グローバルスタンダードに逆行するトンデモ法　「ハイテク犯罪に対処するための刑事法の整備」について考えてみよう！

　不勉強な筆者は最近知ったのであるが、「サイバー犯罪条約」（Convention on Cybercrime）という欧州評議会（Council of Europe Treaties）発の条約に先進各国が署名しており、日本でも批准のために国内の刑事法を改正することになっているようである。

　「サイバー犯罪条約」（Convention on Cybercrime）　原文
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm
　署名、批准状況　なんだ批准してるのはたった4ヶ国だけじゃん
http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=02/03/04&CL=ENG

　この「サイバー犯罪条約」は、2001年11月23日に起草されている。EU以外で参加しているのは、米国、カナダ、南アフリカ、日本。批准している国は、現在4ヶ国（アルバニア、クロアチア、エストニア、ハンガリー）で、全体で33ヶ国の署名となっている。いわゆる大国といわれる国は批准していない。
　内容は、いわゆる不正アクセスからポルノまでサイバー犯罪についての国際協調を行うためのルールが規定されている。中には証拠や犯人の引渡しに関するものもあり、参加国は条約に即した活動を行えるような国内法の整備が必要となっている。
　これだけ聞くとサイバー犯罪に対する国際協調の話しなので、大変結構なお話しのようなのであるが、どうも現実はそうでもないらしい。
　33ヶ国中たった4ヶ国、それも主要国ではない国しか批准していない条約には、なんか問題があるんじゃないだろうかとか、それでも批准するために国内法を整備するというのは別な目的があるんじゃないだろうかとか、いろいろ余計なことを考えてしまうのである。

　このサイバー犯罪条約をめぐって2つの議論がある。
　ひとつは、サイバー犯罪条約そのものの是否について、もうひとつはサイバー犯罪条約を批准するための国内刑事法整備についてである。

>> 最初にサイバー犯罪対策の全体の流れを考えてみよう　DMCAの反省

　サイバー犯罪対策にはいくつかの方法がある。犯罪や犯人に対する措置、刑罰を明確にし、対処することを優先するものもあれば、企業やベンダに対してセキュリティ水準を一定以上保つことを義務付けることを優先するものもある。
　筆者は以前からインターネットでサービスを行う企業にはパブリックサービス提供者としての責任があり、その責任をまっとうできない企業には刑事罰をもって望むべきであるという立場をとっていた。そのため、もしかすると、偏っているかも知れないが、全体的な論調としては、企業やベンダのセキュリティ水準をあげることを優先すべきという流れになってきていると思う。

　この流れを特徴的に示したのは、米国のDMCA（デジタル・ミレニアム著作権法）の運用とその反省である。

　デジタルミレニアム著作権法【DMCA】
http://e-words.jp/w/E38387E382B8E382BFE383ABE3839FE383ACE3838BE382A2E383A0E89197E4BD9CE6A8A9E6B395.html

　DMCAは、著作権の保護のための法律であるが、その保護のために脆弱性の指摘などをはじめとする技術的な公表をも禁じている。実際に暗号化PDFファイルの保護機能を無効にするプログラムを作成した技術者が逮捕されるという事態も起こっている（その後、無罪となった）。

　Adobe社の脆弱性を指摘したロシア人プログラマーの逮捕に、ハッカー怒る(2001.8.2)
https://www.netsecurity.ne.jp/article/2/2578.html

　この他にもかなり極端な規定が盛り込まれており、問題の多々ある法律として指摘されている。

　DMCAは極端ではあるが、犯罪や犯人に対する措置、刑罰を優先した対策の代表格といえる。そのDMCAはうまくいっていない。
　そもそも犯罪や犯人への措置、刑罰を優先することはサイバー犯罪の抑対策にはあまりならないと思うのである。無防備なサービスがあちこちにあり、手軽に価値あるものを盗み出せたり、いたずらしたりできるのならば、やってみる人間はあとをたたないだろう。しかも時間も場所も選ばない。海外からネットワークを介して、ある時は踏み台を使って、やってくるクラッカーに対する対策としては弱いと思われる。

>> サイバー犯罪対策の流れ　サービス提供者、ベンダの責任を明確化、対策を義務化

　最近の動きとしては、サービス提供者、ベンダの責任を明確にし、対策を義務化する動きが活発ではないかと思う。
　そもそも脆弱なサービスや製品がなければ、多くの危険は回避される可能性が高い。
　世の中のサイバー犯罪のほとんどは、高度な技術を駆使し、未発見の脆弱性を利用したものではない。人的ミスをついたり、未対処の既知の脆弱性をついたものがほとんどである。これらは、サービス提供者が管理を徹底し、ベンダが製品の問題を少なくし、容易に最新のパッチの適用などをできるようにしておくことで回避できるものも少なくない。
　というか、ほとんどそうじゃないかと筆者は思うのである。

　次世代セキュリティ製品へのロードマップ　１　見えてきた既存の防御方法の限界(2004.2.18)
　人的問題と大量無差別攻撃が圧倒的多数　の節を参照
https://www.netsecurity.ne.jp/article/1/12314.html

　米国で制定されたSarbanes-Oxley Actは、上場企業の財務に対する規制であるが、その中に、システムのセキュリティおよび管理に対する責任も規定されている。

　Sarbanes-Oxley Act（サーベンス・オクスリー法：米国企業改革法）準拠への道
　2003年10月21日文書 ID: 3000
http://www.symantec.com/region/jp/enterprise/articles/200310211.html

　企業の健全性の定義の中に、法律で明確にシステムの健全性が含まれるようになったのである。これまで各企業がそれぞれ自由にセキュリティ対策を実施してきたものが、必ず実施しなければならないラインが引かれたといえる。

　過去に繰り返し筆者が主張してきた大量無差別攻撃への対策には、全体のセキュリティレベルの向上が必須であり、そのためにはサービス提供者、ベンダ側の体制が不可欠なのである。

　大量無差別攻撃に無防備なサイバーテロ対策　その１(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3144.html
　大量無差別攻撃に無防備なサイバーテロ対策　その２(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3147.html

　米国ではすでにRichard Clarkeさんという政府関係者＝大統領重要インフラ防御委員会議長（？であってますかね？）（chairman of the President's Critical Infrastructure Protection Board）の方が、こういう過激な主張をしている。

　Clarke Lambastes Software Industry
http://www.eweek.com/article2/0,1759,428553,00.asp

　ベンダやISP（インターネットプロバイダ）には、セキュリティ意識が欠如していることを非難し、ベンダやISPのセキュリティ対応を強く求めている。

　サービス提供者やベンダ側のセキュリティ対策を優先する立場からすると、脆弱性の指摘や研究は、サービス提供者やベンダ側が適正な対策を行っているを外部から監視し、プレッシャーをかける意味でも重要な活動となってくる。

>> サイバー犯罪条約と「ハイテク犯罪に対処するための刑事法の整備」の問題点

　サイバー犯罪条約の問題点は、犯罪や犯人に対する措置よりもサービス提供者やベンダに対する措置を優先する現在の流れにあっていないことにある。
　とはいってもこれは優先度の問題であり、別に優先度の高いサービス提供者やベンダに対する措置を行ってから、批准すればいいだけの話しといえる。

　問題はサイバー犯罪条約批准のための国内法整備である。
基本的な問題として
　「サービス提供者やベンダに対する措置を優先すべきである」
ということがあるわけだが、これ以外にもいろいろと問題を内包している。

　この国内法整備に関しては、すでにさまざまな方々が意見をのべているので、まずはそれをご参照いただきたい。

　意見書等　Subject: 03-07-18
　ハイテク犯罪に対処するための刑事法の整備に関する意見（日弁連）
http://www.nichibenren.or.jp/jp/katsudo/sytyou/iken/03/2003_38.html
　ハイテク犯罪に対処するための刑事法の整備に関する意見（経団連）
http://www.keidanren.or.jp/japanese/policy/2003/077.html
　「ハイテク犯罪に対処するための刑事法の整備に関する要綱（骨子）」に関する意見書提出（社団法人　情報処理学会）
http://www.ipsj.or.jp/03somu/teigen/hightech-hanzai.html
　サイバー犯罪条約と情報社会への影響: 日本の場合（崎山伸夫）
http://www.sakichan.org/publication/cybercrime-20031011/

筆者がもっとも問題と考えるのは、下記の2点である。
　・規制対象とするプログラムの定義があいまいで広範であり、グローバルスタンダードに逆行している
　意図しない動作をするプログラムなど処罰の対象になる範囲があいまいで広範であるため、exploit コードやスキャナ、単なるバグまでも処罰対象となりかねない。
　過度に規制を強くしたDMCAをほうふつとさせる極端な内容となっており、こうした規制よりもサービス提供者やベンダ側への規制を優先する流れに逆行する。
　・データの押収には複数の問題があり、批准するための法的要件を欠いている
　サイバー犯罪条約では問題が発生した際に、ISPなどからデータを押収するための法的な整備を前提としている。改正案では「要請」（任意の協力）となっており、これでは批准の要件を満たさない。また、これで満たすようであれば「要請」ではなく、法的強制力をもつものとなり、法律と運用での乖離を起草時点で認めていることになる。
　そもそもサイバー条約では電子データを押収するように指定されているにも関わらず、モノ（記録媒体）の押収という形になっている。電子データを押収するという規定が国内法上やっかいだという理由で、条約の規定を勝手に歪曲した対応である。
　いずれにしてもデータの押収という点では、批准するための要件を欠いた内容としか思えない。

　サイバー犯罪条約批准のための国内法整備というといかにもグローバルスタンダードに準拠するためという錯覚を与えるが、その実際は、グローバルスタンダードに逆行し、さらには批准の要件を満たさないかも知れないというトンデモ法なのではないだろうか？

>> 次号以降の Scan Security Management でイスラエル　SecuriTeam とサイバー条約および国内法の問題点を議論

　とはいえ、筆者は国際通でもなければ法律の専門家でもない。
　こういう時は、くわしい知人を頼るのが一番。
　ということで、早ければ次週（もしかしたらその次の週くらい）、イスラエルのセキュリティ集団 SecuriTeam に本件についての意見交換をしてみたいと考えている。

　Scan Security Management
http://www.ns-research.jp/c2/ssm/

[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html