
不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について
不正アクセス行為の禁止等に関する法律(平成11年法律第128号。以下「法」という。)及び不正アクセス行為の再発を防止するための都道府県公安委員会による援助に関する規則(平成11年国家公安委員会規則第12号。以下「規則」という。)の制定の趣旨及び要点等については、「不正アクセス行為の禁止等に関する法律等の施行について(依命通達)」(平成12年1月21日付け警察庁乙生発第1号、乙官発第1号、乙情発第1号)のとおりであるが、これらの概要、運用上の留意事項は下記のとおりであるので、遺漏のないようにされたい。

第1 法等の概要
1 法の目的について(法第1条関係)
他人の識別符号(ID・パスワード等)を窃用等して電気通信回線を通じて電子計算機にアクセスする不正アクセス行為は、誰が当該電子計算機を利用しているかわからないという状態を作り出し、ネットワークを利用した犯罪を助長するとともに、ネットワークを無秩序な状態にして国民が安心してネットワークを利用できない事態を招くこととなる。
そこで、このような不正アクセス行為の問題点に着目し、電気通信回線を通じて行われれる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的として、法が制定されたものである。
2 定義について(法第2条関係)
(1)アクセス管理者(同条第1項)
ア概要
アクセス管理者とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者である。
イ特定電子計算機
「電気通信回線」とは、電気通信を行うために設定される回線のことであり、有線に限定されるものではなく、無線も含まれる。「電気通信回線に接続している」とは、電気通信が可能な状態に構成されていることを指す。
「電子計算機」とは、コンピュータのことである。本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。
ウ動作の管理
特定利用につき「特定電子計算機の動作を管理する」とは、特定電子計算機の特定利用を誰にどのような範囲で行わせるかを決定することを意味する。したがって、アクセス管理者は、単に特定電子計算機に係るシステムの運用管理を行っている者ではなく、当該システムを誰に利用させるか等を決定する権限のある者(企業等の法人であれば、法人そのもの)である。
また、「動作を管理する」者であることから、特定電子計算機を所有するかどうか、物理的に管理しているかどうかは問わない。
エ特定利用インターネットへの接続(インターネット接続事業者(以下「プロバイダ」という。)のダイアルアップルータの利用)、電子メールの送受信(プロバイダ等のメールサーバの利用)、ホームページの閲覧(企業、プロバイダ等のWWWサーバの利用)、ホームページを通じて行うインターネット・ショッピング(企業のWWWサーバの利用、注文等の処理を行うサーバの利用)等が具体
例として挙げられる。
特定電子計算機の利用であっても、当該特定電子計算機のキーボードを直接操作することによって行うものは特定利用ではない。
(2)識別符号(同条第2項)
ア概要
識別符号とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付された符号である。
イ利用権者
「許諾」とは、その内容として何らかの権利設定を含む必要はない。その方式も、文書又は口頭、明示又は黙示を問わない。
利用権者の具体例としては、プロバイダの会員、LANを構築している企業において当該LANを通じてホスト・コンピュータを利用することを認められている社員等が挙げられる。個人だけでなく、法人も利用権者となり得る。
ウ 識別符号を付す主体
識別符号を利用権者等に付す主体は、アクセス管理者には限定されていない。
アクセス管理者が、利用権者や第三者が付した符号を識別符号とすることを妨げるものではない。
エ 符号の形式
法では、その形式について、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものとしている。
① アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(パスワード等)
② 利用権者等の身体の全部若しくは一部の影像又は音声を用いてアクセス管理者が定める方法により作成される符号(指紋、虹彩、音声等を数値化したもの)
③ 利用権者等の署名を用いてアクセス管理者が定める方法により作成される符号(署名の形態、筆圧、動作等を数値化したもの)
一般的に用いられているID・パスワードの場合は、パスワードが①に該当する符号、IDがその他の符号であり、IDとパスワードの組合せが「次のいずれかに該当する符号とその他の符号を組み合わせたもの」として識別符号に該当することとなる。
カ留意点
(ア)企業や同一部署に属する者が共同で利用することが認められている識別符号(いわゆるグループID)については、その態様にもよるが、アクセス管理者の直接の許諾を得た代表者を利用権者とし、他の者は利用権者から承諾を得て利用している(法第3条第2項第1号参照)ものと解することができる。
(イ)次のようなID・パスワードは、いずれも利用権者等に付されている符号ではないか、利用権者等を区別して識別することができるように付されていないため、識別符号には該当しない。
○ アクセス管理者が特定電子計算機のパスワード・ファイルから消去し忘れている利用権者等でなくなった者のID・パスワード
○ アクセス管理者に無断で特定電子計算機のパスワード・ファイルに追加されたID・パスワード
○ コンピュータの出荷時に初期設定としてパスワード・ファイルに登録されているID・パスワード
○ アクセス制御機能により会員のみに特定電子計算機の特定利用を制限しているプロバイダ等のアクセス管理者が、入会希望者の「お試し利用」等のために公にし、不特定多数の者が用いることができることとしているID ・パスワード
(3)アクセス制御機能(同条第3項)
ア概要
アクセス制御機能とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号等であることを確認して、当該特定利用の制限の全部又は一部を解除するものである。
アクセス制御機能は、アクセス管理者が特定電子計算機の動作の管理を実現するための手段である。
イアクセス制御機能を付加する主体
アクセス制御機能を付加する主体は、特定利用に係るアクセス管理者である。「付加する」とは、パスワード・ファイルの設定を行って特定電子計算機の特定利用を制御するためのプログラムを機能するように設定したり新たに追加すること等によって、特定電子計算機が特定利用に係る識別符号が入力された場合に当該特定利用の制限を解除するという動作をし得る状態にすることである。
ウアクセス制御機能が付加される特定電子計算機
アクセス制御機能は、特定利用に係る特定電子計算機又は当該特定電子計算機と電気通信回線を介して接続した他の特定電子計算機に付加される。複数の電子計算機で構成されるシステムにおいては、一般的に、識別符号の照合を一元的に行う電子計算機(認証サーバ)を設置等しており、これが「特定電子計算機と電気通信回線を介して接続した他の特定電子計算機」に該当することとなる。
エ入力
法においては、特定利用に係る特定電子計算機に識別符号等の情報が伝達されることをとらえて「入力」としている。
オ識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号
「識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号」をアクセス制御機能による利用権者等の識別に用いる例としては、公開鍵暗号技術を利用した特定利用の制限の方式が挙げられる。
公開鍵暗号技術を利用したアクセス制御機能においては、利用権者を区別して識別できるよう付されているのは秘密鍵(法第2条第2項第1号の符号に該当)及び電子証明書(公開鍵及びそれが誰のものであるかを明らかにするデータを含むもの。IDの機能を有する。)である(秘密鍵電子証明書の組合せが識別符号となる。)が、アクセス制御機能を付加された特定電子計算機に入力されるのは当該秘密鍵により作成された電子署名秘密鍵で一定のデータを暗号化したもの。入力の都度、内容が変わる。)と公開鍵証明書となる。
そこで、公開鍵暗号技術を利用したものもアクセス制御機能となるよう、法第2条第3項において、「識別符号」を「識別符号を用いて当該アクセス管理者の定める方法により作成される符号(秘密鍵により作成される電子署名)と当該識別符号の一部(電子証明書)を組み合わせた符号を含む。」としたものである。
ク留意点
(ア)アクセス制御機能による特定利用の制限が完全なものである必要はない
(このことは、法第3条第2項第2号及び第3号の規定があることからも明らかである。)。特定利用を行う場合に、通常、当該特定利用の制限を解除するための識別符号を入力するようになっていれば、アクセス制御機能による特定利用の制限がなされていると解してよい。したがって、既に利用権者でなくなった者のID・パスワード等の識別符号以外の符号(2(2)カ(イ)参照)がパスワード・ファイルに登録されていること等をもって、アクセス制御機能による特定利用の制限がないこととはならない。
(イ)識別符号がホームページで公開等されており、利用権者等でない第三者が当該識別符号を入力できるような場合であっても、アクセス制御機能により特定利用の制限がされていることには変わりはない。
不正アクセス行為の禁止、処罰(法第3条及び第8条第1号関係)
(1)概要
法においては、次の3つの類型を不正アクセス行為として禁止、処罰することとしている。
① アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(法第3条第2項第1号)
② アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(同項第2号)
③ 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(同項第3号)
(2)他人の識別符号を無断で入力して行う行為((1)①)
「他人の識別符号」とは、自分に付されていない識別符号である。他人名義や架空名義でプロバイダと契約する等して入手したID・パスワードはその入手した本人に付された識別符号であり、これを入手した本人が入力したとしても、不正アクセス行為には該当しない。
2(2)カ(イ)で例示した識別符号に該当しないID・パスワードを入力する場合は、当該ID・パスワードが「アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)」に該当するため、
(1)②(第3条第2項第2号)に該当することとなる。
なお、アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号が付されている利用権者の承諾を得てするものは、禁止の対象から除外されている。
(3)アクセス制御機能による特定利用の制限を免れることができるその他の情報又は指令を入力して行う行為((1)②、③)
セキュリティホール(アクセス制御機能のプログラムの瑕疵、アクセス管理者の設定上のミス等)やアクセス管理者に無断でパスワード・ファイルに追加したID・パスワード等を悪用して、アクセス制御機能による特定利用の制限を免れることができる識別符号以外の情報又は指令を入力して行うものである。
複数の特定電子計算機でシステムが構成され、識別符号の照合を一元的に行う認証サーバが設けられている場合には、いわゆるセキュリティ・ホールを攻撃する方法として、認証サーバのセキュリティ・ホールを攻撃するものと、特定利用に係る特定電子計算機のセキュリティ・ホールを攻撃するものとが想定されるため、前者については(1)②、後者については③で規定したものである。
なお、アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを禁止の対象から除外している。
(4)制限されている特定利用をし得る状態にさせる
法においては、不正アクセス行為をアクセス制御機能による特定利用の制限に対する侵害行為として捉えて禁止することとしているため、これを「特定利用をし得る状態にさせる」行為と規定したものである。
識別符号等が入力されれば、単に特定利用をし得る状態となるだけでなく、特定利用がされてしまう場合もあるが、このような場合にも観念的には「特定利用をし得る状態」を経て特定利用がされたものと解することができるため、このような場合も含めて「特定利用をし得る状態にさせる」と規定した。
(5)留意点
ア電気通信回線を通じて行われるものに限定されており、アクセス制御機能を有する特定電子計算機や、他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に、そのキーボードを直接操作して識別符号又はアクセス制御機能による制限を免れることができる情報若しくは指令を入力する場合は、不正アクセス行為には該当しない。
イ 識別符号の入力元の入力装置は、電子計算機に限定されていない。したがって、電話機から識別符号を入力する場合や、識別符号が指紋である場合の読取装置(スキャナ等)のような入力装置から入力する場合も対象となる。
(6)罰則
不正アクセス行為の禁止に違反した者は、1年以下の懲役又は50万円以下の罰金に処せられることとなる(法第8条第1号)。
なお、不正アクセス行為罪は、不正アクセス行為によりし得る状態になった特定利用を制限していたアクセス制御機能を単位として成立するが、アクセス制御機能の単位はこれを付加したアクセス管理者ごとに判断されることとなる。
また、不正アクセス行為後に引き続いて電子計算機損壊等業務妨害罪、詐欺等の他の犯罪が行われた場合の両者の関係は、併合罪となると考えられる。
不正アクセス行為を助長する行為の禁止、処罰(法第4条及び第9条関係)
(1)概要
アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、第三者に無断で提供する行為を禁止、処罰することとしている。
(2)趣旨
他人の識別符号を無断で提供する行為は、その提供を受けた者の知識、技術に係わらず、容易に不正アクセス行為の実行を可能とするものであり、不正アクセス行為を助長する危険性が極めて高く、これを放置すれば不正アクセス行為を禁止する実効性を損なうこととなりかねない。そこで、他人の識別符号を無断で提供する行為を禁止、処罰することとしたものである。
(3)提供の形態
「その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして」とは、提供される識別符号の入力先を明らかにすることを指す。特定電子計算機の名称や設置場所まで明らかにする必要はなく、例えば、「ID××、パスワード○○をhttp://www.□□□.co.jpで入力すれば、□□□データベースが利用できます。」とか、「プロバイダ△△のアカウント、ID××、パスワード○」というように、提供する識別符号の入力先のURL(ホームページの場所)や、ダイアルアップ接続の電話番号が公表されている場合の識別符号に係るプロバイダ名を示すなど、一般人にとって容易にどの特定電子計算機の特定利用に係るものか、どこに識別符号を入力すればよいかを特定することができる情報を提供すれば、「明らかにして」提供したこととなる。
「これを知っている者の求めに応じて」とは、提供される識別符号がどの特定電子計算機の特定利用に係るものであるかを知っている者からの求めに応じて提供することを指す。
(4)識別符号の提供
「提供」とは、識別符号を第三者が利用できる状態に置くことをいう。特定の者に提供する場合だけでなく、インターネットのホームページで公開する等不特定多数の者に提供する場合も含む。その手段、方法は問わず、口頭で教示する、紙に書いて渡す、電子メールで送信する、ホームページや電子掲示板で公開する、識別符号が記録されたフロッピーディスク等の電磁的記録媒体を渡す行為等も
「提供」に当たる。
提供する識別符号に係るアクセス管理者及び利用権者に対する提供は禁止されていない。また、識別符号に係るアクセス管理者による提供及び当該アクセス管理者又は識別符号に係る利用権者の承諾を得て行う提供は禁止の対象から除外されている。
(5)留意点
ア他人名義や架空名義でプロバイダと契約する等して入手したID・パスワードはその入手した本人に付された識別符号であり、これを入手した本人が第三者に提供したとしても、禁止に違反しない。また、2(2)カ(イ)に例示したID・パスワードの提供は、識別符号の提供に該当しない。
イ識別符号がIDとパスワードからなる場合に、その一部のみ(例えばパスワードのみ)を提供しても原則として本条には違反しないが、次のような場合にはパスワードのみ(識別符号の一部のみ)の提供であっても識別符号を提供していると評価でき、本条に違反したこととなる。
○ パスワードに対応するIDを知っている者に、当該パスワードを提供する場合
○ パスワードとそれに対応するIDを特定することができる情報を併せて提供する場合
(6)罰則
助長行為の禁止に違反した者は、30万円以下の罰金に処せられることとなる。
なお、識別符号の提供行為が不正アクセス行為の教唆、幇助に該当する場合には、本罪は不正アクセス行為の教唆罪、幇助罪に吸収されることとなる。

続く

警察実務重要裁判例 児童ポルノのDL販売は販売罪ではない

 「送信行為に着目した処罰が可能になるものと思われる。」っていっても、改正法でも「電磁的記録」って言ってる以上、有体物ベースですけどね。
 判例は、こういうパターンを陳列罪だと判示しているのだから、これを「陳列罪ではなく、提供罪だ」とするには、判例変更が必要になります。
 もう、陳列罪でいいじゃん。

警察実務重要裁判例H16 立花書房
http://tachibanashobo.co.jp/koron/#saishin

コンピュータの記憶装置内に記憶,蔵置された児童を相手方とする性交又は性交類似行為に係る児童の姿態等を撮影した画像データは,それ自体「児童ポルノ」に該当するか。
阪高判平15・9・18(被告人上告後,棄却) 高刑集56巻3号1頁
被告人は,インターネットを利用して児童を相手方とする性交に係る姿態を露骨に撮影するなどした画像データを被告人が契約した会社のサーバーコンピュータのディスクアレイに記憶,蔵置させて児童ポルノを陳列するとともに,購入を希望する者に対しては,自己がサーバーコンピュータ上に開設したホームページのアドレス及びパスワードをメールで送信し,購入者に対してはそれぞれの自宅に設置されたパーソナルコンピュータ内のハードディスク等にダウンロードさせる方法で.児童ポルノである画像データを販売していた。原判決(奈良地判平14.11.26 公刊物未登載)は,児童買春児童ポルノ禁止法7条1項の児童ポルノの販売を認定した。
本判決は,次のように述べて,児童ポルノ販売罪の成立を認めた原判決には誤りがあるとしてこれを破棄した。

中略

3 なお,児童買春児童ポルノ禁止法については,本年6月11日成立,18日公布の改正法案により,電気通信回線を通じて上記2条3項各号のいずれかに掲げる児童の姿態を視覚により認識することができる方法により描写した情報を記録した電磁的記録その他の記録を提供する行為を処罰することとされており,本件のような「送信」行為に着目した処罰が可能になるものと思われる。

児童買春・児童ポルノ等禁止法改正法が成立しました!

 まだ一里塚みたいなところだと思いますが。
 「児童を・・・する。」「児童に対して・・・」という構成要件に統一しないと、児童ポルノ・児童買春による児童の被害者性は、末端の裁判官まで徹底しないとおもうけどね。

http://www.unicef.or.jp/advocacy/appeal03-1.htm
「児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律」の一部を改正する法律(一〇六)が公布、施行されました。(発効:平成16年7月8日)

小谷渉 サイバー犯罪対策の推進について 警察学論集57-7

 「大手町ビル」起訴状に良く出てきますからね。

小谷渉「サイバー犯罪対策の推進について」警察学論集57-7
Ⅳ 今後の展望
1 捜査の合理化と関係者の負担軽減方策の検討
警察庁では、情報技術犯罪対策課を中心として、一定のサイバー犯罪の捜査について競合を調整し、捜査共助を促進するため、都道府県警察からの報告の方法等を定めた事務の指針を既に策定したところである。
しかし、サイバー犯罪の影響は県境に関係なく広がる一方、捜査に必要な記録を出力できる通信事業者のセンターは特定の区域に偏在するのが現実である。捜索・差押えが必要となる都度遠方の都道府県警察から出張をしなければならないことや同一の被疑者の情報について別々の都道府県警察から民間事業者に照会があることなどの現状を踏まえ、今後とも、サイバー犯罪捜査の合理化により、関係者の負担を軽減する方策について検討を進めていく必要がある。