夏井先生に教わりました。
文理解釈ならこうなる。文理説。
現実に追随して、拡張が許されるか・どこまで拡張できるかが問題だが、論者は、
拡張したいなら改正しろ
と声高だ。
明確な反対説もないのだが、日本の裁判所ではこれが通らない。
まずは、法文。
「特定電子計算機」の「特定利用の制限の全部又は一部を解除するもの」。
とされており、保護の対象は、「特定電子計算機」であって、「特定電磁的記録」とか「情報」ではない。
2条3項
この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
また、「アクセス管理者」の定義においても、「当該特定電子計算機の動作」が保護対象であって、個々のファイル・電磁的記録ではないことが明らかである。
第二条
1項 この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。
なお、2号不正アクセス罪の構成要件
3条2項
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
では、webサーバーのあるファイルやホルダーにパーミッションが設定されている場合は、「アクセス制御機能」か?
法文上、アクセス制御の対象は「特定電子計算機」とされており、ファイルやホルダーではないから、ファイルやホルダーにパーミッションが設定されていても、「アクセス制御機能」ではない。
不正アクセス禁止法は、「特定利用」すべてを対象としているのではなく「特定電子計算機」の「特定利用」のみを対象としている。「特定電子計算機」のリソースの「特定利用」ではない。要するに、マシンへのログオンの部分の制御を保護するものである。
詳論すると、「特定利用」とは、「電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用」のことだけを指す(2条1項)。つまり、すべての電子計算機の利用のことではなく、電気通信回線に接続された電子計算機の利用だけを法の適用対象として限定するために「特定利用」という概念が新設された。
その上で、特定利用の中でも、アクセス制御機能が付加された電子計算機について、法の適用を考えることになる。
従って、CGIを利用する場合でも、暗号等を利用する場合でも、電磁的記録(ファイル・フォルダー)に対するアクセス制御は、当該電磁的記録に対するアクセス制御に過ぎず電子計算機に対するアクセス制御ではない。
確かに、CGIなどでは、電子計算機の機能を利用してアクセス制御をするわけだが、それは、電子計算機それ自体の利用に対する制御ではなく、電磁的記録の利用に対する制御である。
石井説でも、端的に「有体物としての電子計算機」が保護対象とされている。
「無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。」という。
日弁連サイバー犯罪条約の研究P9
サイバー犯罪条約の刑事学的意義(奈良産業大学法学部石井徹哉)
第3 情報セキュリティの刑事的保護
本条約は、不正アクセスを、コンピュータシステムへの無権限のアクセスとして定義する。もっとも付帯可能な条件として、セキュリティの侵害、データの入手・不誠実な意図を有していたことあるいは他のシステムとの関連牲を要件として付加することを認めている。この点、セキュリティの侵害の要件がわが国の不正アクセス禁止法にいう「アクセス制御」と同一であるとみて、現行の不正アクセス禁止法で対処可能であるとの見解もある。しかしながら、これは情報セキュリティおよびコンピュータシステムの概念を曲解するものであって妥当ではない。そもそも現行の不正アクセス禁止法においては、情報セキュリティの概念が欠落しているといえる。
まず、わが国の不正アクセス禁止法は「電子計算機の利用」を基礎としてアクセス行為を規定している。文理上、これはハードとしての、有体物としての電子計算機であるコンピュータの利用であって、そこでなされている個々の情報処理と解釈することはできない。これを立法者の意思であるからとして許容する向きもあるが、立法者がもしそのような意思をもっていたのであるならばその意思を適切に反映する文言を使用すべきであって、それを僻怠しながら、可能な語義をこえる解釈を強いるのは妥当でない。文理解釈による「電子計算機の利用」とシステムへのアクセスの相違を無権限アクセスとの関連で例示するならば、httpプロトコルを処押するサーバをネットワークに接続している場合、当該コンピュータの利用は当該ネットワークに接続している者であれば誰でも可能であるし、誰に対しても利用の権限は付与されているといえる。しかしながら、あるディレクトリないしはデータに対してhtaccessによるbasic認証によってアクセスを制御している場合、アクセス権限があり適切なID/PASSWDを使用してデータを要求した者には、サーバはデータを送出するのであるが、無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。さらに、ハードとしての電子計算機が問題であるから、不正アクセス禁止法にいう管理者も、ハードを単位として考えるべきで、同一のサーバマシンを共有している場合には、たとえ各利用者が別のURLないしIPアドレスによってサーバの運用をしているとしても、これらの者は同法にいう管理者とはなりえないのである。
これに対して、条約ではコンピュータシステムに対するアクセスを問題とするものであり、ここではハードとしての電子計算機それ自体ではなく、プログラムにしたがってデータを自動処理するシステムが問題となっている。また、条約上の不正アクセス行為の規制は、データないしシステムの妨害の予備的行為として位置づけられているといえ、これらとあわせて考えると、情報セキュリティを問題にしているといえる。注意すべきことは、情報技術上の概念としての情報セキュリティは、不正アクセス禁止法にいう「電気通信に関する秩序の維持」や「高度情報通信社会の健全な発展」とも異なるし、俗にいうネットワークの安全性でもない。このような言柴で表現されているものは、せいぜい一般市民の安心感であって、これ日体は法的保護の対象とはいえない。コンピュータシステムがデータを処押することによって規定されていることから示されるように、データ・セキュリティが重要である。具体的には、データの同・性の確保、権限ある者のみによるデータへのアクセス、適切なアドレスへのデータの伝送の確保がデータ・セキュリティの内容といえる。したがって、データ・セキュリティの観点からは、コンピュータシステムがネットワーク構成されているか、スタンド・アローンかということは問題ではない。コンピュータシステム内のデータが不正に処理されるということは、無権限のデータ・アクセスがその内実をなしているのである。この点において、現行の不止アクセス禁止法は、情報セキュリティの観点から全面的に改正されることを必要としているといえる。
また、高橋郁夫弁護士も、「システムが作動しうる状態にさせる行為をアクセスといい」と指摘しており、個々のファイルが保護対象であるとはされていない。
日弁連サイバー犯罪条約の研究P14
第2条 不正アクセス(高橋郁夫)
4 アクセスの定義について
英国法の下では暗号の解読も、アクセスの1つの行為態様であるアウトプットと解されるので、無権限アクセスが成立すると解されることが確認された。不正アクセス禁止法においては、システムが作動しうる状態にさせる行為をアクセスといい、かつ、アクセスの結果が発生した場合に限って処罰されることになるので、暗号解読行為は、アクセス行為に含まれないことになるものと思われる。
(中略)
蔵置されたファイルに対する暗号の解読行為は、傍受とは、もはや言えないので本条の解釈問題となる可能性がある。暗号化することによって、そのファイルの管理権限を持つ者の機密性に対する期待は現代社会において十分に保護に値するものと考えられるので刑罰化する必要があるものと考えられる。新しい不正アクセス禁止法は基本ソフトが反応しうる状態となることをもってアクセスとしているので、この方向からの規制の方向は、困難になるものと考えられる。むしろ営業秘密の漏えい等に対する刑事罰の方向で刑事罰とすることが妥当と考えられ、この点は、不正競争防止法の改正の先のひとつの論点として議論されるべき問題と考えられる。
経済産業省の報告書でも、わが国の不正アクセス罪における「アクセス制御」概念が外国にくらべて厳しいことが指摘されている。
つまり、システムについて現実にアクセス制御がなされていることが必要だというのである。
サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」
http://www.meti.go.jp/kohosys/press/0002626/1/020418cyber.pdf
無権限アクセスの成否については、米国のUSC の第1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第2 項に規定されているが、米国と比べると厳格なものとなっている。
逐条解説や警察庁通達2000.1.21によっても、「ファイア・ウォールに対する侵害行為」(不可罰)と対比して、「特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為」とすると説明されている。
逐条P48
第三項は、本法における中核的な概念であるアクセス制御機能について定義したものである。
第一条の趣旨① アで述べたとおり、コンピュータをネットワークに接続して営まれる社会経済活動の安全の確保は、一般に、その利用権者をID・パスワード等の識別符号により識別し、識別符号が入力された場合にのみその利用を認めることとするコンピュータの機能(アクセス制御機能) により実現されている。すなわち、特定電子計算機の特定利用につき当該特定電子計算機の動作を管理するアクセス管理者(第一項) は、当該特定利用をすることについて許諾した利用権者に識別符号を付し(第二項)、本項で規定するアクセス制御機能によって識別符号が入力された場合にのみ特定電子計算機の特定利用ができるようにシステムを構築することで、利用権者にのみ許諾した範囲の特定利用をさせるようにして、特定電子計算機の動作の管理を具体化させているところである。
ところで、アクセス管理者が特定電子計算機の特定利用を制限する方法は、必ずしも、利用権者等に付した識別符号の入力による方法に限定されるわけではない。外部からの侵入を防ぐネットワーク上のセキュリティシステムとして広く使われているものにファイア・ウォール(防火壁の意味。そのために用いられるハードウェア・ソフトウェアの総称。)があるが、本法においては、識別符号を用いて利用権者等を識別することにより特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為ととらえ、識別符号を用いないファイア・ウォールに対する侵害行為を禁止、処罰の対象としていない。これは、アクセス管理者が特定利用を制限する方法として識別符号を用いるものが一般的に広く採用され、これによる利用権者等の識別に対する社会的信頼がコンピュータ・ネットワークを成り立たせる基礎となっていると考えられるためであるが、そのほかに、ファイアー・ウォールによる利用制限の内容が相手方からみて必ずしも明らかでないこと、ファイア・ウォールの方式には様々なものがありその意義が必ずしも明確ではないことなどの理由もあり、まずは、識別符号によるアクセス制御機能について規定することとしたものである。
ところで、
あるウェブサイトにおいて,管理者の設定により,CGIプログラムファイル(csvmail.cgi),CGIログファイル等のファイルにつき,その内容の閲覧にはパスワード認証が要求されており,一般のウェブサイト閲覧者がかかるファイル内容の閲覧を行うことはできないよう設定されていた。
という場合の、「特定電子計算機」というのは、そのウエブサイトが置かれているサーバーコンピュータである。
そして、インターネットを通じてそのサーバーにアクセスすることが「特定利用」であって、サーバーへのアクセスについて「特定利用の制限の全部又は一部を解除する」識別符号が求められるのであれば、「特定電子計算機」に対するアクセス制御があるが、ウェブサイトに相談室を設けて、一般に対してサーバーへのアクセスを許可していたのであれば、「特定電子計算機」に対するアクセス制御があるとはいえない。
ホームページの閲覧が特定利用にあたることは、警察庁通達。
警察庁通達2000.1.21
ウ動作の管理
特定利用につき「特定電子計算機の動作を管理する」とは、特定電子計算機の特定利用を誰にどのような範囲で行わせるかを決定することを意味する。したがって、アクセス管理者は、単に特定電子計算機に係るシステムの運用管理を行っている者ではなく、当該システムを誰に利用させるか等を決定する権限のある者(企業等の法人であれば、法人そのもの)である。
また、「動作を管理する」者であることから、特定電子計算機を所有するかどうか、物理的に管理しているかどうかは問わない。
エ特定利用
インターネットへの接続(インターネット接続事業者(以下「プロバイダ」
という。)のダイアルアップルータの利用)、電子メールの送受信(プロバイダ等のメールサーバの利用)、ホームページの閲覧(企業、プロバイダ等のWWWサーバの利用)、ホームページを通じて行うインターネット・ショッピング(企業のWWWサーバの利用、注文等の処理を行うサーバの利用)等が具体例として挙げられる。
特定電子計算機の利用であっても、当該特定電子計算機のキーボードを直接操作することによって行うものは特定利用ではない。
