米国クラウド法と日本のサイバー犯罪捜査の現状

1 はじめに

 インターネット等の情報通信技術の発達により、複数の国にまたがって行われる犯罪が増加し、証拠が国外に存在するケースも増加している。しかし、警察、検察による捜査や裁判といった刑事手続は、国家権力の行使であり、原則として自国の領域内においてのみ許されている。そのため、従来より、越境捜査に関しては条約や司法共助の仕組みが整備・拡大されてきた。しかし、外国に所在するサーバに犯罪の証拠となるデータが保管されているという事態の増加は、従来の司法共助等を拡大するという方向性では対応が困難になっている。

 このような背景のあるなか、米国では2018年3月23日、民間企業が保持する電子通信データへの国境を越えたアクセスを簡易化することを目的とした「海外データ合法的使用明確化法」(Clarifying Lawful Overseas Use of Data  Act)[1]が成立した。同法は、その頭文字から、クラウド(CLOUD)法と呼ばれているため、本記事でも以下「クラウド法」と表記する。

 以下、同法の内容を概観し、日本のサイバー犯罪捜査の課題について検討する。


[1] U.S,Congress「H.R.1625-Consolidated Appropriations ACT – DIVISION V–CLOUD ACT」<https://www.congress.gov/115/bills/hr1625/BILLS-115hr1625enr.pdf#page=866>

2 クラウド法について

(1)クラウド法の概要

 クラウド法は、主として、①米国の法執行機関の権限を規定する部分と、②外国の法執行機関の権限を規定する部分の2つの部分で構成されている。

ー①米国の法執行機関の権限

 クラウド法は、米国の法執行機関に、米国に所在する企業が海外の自社サーバに格納しているデータの内容を強制的に開示させる法的権限を与えている。

 クラウド法による改正以前の「通信保存法」(Stored Communications Act:SCA)[2]では、裁判所の令状により、企業に対して通信データの開示を命ずることができると定められていたが、米国「外」に保存されているデータについての強制的な開示の可否については解釈が分かれていた。

 クラウド法成立の直前、連邦最高裁判所は、米国がMicrosoft社のアイルランドのサーバに格納された通信データの開示を求めた裁判(以下、「Microsoft訴訟」という。)において、この問題に判断を下すことが期待されていた。しかし、訴訟継続中にクラウド法が成立したことにより、データが米国内に存在するか否かに関わらず、米国政府が自国の企業に対して、自社が所有、管理するデータの提供を求めることができると定められた。これにより、連邦最高裁判所は、Microsoft訴訟は争訟性を喪失した(moot)と決定し、両当事者の合意の下、手続きが打ち切られることになった[3]

”No live dispute remains between the parties over the issue with respect to which certiorari was granted. …
Further,the parties agree that the new warrant has replaced the original warrant. This case, therefore, has become moot. “

United States v. Microsoft Corp., 584 U.S._(2018)_ (per curiam)

 このように、クラウド法は、従来解釈が分かれていた、米国内の企業が米国「外」に保存しているデータの強制的な開示の可否について、それを可とすることを明示したところに特徴がある。

ー②外国の法執行機関の権限

 クラウド法の成立以前、外国政府が米国内のデータの開示を求める場合、刑事共助条約(Mutual Legal Assistance Treaty)または文書送付嘱託書(Letters Rogatory)に基づき米国政府へ援助を要請する必要があった。

 しかし、クラウド法では、米国政府がプライバシー及び市民的自由の保護の基準に適合する等の要件を満たしているとして選定した外国政府が、直接、米国企業に対してデータの開示を要求するための「行政協定」(executive agreement)を締結することができるとされている。これにより、協定を締結した国の法執行機関は、自国で起きた犯罪の捜査及び訴追の一環として、米国内に存在するデータへアクセスすることが可能となる。


[2] Stored Communications Act, 18 U.S.c, §§ 2701-2712

[3] United States v. Microsoft Corp., 584 U.S._ (2018).<https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf>

(2)日本企業への影響

 クラウド法の成立により、米国に所在する企業は、米国政府からデータ開示要求がある場合には、たとえ当該データの物理的な保管場所が海外である場合でも、その要求にこたえる必要が生じる。つまり、日本から米国に進出して現地法人を設立している日本企業が、日本国内のサーバにデータを保管している場合であっても、米国政府からの情報開示に従う必要が生じることとなる。この場合、当該日本企業は、開示をしなければ米国法に、開示をすれば日本法(個人情報保護法等)に違反するという板挟みの状況に陥るおそれがある。日本の個人情報保護法には、「法令に基づく場合」は保護義務の例外とする規定があるが、この法令とは「日本法」のことで、外国の政府からの命令に応じることはこの例外規定にはあたらないと解されており、個人情報保護委員会も同様の立場を明示しているからである[4]

なお、クラウド法では、強制開示に例外が設けられている。すなわち、

①プロバイダーが、顧客が米国民でなく、米国に居住していないと合理的に信じる場合

②プロバイダーが、開示を行うことがデータの所在する国の法律に違法する重大な危険があると合理的に信じる場合  

③その国がクラウド法で認可された米国との行政協定を締結している場合

という3つの要件を満たす場合、企業は強制開示に応じなくてよいとされる[5]

 しかし、行政協定締結の要件は厳しく設定されていることから、強制開示を拒否できる可能性はそれほど大きくないと指摘されている[6]

 そのため、米国へ事業展開をしつつも、日本国内のサーバにデータを保管しておくという企業においては、データの管理方法や、情報開示を要求された際の対応について、あらかじめ十分に検討しておくことが望ましいだろう。


[4] 松平浩一衆議院議員提出「米クラウド法と個人情報保護法上の対応に関する質問に対する答弁書」内閣衆質198第227号<http://www.shugiin.go.jp/internet/itdb_shitsumon_pdf_t.nsf/html/shitsumon/pdfT/b198227.pdf/$File/b198227.pdf>

[5] Stephen P. Mulligan「Cross-Border Data Sharing Under theCLOUD Act」2018.4.23.<https://fas.org/sgp/crs/misc/R45173.pdf>

[6] 佐藤智晶「データ利用に関する契約の周辺ー海外同行、特に米国の連邦トレード・シークレット保護法とCLOUD.Actを中心にー」『青山法学論集』60(3),2018.12

3 日本の状況

(1)我が国における裁判例

 国外にあるサーバのデータを捜査機関が取得することが問題とされた裁判は、日本においても存在する。以下、2つの事例を紹介する。

ー東京高裁平成28年12月7日判決

 本件は、被告人が、インターネットを通じて運転免許証偽造や放火の実行犯を募集し、メールを用いて共謀を行い実行に至ったという事件である。

 警察官らはいわゆるリモートアクセスによる複写処分が許可された捜索差押許可状(以下、「リモートアクセス令状」という。)により被告人方等の捜索を実施し、パソコンを差し押さえたが、捜索・差押えの時点では、パソコンにログインするパスワード等が不明であり、リモートアクセスによる複写の処分ができなかった。

 その後、警察官らは、パソコンのハードコピーを作成、解析して、メール内容を蔵置するサーバにアクセスするためのパスワード等を把握した。そこで、警察官らは、メールサーバへのアクセスも検証のために必要な処分(刑訴法222条、129条)として許容されると考え、改めてパソコンを対象とする本件検証許可状の発付を得たうえで、サーバにアクセスして、メールをダウンロードし、保存するという本件検証を行った。

 この事案について、東京高裁は、

「本件検証は、本件パソコンの内容を複製したパソコンからインターネットに接続してメールサーバにアクセスし、メールなどを閲覧、保存したものであるが、本件検証許可状に基づいて行うことができない強制処分を行ったものである。しかも、そのサーバが外国にある可能性があったのであるから、捜査機関としては、国際捜査共助等の捜査方法をとるべきであったものともいえる。そうすると、(中略)本件検証の違法の程度は重大なものと言え、このことなどからすると、本件検証の結果である検証調書及び捜査報告書について、証拠能力を否定した原判決の判断は正当である。

と判示し、検証許可状で行うことができない捜査であったことに加え、主権侵害の可能性を考慮し、結論として証拠能力を否定している。

ー大阪高裁平成30年9月11日判決

 本件は、わいせつ電磁的記録媒体陳列等の罪につき、リモートアクセス令状に基づいて、被告人と共犯者らが共謀の上管理するサーバに対して、役員や従業員らから任意の承諾を得て、その承諾にその承諾に基づいて、リモートアクセスして米国に本社があるGoogleの提供するメールサーバ等からメール等をダウンロードして収集し、パソコン上に管理画面等を表示させてその画面を検証許可状に基づいて検証し写真撮影するなどして証拠を収集した事案である。

 この事案について、大阪高裁は次のように判示している。

「我が国の捜査機関が,国際捜査共助の枠組み等により相手国の同意ないし承認を得ることなく,海外リモートアクセス等の処分を行った場合には,強制捜査であれ,任意捜査であれ,その対象となった記録媒体が所在する相手国の主権を侵害するという国際法上の違法を発生させると解する余地がある。そして,相手国の主権を侵害しており,国際法上の違法があるといえる場合には,この違法が当該捜査手続に刑訴法上も違法の瑕疵を帯びさせることになると考えられる。  しかしながら,相手国が捜査機関の行為を認識した上,国際法上違法であるとの評価を示していればともかく,そうではない場合に,そもそも相手国の主権侵害があったといえるのか疑問がある。その点は措いて,外国の主権に対する侵害があったとしても,実質的に我が国の刑訴法に準拠した捜査が行われている限り,関係者の権利,利益が侵害されることは考えられないのであり,本件においては,後に詳論するとおり,リモートアクセス等は,実質的に司法審査を経た本件捜索差押許可状に基づいて行われていると評価することができるのであるから,被告人らに,このような違法性を主張し得る当事者適格があるかどうかも疑問である。しかも,違法収集証拠として証拠能力が否定されるのは,捜査手続に令状主義の精神を没却するような重大な違法があって,これを証拠として許容することが将来における違法な捜査の抑制の見地から相当でないと認められる場合に限られるから,上記主権侵害から生じた違法は,それだけで直ちに当該捜査手続によって得られた証拠の証拠能力を否定すべき理由とはなり得ないというべきである。」

 本判決も、先の東京高裁と同様、リモートアクセス令状により、海外にあるサーバに保管されているデータの差押え等の処分について、相手国の主権を侵害する国際法上の違法を発生させると解する余地があるとし、その違法が刑訴法上も違法である可能性が否定できないとした。

 しかし、相手国が捜査機関の行為を認識していない場合には主権侵害が起きるかどうか疑問とした上で、「被告人らに、このような違法性を主張しうる当事者適格があるかどうかも疑問」とする当事者適格否認の法理を持ち出して、海外サーバからのデータ収集による証拠排除の主張を退け、結論としては証拠能力を肯定した。

(2)リモートアクセスと主権侵害

 両判決は証拠能力に関する結論は別にするものの、共通しているのは、サーバが他国にある場合のリモートアクセスは当該他国の主権侵害を惹起すると評価する点である。この点に関しては、日本政府も、リモートアクセスを許容する法改正の時点から現在に至るまで一貫して、サーバが他国にあると疑われる場合は、当該他国の主権との関係で問題を生じる可能性を考慮し、リモートアクセス令状によらず捜査共助等を利用する運用が望ましいとしている[7]

 しかし、サーバが少しでも海外に存在する可能性がある場合に捜査を禁止することは、実質的にはリモートアクセスによる捜査を不可能とするものである。そのような硬直的な解釈では、増大する越境捜査の必要性に対してあまりに不都合ではなかろうか。

 一方、米国での議論を参照すると、Microsoft訴訟においては、SCAが国外に保管されているデータにも適用されるかという点が問題とされたにとどまり、外国の主権侵害という点は何ら問題とされていなかった。また、クラウド法は、米国の捜査当局が他国所在のサーバに対しても執行管轄権を行使できることを前提としているし、クラウド法について反対する見解が指摘するのも専らデータ保護との関係であり、それによる外国の主権侵害という点は問題とされていないようである[8]。このような米国と日本の議論状況の違いには、日米の越境捜査に関する態度の違いが如実に表れているように思われる。

 そもそも、他国の領域における捜査活動であっても、当該他国居住者の権利の制約を伴わないインターネットを通じた任意の情報収集活動は、諸外国において一般に許容されている。また、外国サーバに対するリモートアクセスが主権侵害であるとする確立した国際法は存在しないと言われており、外国サーバに対するリモートアクセスは広範囲の国で行われているとの報告もなされているところである[9]

 サイバー犯罪条約もその32条において、「公に利用可能な蔵置されたコンピュータ・データにアクセスする場合」または「コンピュータ・システムを通じて当該データを自国に開示する正当な権限を有する者の合法的なかつ任意の同意が得られる場合」には、締約国は他の締約国の許可なしにそのデータにアクセスすることができるとする[10]

 このような国際理解と条約の定めを考慮するならば、外国の主権侵害への配慮は、捜査権が少しでも外国に及ぶか否かではなく、実質的に外国居住者の権利を侵害しているか否かにより判断すべきとの見解も主張されており、妥当な指摘と思われる[11]。国家主権の侵害という抽象的危険を過度に重視するあまり、具体的危険を生じさせている犯罪の捜査が困難となっている解釈、運用は見直される必要があるであろう。


[7] 令和元年5月31日衆議院法務委員会における松平浩一衆議院議員に対する小山政府参考人答弁。

[8] 川出敏裕「コンピュータ・ネットワークと越境捜査」酒巻匡,大澤裕,川出敏裕編著『井上正仁先生古希祝賀論文集』有斐閣.2019.2

[9] 山内由光「判例研究 検証許可状に基づき押収済みのパソコンから海外メールサーバに接続した捜査に重大な違法があるとして証拠が排除された事例」『研修』832,2017.10

[10] 「サイバー犯罪に関する条約(訳文)」<https://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4a.pdf>

[11] 四方光「刑事裁判例批評(372) 押収済みのパソコンから検証許可状に基づき海外メールサーバにリモートアクセスを行った操作に重大な違法があるとして証拠排除した事例」『刑事法ジャーナル』No.58,2018.11

(3)司法共助等の限界

 リモートアクセスによる捜査ができない場合、現状では捜査共助等を利用することになるが、それで果たして迅速かつ適切な捜査は可能なのだろうか。

 以下の表は、法務省の「犯罪白書(平成30年版)」[12]に掲載されている捜査共助等件数の推移である。依頼数、受託数とも年によってばらつきがあるものの、緩やかに増加傾向であるようである。

 この数字だけでは捜査共助等による対応が限界であるとまでは断定はできないが、サイバー犯罪に係る捜査共助の依頼件数は主要国では膨大な数になっており、捜査共助は申請から相当の期間(約10ヶ月程度)を要するとも言われる。捜査力が逼迫している諸外国は、外国からの共助依頼に容易に応じることができない状況に陥っているのが現実であるとも指摘されている。また、先に述べた文書送付嘱託書(Letters Rogatory)は、裁判所が他国の裁判所に証拠の保全と開示等を依頼するものであるが、これも必ずしも実効性が高いものではないと言われている[13][14]

 さらに、捜査共助を含む国際司法共助一般においては、伝統的に「双罰性(双方可罰性)」の存在が要件とされている。つまり、ある行為が共助の請求国と被請求国の双方において犯罪であることが司法共助の要件となっているのである[15]。この双罰性の有無の検討は、共助の請求国にとっても、被請求国にとっても、多大な時間と労力を要する作業である。結果として、双罰性を満たさない場合、捜査共助等を利用することはできないことになる(例えば、上記大阪高裁平成30年9月11日判決の事案は、対象となった犯罪が性表現物に関するものであり、双罰性要件を満たしていない[16])。

 このような事情に加え、国際的なネットワーク犯罪については捜査の迅速性が特に要求されることも踏まえると、司法共助等による対応には限界があり、日本においても、国際司法共助等に頼ることなく外国に所在するデータへのアクセスを捜査機関に認める法的手当てが必要であることは明らかであろう。その方法についても、米国のクラウド法のような立法によるのか、各国との条約や協定を整備するのか、具体的な議論がなされることが必要である。


[12] 『平成30年版 犯罪白書』(第2編/第6章/第3節)
<http://hakusyo1.moj.go.jp/jp/65/nfm/n65_2_2_6_3_1.html>

[13] 前掲四方

[14] 前掲佐藤

[15] 洪恵子「国際協力における双方可罰性の現代的意義について㈠」『三重大学法経論叢』第18巻第1号,2000.9

[16] 指宿信「海外サーバからの電磁的記録媒体の差押え等の適法性が争われた事例」(大阪高裁平成30.9.11)『新・判例解説 Watch』2018.12.21.(TKCローライブラリー)

4 政府に期待される対応

 2004年7月のサイバー犯罪条約の発効(日本では2012年11月1日に効力発生)[17]から15年以上が経過し、様々な新たな問題が発生してきている。世間の耳目を集めた暗号資産(仮想通貨)の流出事件などはその典型例であろう。各国とも対応の必要性を認識し、同条約の追加議定書をしていくことが正式に決定している[18]

 国際的な条約や協定による対応の推進ももちろん必要な作業である。しかし、他国が国内法での立法していく動きを見せる中、日本国内の法整備やその運用が他国から遅れてしまうことは避けなけばならない。サイバー犯罪は場所を選ばない犯罪であり、捜査・執行が諸外国と比べ十分にできないことになれば、日本が犯罪の標的になる可能性も高まるであろう。

 政府は、時代に合わせるだけでなく、時代の先を読むサイバー犯罪捜査の枠組みを、国内、国外において整備することに今以上に尽力すべきであろう。


[17] 外務省HP「国際組織犯罪に対する国際社会と日本の取組」<https://www.mofa.go.jp/mofaj/gaiko/soshiki/cyber/index.html>

[18] 前掲山内