「ウイルス罪」という法律が存在していることを知っている一般人は一体どれくらいいるでしょうか。また、そのウイルス罪に悩まされている業種があることも、あまり知られていないように感じます。
他方で、IT技術者の間では、「何をしたときに有罪になるのか」が曖昧なまま、ウイルス罪による検挙が相次いでいるため、不安を感じている方もいるようです。
ウイルス罪の概要
ウイルス罪とは、正式名称を「不正指令電磁的記録に関する罪」といい、同罪を新設した刑法改正案は2011年6月に成立し、同年7月14日に施行となっています。
ウイルス罪で処罰の対象とされるのは、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」「上記に掲げるもののほか、上記の不正な指令を記述した電磁的記録その他の記録」です。刑法の条文ではこの処罰対象に関する各行為が類型化されています。
- 刑法第168条の2
- 1項 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。
- 1号 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電子的記録
- 2号 前号に掲げるもののほか同号の不正な指令を記述した電磁的記録その他の記録
- 2項 正当な理由がないのに、前項第1号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
- 1項 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。
- 刑法第168条の3
- 正当な理由がないのに、前条第1項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。
非常に分かりにくい文言で書かれていますが、警視庁のウイルス罪解説ページの言葉を引用すると以下のような位置づけになっています。
- 第168条の2第1項が「ウイルス作成・提供罪」
- 第168条の2第2項が「ウイルス供用罪」
- 第168条の3が「ウイルスの取得・保管罪」
ウイルス罪とサイバー犯罪に関する条約
この法律が新設された背景には、国内的なサイバー犯罪への対応の側面に加えて、国際的な動きが大きく関係しています。それが、「サイバー犯罪に関する条約」の採択、また同条約への日本の署名です。
この条約は、世界のIT化に伴いサイバー犯罪の出現が目立つようになり、さらにその犯罪行為は国境を越えて広範な影響を及ぼすという特性から、各国の法制に共通の指針を設け国際的な操作を円滑にするという目的のもと生まれたものです。2001年にハンガリーのブタペストで署名式典が開催され、日本も署名を行いました。
当時の日本国内法は、ウイルスの作成や提供自体は処罰の対象となっておらず、またネットワークが発達する以前の法律ということもありスタンドアローンのコンピューターに対する犯罪を想定していた点や、実害が発生する前の段階での摘発が難しかった点が弱点でした。
条約に署名を行ったことによって、このような旧態依然とした法体制を改善し、コンピューターウイルスについて時代に即した形で犯罪として定め、刑事手続きを整備することが求められたのです。
ウイルス罪成立への要請
かくして、2004年にはコンピューターウイルスの「作成」や「提供」など、従前の法律では処罰の対象とされていなかった段階についても刑事罰を科す刑法改正案が国会に提出されました。
しかし、改正案が成立したのは2011年でした。このタイムラグはなぜ生まれたのでしょうか。
実は、2004年の改正案では、共謀罪がセットで提出されていました。しかし、野党が共謀罪の成立に反対を示したためスムーズに成立に至らなかったのです。
当然その間にも、既存の法律では摘発不可能なサイバー犯罪は進化しました。法案が提出された2004年ごろからは、ウイルスが組織的犯罪の武器として利用されるようになり、例えば多様なトロイの木馬が現れクレジットカード番号やパスポート情報など個人情報を窃取する動きが見られるようになりました。
2008年にはウイルス作成者が逮捕された事例がありますが、容疑はウイルスの一部に画像を無断転載したことによる「著作権法違反」とされており、既存の法律でサイバー犯罪に対応していくことの限界が滲み出ていました。
こうして、ウイルス罪の成立待ったなしの状態まで来ていた2011年6月、結局は共謀罪の部分を削除することで、ウイルス罪を新設する刑法改正案が国会で成立することになりました。
ウイルス罪が抱える問題点
以上のような経緯を踏んで成立したウイルス罪の内容は、おおむね「サイバー犯罪に関する条約」に準拠しています。例えば不正なプログラムの作成・提供・取得などを刑事罰の対象とする点、犯罪を目的としない行為は罰しない点は同じです。
一方、国内法と条約の間には異なる点もあります。刑法に定められる犯罪が成立したとされるための要件を構成要件といいますが、国内法ではこの構成要件が極端にあいまいに定められているのです。条約と国内法の構成を整理すると次のようになります。
サイバー犯罪に関する条約の構成
- 犯罪の類型化
「違法なアクセス」「違法な傍受」「データの妨害」「システムの妨害」の4類型 - 処罰の対象
上記4類型の犯罪を行うために使用されることを意図して次のものを製造し、販売し、使用のために取得し、輸入し、頒布し又はその他の方法によって利用可能とすること - 違法性阻却事由
規定する製造、販売、使用のための取得、輸入、頒布若しくはその他の方法によって利用可能とする行為又は保有が、4類型の犯罪を行うことを目的としない場合に刑事上の責任を課するものと解してはならない。
ウイルス罪の構成
- 犯罪の類型化
なし - 処罰の対象
(利用者の)意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録 - 違法性阻却事由
なし
国内法において処罰の対象になるかどうかの判断は「ウイルス罪」に該当するかによって判断されます。つまり、「(利用者の)意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」であるかどうかだけです。
「サイバー犯罪に関する条約」と比較すると、非常に広く犯罪と解釈できる余地が与えられています。
例えば、コンピューターシステムの正当な試験や保護のために行われる開発であっても、その内容によっては「不正指令電磁的記録作成罪(ウイルス作成罪:第168条の2第1項)」によって処罰の対象となってしまう恐れがあります。
曖昧なウイルス罪の処罰対象
なぜ、「ウイルス罪」はこのようにあいまいな法律になってしまったのでしょうか。サイバー犯罪に関する条約との最大の相違点は法律の構成の違いにあります。
「サイバー犯罪に関する条約」は、前述4類型の犯罪の準備段階の行為を取り締まる「予備的犯罪」として構成要件を絞っています。
他方、「ウイルス罪」は、予備的犯罪という位置付けで構成要件を絞らず、「プログラムに対する社会一般の者の信頼」という非常に広い範囲を保護法益とする罪として構成されているのです。
この理由について当時の立法担当者は、「仮に4つの類型に従って定められる犯罪を主として行うために設計又は調整されたものに限定するということになると、例えば、使用者の意図に反して電子メールを送信してしまうようなウイルスなどのプログラムが入らないことになるなど、相当性を欠く場面も多いというように考えている」という趣旨の説明をしています。
かくして、「ウイルス罪」は、「サイバー犯罪に関する条約」では犯罪に類型化されていないような、「マルウェア」と呼ばれるウイルスを摘発できるようになりました。
しかし半面、「利用者の意図に反する」という理由で、実害を想定していないジョークプログラムや、「サイバー犯罪」に該当するとは思えないような軽微な行為までもが、犯罪として逮捕できてしまうことにもなりました。
ウイルス罪による検挙例
Wizard Bible事件
情報セキュリティやハッキングに関する情報技術を提供するウェブサイト「Wizard Bible」上に投稿をしていたサイト利用者が、「不正指令電磁的記録作成の罪」で逮捕。さらに、その利用者が投稿した記事の内容がウイルスのプログラムを公開したものであるとして、サイト管理者が「不正指令電磁的記録提供の罪」で逮捕された。その後サイトは閉鎖に追い込まれている。問題とされたプログラムは「トロイの木馬型マルウェアについて」という題の解説記事に記載されていたものの、実際には基本的なプログラムの一つで専門知識がなければ悪用は難しいものであった。このように、無害な使用にも必要であるが利用の仕方では悪用も可能、というもので、ウイルスとされることに些か疑問を覚えるこの摘発について、エンジニアや研究者らの間では「研究の萎縮を招きかねない」と批判が起こった。
Coinhive事件
ウェブサイトに暗号通貨のマイニングを行わせるCoinhiveを設置し、サイトの観覧者に無断でマイニングを行わせていたとして不正指令電磁的記録に関する罪で検挙された。
法的判断においては、条文の「意図に反する動作をさせる」の部分の解釈について、当該行為が保護法益を害するほどのものであるのかという点・「実行の用に供する目的で」の部分の解釈について、設置者が当該行為を「不正指令電磁的記録に当たると認識認容しつつ」行ったのかという点が問題となった。
結局、Coinhiveについては、反意図性はあるが利用者の反応は賛否両論であり、社会的許容がなかったとは言えず不正性がない点・設置者は試験的導入をしていたのであり「ウイルスと認識して」設置したのではない点から無罪となった。
また裁判所は、警察によるCoinhiveの検挙に対して「新技術が出現した際に警告もなく、きちんとした調査もせず、刑事罰を適用するのはいきすぎである」という批判の意も示している。
アラートループ事件
パソコンの画面に特定の文字が表示され続ける不正なプログラムに誘導するリンクを張り付けたとされる中学生や大学生らが摘発された。
このプログラムはいわゆる「ジョークプログラム」と呼ばれるもので、IT技術者界隈では文字通りちょっとジョーク程度のものとして捉えられている。利用者にとってはパソコンが壊れたり、データを破損したりなどの影響はなく、観覧ソフト自体を終了すれば画面を消すことができるようになっているものに、不正なプログラムとしてウイルス罪を適用させた摘発となり「不正の線引きがあいまいなまま法律が厳しく運用されていて、正当なプログラムの作成・提供にも影響を及ぼす」と危惧されている。
今後の運用における課題
課題は言うまでもなく、構成要件のあいまいさの改善、つまりは有罪と無罪の線引きを明確にしていくことでしょう。元を正せばウイルス罪は、サイバー犯罪に関する条約を締結するにあたり必要とされた国内法の整備でした。そして同条約が目的としたのは、国境が意味をなさないような不正アクセスや通信傍受、システム破壊といったサイバー犯罪です。
しかし現在のウイルス罪は、類型に縛られずどのようなウイルスも摘発できるようにしようとした結果、本来の目的を見失ったように例えば「ジョークプログラム」などの軽微な事例を、厳格に摘発することに威力を発揮してしまっています。
もちろん、軽微であればすべてが見逃して良い事例かと問われればそれは間違いでしょうが、法律が本来の目的とは異なった方向性で運用されうることには法律家として危険を感じます。
要件の明確化
法律の明確な要件下での運用という点について、例えば、イギリスでは「コンピューター不正使用法1990」において起訴にあたって検察官が考慮すべき点を明記し、国民にも公開しています。
また、アメリカでは、司法省のCCIPSが官民各機関と連携し、サイバー犯罪において捜査官や検察官に適切な助言を与えられる環境を整えています。日本でも、民間の情報通信技術の研究機関と捜査機関の間で情報共有を行う、JC3という機関があり、諸外国と同様の働きが期待されます。
また、ウイルス罪は「法定犯」ではなく「自然犯」として扱うべきであるという意見も根強くあります。
「自然犯」とは、刑法に定められるまでもなく当然に反社会的・反道義的とされる犯罪を指します。例えば、放火・窃盗・殺人など「通常人であれば誰がされても嫌だと思う犯罪」です。
対して、「法定犯」とは、行政上の目的のために定められた法規に違反する犯罪を指します。
ウイルス罪においては、むやみに適用範囲を広げないためには、行政的な視点(法定犯)からよりも、「誰もが嫌だと感じるプログラム」について刑罰を科すべき(自然犯)という見解が有力です。
現状、刑法と実際に運用されている情報セキュリティ、さらに一般的な利用者の間にはウイルスの認識について大きな溝があると言わざるをえません。
研究者が新技術の開発に対して萎縮してしまうということは、進化していくサイバー犯罪に対応する新しい技術の発展にとっても大ブレーキとなってしまいます。法益の保護も大切ですが、国益の保護のため、官民が密な情報共有を行いながら具体的な運用ガイドラインを作成していくなどの対策が、早急に求められます。
