東北大学法学研究科 金谷吉成 <kanaya@law.tohoku.ac.jp> 2016年12月8日 2016年度法情報学演習 第9回 サイバー犯罪 2016年12月8日(木) 東北大学法学研究科 金谷吉成 <kanaya@law.tohoku.ac.jp> 2016年度法情報学演習 2016年12月8日 2016年度法情報学演習
最近の話題 防衛省にサイバー攻撃 共同通信は、防衛省と自衛隊が共同で利用する「防衛情報通信基盤」がサイバー攻撃を受け、陸上自衛隊のシステムに侵入されていたと報じた(2016年11月28日) 防衛大・防衛医大のPCが不正アクセスの被害に遭い、このPCを「踏み台」として陸自システムに侵入 陸自は「情報の流出はない」と説明しているが……? 国家の防衛を脅かす深刻な事態 (出典)中日新聞 2016年11月28日朝刊 2016年12月8日 2016年度法情報学演習
サイバー犯罪、ハイテク犯罪 インターネット サイバー犯罪の3類型(警察庁・サイバー犯罪対策) 多種多様な情報が流通 有益なもの、無益なもの 個人の権利を侵害するもの 社会的に有害な情報 サイバー犯罪、ハイテク犯罪 サイバー犯罪の3類型(警察庁・サイバー犯罪対策) コンピュータ・電磁的記録対象犯罪 データやコンピュータそのものを対象 ネットワーク利用犯罪 ネットワークを利用する以外の手段でも可能であるが、特にコンピュータ・ネットワークを利用して行われる犯罪 不正アクセス(不正アクセス禁止法違反) 2016年12月8日 2016年度法情報学演習
警察庁「平成27年におけるサイバー空間をめぐる脅威の情勢について」9頁(2016年3月) http://www.npa.go.jp/kanbou/cybersecurity/H27_jousei.pdf 2016年12月8日 2016年度法情報学演習
日本法の対応:刑法による規制 1960年代以降、銀行のオンライン化 電磁的記録(1987〔昭和62〕年改正) 刑法の改正による規制 刑法7条の2 この法律において「電磁的記録」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。 2016年12月8日 2016年度法情報学演習
閑話休題:「その他」と「その他の」 法令用語として使い分けられている 例)刑法7条 この法律において「公務員」とは、国又は地方公共団体の職員その他法令により公務に従事する議員、委員その他の職員をいう。 「その他の」の前に出てくることばは、後に出てくることばの一部をなすものとして、例示的な役割を果たす趣旨で使われる 「その他」の前にあることばと後にあることばは、全部対一部例示の関係にあるのではなく、並列的な関係にある 例外)憲法21条1項「集会、結社及び言論、出版その他一切の表現の自由」 憲法改正するなら「その他の」にすべきだろう 2016年12月8日 2016年度法情報学演習
コンピュータ・電磁的記録対象犯罪 刑法の改正による規制 インターネットの普及によって、新しいタイプの犯罪が生まれている 電子計算機損壊等業務妨害罪(第234条の2) コンピュータ本体を破壊したり、データを消失させたりする行為 2011年改正により、未遂犯の処罰規定追加(2項) 電子計算機使用詐欺罪(第246条の2) 銀行の預金元帳ファイルを書き換えて預金残高を増やす行為 電磁的記録不正作出及び供用の罪(第161条の2) 陸運局の自動車登録ファイルを書き換える行為 支払用カード電磁的記録に関する罪(第163条の2~第163条の5)(2001〔平成13〕年改正) クレジットカード情報の偽造(支払用カード電磁的記録不正作出罪) 偽造クレジットカードの所持(不正電磁的記録カード所持罪) クレジットカードのスキミング(支払用カード電磁的記録不正作出準備罪) インターネットの普及によって、新しいタイプの犯罪が生まれている 例)ウェブページの改ざんによる業務妨害 2016年12月8日 2016年度法情報学演習
スキミングの例 キャッシュカードや クレジットカード情報 の不正取得 カードの磁気情報を 読み取るとともに、 カメラで暗証番号を 撮影 (出典)セブン銀行「ATM利用時のスキミングにご注意ください」(2013年) http://www.sevenbank.co.jp/support/info_skimming.html 2016年12月8日 2016年度法情報学演習
ネットワーク利用犯罪 ネットワークを利用した犯罪 他の手段によっても可能な犯罪 名誉毀損や侮辱など個人の人格権を侵害するもの 著作権など知的財産権を侵害するもの わいせつ罪、詐欺罪、自殺幇助にあたるもの 麻薬や覚醒剤などの売買、児童買春等の周旋など 通常の犯罪にあたるものでネットワークを利用してなされうるあらゆるものがこれに含まれる インターネットの特質が問題になる 匿名性、即時伝播性 2016年12月8日 2016年度法情報学演習
ネットワーク利用犯罪とインターネット 情報の発信そのものが犯罪を構成するもの 情報の交換を犯罪の手段として利用するもの ↑ わいせつ物公然陳列、児童ポルノ頒布、名誉毀損、著作権侵害、その他違法情報の発信 ネットワークの直接的利用 情報の交換を犯罪の手段として利用するもの 出会い系サイトを介した児童買春の誘引、ネットオークションや掲示板を利用した詐欺、覚醒剤や銃刀などの密売、無許可での薬品販売 ネットワークの間接的利用 ↑ インターネットの特質が問題になる 例)わいせつ物公然陳列など(サイバーポルノ)の場合 デジタル情報そのものやハードディスクはわいせつ図画・物にあたるか? 公然陳列とはどのような行為か? 2016年12月8日 2016年度法情報学演習
不正アクセス コンピュータへの無権限のアクセス こうした無権限のアクセスを「不正アクセス」として規制 電磁的記録対象犯罪は、電磁的記録である情報が不正に改ざんされたり、作出されたりするという実質的被害の存在を要件とする しかし、これらの犯罪の実行には、その前段階である、コンピュータへの無権限アクセスが必要である場合が多い こうした無権限のアクセスを「不正アクセス」として規制 不正アクセス禁止法 2016年12月8日 2016年度法情報学演習
不正アクセス行為の禁止等に関する法律 (以下「不正アクセス禁止法」という) 2016年12月8日 不正アクセス禁止法の整備① 電磁的記録対象犯罪に対しては、刑法の改正で対応 例)オンライン化した銀行の端末機を操作し預金残高のデータを改ざんして不当に利得する行為 電子計算機使用詐欺罪(第246条の2)、電子計算機損壊等業務妨害罪(第234条の2)等 しかし、インターネットを介してデータを改ざんする等の行為には、そのコンピュータにアクセスすることが前提となる クラッキング行為をはじめとするコンピュータやデータへの無権限者による不正アクセスは、処罰の対象とされていなかった こうしたコンピュータへの無権限のアクセス自体を不正として禁止しようとするものが…… 不正アクセス行為の禁止等に関する法律 (以下「不正アクセス禁止法」という) 1999年 2016年12月8日 2016年度法情報学演習 2016年度法情報学演習
不正アクセス禁止法の整備② 警察庁、郵政省、通産省の共同提出 警察庁は、犯罪捜査に欠かせないとして、ISP等の管理者に対して通信履歴(ログ)保存の義務化を主張 これに対し、郵政省は、通信の秘密の観点から難色を示して対立 ログ保存の義務化は法案に盛り込まれず 2016年12月8日 2016年度法情報学演習
2011年の刑事訴訟法改正 情報処理の高度化等に対処するための刑法等の一部を改正する法律 接続サーバ保管の自己作成データ等の差押えの導入 差押対象物たるコンピュータで作成したメールを保管しているメールサーバや,当該コンピュータで作成した文書ファイルを保管しているストレージサービスのサーバなどからデータを複写して差し押さえる 記録命令付差押えの新設 プロバイダ等をしてサーバコンピュータ等から必要なデータをCD-R等に記録等させて,これを差し押さえる 電磁的記録に係る記録媒体の差押えの執行方法の整備 コンピュータ等の差押えに代えて,必要なデータをCD-R等に複写等した上で、これを差し押さえる 電磁的記録に係る記録媒体の差押えを受ける者等への協力要請の規定の整備 通信履歴の電磁的記録の保全要請の規定の整備 プロバイダ等が業務上保管している通信履歴(通信の送信先、送信元、通信日時など。通信内容は含まない。)のデータについて、30日を超えない期間(60日まで延長可)消去しないよう求めるもの(刑訴法197条3項) 電磁的記録の没収に関する規定の整備 2016年12月8日 2016年度法情報学演習
不正アクセス禁止法の目的(1条) 不正アクセス行為の禁止、罰則 都道府県公安委員会による援助措置 電子計算機に係る犯罪の防止 電気通信に関する秩序の維持 高度情報通信社会の健全な発展に寄与する 2016年12月8日 2016年度法情報学演習
用語の定義(2条) アクセス管理者 識別符号 アクセス制御機能 ネットワーク接続された電子計算機の動作を管理する者 内容を第三者に知らせてならないとされる符号 ID・パスワード 利用権者の身体の影像又は音声を用いた符号 バイオメトリクス情報:指紋、虹彩、声紋、静脈パターン 利用権者の署名を用いた符号 手書き入力 アクセス制御機能 特定電子計算機、または電気通信回線を介して接続された他の特定電子計算機に付加された機能 利用権者が入力した符号が、正しい識別符号であることを確認して、利用の制限を解除するもの 2016年12月8日 2016年度法情報学演習
不正アクセスの定義(2条4項) 他人の識別符号を入力する行為(識別符号窃用型)(1号) 他人のID・パスワードを悪用 制限を免れるための情報・指令を入力する行為(セキュリティ・ホール攻撃型)(2号) アクセス制御が、電気通信回線を介して接続された他のコンピュータにおいて行われる場合も同様(3号) プログラムの不備(脆弱性)を衝いた攻撃 攻撃対象の 特定電子計算機 認証連携 ①他人のID・パスワードを入力 ②セキュリティ・ホールを衝いた攻撃 ③セキュリティ・ホールを衝いた攻撃 アクセス制御機能を有する 特定電子計算機 2016年12月8日 2016年度法情報学演習
「何人も、不正アクセス行為をしてはならない。」 不正アクセス行為の禁止(3条) 「何人も、不正アクセス行為をしてはならない。」 3年以下の懲役又は100万円以下の罰金 (11条) 2012年改正で法定刑引き上げ(従来は1年以下の懲役又は50万円以下の罰金) 条約により国外犯として罰せられる場合(刑法4条の2)を含む(14条) 日本では、2012年11月1日より、サイバー犯罪条約の効力発生 条約により、外国でも犯罪となる行為であれば適用する 2016年12月8日 2016年度法情報学演習
不正取得(4条)、不正保管(6条)の禁止 不正アクセスの目的で、他人の識別符号を取得する行為(識別符号不正取得型) 不正アクセスの目的で、不正に取得した他人の識別符号を保管する行為(識別符号不正保管型) 2012年改正で新設 他人のID・パスワードの不正流通を防ぐため、不正アクセスに至る一連の行為に規制を拡大 1年以下の懲役又は50万円以下の罰金 (12条) 2016年12月8日 2016年度法情報学演習
他人の識別符号を、アクセス管理者及び利用権者以外の者に提供する行為(識別符号無断提供型) 不正アクセスを助長する行為の禁止(5条) 他人の識別符号を、アクセス管理者及び利用権者以外の者に提供する行為(識別符号無断提供型) 2012年改正で、処罰範囲拡大 従来は、他人のID・パスワードを、そのID・パスワードがどのウェブサイトに対するID・パスワードであるかを明らかにして提供する行為を禁止していた しかし、近年、同一のID・パスワードを多数のサイトで使い回す例が一般化しているため、上記のような限定を除く改正が行われた 1年以下の懲役又は50万円以下の罰金 (12条) 2016年12月8日 2016年度法情報学演習
フィッシング行為の禁止(7条) 識別符号の入力を不正に要求する行為 (フィッシング行為型) 1年以下の懲役又は50万円以下の罰金 (12条) アクセス管理者になりすまし、その他アクセス管理者であると誤認させて、アクセス管理者がID・パスワードの入力を求める旨の情報を閲覧させる行為 1号=サイト構築型 フィッシングサイトを公開することを手口とするフィッシング行為 2号=メール送信型 フィッシングサイトを用いず、電子メールによってID・パスワードを詐取しようとするフィッシング行為 1年以下の懲役又は50万円以下の罰金 (12条) 2016年12月8日 2016年度法情報学演習
フィッシング行為 1号(サイト構築型) ○×銀行 「識別符号の入力を求める情報」を、自動公衆送信により公衆が閲覧できる状態に置く ID・パスワードを入力してログインしてください ID: パスワード: ログイン 「識別符号の入力を求める情報」を、自動公衆送信により公衆が閲覧できる状態に置く 2号(メール送信型) 「識別符号の入力を求める情報」を、電子メールにより利用権者に送信する 添付ファイル型 HTMLメール型 2016年12月8日 2016年度法情報学演習
フィッシング行為の例 三菱東京UFJ銀行を騙るフィッシングメールが出回っている 目立つところに注意喚起が表示されているが、偽サイトは注意喚起までそっくりそのままコピー 以下のようなメールが届くが、電子メールでパスワードの入力を求めることはないので、注意 メールアドレスを確認する 件名:三菱東京UFJ銀行-メールアドレスの確認 本文: これは「三菱東京UFJ銀行」から送信されたアカウント確認のメールです。 お使いのメールアドレスを確認してください。 リンク先は偽サイト 2016年12月8日 2016年度法情報学演習
アクセス管理者による防御措置(8条) 識別符号又はそれを確認するために用いる符号の適正な管理 アクセス制御機能の有効性の検証 必要に応じた機能の高度化 その他不正アクセス行為からの防御措置 努力規定にとどまっている 2016年12月8日 2016年度法情報学演習
都道府県公安委員会による援助措置等(9条、10条) アクセス管理者から援助を受けたい旨の申出があった場合は、必要な資料の提供、助言、指導その他の援助を行う 不正アクセス行為の防御に関する啓発・知識の普及(2012年改正により追加) 国による援助 不正アクセス行為の発生状況の公表 アクセス制御機能に関する技術の研究開発状況の公表 情報セキュリティ関連事業者団体に対する情報提供(2012年改正により追加) 不正アクセス行為の防御に関する啓発・知識の普及 2016年12月8日 2016年度法情報学演習
不正アクセス禁止法2012年改正① 2012年改正 2012年3月31日公布、2012年5月1日施行 不正アクセス防止対策の強化 サイバー犯罪の危険性の増大 インターネットバンキングに対する不正送金事件 防衛産業関連企業や衆参両院に対するサイバー攻撃 他人のID・パスワードが第三者の手に渡ってしまえば、技術的にこれを防止することはきわめて困難 他人のID・パスワードの不正流通を防止し、不正アクセス行為禁止の実効性を確保するための規制を強化 2016年12月8日 2016年度法情報学演習
不正アクセス禁止法2012年改正② 罰則の法定刑引上げ 不正取得罪、不正保管罪、フィッシング罪 不正アクセス行為をした者 1年以下の懲役又は50万円以下の罰金 3年以下の懲役又は100万円以下の罰金(11条) 相手方に不正アクセス行為の用に供する目的があることを情を知って他人の識別符号を提供した者 30万円以下の罰金 1年以下の懲役又は50万円以下の罰金(12条2号) ただし、「情を知って」に該当しない場合は従来通り30万円以下の罰金(13条) 不正取得罪、不正保管罪、フィッシング罪 1年以下の懲役又は50万円以下の罰金(12条1号・3号・4号) 2016年12月8日 2016年度法情報学演習
不正アクセス検挙件数の推移 (出典)総務省『情報通信白書平成28年版』307頁(2016年7月) http://www.soumu.go.jp/johotsusintokei/whitepaper/ 2016年12月8日 2016年度法情報学演習
不正アクセスの事例① 外部からの不正アクセス行為 インターネット GW 電気通信回線を通じて ファイアーウオール アクセス制御機能のあるコンピュータ 電気通信回線を通じて 2016年12月8日 2016年度法情報学演習
不正アクセスの事例② 内部からの不正アクセス行為 インターネット ファイアーウオール GW 2016年12月8日 2016年度法情報学演習
不正アクセスの事例③ ポートスキャン、ブルート・フォース攻撃 迷惑メール(spamメール)、標的型攻撃メール コンピュータ・ウイルス 不正アクセスのための準備行為は処罰されない 迷惑メール(spamメール)、標的型攻撃メール アクセス制御機能による利用の制限を犯すものではないため、この法律によっては処罰されない コンピュータ・ウイルス アクセス制御機能による利用の制限を免れるようなものであれば、処罰が可能 不正指令電磁的記録等作成罪(刑法168条の2) 2016年12月8日 2016年度法情報学演習
不正アクセスの事例④ セキュリティ・ホールの利用 ウェブサイトに特殊なURLやコマンドを仕込んでおき、ユーザにアクセスさせる ウェブブラウザの脆弱性を利用 各種サーバに向け特殊なメッセージを送信する 対策可能なものについては対策を行い、 不可能なものについてはサービスを停止 するなどの処置が必要 2016年12月8日 2016年度法情報学演習
不正アクセスの踏み台とされたプロバイダの責任 プロバイダは、具体的な被害の発生を認知したときには、それ以上不正アクセス行為が行われないよう、速やかな対策が講じられるべき 何の対応もしなかった場合には、プロバイダにも責任が発生すると考えられる 民事上は共同不法行為(民719条) 刑事上は幇助(刑62条) 2016年12月8日 2016年度法情報学演習
セキュリティ対策 システム管理者 一般ユーザ セキュリティ対策がますます重要になってくる アクセス制御機能の管理 (一般ユーザへの啓発) ログの保存、監視 (プライバシーには十分に配慮) 一般ユーザ セキュリティに関する問題意識を持つ 昨今のパソコン及びインターネットの普及の実態に鑑みれば、あらゆる人がネットワーク犯罪の被害者となり得る ウイルス感染、マルウェア感染などにより、知らず知らずのうちに加害者ともなり得る セキュリティ対策がますます重要になってくる 不正アクセス禁止法は、ネットワーク犯罪のほんの一部分の対策に過ぎない 2016年12月8日 2016年度法情報学演習
サイバーテロ、クラッキング クラッキング サイバーテロ(サイバー攻撃) 法的な概念ではない 他人のコンピュータに無権限で侵入したり不正な情報や指令を入力したりして、データを改ざんしたり、システム機能を妨害したりする行為 セキュリティ・ホール攻撃 サイバーテロ(サイバー攻撃) クラッキングなどの方法によるネットワーク上のテロリズム 確信犯的 情報社会の社会システムは、大部分がコンピュータとそのネットワークによって制御されており、そうしたシステムへの攻撃は社会に重大な打撃を与えうる サービス妨害(DoS: Denial of Service) 分散サービス妨害(DDoS: Distributed Denial of Service) 「トロイの木馬」系ウイルス ボットネット 2016年12月8日 2016年度法情報学演習
電子計算機損壊等業務妨害 クラッキングに対する規制 威力業務妨害(234条) 電子計算機損壊等業務妨害(234条の2) 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、 人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、 その他の方法により、 電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害すること クラッキング ②③ データの消去 ① 処理不能のデータの入力 ③ 放送局のウェブページの天気予報画像を消去してわいせつ画像に置き換えた事例(大阪地判H9.10.3判タ980号285頁) 2011年の刑法改正で、未遂も処罰対象に(2項) 2016年12月8日 2016年度法情報学演習
電磁的記録の損壊・毀棄・偽造 電磁的記録 刑法では、電磁的記録は文書とは区別されているため、文書毀棄罪や文書偽造罪はそのままでは適用されない そこで、刑法の改正によって、電磁的記録について、電磁的記録毀棄罪や電磁的記録不正作出罪などの規定が設けられた(1987年) 2016年12月8日 2016年度法情報学演習
電磁的記録毀棄 電磁的記録毀棄 公務所の用に供する電磁的記録(258条)、権利又は義務に関する他人の電磁的記録(259条)の毀棄 文書の場合は破る、内容を書き換える、署名捺印を消すなど 電磁的記録の場合はテープやディスクの物理的破壊、データの消去、書き換え、読み取り不能化など 登記所の磁気ディスクに記録された登記データ、店舗の売り掛けデータ、会社の給与計算システムのデータなどの破壊 権利義務にかかわらない単なるデータベースやソフトウェアの消去や変造は該当しない 2016年12月8日 2016年度法情報学演習
電磁的記録不正作出 電磁的記録不正作出(161条の2) 「人の事務処理を誤らせる目的で、」 「その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に」 作ること(1項) 権利義務に関するものだけでなく、事実証明に関するものも含まれる 例)履歴書、行政機関の発行する証明書の交付請求書 「公務所又は公務員により作られるべき」ものであるときは刑が加重される(2項) 人の事務処理を誤らせる目的で、不正に作出された電磁的記録を人の事務処理の用に供した場合も、処罰される(3項) 2016年12月8日 2016年度法情報学演習
罪数の処理 電磁的記録の毀棄が不正作出や詐欺ともなる場合 観念的競合(54条1項前段) 1個の行為が2個の罪名に触れたときは、その最も重い刑により処断する たとえば売り掛けデータの残額を少なく書き換えて不当に利得を得た場合は、電磁的記録不正作出罪と電子計算機使用詐欺の観念的競合 不正アクセスによって電子計算機損壊等による業務妨害をした場合 併合罪(45条) 前者は後者の必然的手段ではないため、両罪は牽連犯(刑法54条1項後段)ではなく、併合罪(刑法45条)となると考えられる 2016年12月8日 2016年度法情報学演習
コンピュータ・ウイルス 感染経路 感染による被害 復旧 電子メール、ウェブページ、USBメモリ等を介して感染 PCのデータ破壊、不正アクセス用のバックドア作成、他のコンピュータへの攻撃の踏み台、電子メール等による他の利用者のPCへの感染拡大 感染者は、ほとんどの場合気づかずに感染の中継点になっている場合が多い(cf. ボットネット) コンピュータやネットワーク資源の消費 復旧 駆除、システムの再インストール セキュリティ・ホールへの対処、ウイルス対策ソフト 2016年12月8日 2016年度法情報学演習
ウイルスの分類 狭義のウイルス ワーム トロイの木馬 独立に作動するプログラムではない、他のプログラムやファイルに感染するもの 独立に作動するプログラムで、自己を増殖・コピーして、他の利用者のコンピュータに伝染していくもの トロイの木馬 独立に起動するプログラムだが、それ自身は自己を増殖・コピーすることなく、感染したコンピュータ内にとどまって一定の不正な機能を果たしたり、他のプログラムの作動によって他に感染したりするもの ギリシア神話のトロイア戦争になぞらえたもの 一見すると無害なものの内部に敵が潜んで進入してくる 2016年12月8日 2016年度法情報学演習
刑法改正前の事例 いずれも苦肉の刑罰適用 原田ウイルス イカタコウイルス 原田と名乗る男性が画面に表示され、PC内のデータを破壊 亜種としてアニメ画像が表示されるものも存在 ↓ 著作権侵害、名誉毀損により起訴され、懲役2年、執行猶予3年の有罪判決(京都地判平成20年5月16日判例集未登載) イカタコウイルス 画面にイカやタコのイラストを表示させ、PC内のデータを破壊 Winnyなどのファイル共有ソフトを通じて2万人以上が感染 執行猶予期間中に再びウイルスを作成 器物損壊罪により起訴され、懲役2年6月有罪判決(東京地判平成23年7月20日判タ1393号366頁) いずれも苦肉の刑罰適用 2016年12月8日 2016年度法情報学演習
ウイルスに対する法的対応 ウイルスの作成・流布 2011年まで、日本ではこれらを処罰する規定はなかった アメリカ、スイス、韓国など、処罰の対象としている国はそれまでにもいくつか存在していた 欧州評議会サイバー犯罪条約では、システム妨害やデータ破壊などの犯罪を主として行うため設計・調整された装置(プログラムを含む)の製造・販売等の行為を犯罪とする立法措置が求められている 「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」 159回国会(2004年)、163回国会(2005年)に国会提出されるが、本法案に含まれる共謀罪等の規定によって反対が強く、成立には至らず→現在は、テロ準備罪として検討されている 「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」 不正指令電磁的記録等作成罪が新設(刑法168条の2として新設) ウイルスを作成したり提供したりする行為に対して3年以下の懲役または50万円以下の罰金 2016年12月8日 2016年度法情報学演習
立法による解決 情報処理の高度化等に対処するための刑法等の一部を改正する法律 2011年6月17日可決成立、2011年6月24日可決成立、2011年7月14日一部施行 改正後 第十九章の二 不正指令電磁的記録に関する罪 (不正指令電磁的記録作成等) 第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。 一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録 二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録 2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。 3 前項の罪の未遂は、罰する。 (不正指令電磁的記録取得等) 第百六十八条の三 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。 2016年12月8日 2016年度法情報学演習
2011年の刑法改正(その他) サイバーポルノ関連 「わいせつな文書、図画その他の物」(刑法175条)とは? 2011年刑法改正 画像データないし情報そのものがわいせつ物にあたるか 有体物をわいせつ物と解するほかないのではないか わいせつ画像情報が固定化されたハードディスクが「わいせつ物」であるとする考え方(判例) ハードディスクそのものなどをわいせつ物とみなすのはやはり不自然として、刑法175条の適用は疑問とみる考え方 2011年刑法改正 わいせつ物頒布等の罪の対象範囲の拡充 わいせつな電磁的記録の電気通信の送信による頒布行為を処罰する 不特定又は多数の者に対し、わいせつな画像データを電子メールで送信する行為などを処罰の対象とする 2016年12月8日 2016年度法情報学演習
立法による解決 情報処理の高度化等に対処するための刑法等の一部を改正する法律 2011年6月17日可決成立、2011年6月24日可決成立、2011年7月14日一部施行 改正後 改正前 (わいせつ物頒布等) 第百七十五条 わいせつな文書、図画、電磁的記録に係る記録媒体その他の物を頒布し、又は公然と陳列した者は、二年以下の懲役若しくは二百五十万円以下の罰金若しくは科料に処し、又は懲役及び罰金を併科する。電気通信の送信によりわいせつな電磁的記録その他の記録を頒布した者も、同様とする。 2 有償で頒布する目的で、前項の物を所持し、又は同項の電磁的記録を保管した者も、同項と同様とする。 第百七十五条 わいせつな文書、図画その他の物を頒布し、販売し、又は公然と陳列した者は、二年以下の懲役又は二百五十万円以下の罰金若しくは科料に処する。販売の目的でこれらの物を所持した者も、同様とする。 2016年12月8日 2016年度法情報学演習
サイバーポルノのその他の問題 児童売春・児童ポルノ禁止法の改正協議 児童買春・児童ポルノ禁止法 児童ポルノの所持規制を、「単純所持」にするか「有償・反復所持」にするか 架空の児童を扱ったポルノ作品(絵画・イラスト・まんが・アニメ・ゲーム等)を規制対象とすべきか 児童買春・児童ポルノ禁止法 1994年に「児童の権利に関する条約」を批准したことを受けて、1999年制定 児童買春やその周旋等とともに、児童ポルノの頒布等を罰則を持って禁止 18歳に満たない者を「児童」と定義(2条1項) 児童ポルノについても、比較的具体的に定義(2条3項) 2016年12月8日 2016年度法情報学演習
児童ポルノ禁止法2014年改正 児童ポルノ所持等の禁止 インターネット事業者の捜査協力(第16条の3) 規制する行為を「単純所持」にするか「有償・反復所持」にするかで激しい議論 長期間にわたって議論が交わされたが、 2014年改正により、単純所持が禁止された 恣意的な捜査を防ぐ客観性の確保 →濫用禁止の明確化(第3条) 「何人も、…みだりに児童ポルノを所持し、…電磁的記録を保管…してはならない。」(第3条の2) 自己の性的好奇心を満たす目的での児童ポルノ所持等について、罰則を新設(第7条) インターネット事業者の捜査協力(第16条の3) 通信の秘密との関係 漫画等での性表現の規制については、検討を継続 2016年12月8日 2016年度法情報学演習
地方公共団体の青少年健全育成条例 各地方公共団体が制定 その多くは、全裸または半裸での卑わいな姿態や性交または性交類似行為などを被写体とした写真などを一定程度含む図書や雑誌、電磁的記録媒体等を有害図書として指定 有害図書の陳列等を規制 ex) 東京都青少年の健全な育成に関する条例 非実在青少年(マンガ、アニメ、映画、小説、ゲーム等における未成年の登場人物のこと)に関する不健全な図書類等の販売等の規制 ↓ 漫画、アニメーションその他の画像(実写を除く。)の性犯罪等を、不当に賛美し誇張する表現の規制 (東京都青少年の健全な育成に関する条例7条2号) 2016年12月8日 2016年度法情報学演習
国外犯の問題 現行刑法では、わいせつ物頒布等の罪は国外犯の規定に含まれない(2条・3条) 日本国内において罪を犯した場合→処罰可 外国のサーバに画像データをアップロードし、日本国内の不特定多数の利用者に閲覧可能にする行為は、サーバへのアップロードが国内で行われている以上、国内犯とみなしうるとした判例がある 日本国外において罪を犯した場合→処罰不可 外国にいる日本人が、外国のサーバに画像データをアップロードして、不特定多数の利用者に閲覧可能にする行為は、国外犯であって処罰の対象とならない(当該外国の法律による処罰の対象とはなりうる) 2016年12月8日 2016年度法情報学演習
新たなサイバー犯罪に対する課題 PC遠隔操作ウイルス等による犯罪予告と誤認逮捕事件(2012年) 新種のコンピュータ・ウイルスへの対応 2016年12月8日 新たなサイバー犯罪に対する課題 PC遠隔操作ウイルス等による犯罪予告と誤認逮捕事件(2012年) 高度匿名化技術の悪用 本事件で用いられたTorというソフトウェアは、通信履歴をそもそも残さない設定とされていること等から事後的な追跡が困難 今後も、情報通信技術の発達に伴い、さまざまな高度匿名化技術が研究・開発され、ツール化されることが予想される 新種のコンピュータ・ウイルスへの対応 警察等の捜査機関と民間事業者との連携が重要 2016年12月8日 2016年度法情報学演習 2016年度法情報学演習
その他の話題①:Torとは 高度匿名化技術Torとは 接続経路の匿名化を行う技術 メリット デメリット IPアドレスを隠してインターネット接続 メリット 活動家が検閲を避ける、軍隊が安全な通信を行う、子どものプライバシーを保護するなど デメリット 発信元の特定が困難であることを悪用してサイバー攻撃に利用 2016年12月8日 2016年度法情報学演習
その他の話題②:Torの仕組み Torネットワークに所属するコンピュータからランダムに3台のリレーサーバを抽出 リレーサーバは通信に係り記録を残さず、経路も一定時間毎に切り替わる 暗号化をタマネギの皮のように積み重ねることで匿名性を高めている 警察庁「サイバー犯罪捜査における事後追跡可能性の確保に向けた対策について」平成23年度総合セキュリティ対策会議 報告書24頁(2011年) 2016年12月8日 2016年度法情報学演習
その他の話題③:Torへの対応 Torを規制すべきか? 表現の自由との関係、ネット規制につながるのではないか? 警察庁は、Torを使用したアクセスで最後に経由したリレーサーバからの接続を拒否するよう、サイト管理者に要請 リレーサーバのIPアドレスの記録を蓄積 →ブラックリスト化 自発的取り組みの要請であっても、ネット規制や公権力によるネット監視につながっていくのではないか? なお、現在ではアメリカ政府はTorの通信を解読していると言われている 2016年12月8日 2016年度法情報学演習
その他の話題④:バックドア 中国製のスマートフォンにはバックドアが仕掛けられているのではないか? 中国の大手企業であるShanghai ADUPS Technology社製のファームウェアを組み込んだスマホは、ユーザの位置情報や通話履歴、アドレス帳、テキスト入力等を収集し、72時間おきに中国サーバに送信 日本で販売されているHueweiやZTEのスマホもADUPSのファームウェアを採用 ADUPSは、アップデートやサービスが正しく動作しているかを確認するためであり、通話履歴やアドレス帳を収集していたのは、迷惑電話や迷惑メールを防止する機能が目的と説明 スマホだけでなくPCは大丈夫か……? 2016年12月8日 2016年度法情報学演習
参考文献、Web 松井茂記,鈴木秀美,山口いつ子編『インターネット法』(有斐閣,2015年) 堀部政男『インターネット社会と法』(新世社,第2版,2006年) 松井茂記『インターネットの憲法学』(岩波書店,新版,2014年) 夏井高人『ネットワーク社会の文化と法』(日本評論社,1997年) 酒匂一郎『インターネットと法』(信山社,2003年) 小向太郎『情報法入門』(NTT出版,第3版,2015年) 電子政府の総合窓口 http://www.e-gov.go.jp/ 総務省『情報通信白書平成28年版』(2016年) http://www.soumu.go.jp/johotsusintokei/whitepaper/ 2016年12月8日 2016年度法情報学演習
2016年12月8日 おしまい この資料は、2016年度法情報学演習のページからダウンロードすることができます。 http://www.law.tohoku.ac.jp/~kanaya/infosemi2016/ 2016年12月8日 2016年度法情報学演習 2016年度法情報学演習