児童ポルノ・児童買春・児童福祉法・監護者わいせつ・不同意わいせつ・強制わいせつ・青少年条例・不正アクセス禁止法・わいせつ電磁的記録弁護人 奥村徹弁護士の見解(弁護士直通050-5861-8888 sodanokumurabengoshi@gmail.com)

性犯罪・福祉犯(監護者わいせつ罪・強制わいせつ罪・児童ポルノ・児童買春・青少年条例・児童福祉法)の被疑者(犯人側)の弁護を担当しています。専門家向けの情報を発信しています。

セキュリティホール攻撃型不正アクセス罪の成立範囲

情報システム等の脆弱性情報の取扱いにおける法律面の調査
が出ているのですが、
それで、具体的なincidentについて、不正アクセス罪かどうかは、
  独立行政法人 情報処理推進機構
  セキュリティセンター
に聞けば教えてくれるのか?

 セキュリティホールを突いたら不正アクセスなのか?
 セキュリティホールを突いて取り出したファイルは結局アクセス制御されていない所に保存されていた場合はどうか?
 そもそもセキュリティホールは、「壁の穴」か「窓」のようなもので、そこから覗いたとしても、住居侵入にはならないのと同様に、アクセス制御領域に立ち入らない限り、不可罰ではないのか?
なんでも聞いていいかな?

http://www.ipa.go.jp/security/fy15/reports/vuln_law/documents/vuln_law_2004.pdf
(2)具体的な適用について
脆弱性の種類および攻撃手法に関連して、不正アクセス禁止法の構成要件のうち、いわゆるセキュリティホール攻撃型についてみていくことにする。
同法3条2項3号が、主としてセキュリティホールを利用して攻撃する方法を想定した規定とされている16。この規定の趣旨については、「その立法趣旨は、誰が使っているかわからないようにすることがいけないという観点からの規制ですので、なりすまし型のみを、他人のID・パスワードの盗用型のみを規制して、セキュリティホール攻撃型を規制しないというのは、規制のバランスを失するだろうということで2号と3号の規定をしたというのが第一の理由です。」と言われている17。そして、技術的に十分対処できるのであれば、わざわざ処罰する必要は無いのではないかという議論については、「実際いろんな方にお話を伺いましたが、セキュリティホールをゼロにしていくというのは技術的になかなか難しく、やはりいたちごっこになるだろうということでした。日々、新しいセキュリティホールが発見されている中、技術対策を講じ得るものは公表されますが、そうでないもの多数まだ闇に葬られているわけですので、そういうものをハッカーが探知しては攻撃してくる。解決策が見つからないままのものも結構放置されている現状からすると、やはり2号と3号を規定しないと、まだまだ不正アクセス対策としては十分ではないのではないかということから、これを規定したというのが立法の趣旨背景です。」と説明がなされている。
ここで、問題になってくるのが、1号の「アクセス制御機能を有する特定電子計算機」という概念が、どの程度のセキュリティシステムを意味するのか、あるいはどの程度の強さの管理をいうのかという問題である。この点については、「実際はセキュリティホールがあって、ID・パスワード以外の情報なり指令なりを入力すると使えてしまうということがあり得るわけで、ID・パスワードを入れないと絶対に使えないというところまでアクセス制御機能の点にとして要求すると、ほとんどのシステムが対象外になってしまいますから、そこはある程度緩和せざるを得ないんです。では、どの程度セキュリティホールが残っているものが救われるのかというのは、これはなかなか、実際のユースのレベルに応じて判断していかざるを得ないので、法律で具体的に書き切るのは、
ちょっと無理があります。『特定利用の制限の全部または一部を解除する』の『制限』という言葉は、ID・パスワードを入れないと利用制限が解除されないという意味で使っているんですが、この『制限』とは普通は、そこは使えない、そこを使うことは社会通念上認められていないといえるという場合です。」と説明がなされている。結局、技術的な観点よりも社会通念という観点が入って来ざるを得ないということになる。
抽象論としては以上のようなことがいえるとして、問題は、社会通念上、アクセス制御がなされているというのはどういう場合かということになる。この点については、個別具体的なアクセス手法ごとに判断される要素が異なると考えられる。

なお、牧野弁護士はOFFICE事件の弁護人。

15 「現代刑事法その理論と実務」1999年12月(第8号)(特集「ハイテク犯罪の現在」)の園田寿
牧野二郎、露木康浩、前田雅英の「ハイテク社会と刑事法」座談会における議論でもこの点はあきらかである。園田寿教授は、「やはり今回の特徴というのは単なるハッキングが処罰対象になったということですよね。ハッキングに対して脅威を感じるかどうかというのは、ハッキングの発展段階であるクラッキングですね、ファイルの改竄とか消去とか、そこまでいく可能性があるから脅威を感じるんだろうと思うんです。」と発言しているし、露木康浩氏は、「インターネットが犯罪の巣窟になったりしない
ようにしようという環境設定という観点から規定したものなんです。他方で、この電気通信の秩序の維持という概念の意味ですが、これは個人個人、それぞれハッキングを受けたときにどう感じるかということになるかもしれなせんけれども、基本的なみんなハッキングを受けたくないと思っている。ハッキングを受けるようなネットワークがそんな接続はやめようということになる。ネットワーク接続に対する抑止力が働くと、高度情報社会というものが発展しなくなりますから、そういう意味でみんなが嫌が
る行為が行われないような秩序、ネットワークに繋げたくなくなる行為が行われないような秩序を維持するという意味でこの概念を用いています。保護法益という言葉がいいかどうかわからないですが、この二つの要素が、規制の趣旨だということです。」と発言している。
16 前出(注10)露木発言18 頁によれば、「もっとも、例えばクラッカー、ハッカーが、パスワードファイルに、勝手にバックドアのような架空のID、パスワードを追加してそれを使ってしまうという場合がありますが、これも2号に該当します。」とされている。
17 以下、本項の発言については、前出(注11)露木発言18 頁および19 頁


論題 座談会 ハイテク社会と刑事法
著者 園田 寿(ソノダ ヒサシ) ; 牧野 二郎(マキノ ジロウ) ; 露木 康浩(ツユキ ヤスヒロ) 他
ページ 4〜28

請求記号 Z71-D368
雑誌名 現代刑事法
出版者・編者 現代法律出版
巻号・年月日 1(8) (通号 8) 1999.12