番外その３３：いわゆるサイバー刑法の問題点

　多少話題になって来ている所為か、法務省がそのＨＰに要領を得ないＱ＆Ａを公表したが、あまり懸念に対する答えになっていないので、今回は、適宜このＱ＆Ａに対する突っ込みを入れつつ、この「いわゆるサイバー刑法」について私があると考えている問題点をまとめて指摘しておきたいと思う。

（１）ウィルス作成罪について
　まず、今のウィルス作成罪の条文（刑法改正案の条文）は以下のようになっている。（新設条項）

（不正指令電磁的記録作成等）
第百六十八条の二　正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一　人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二　前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
（以下略）

　条文の問題はいろいろなところで指摘されているが、この条文において、ウィルス（不正プログラム）の定義が曖昧である点と、除外・目的要件が不十分である点に非常に大きな問題があると考えている。

　まず、定義の曖昧さについてだが、条文中の「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」という定義によりどのようなプログラムが特定されるのか、これは誰が読んでも良く分からないのではないかと私は思う。

　「人」が個々の利用者を指すのではなく、法律的な意味での一般人を指すとしても、プログラム作成者から見てプログラム作成時には一般利用者の意図は通常分からず、一般人基準だとマニュアルや利用規約等によってどこまで免責されるかも不明確で、この定義では、プログラム開発についてかなりの萎縮が発生しかねないと考えられるのである。（現行刑法の第２３４条の２の電子計算機損壊等業務妨害や、第２４６条の２の電子計算機使用詐欺においても、一見同じような規定ぶりがされているが、これらでは、財産の得失や業務妨害が要件となっている点で、かなり限定されていることに注意が必要である。）

　特に、故意性の問題も絡むので難しいのだが、この規定では、わざと通常とは異なる動作をさせているが害はなく笑いを取るためだけのジョークプログラムやジョークサイトのようなものや、最近の複雑なプログラムでは必ず入り込むバグなどの取り扱いが非常に微妙になるだろう。（また、ここでの「人」が個々の利用者を指すという別の理解に基づいてさらに大きな萎縮が発生する恐れもある。）

　次に、除外・目的要件の不十分さということでは、「正当な理由がないのに」、「人の電子計算機における実行の用に供する目的で」といった要件も非常に不十分であるように私は思う。

　ここで、「正当な理由」とは何かという問題が出て来ることになるが、法務省のＱ＆Ａに「ウィルス対策ソフトの開発などの正当な目的でウィルスを作成する場合には，そのウィルスを，自己のコンピュータにおいてのみ実行する目的であるか，あるいは，他人のコンピュータでその同意を得て実行する目的であるのが通常であると考えられ・・・この罪は成立しません」とある通り、通常の企業活動におけるウィルス対策ソフト開発は問題なく認められるとしても、上でも書いたように、ジョークプログラムやジョークサイト、バグなどの取り扱いはやはり微妙なものとして残らざるを得ず、本来なら誰でもできてしかるべきプログラム技術の開発に対する非常に大きな阻害要因となるのではないかと私は懸念している。

　また、「人の電子計算機における実行の用に供する目的で」という目的要件も、プログラムを作成したからには、通常は、人の電子計算機における実行の用に供する目的で作成したのだろうという推定が働くことになり、実質的な限定になっていないのではないかと考えられる。さらに個人開発のことを考えると、この目的要件は、個人の意図のみにかかるので証明も反証も不可能となるだろう。

　この様な形で法改正がされてしまった場合、制度導入当初はさすがに警察等も慎重な運用をするだろうが、条文が非常に曖昧なので、時が移るにつれ、別件逮捕等のための便利なツールとして安易に使われてしまうことになるのではないかと私は危惧しており、少なくとも、不正プログラムの定義を明確なものとし、除外・目的要件を十分なものとすることが必要だろうと私は考えている。

（２）保全・押収関係について
　保全・押収関係は、前回の法案からの修正（法務省の修正点参照）でかなりマシになっているとは思うが、それでもまだ問題は残っている。今の刑事訴訟法改正案の条文は、以下のようなものである。（下線部が改正部分）

第九十九条
②　差し押さえるべき物が電子計算機であるときは、当該電子計算機に電気通信回線で接続している記録媒体であつて、当該電子計算機で作成若しくは変更をした電磁的記録又は当該電子計算機で変更若しくは消去をすることができることとされている電磁的記録を保管するために使用されていると認めるに足りる状況にあるものから、その電磁的記録を当該電子計算機又は他の記録媒体に複写した上、当該電子計算機又は当該他の記録媒体を差し押さえることができる。

（中略）

第百七条　差押状、記録命令付差押状又は捜索状には、被告人の氏名、罪名、差し押さえるべき物、記録させ若しくは印刷させるべき電磁的記録及びこれを記録させ若しくは印刷させるべき者又は捜索すべき場所、身体若しくは物、有効期間及びその期間経過後は執行に着手することができず令状はこれを返還しなければならない旨並びに発付の年月日その他裁判所の規則で定める事項を記載し、裁判長が、これに記名押印しなければならない。

②　第九十九条第二項の規定による処分をするときは、前項の差押状に、同項に規定する事項のほか、差し押さえるべき電子計算機に電気通信回線で接続している記録媒体であつて、その電磁的記録を複写すべきものの範囲を記載しなければならない。

（中略）

第百九十七条
③　検察官、検察事務官又は司法警察員は、差押え又は記録命令付差押えをするため必要があるときは、電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対し、その業務上記録している電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。この場合において、当該電磁的記録について差押え又は記録命令付差押えをする必要がないと認めるに至つたときは、当該求めを取り消さなければならない。

④　前項の規定により消去しないよう求める期間については、特に必要があるときは、三十日を超えない範囲内で延長することができる。ただし、消去しないよう求める期間は、通じて六十日を超えることができない。

（後略）

　差し押さえの対象となる記録について、差し押さえるべき「電子計算機で作成若しくは変更をした電磁的記録又は当該電子計算機で変更若しくは消去をすることができることとされている電磁的記録」と限定されたことでかなりマシになっているのは確かだが、ここで、憲法第３５条に「何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、第三十三条の場合を除いては、正当な理由に基いて発せられ、且つ捜索する場所及び押収する物を明示する令状がなければ、侵されない」と規定されている令状主義との関係がきちんと整理されているとは私には思えない。

　法務省のＱ＆Ａで書かれているように、裁判所の審査を受けた差押許可状で、あるパソコンの使用者のメールアドレスに対応するメールボックスの記録領域といった形でコピー可能な範囲が特定されるとしても、そのように特定されたデータのみが検察官・警察官によって見られ、コピーされることをどうやって実務的に担保するのかという点についてきちんとした議論が必要だろう。（問題となるのはあくまでデータ・情報であることに注意が必要であり、執行時に他のデータも含めて捜査官に閲覧できてしまうようなことがあっては元も子もない。）

　また、保全要請について、司法巡査が要請主体から除かれ、データ保存期間が３０～６０日と短くされたのは良いが、やはり令状を必要とせず、検察官又は警察官単独の権限でデータの保全要請ができるとされている点は問題だろう。この点も、濫用の懸念があり、通信事業者に圧力をかけるために乱発される可能性もあるのではないかと私は考えている。（前回の案と比較して、「差押え又は記録命令付差押えをするため必要があるとき」という要件も追加されているが、この判断主体が誰かということを考えると、この要件は、裁判官の判断が必要とされるということではなく、検察又は警察がそうと判断したときという意味であり、特に具体的な限定になっているとはあまり思えない。）

　これらの点について、法務省のＱ＆Ａはわざとずれた回答をしているとしか思えない。保全・押収関係の条文案についても、警察・検察による濫用の懸念は消えておらず、憲法に規定されている令状主義から考えても、複写による差し押さえについて、他のデータまで閲覧できてしまうことがないことをどう担保するのかという議論が必要であり、保全要請についても、裁判所の判断を必要とするべきではないかと私は考えている。

（３）猥褻メール送信規制について
　法務省のＱ＆Ａでは何故か落とされているが、猥褻メール送信規制も個人的には問題なしとしない。刑法改正案では、猥褻物頒布罪を規定している第１７５条を以下のような条文にするとしている。（下線部が改正部分。）

（わいせつ物頒布等）
第百七十五条　わいせつな文書、図画、電磁的記録に係る記録媒体その他の物を頒布し、又は公然と陳列した者は、二年以下の懲役若しくは二百五十万円以下の罰金若しくは科料に処し、又は懲役及び罰金を併科する。電気通信の送信によりわいせつな電磁的記録その他の記録を頒布した者も、同様とする。

２　有償で頒布する目的で、前項の物を所持し、又は同項の電磁的記録を保管した者も、同項と同様とする。

　電子データの記録媒体であれば猥褻物に当たらなどということは現行法でもないだろうし、記録媒体に関する部分が確認改正にすぎないとしても、法務省の概要の説明にあるように、不特定又は多数の者に対し、わいせつな画像データを電子メールで送信する行為などを猥褻物頒布として本当に有体物の文書図画の頒布と同様に処罰しても良いのかという点には疑問が残る。

　今のところ、迷惑メール規制については、現在の迷惑メール規制法（正式名称は、「特定電子メールの送信の適正化等に関する法律」）でまず十分ではないかと思うし、猥褻メールが別の立法を必要とするほどの社会問題になっているという話も聞かない。この部分についても立法事実の検討が不十分ではないかと私は思う。現在の猥褻物頒布罪の延長線上にある話ではあるのだが、実際に法案が通ってしまうと、このような条文を盾に、またロクでもない警察主導のネット規制・ネット検閲の動きが強まるのではないかと私は懸念する。

　何と言っても問題なのはウィルス作成罪だが、このいわゆるサイバー刑法は他の部分も全く問題がないとは言えないものである。これは主として立法技術上の問題で、法務省の担当者のかなり致命的なミスだと私は思っており、震災後の今の状況では国会審議がどうなるのかも良く分からないが、時期を見て、実際の審議に当たるだろう国会議員に問題点を伝える努力をして行く必要があると思っている。

　なお、さらに言えば、法務省のＱ＆Ａで、「この法案を共謀罪の成立や更なる捜査権限の拡大と結び付けるのは正しくありません」と書かれているが、今までの法務省・警察庁の振る舞いから考えて全く信用できない。今の法案の行方すら良く分からないが、どうなろうと、じきに次の規制強化の波がやって来るだろう。

　最後に、制度ユーザーにしか関係ない話だとは思うが、特許庁から、一連の操作画面デザインをまとめて意匠登録できるようにする意匠審査基準の改正パブコメが６月２０日〆切でかかっているので（特許庁のＨＰ、日刊工業新聞のネット記事参照）、合わせ紹介しておく。

　次回は、また著作権問題の話か、あるいは知財本部で決定されれば今年の知財計画の紹介をするつもりでいる。

番外その３２：フランスのコンピュータ犯罪関連法制

　少し間が空いてしまったが、引き続き、ウィルス作成罪の問題に絡み、フランスのコンピュータ犯罪関連法制の話をしておきたいと思う。

　フランスのコンピュータ犯罪関連法制も、サイバー犯罪に関するフランス語版Ｗｉｋｉにも書かれているようにかなり複雑怪奇なのだが、サイバー犯罪条約の不正プログラム関連規定とまず関係して来るのは、フランス刑法第２編第２章第３節の以下のようなコンピュータ関連犯罪の列挙だろう。（いつも通り翻訳は拙訳。）

CHAPITRE III : Des atteintes aux systemes de traitement automatise de donnees.

Article 323-1
Le fait d'acceder ou de se maintenir, frauduleusement, dans tout ou partie d'un systeme de traitement automatise de donnees est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est resulte soit la suppression ou la modification de donnees contenues dans le systeme, soit une alteration du fonctionnement de ce systeme, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-2
Le fait d'entraver ou de fausser le fonctionnement d'un systeme de traitement automatise de donnees est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3
Le fait d'introduire frauduleusement des donnees dans un systeme de traitement automatise ou de supprimer ou de modifier frauduleusement les donne'es qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3-1
Le fait, sans motif legitime, d'importer, de detenir, d'offrir, de ceder ou de mettre a disposition un equipement, un instrument, un programme informatique ou toute donnee concus ou specialement adaptes pour commettre une ou plusieurs des infractions prevues par les articles 323-1 a 323-3 est puni des peines prevues respectivement pour l'infraction elle-meme ou pour l'infraction la plus severement reprimee.

Article 323-4
La participation a un groupement forme ou a une entente etablie en vue de la preparation, caracterisee par un ou plusieurs faits materiels, d'une ou de plusieurs des infractions prevues par les articles 323-1 a 323-3-1 est punie des peines prevues pour l'infraction elle-meme ou pour l'infraction la plus severement reprimee.

第３節：データの自動処理システムに対する侵害

第３２３－１条
データの自動処理システムの全部又は一部に、不正に、アクセスするか侵入した者は、２年以下の禁固又は３万ユーロ以下の罰金に処する。

それによってシステムに保持されたデータの削除若しくは改変が行われたか、システムの機能の変更が行われた場合、罰は３年以下の禁固又は４万５千ユーロ以下の罰金となる。

第２３２－２条
データの自動処理システムの機能を妨げたか害した者は、５年以下の禁固又は７万５千ユーロ以下の罰金に処する。

第３２３－３条
自動処理システムに不正にデータを入力したか、それに含まれたデータを不正に削除したか改変した者は、５年以下の禁固又は７万５千ユーロ以下の罰金に処する。

第３２３－３－１条
正当な理由なく、第３２３－１条から第３２３－３条に規定された犯罪を犯すために作成されたか特に適した、装置、道具、プログラム又はデータを、輸入するか、保管するか、提供するか、譲渡するか又は入手可能とした者は、それぞれの犯罪の規定の刑かその中で最も重い刑により処断する。

第３２３－４条
第３２３－１から第３２３－３－１条に規定された犯罪の準備のために作られたグループか協定に参加した者は、それぞれの犯罪の規定の刑かその中で最も重い刑により処断する。

（後略：第３２５条、補完的な罰に関する規定。第３２６条、法人の責任に関する規定。第３２３－７条、未遂に関する規定。）

　上の翻訳を一読してもらえれば分かるように、フランスも基本的に、ほぼサイバー犯罪条約の形通り、不正アクセス、システムの妨害、データの不正入手又は不正改変をそれぞれ犯罪とした上で、そのために作成されたプログラムの保管等を規制するという形を取っており、利用者の意図を軸に各種不正プログラムの製造罪を一本の条文にまとめるといったバカなことはしていない。

　また、フランス刑法とサイバー犯罪条約との関係を見るだけなら上の部分だけでもそれなりに分かると思うが、フランスでここ最近ずっと騒がれている、「国内治安向上計画法（略称：ＬＯＰＰＳＩ）」にも、サイバー犯罪関連条項が含まれているので、ここで一緒に少しだけ触れておきたいと思う。

　そのＷｉｋｉにも書かれているが、このＬＯＰＰＳＩは、全部で１４２条からなり、章立てを見ても、第１章：国内治安政策の目的と手段、第２章：サイバー犯罪対策、第３章：新技術の利用、第４章：国益の保護、第５章：犯罪対策及び効果的な抑圧手段の強化、第６章：生活の安全及び非行の抑止、第７章：道路の安全の強化、第８章：警察権限の強化、第９章：サービスの具体的手段、第１１章：その他、と治安関係法の全ジャンルに及び、２００９年の国会提出後、法案審議でも大揉めに揉めていた上、２０１１年２月の両院通過後に憲法裁判まで提起され、この３月に１０以上の条項が違憲と判断されて削除され（フランス憲法裁判所のリリース参照）、今後も施行にあたってさらに相当の紆余曲折が予想されるという問題だらけの大改正である。憲法裁判所の判決の内容についてなど細かな話は、必要であれば別途紹介したいと思っているが、サイバー犯罪関連ということでは、このＬＯＰＰＳＩには、他人のＩＤの盗用や児童ポルノサイトブロッキングなどが含まれており、ブロッキングの話を中心にフランスではかなり大きな騒ぎとなっているが、このような話もほとんど日本では取り上げられていない。

（フランスでは児童ポルノサイトブロッキングについて司法判断を必要とするか否かが１つ大きな焦点となっているが、３ストライク法に関する判決ではあれほどインターネットの自由と刑罰の適用における司法判断の重要性について先進的な判断を示したフランスの憲法裁判所が（第１９１回など参照）、今回は、後に司法判断を求めることもできるとして、深い検討もせずにブロッキングについて合憲の判断を示しているのは極めて残念なことと言わざるを得ない。この判決において、海外のサイト提供者がどうやってフランス国内でのブロッキングのことを知って裁判を起こすのか、情報アクセス権を侵害されたフランス国内のユーザーがどうやって裁判を起こすのかといったことが全く検討されていないのである。児童ポルノサイトブロッキングの問題点は散々書いてきているのでここで繰り返すことはしないが、ブロッキングはどのように運用しようと有害無益な検閲としかなりようがないので、フランスの場合も、運用の開始まででさらに揉め、運用を開始したとしても混乱を極めることになるだろうし、時間はかかるかも知れないが、最終的には、実質的に児童ポルノブロッキング法廃止の方針を打ち出しているドイツと同じような道を辿ることになるのではないかと私は踏んでいる。）

　これで米英独仏のコンピュータ犯罪関連法規を順番にざっと見て来た訳だが、官僚が何かと良く引き合いに出すこれらの国で、日本の今の刑法改正案のように、利用者の意図を中心各種不正プログラムの製造罪を一本の条文にまとめるといったバカなことはしていない。結局どのような経緯で前回の法案のような条文となったのかということ自体謎だが、前回の法案提出時以来の国内外の動向を参考にした様子も全くなく、共謀罪関連の部分を抜いただけで、ほとんど何も考えずに再提出していることを考えても、この日本の法務省の検討の底の浅さが知れるというものだろう。

　ただ、法務省もそれなりに騒がれていることを気にしているようで、そのＨＰで要領を得ないＱ＆Ａを公表しているが、あまり答えになっておらず、次回は、この「いわゆるサイバー刑法」に関して、ウィルス作成罪以外の点も含めて個人的な問題点のまとめを書いておきたいと思っている。

（２０１１年５月１１日夜の追記：内容は変えていないが、少し文章を整えた。）