コンピュータ・ウイルス罪の問題点
1 コンピュータウイルス罪を取り巻く状況
(1)最近の摘発状況
2018年から2019年にかけて、「ウィザードバイブル(Wizard Bible)事件」、「コインハイブ(Coinhive)事件」、「アラートループ事件(無限アラート事件)」と「不正指令電磁的記録に関する罪」(いわゆる「コンピュータ・ウイルス罪」)に関する検挙が相次いだ。それらの事案の内容と結末は個々に異なるものの、共通しているのは、どの事件においてもその検挙範囲の曖昧さと拡大を懸念する声が様々な方面からあがったことだろう。
特にコインハイブ事件においては、横浜地裁での無罪判決が話題を呼んだが、その後、東京高裁では逆転有罪となったことでも注目された(本稿執筆時点で最高裁に継続中)。本稿では、これらの事件を題材に、コンピュータ・ウイルス罪が抱える問題点と、今後あるべき対応について検討する。
なお、各事件の詳細については、それぞれの事件をまとめたニュース記事などを参照していただきたいが、その概要を示せば以下のようなものである。
<ウィザードバイブル事件>
セキュリティ研究のための情報サイト「ウィザードバイブル」の管理者がウイルスのプログラムを公開したとして摘発された事件。管理者は2018年3月に略式起訴され罰金50万円の略式命令を受けた。同サイトは2018年4月に閉鎖となっている[1]。
<コインハイブ事件>
自らのウェブサイトに暗号通貨モネロのマイニングスクリプトであるコインハイブを設置し、サイトの閲覧者に無断でマイニングを行わせたとして複数人が摘発された事件。そのうちの一人は、横浜簡易裁判所から罰金10万円の略式命令を受けたがこれに不服申し立てをし、2019年3月27日、横浜地方裁判所で無罪判決が言い渡された。しかし、高裁で逆転有罪となり、弁護側は最高裁に上告している[2]。
<アラートループ事件>
電子掲示板に、クリックすると画面の真ん中に「何回閉じても無駄ですよ〜」「m9(^Д^)プギャー」という文字やアスキーアートなどを表示し続けるというプログラムを書き込んだとして摘発された事件。2019年3月、兵庫県警は女子中学生を家宅捜索のち触法少年として補導、男性2人を家宅捜索・書類送検した(男性2名はその後不起訴処分)。この事件は、「無限アラート事件」、「兵庫県警ブラクラ摘発事件」などとも呼ばれる[3]。
(2)摘発の根拠条文
各事件の摘発の根拠となった罰条は、不正指令電磁的記録に関する罪にかかる刑法168条の2、同3である。
日本も批准しているサイバー犯罪に関する条約6条1項は、データ妨害、システム妨害等の犯罪を行うために使用されることを意図して、これらの犯罪を主として行うために設計され又は改造された装置(コンピュータ・プログラムを含む)の製造や取得等をする行為の犯罪化を締約国に求めている。
コンピュータ・ウイルス罪(上記刑法168条の2、同3)は、この条約の国内担保法として、平成23年(2011年)6月、情報処理の高度化等に対処するための刑法等の一部を改正する法律により新設されたものである。刑法においてコンピュータ・ウイルス罪は次のように定められている。
(不正指令電磁的記録作成等)第百六十八条の二
正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。
(不正指令電磁的記録取得等) 第百六十八条の三
正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。
(3)世間の反応
罪刑法定主義の要請から、刑事罰に関しては「明確性の原則」というものがあり、犯罪の構成要件(何が犯罪に当たるか)は、法律で明確になっていなければならないとされている。これは、何が犯罪であるかが明らかでなければ、萎縮効果が生じる可能性があり、また誤って不利益を受ける者が生じる可能性があるためである。
しかし、上記のコンピュータ・ウイルス罪の条文を見ただけで、上記各事件が条文の定めに該当するのか、またどのような行為が犯罪になるのか明確に理解するのは難しい。案の上、これらの事件が報道されると、専門家の間で構成要件が不明確であると指摘する意見が目立った。
実はコンピュータ・ウイルス罪の立法時からも要件が不明確すぎるとして国会において激しい議論がかわされていた。参議院法務委員会では、要件の不明確性を懸念して附帯決議も付されている[4]。上記の各事件は、まさにこの不明確性が問題として顕在化したものとも言えるであろう。
2 そもそも「コンピュータ・ウイルス」とは何か
(1)政府はどのように定義しているか
そもそもコンピュータ・ウイルスとは何なのかについて、刑法の条文には明確な定義がない。では、一般人がアクセスできる情報の中で、政府はコンピュータ・ウイルスについてどのように範囲を画定し、解釈運用をすると示しているのか。参考となりうる関係各省が公表している主な文書等には以下のものがある。
ー経済産業省
1990年に経済産業省(当時は通商産業省)は、「コンピュータウイルス対策基準」(以下、「経産省通達」という)を公表し、コンピュータ・ウイルスについて以下のように正面から定義を公表している[5]。なお、経産省通達はやや古いが現在も閲覧可能であり、効力のあるものである。
(1)コンピュータウイルス
第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
経産省通達は、コンピュータ・ウイルスを一般的理解に近い形で定義しているものと言えよう。もっとも、これはコンピュータ・ウイルス罪についての文書ではなく、刑法の解釈権限のない経済産業省の通達である。したがって、経産省通達の定義に該当しないからといって直ちにコンピュータ・ウイルス罪の適用対象とならないと考えるのは危険である。
ー警察庁
警察庁は、「警察庁@Police」という情報提供サイトにおいて、コンピュータ・ウイルスについて次のように定義(解説)している(以下、「警察庁解説」という)[6]。
>ウイルス(コンピュータウイルス)
ユーザが意図しない動作を行うプログラムで、次のいずれか一つ以上の機能を持つ。多くの場合は、何らかの被害を及ぼすように悪意を持って作られる。
感染: 他のファイルやホストに自分自身をコピーする
潜伏: 特定の条件(時刻など)が成り立つまで待つ
発病: ファイルを破壊したり、他サイトのホストに攻撃を開始したりする
警察庁解説は、「感染」、「潜伏」、「発病」という機能を1つ以上持つものとする点で経産省通達とほぼ同内容である。これは犯罪の捜査を行う警察庁の定義であるから、これに従ってあるプログラムが警察庁解説上のコンピュータ・ウイルスに該当しないと判断されるにもかかわらず当該プログラムにコンピュータ・ウイルス罪が適用されてしまう場合、不意打ちとなり問題であろうと思われる。
ー法務省
上記平成23年の刑法改正の際、参議院法務委員会において同法の施行に当たり政府が特段の配慮をすべき事項としてコンピュータ・ウイルス罪の構成要件の意義を周知徹底することに努めることが附帯決議された[7]。これを受けて、刑法の所管庁である法務省は、「いわゆるコンピュータウイルスに関する罪について」という文書(以下、「法務省文書」という)を公表している[8]。
法務省文書はそのタイトルどおり「コンピュータ・ウイルスに関する罪」についての解説文書であり、同罪の「意図に反する動作」や「不正な」といった文言の解釈について解説がなされている。しかし、経産省通達や警察庁解説と異なり「コンピュータ・ウイルス」の定義について正面から規定していない。コンピュータ・ウイルスとはどういうものかについて以下のような記載があるのみである。
いわゆるコンピュータ・ウイルスには様々な種類のものがあるが,他のプログラムに寄生して自己の複製を作成し感染する形態のものに限らず,一般に,トロイの木馬(無害のプログラム等であるかのように見せかけて,コンピュータ使用者が気付かないうちに,破壊活動や情報の漏えい等を行うプログラムを指すとされる。) ,ワーム(他のプログラムに寄生せず,単体で自己増殖するプログラムを指すとされる。) ,スパイウェア(コンピュータ使用者が知らないうちにインストールされ,様々な情報を収集するプログラムを指すとされる。 )などと呼ばれるものであっても,前記のように定義される不正指令電磁的記録に当たるのであれば,対象となり得る。
法務省文書には、コンピュータ・ウイルスの例として有名なトロイの木馬やスパイウェア等、有害なものが示されている。しかし、「(前記のように定義される)不正指令電磁的記録に当たるのであれば、対象となり得る」としており、結局のところ、コンピュータ・ウイルスが何なのかは、刑法上の不正指令電磁的記録に当たるかどうかで判断されると言っているに等しい。法務省文書から、コンピュータ・ウイルスとは何かを一般人が明確に理解することは、やはり困難である。
(2)政府には定義を明確にする責任がある
以上のように、政府の公表文書からは犯罪として摘発対象となるコンピュータ・ウイルスがどの範囲のものかは明確とは言い難い。そして実務上も、捜査機関のITリテラシーの低さもあいまって、政府が出している通達等よりも広い範囲のものがコンピュータ・ウイルスとして捉えられているという不都合な事態が起こっているのである。
もちろん、「コンピュータ・ウイルス」と「不正指令電磁的記録」の範囲は厳密には同一ではないため、経産省通達等に含まれないものが不正指令電磁的記録として摘発対象となることは何ら不自然ではないという指摘は有り得る。
しかし、刑法の所管庁である法務省が不正指令電磁的記録に関する罪を「いわゆるコンピュータ・ウイルス罪」と解説している以上、これらが(ほぼ)同一であることは政府が自ら国民に示しているといえる。コンピュータ・ウイルスと不正指令電磁的記録の範囲が同一でないのであるならば、誤解を招く表現は避け、その定義を明確に示す責任は政府にあるはずである。
(3)法務省文書の問題点
やや細かな議論になるが、法務省文書の記載には不十分な点がある。それは「意図に反する動作をさせる」との要件について解説している以下の部分(法務省文書3~4頁)である。
当該プログラムの機能の内容や,機能に関する説明内容,想定される利用方法等を総合的に考慮して,その機能につき一般に認識すべきと考えられるところを基準として判断することとなる。
これに対し、大コンメンタール刑法では、同部分について以下の解説が記載されている[9]。
当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として規範的に判断することとなる。
両者の違いは、「規範的に」という文言の有無である。法務省文書の解説に依拠すれば、あるプログラムが一般人の認識すべき動作ではない動作をした場合、それだけで「意図に反する動作」であったと認定されるように読める。しかし、本罪の保護法益が「プログラムに対する社会一般の信頼」であることからは、「意図に反するか」についても、そのような信頼を害するものであるか否かという観点からの規範的判断が必要である[10]。すなわち、保護法益であるプログラムの社会的信頼を害する程度に至っていないプログラムの動作は「意図に反する動作」にはあたらないと理解すべきなのである。
この点に関し、筆者が質問主意書で政府見解を質したところ、法務省文書についても大コンメンタールの解説と同様の趣旨であるとの回答(「規範的に」の文言は無いが「規範的に」判断すべきとの回答)が得られた[11]。
「本罪は、電子計算機のプログラムに対する社会一般の信頼を保護法益とするものであるから、・・・その「意図」についても、そのような信頼を害するものであるか否かという観点から、・・・規範的に判断されるべきものと考えており、御指摘の『本件文書(※法務省文書)の解説』はそのような趣旨を述べたものである。」
※下線部筆者
誤解を避けるためにも、法務省文書の改定とその周知が必要であると思われる。
3 政府はコインハイブ事件の意見書にも向き合うべき
逆転有罪となった高裁判決を受け、コインハイブ事件弁護団は、ウェブやセキュリティ関連企業をはじめとしたIT業界の方に対し、最高裁に提出する意見書の募集を行った。締め切りまでに47通が集まり、その一部は一般社団法人日本ハッカー協会のHPで公開されている[12]。
意見書の多くに共通する問題意識は、既に述べてきた罪刑法定主義上問題のある不明確性やそこから生じる萎縮効果である。もし有罪となった高裁判決が維持され、不明確性が払拭されないままであれば、日本国内でIT技術の発展は減速するばかりでなく、海外のサービスが日本での提供を躊躇する事態も生じかねない。そのため、ITやAI等の分野で活躍する多くの人々が、業界の将来を憂いて意見書を提出しており、その思いに敬意を表したい。
コインハイブ事件で最高裁がどのような判断を下すのかは非常に大きな関心事である。しかし、政府に期待するのは、裁判所の判断を待つ対応ではなく、積極的に国民の声を聞き、改善しようとする姿勢である。意見書は裁判所に提出されるものであるが、政府自らその内容を精査し、真摯に向き合うことを期待する。
4 最後に
政府は、コンピュータ・ウイルス罪の構成要件は通常の判断能力を有する一般人において十分に理解し得るものであって、明確性の点で問題はなく罪刑法定主義に反するものではないとの立場を崩していない[13]。しかし、その感覚自体が一般人の感覚からずれていないか大いに疑問がある。政府は、現在複数の役所から示されている「コンピュータ・ウイルス」の定義について、統一したものを発出するとともに、それが刑法の不正指令電磁的記録と同一であるのか、違うとすればどの点で異なるのかといったことを早急に国民に周知すべきである。
その際、上述した「意図に反する」の解釈だけでなく、今回詳細には触れなかった「不正な」の要件、すなわち、プログラムが社会的に許容し得るものであるか否かという観点についても、その分水嶺はどこにあるのかを可能な限り示す必要がある。ウェブサイト上に表示される広告は「不正」でなく許され、コインハイブは「不正」として許されないのはなぜかという問いに、「社会的に許容されていないから」という回答では不十分であることは明らかであろう。そもそも、プログラムを活用した新しい技術は、新しいがゆえに社会に許容されていないことは当然なのである。
ITやAI等のプログラムを活用した先端技術は、日本が優位性を発揮できる大きな成長可能性のある分野である。コインハイブ事件の多数の意見書にも現われているとおり、コンピュータ・ウイルス罪による萎縮効果が産業の成長にとって大きなマイナス要因であることは既に明らかとなっている。この問題は刑事政策だけに留まる問題ではなく、成長戦略にも関わる問題なのである。政府および捜査機関にはその認識を強く持ち対応にあたっていただきたいが、仮に政府による対応が不十分な場合、法改正を含めた議論を国会でも早急に進める必要がある。
[1] 読売新聞 2018.6.6
[2] 日経新聞 2020.2.18
[3] SANSPO.COM 2019.3.4<https://www.sanspo.com/geino/news/20190304/tro19030418410013-n1.html>, 弁護士ドットコムニュース 2019,5,29<https://www.bengo4.com/c_23/n_9697/>
[4] 情報処理の高度化等に対処するための刑法等の一部を改正する法律案参議院附帯決議<www.sangiin.go.jp/japanese/joho1/kousei/gian/177/pdf/k031770421770.pdf>
[5] 経済産業省「コンピュータウイルス対策基準」平成12年12月28日(通商産業省告示 第952号)(最終改定)<https://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm>
[6] 警察庁「警察庁@police 用語集」<https://www.npa.go.jp/cyberpolice/words/index.html>
[7] 参議院法務委員会「情報処理の高度化等に対処するための刑法等の一部を改正する法律案に対する附帯決議」<https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/177/f065_061601.pdf>
[8] 法務省「いわゆるコンピュータ・ウイルスに関する罪について」<http://www.moj.go.jp/content/001267498.pdf>
[9] 吉田雅之「第19章の2 不正指令電磁的記録に関する罪」大塚仁ほか編『大コンメンタール刑法 第8巻 第3版』青林書院,2014
[10] 前掲大コンメンタール刑法
[11] 松平浩一衆議院議員提出「不正指令電磁的記録に関する罪の解釈に関する質問に対する答弁書」内閣衆質198第294号<http://www.shugiin.go.jp/internet/itdb_shitsumon_pdf_t.nsf/html/shitsumon/pdfT/b198294.pdf/$File/b198294.pdf>
[12] 平野敬「【寄稿】コインハイブ事件 意見書ご協力のお願い」<https://www.hacker.or.jp/coinhiveopinion/>
[13] 平成31年3月8日衆議院法務委員会における松平浩一衆議院議員に対する小山政府参考人答弁