コンピュータ・ウイルス等有害プログラムの法的規制に関する国際動向調査

事業名: 石油精製業ネットワークセキュリティ対策技術開発
実施機関: 高橋郁夫法律事務所
期間: 1999.10 - 2000. 3


調査概要

背景:電子メール・アドレスの宛先に自己増殖する新種のコンピュータウイルス

1999年3月末に流行したMelissa という新種のマクロウイルスの大量な感染被害が米国を中心に報道をにぎわせた。この騒動の際に、米国連邦政府では、NIPC(The National Infrastructure Protection Center)が連絡を受け、FBIも犯人捜査を行ったと報道されている。*1 またインターネット経由での感染被害の拡大であったので、このコンピュータウイルスはインシデント・レスポンス・チーム(IRT)も取り扱った。この広範な被害には業務妨害的な性格が認められるといえる。そこで代表的なセキュティ・インシデント・レスポンス・チームであるCERT/CCのディレクターであるペイシア氏も、下院の科学委員会/技術小委員会でMelissa マクロウイルスについて証言したように、重大な事件として取り扱われている。*2

*1 NIPC (The National Infrastructure Protection Center)

http://www.nipc.gov/

*2 http://www.cert.org/congressional_testimony/pethia9904.html

このMelissaマクロウイルスは、電子メールの送付によってその感染の範囲を拡大するものである。この手段としてMicrosoftのOutlookというメーラのMAPIと呼ばれるインターフェィス経由でアドレス帳の内部を読む。アドレス帳に書きこまれた知人のメール・アドレス等は、実社会におけるアドレス帳になぞらえるならば個人の秘密情報に属するものである。このような情報を、このウイルスは勝手に読むので、その点においても有害性が認められる。

電子メールに添付されてきたWord文書ファイルのマクロの中に、このMelissaマクロウイルスがある場合、ユーザがこの添付ファイルを開くと勝手にメーラにあるアドレス帳の中の電子メール・アドレス宛に自己の複製を送信してしまうのである。

その後、その犯人としてDavid L. Smith容疑者がニュージャージー州法に基づいて逮捕された旨が報道された。Smith容疑者は、AOLからの情報提供などをもとに、公共通信妨害、違法共謀、違法共謀未遂の容疑で、4月1日に逮捕された。さらに、コンピュータ・サービス窃盗罪、コンピュータ・システムへの違法なアクセスという2つの微罪の容疑もかけられていたとのことである。そして、連邦法の関係では、セクション1030(a)(5)(A)の「故意にプログラム,情報,コード(code)もしくはコマンドを送信(transmission)させ,その行為の結果として,故意に,無権限に、保護されるコンピュータ(protected computer)に損害を発生させる」の容疑で捜査された。 スミス容疑者は、容疑を否認するであろうとの報道もなされていたが、結局、1999年8月には、メリッサ・ウイルスを作成したことを認め、12月8日には、州および連邦の容疑を認める司法取引をなした。翌日には、司法省から、この司法取引に関するリリースも発表されている。

わが国における現行法規制

昭和62年改正刑法において、従来の「業務妨害罪」に加えて「電子計算機損壊等による業務妨害罪」(234条の2)が新設された。コンピュータウイルス等の有害プログラムの感染被害について、これらを投与した者に業務妨害罪が適用された判例は存在していない。また、ひとたびコンピュータウイルスに感染すると、その発病機能による直接的な業務の支障以外にも、それを駆除するための付加的な人員の労力も必要となり業務の支障といえる。この際に両条項の関係も明らかでない。さらに、他人のメーラがもつアドレス帳のようなプライバシー情報を勝手に読み取ることについて、それを規制する法規は存在していない。
また、コンピュータウイルス等の有害プログラムについて、そのソースコードや作成方法がインターネット上のWebページで掲載されている。また、有害プログラムそのものを配布しているサイトが存在しているのが実情である。これらに対しても、なんら規制がない。

本調査の目的

業務妨害、プライバシーの侵害の観点から有害性の認められるMelissaマクロウイルスのような有害プログラムについて、先進諸外国ではどのように規制しているのかを明らかにするとともに、その中から得られる示唆を取りまとめることを目的とする。
さらに、インターネットでの配布を先進諸外国ではどのように規制しているのかを明らかにするとともに、その中から得られる示唆を取りまとめることを目的とする。

有害プログラム

ここに「有害プログラム(悪意あるプログラムMalicious program)とは、ダメージを及ぼすエージェントの意図による、予期しない、ないしは望まない影響を及ぼすプログラムやそのプログラムの一部分の一般的な名称である。」と定義する。この定義は、基本的に二つの要素が含まれることになる。その一つは、そのプログラムなどがコンピューターのユーザーの「予期しない、ないしは望まない影響を及ぼす」ことであり、今ひとつは、そのプログラム等の作者が、「ダメージを及ぼすエージェントの意図」を有していることである。したがって、このような定義からすれば、「害意あるプログラム」には、意図的ではない誤り(たとえばバグ)も含まれることはないし、良いプログラムがたまたま悪い影響を及ぼすのも含まれないことになる。

各国調査内容の概略

アメリカ合衆国

アメリカ合衆国は、連邦法および州の制定法により、害意あるコードに対する対応が図られている。連邦法においては、第1030条が対応しており、また、州においては、コンピューターウイルスに対する特別の規定でを有する州もあり注目される。かかる制定法の適用が問題になった事件はきわめて少ないが、1999年3月に起きたメリッサ事件は、州および連邦法の適用を前提に司法取引がなされた。

カナダ

カナダ法には、特に悪意あるプログラムの配布等に対応することを目的とした規定は存在しない。しかし、刑事法及び民事法の法原理は、こうした配布等の行為に適用しうる可能性を有している。すなわち、刑事法においては、1987年の「データに関する損壊の罪」および「無権限使用の罪」によりそうした「悪意あるプログラム」の作成・投与・配布等に対応することが可能であると思料される。

フランス

フランスにおいて、コンピュータ・ウィルス等の有害プログラムに関する特別法は存在しないため、新刑法典のコンピュータ犯罪規定の一部によって、この問題に対処しようと考えられている。現時点では、有害プログラムに対する具体的な適用判例もなく議論もありうるが不正アクセス罪(フランス刑法典第323-1条)、コンピュータ業務妨害罪(同第323-2条、データ不正操作罪(第323‐3条)により刑事的規制がなされるものと考えられる。

イギリス

メリッサ型のいわゆる電子メール・ウイルスについては、争いがありうるものの、それが実際のファイルの消失をきたすということがなくても、コンピューター不正利用法第1条(無権限アクセスの禁止)、第3条(無権限改変の禁止)に違反するものとして処罰されるものと考えられる。また、電気通信法1984第43条の規定により、そのようなウイルスの送付・拡散が規制される点に特長が有る。

ドイツ

コンピュータ・ウィルスによる侵襲という視点からみた場合、問題となる条文は、刑法典上の情報へのアクセスに対するインテグリティを問題にとする202 条a (データの探知)、303 条a(データ変更) 、303 条b (コンピュータ妨害)が問題の中心となる。メリッサ型のウイルスについては、故意の点に問題がなければ、コンピュータ妨害となるものと認識されている。1987年の第二次経済犯罪対策法の導入に関しての議論がなされたこともあって、ドイツにおいては現在、この3つの条項で基本的には有害プログラムに対する対応は十分であると認識されている。

我が国に対する示唆

わが国では、データの探知やデータの損壊というアプローチは実効的ではないが、偽計ないしは威力業務妨害罪によって、コンピューターウイルスの投与について問題となるケースのかなりの部分は、カバーできるものと考えられる。しかしながら、この場合でも、実際の適用上の問題と、本質的な限界の2つの問題点があることについては留意しておく必要がある。
実際の適用上の問題点というのは、その「業務妨害」の文言の解釈で見た問題点である。判例の立場を前提とする限り、業務妨害罪は、実質的に抽象的危険犯として解されている(それゆえにコンピューターウイルスによる不都合が、かなりの程度、構成要件該当性を、満たすものと解されているのである)。もっとも、マジックホン事件を前提とする時、わずかな作用阻害の虞でも、業務妨害が成立するという立場も可能であろう。また、業務妨害の結果についても、故意の対象となるので、投与ないしは拡散行為について認識していないと有罪とはならない。実験でウイルスを作っていたのが、うかつにも流失してしまったという場合には、刑事的な処罰の対象とはならないものと考えられる。
本質的な限界というのは、業務「妨害」という性質をメルクマールにするので、むしろ、悪意あるプログラム自体の情報の取得、流出という行為に対する対応迄は対応しきれないと考えられることである。トロイの木馬やバックオリフィスなどは、その性質上、情報の取得、流出という問題点に対して正面から対応しきれない。なんら悪さをしなくても情報が流出する自体で業務が妨害されるということもできなくはないであろうが、妨害概念が拡散し過ぎるという批判がなされるであろう。まず、現在の判例の立場を前提として、実際の業務の妨害を許容される限りで、コンピューターウイルスや悪意あるプログラム一般に対する対応を考えるというアプローチがなされうるであろう。現在の判例が、業務妨害の結果および手段に対して広範な解釈を取っていることから、実際上の問題点というのはあまり現実にはおこりえないという考え方もありうるであろう。
それに対して、業務の妨害やその手段についての解釈をそれ自体の文言の意味を維持して厳格にしようというアプローチからは、現実の適用に対して、問題がおこりうる可能性がある。バックオリフィスやトロイの木馬については、何らかの規制を考えるという点については、異論がないとしても、ある種のスクリプトやクッキーなどは、利用者にことわりなく利用者の個人情報を流出してしまうのである。