児童ポルノ・児童買春・児童福祉法・監護者わいせつ・不同意わいせつ・強制わいせつ・青少年条例・不正アクセス禁止法・わいせつ電磁的記録弁護人 奥村徹弁護士の見解(弁護士直通050-5861-8888 sodanokumurabengoshi@gmail.com)

性犯罪・福祉犯(監護者わいせつ罪・強制わいせつ罪・児童ポルノ・児童買春・青少年条例・児童福祉法)の被疑者(犯人側)の弁護を担当しています。専門家向けの情報を発信しています。

不正アクセス罪に関する私見

 やっぱり文理解釈で行こう。
 文理解釈侍を数人倒してもらおう。

最初に定義の確認。

「特定電子計算機」=電気通信回線に接続している電子計算機

「特定利用」=当該電気通信回線を通じて行う電子計算機の利用

「アクセス制御機能」=特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

「2号アクセス罪」=アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

立法者の想定したシステム
 不正アクセス禁止法は、「特定利用」すべてを対象としているのではなく「当該」「特定電子計算機」の「特定利用」です。「特定電子計算機」のリソースの「特定利用」でもない。要するに、マシンへのログオンの部分の制御だけ。

この法律は、アクセス制御機能の有無を軸にしているけれども、「当該」「特定電子計算機」について、アクセス制御機能が複数存在し得るということに想像が及ばない思考の下で作られた
 当時、たぶん全銀システムなどのようなものだけを想定して法が制定されていたので、現在のように同一のサーバを複数のユーザが独立して分割使用するようなことは想定されていなかった。

 逐条解説や警察庁通達2000.1.21によっても、「ファイア・ウォールに対する侵害行為」(不可罰)と対比して、「特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為」とすると説明されている。
 ファイア・ウォールの内側にあるシステム。

逐条P48
第三項は、本法における中核的な概念であるアクセス制御機能について定義したものである。
第一条の趣旨① アで述べたとおり、コンピュータをネットワークに接続して営まれる社会経済活動の安全の確保は、一般に、その利用権者をID・パスワード等の識別符号により識別し、識別符号が入力された場合にのみその利用を認めることとするコンピュータの機能(アクセス制御機能) により実現されている。すなわち、特定電子計算機の特定利用につき当該特定電子計算機の動作を管理するアクセス管理者(第一項) は、当該特定利用をすることについて許諾した利用権者に識別符号を付し(第二項)、本項で規定するアクセス制御機能によって識別符号が入力された場合にのみ特定電子計算機の特定利用ができるようにシステムを構築することで、利用権者にのみ許諾した範囲の特定利用をさせるようにして、特定電子計算機の動作の管理を具体化させているところである。
ところで、アクセス管理者が特定電子計算機の特定利用を制限する方法は、必ずしも、利用権者等に付した識別符号の入力による方法に限定されるわけではない。外部からの侵入を防ぐネットワーク上のセキュリティシステムとして広く使われているものにファイア・ウォール(防火壁の意味。そのために用いられるハードウェア・ソフトウェアの総称。)があるが、本法においては、識別符号を用いて利用権者等を識別することにより特定電子計算機の特定利用を制限するアクセス制御機能に対する侵害行為を不正アクセス行為ととらえ、識別符号を用いないファイア・ウォールに対する侵害行為を禁止、処罰の対象としていない。これは、アクセス管理者が特定利用を制限する方法として識別符号を用いるものが一般的に広く採用され、これによる利用権者等の識別に対する社会的信頼がコンピュータ・ネットワークを成り立たせる基礎となっていると考えられるためであるが、そのほかに、ファイアー・ウォールによる利用制限の内容が相手方からみて必ずしも明らかでないこと、ファイア・ウォールの方式には様々なものがありその意義が必ずしも明確ではないことなどの理由もあり、まずは、識別符号によるアクセス制御機能について規定することとしたものである。

そこで、出発点は文理解釈。石井説

文理解釈(石井説)
サイバー犯罪条約に関する覚書き」奈良法学雑誌'02
日弁連サイバー犯罪条約の研究P10
そもそも現行の不正アクセス禁止法においては、情報セキュリティの概念が欠落しているといえる。
まず、わが国の不止アクセス禁止法は「電子計算機の利用」を基礎としてアクセス行為を規定している。文理上、これはハードとしての、有体物としての電子計算機であるコンピュータの利用であって、そこでなされている個々の情報処理と解釈することはできない。これを立法者の意思であるからとして許容する向きもあるが、立法者がもしそのような意思をもっていたのであるならばその意思を適切に反映する文言を使用すべきであって、それを僻怠しながら、可能な語義をこえる解釈を強いるのは妥当でない。文理解釈による「電子計算機の利用」とシステムへのアクセスの相違を無権限アクセスとの関連で例示するならば、httpプロトコルを処理するサーバをネットワークに接続している場合、当該コンピュータの利用は当該ネットワークに接続している者であれば誰でも可能であるし、誰に対しても利用の権限は付与されているといえる。しかしながら、あるディレクトリないしはデータに対してhtaccessによるbasic認証によってアクセスを制御している場合、アクセス権限があり適切なID/PASSWDを使用してデータを要求した者には、サーバはデータを送出するのであるが、無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。さらに、ハードとしての電子計算機が問題であるから、不正アクセス禁止法にいう管理者も、ハードを単位として考えるべきで、同一のサーバマシンを共用している場合には、たとえ各利用者が別のURLないしIPアドレスによってサーバの運用をしているとしても、これらの者は同法にいう管理者とはなりえないのである。

 高橋郁夫弁護士も、「システムが作動しうる状態にさせる行為をアクセスといい」と指摘しており、個々のファイルが保護対象ではないと指摘している。

日弁連サイバー犯罪条約の研究P14
第2条 不正アクセス(高橋郁夫)
4 アクセスの定義について
英国法の下では暗号の解読も、アクセスの1つの行為態様であるアウトプットと解されるので、無権限アクセスが成立すると解されることが確認された。不正アクセス禁止法においては、システムが作動しうる状態にさせる行為をアクセスといい、かつ、アクセスの結果が発生した場合に限って処罰されることになるので、暗号解読行為は、アクセス行為に含まれないことになるものと思われる。
(中略)
蔵置されたファイルに対する暗号の解読行為は、傍受とは、もはや言えないので本条の解釈問題となる可能性がある。暗号化することによって、そのファイルの管理権限を持つ者の機密性に対する期待は現代社会において十分に保護に値するものと考えられるので刑罰化する必要があるものと考えられる。新しい不正アクセス禁止法は基本ソフトが反応しうる状態となることをもってアクセスとしているので、この方向からの規制の方向は、困難になるものと考えられる。むしろ営業秘密の漏えい等に対する刑事罰の方向で刑事罰とすることが妥当と考えられ、この点は、不正競争防止法の改正の先のひとつの論点として議論されるべき問題と考えられる。

 経済産業省の報告書でも、わが国の不正アクセス罪における「アクセス制御」概念が外国にくらべて厳しいことが指摘されている。
つまり、システムについて現実にアクセス制御がなされていることが必要だというのである。「社会通念上のアクセス制御」という概念は採用しない。

サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」
http://www.meti.go.jp/kohosys/press/0002626/1/020418cyber.pdf
無権限アクセスの成否については、米国のUSC の第1030 条の解釈論によると、現実にアクセス制御がなされていなくても、社会的観点から見てアクセス権があると評価できるかどうかによって、アクセス制御の有無を識別できるというのが米国の通常の考え方である。日本におけるアクセス制御の有無についての識別基準は不正アクセス禁止法第3条第2 項に規定されているが、米国と比べると厳格なものとなっている。

文理解釈の問題点
 これでは、webサーバーにpassを要求されて、はじかれても、その段階でwebサーバーにはアクセスを許されていることになり、これまでに検挙された事例は、ほとんど不成立となる。
 不正アクセス罪の成立範囲が狭すぎる。


そこで夏井説。文理解釈から若干拡大。

夏井説(公刊物にはない。聞けば教授はこう回答する。)
 http, FTP, SSHそれぞれについてアクセス制御を個別に考えるべきではないかと思います。例えば,httpについては何も制限がないけれどもFTPSSHについては制限のあるサーバについては,httpでのアクセスとの関係では不正アクセス禁止法の適用はないけれども,FTPSSHでのアクセスとの関係では適用があると解釈します。
 制御されているサブディレクトリが存在する場合には,その制御されたサブディレクトリ部分については,まだアクセスがなされておらず,もしその制御を解除する行為があれば,「不正アクセス行為」となり得る。

CGIを利用する場合でも、暗号等を利用する場合でも、電磁的記録に対するアクセス制御は、当該電磁的記録に対するアクセス制御なのであって、電子計算機に対するアクセス制御ではない。もちろん、CGIなどでは、電子計算機の機能を利用してアクセス制御をするわけですが、それは、電子計算機それ自体の利用に対する制御ではなく、電磁的記録の利用に対する制御である。

もし、不正アクセス禁止法がリソースの利用まで適用範囲に含める趣旨で制定されているのだとすれば、別の文言になっていなければならない。
しかし、もしそのようにしたならば、この法律は制定されていなかったかもしれない。なぜなら、当時、ファイルを盗み見る行為を処罰するための情報窃盗罪については反対の意見がものすごく強かったからです。政府も、この法律が情報窃盗罪を設ける趣旨のものではないと説明していた。


奥村説は、文理にこだわる。高裁レベルの裁判官の理解能力への配慮。

 もとより電子計算機概念は、記憶装置・演算装置・通信機能を備えて、有体物として独立した機械である。

「コンピュータ犯罪等に関する刑法一部改正(注釈)」成文堂P16
三 電子計算機

「電子計算機」は、コンピュータと同義であり、自動的に計算やータ処理をおこなう電子装置のことである。現在の三つの主な分類としては、ディジタル計算機(数の形で表示されたデータに演算をはどこすことのできるもの)、アナログ計算機(ある物理量を用いて表現された数に算術演算をほどこすように設計されたもの)およびハイプリード計算機(アナログとディジタルの計算が組み合わされている計算機)がある。

(中略)

刑法において電子計算機の定義を設けなかった理由は、電子計算機についての一般的な理解がすでに定着しているとみとめられるからであり、さらに具体的には、各構成要件においてその対象となるべき電子計算機の範囲が適切に決まることになるからであるという理由による。

 電子計算機損壊業務妨害罪は、ネットワークとして使用されることも予定した規定であるから、福岡高裁判決の判示が参考になる。

福岡高等裁判所判決平成12年9月21日
電子計算機損壊等業務妨害罪にいう「業務に使用する電子計算機」とは、それ自体が自動的に情報処理を行う装置として一定の独立性をもって業務に用いられているもの、すなわち、それ自体が情報を集積してこれを処理し、あるいは、外部からの情報を採り入れながらこれに対応してある程度複雑、高度もしくは広範な業務を制御するような機能を備えたものであることを要するものというべきであり、そのような性能、実態を備えている電子計算機をいうものと解するのが相当である。立法担当者の解説にも、刑法二三四条の二にいう業務妨害罪との関係では、自動販売機に組み込まれたマイクロコンピューターは、販売機としての機能を高めるための部品にとどまるものであって、同条の電子計算機には当たらないとされ、これに該当しないものの例示とされているが、この点にも右の趣旨をうかがうことができる。そうすると、本件パチンコ遊技台の電子計算機部分は、前記のとおり、一定の作業をあらかじめロムに書き込まれているプログラムどおりに動作させるにとどまり、その内容も比較的単純なもので、あくまでも当該機械の動作を制御するにとどまるものであり、ましてや、パチンコ営業に関する情報を集積して事務処理をしたり、複雑、高度な業務の制御をするといえるような機能、実態を備えているとはいえないものであって、結局、自動販売機の電子計算機部分と同様に、個々のパチンコ遊技台の機能を向上させる部品の役割を果たしているにすぎないと認められるから、刑法二三四条の二にいう「業務に使用する電子計算機」にはいまだ該当しないと解するのが相当である(ちなみに、自動販売機も、CPU、ラム、ロム等から構成される電子計算機部分を含み、あらかじめ一定の条件が生じたらそれに沿った結果を生じさせる機能、すなわち、入金と商品の選定が行われれば、入金額を識別した上、その商品の入れてある部分のレバーを作動させ商品を取り出し目に送り込むとともに、釣り銭を正確に返却するという販売機能の重要な部分を制御するものとしてロムの情報が構成され、CPUで操作して指令を出すという仕組みであり、その限りで自動販売機における販売業務を機能的に制御しているといえるものであるが、その内容はそれほど複雑、高度といえるものではない上、その機能の及ぷ範囲はいずれも当該機械に局限されているものであり、本件パチンコ遊技台の電子計算機部分をこれと比較しても、両者の間に本質的な差異があるとはいい難い。)。

警察庁通達でも「当該電子計算機」は、一定の独立性が要件。

警察庁生活安全局長通達H12.1.21
イ 特定電子計算機
「電気通信回線」とは、電気通信を行うために設定される回線のことであり、有線に限定されるものではなく、無線も含まれる。「電気通信回線に接続している」とは、電気通信が可能な状態に構成されていることを指す。
「電子計算機」とは、コンピュータのことである。本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。

 そもそも、刑事法・刑事裁判所はファイルシステムとか情報を理解できない。有体物としての区別に着目する。

阪高裁H11.8.26
 また、所論は、ハードディスク内のわいせつ画像データのファイルがわいせつ物であり、それで特定することが可能であるのに、ハー
ドディスク全体をわいせつ物と認定した原判決には、そこに蔵置されている無関係な情報をもわいせつ物とした誤りがある、という。
 しかし、ハードディスクは それ自体で一個の完結した記憶装置であるところ、本件ハードディスクの中に、わいせつ画像データと
並んでこれと無関係なデータが記憶・蔵置されているとしても、わいせつ画像データは分散して記憶・蔵置されており、その磁気ディ
スク部分をこれと無関係なデータと物理的に峻別して特定することは極めて困難であると認められるから、原判決が本件ハードディス
ク全体を一個のわいせつ物とした判断に誤りがあるとは認められない。

 だとすれば、記憶媒体の一部であるとか、サブディレクトリー単位という、物理的に区別できない領域について、別個の電子計算機であるとか別個のアクセス制御があるとは言えない。

 法の保護対象から考えて、
 「アクセス管理者」の定義においても、「当該特定電子計算機の動作」が保護対象であって、個々のファイル・電磁的記録ではないことが明らかである。

第二条
1項 この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。

 なお、2号不正アクセス罪の構成要件

3条2項
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)  

二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

 では、webサーバーのあるファイルやホルダーにパーミッションが設定されている場合は、「アクセス制御機能」か?

 法文上、アクセス制御の対象は「特定電子計算機」とされており、ファイルやホルダーではないから、ファイルやホルダーにパーミッションが設定されていても、「アクセス制御機能」ではない。

 不正アクセス禁止法は、「特定利用」すべてを対象としているのではなく「特定電子計算機」の「特定利用」のみを対象としている。「特定電子計算機」のリソースの「特定利用」ではない。要するに、マシンへのログオンの部分の制御を保護するものである。

 詳論すると、「特定利用」とは、「電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用」のことだけを指す(2条1項)。つまり、すべての電子計算機の利用のことではなく、電気通信回線に接続された電子計算機の利用だけを法の適用対象として限定するために「特定利用」という概念が新設された。
 その上で、特定利用の中でも、アクセス制御機能が付加された電子計算機について、法の適用を考えることになる。
 従って、CGIを利用する場合でも、暗号等を利用する場合でも、電磁的記録(ファイル・フォルダー)に対するアクセス制御は、当該電磁的記録に対するアクセス制御に過ぎず電子計算機に対するアクセス制御ではない。
 確かに、CGIなどでは、電子計算機の機能を利用してアクセス制御をするわけだが、それは、電子計算機それ自体の利用に対する制御ではなく、電磁的記録の利用に対する制御である。
 
 ところで、検察官冒頭陳述にいう
あるウェブサイトにおいて,管理者の設定により,CGIプログラムファイル(csvmail.cgi),CGIログファイル等のファイルにつき,その内容の閲覧にはパスワード認証が要求されており,一般のウェブサイト閲覧者がかかるファイル内容の閲覧を行うことはできないよう設定されていた。
という場合の、「特定電子計算機」というのは、そのウエブサイトが置かれているサーバーコンピュータである。
 そして、インターネットを通じてそのサーバーにアクセスすることが「特定利用」であって、サーバーへのアクセスについて「特定利用の制限の全部又は一部を解除する」識別符号が求められるのであれば、「特定電子計算機」に対するアクセス制御があるが、ウェブサイトに相談室を設けて、一般に対してサーバーへのアクセスを許可していたのであれば、「特定電子計算機」に対するアクセス制御があるとはいえない。

福岡高裁判決同様に、電子計算機とは、それ自体が自動的に情報処理を行う装置として一定の独立性をもって業務に用いられているもの、すなわち、それ自体が情報を集積してこれを処理し、あるいは、外部からの情報を採り入れながらこれに対応してある程度複雑、高度もしくは広範な業務を制御するような機能を備えたものであることを要するものというべきであり、そのような性能、実態を備えている電子計算機をいう。
 これが、社会通念でも、「電子計算機」であるから、特定電子計算機もこのような内実を備える必要がある。


 ホームページの閲覧が特定利用にあたることは、警察庁通達。

警察庁通達2000.1.21
ウ動作の管理
特定利用につき「特定電子計算機の動作を管理する」とは、特定電子計算機の特定利用を誰にどのような範囲で行わせるかを決定することを意味する。したがって、アクセス管理者は、単に特定電子計算機に係るシステムの運用管理を行っている者ではなく、当該システムを誰に利用させるか等を決定する権限のある者(企業等の法人であれば、法人そのもの)である。
また、「動作を管理する」者であることから、特定電子計算機を所有するかどうか、物理的に管理しているかどうかは問わない。
エ特定利用
インターネットへの接続(インターネット接続事業者(以下「プロバイダ」
という。)のダイアルアップルータの利用)、電子メールの送受信(プロバイダ等のメールサーバの利用)、ホームページの閲覧(企業、プロバイダ等のWWWサーバの利用)、ホームページを通じて行うインターネット・ショッピング(企業のWWWサーバの利用、注文等の処理を行うサーバの利用)等が具体例として挙げられる。
 特定電子計算機の利用であっても、当該特定電子計算機のキーボードを直接操作することによって行うものは特定利用ではない。

 電気通信回線には、企業内LANのように外部から独立しているネットワークを構築しているコンピュータも含まれます。
 LANの話を出したのはこういう趣旨。
 企業内LANの場合、端末からサーバーへの接続のところで、アクセス制御があって、それを破ると不正アクセス罪なのだが、何らかのアクセス権限を持つ者が、不都合な領域に立ちいったとしても、不正アクセス罪に問えない。


 ひとたび、特定のスタンドアロンpcの利用を許した場合に、パーミッションを破って、不都合な領域にアクセスして、隠したファイルを読まれても不正アクセス罪にならないのだが、
 特定電子計算機の一部へのアクセス権限が付与されている場合に、許諾された領域から、許諾されていない領域へアクセスすることは、「スタンドアロンpcの利用を許した場合に、パーミッションを破って、隠したファイルを読まれても不正アクセス罪にならない」というのと価値的には同列である。
 アクセスしている者が、PCの前にいるか、いないかの差である。

 PCの前にいないと気持ち悪いから有罪か?
 高出力のワイヤレスのキーボードなら無罪か?


第2条(定義)
この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
二 当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
三 当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
3 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

第3条(不正アクセス行為の禁止)
2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為