第176号コラム「ウイルス罪とカレログ~ウイルス供用罪における不正指令電磁的記録の評価」

第176号コラム: 上原 哲太郎 理事(京都大学 学術情報メディアセンター 准教授)
題:「ウイルス罪とカレログ~ウイルス供用罪における不正指令電磁的記録の評価」

本年6月17日、ついにサイバー犯罪関連法案( http://www.moj.go.jp/keiji1/keiji12_00025.html )が成立し、7月14日には刑法改正部分について施行されました。今回の刑法改正については、本メルマガの172号コラム( https://sakura.digitalforensic.jp/2011/09/01/column172/ )において安冨副会長が概要を解説しておられますので、詳しくはそちらをご覧下さい。

今回の刑法改正において、特に技術者の関心を集めたのは、「不正指令電磁的記録」に関する罪、いわゆるウイルス罪の解釈を巡るものでした。刑法第168条の2第1項において規定された「ウイルス作成罪」は、プログラマにとって漠たる不安を与えるものだったからです。プログラムは多くの場合、プログラマにすら予測できない挙動、いわゆるバグを生じ、それがウイルスのような挙動を示す可能性を完全に排除することが出来ません。そのようなバグの可能性をプログラマが認識し認容していることは、プログラムが結果的にウイルス的な挙動を示した場合、ウイルス作成について未必の故意に問われかねないのではないかという不安が広がりました。

この背景には、昨年起きた「岡崎市立中央図書館事件(いわゆるLibrahack事件)」が微妙な影を落としています。この事件については本メルマガ115号コラムで石井理事がその刑法から見た問題点を整理しておられます( https://sakura.digitalforensic.jp/2010/07/22/column115/ )ので、そちらをご参照下さい。本事件では、図書館情報システムに内包していたバグをたまたま利用者のプログラムが「踏んで」しまい、結果的に図書館の業務に支障が生じてしまいました。一般的プログラマの感覚からすれば、この事故は予測が困難であり、当該利用者に妨害の故意があったとはとても思われないのですが、当該利用者は偽計業務妨害罪に問われて逮捕され、起訴猶予処分とされてしまっています。本件、事件後に当該利用者が名古屋地検岡崎支部に処分理由を問い合わせに行っているのですが、その際にも地検側が「技術者であるからには図書館のサーバに何らかの影響が出ることを予想できたはずなので『故意があった』と判断した」
http://librahack.jp/okazaki-library-case-season2/purpose-reason.html )と回答していることは、大変重要です。この論理が通用するなら、一般のプログラムのバグにより利用者に何らかの被害を及んだ場合にも、「そのことが全く予想できないわけではない」プログラマがウイルス作成罪や提供罪に問われうるのではないか、という連想が働きます。さらに悪いことに、衆議院法務委員会における5月27日の質疑で、江田法務大臣(当時)が、提供中のプログラムにおいて重大なバグが発見された後も、提供を続けた場合にはウイルス提供罪が適用されることがありうるとの見解を示したことで、大騒ぎになりました。

結局のところこの騒ぎは、6月14日、参議院法務委員会において首都大学東京の前田雅英教授が参考人として、不正指令電磁的記録と認められるには「意図的に人を誤った方向に誘導して、まさに意図に沿うべき動作をさせない」ような欺罔的要件が含まれているとの見解を示したこと、さらに6月16日には江田大臣自身が同委員会の質疑において、一般的なバグを持つプログラムではウイルス作成罪・提供罪・供用罪のいずれも成立しないと明言して事実上答弁を修正したことで一応の収束を見ました。さらに6月24日には、法務省が掲示した「いわゆるコンピュータ・ウイルスに関する罪について」と題する解説において、同法におけるバグの解釈について詳細な説明がなされ、決着がついたと言えると思います。

しかし、8月末に現れたカレログというサービスが、新たな問題を提起しました。カレログについては、一般マスコミでもずいぶん話題になったのでご存じの方も多いかも知れませんが、およそこういうものです。カレログアプリと呼ばれるAndroidスマートフォン向けアプリケーションは、GPS等を用いた位置情報、通話記録(通話した相手の電話番号と時間)、電池残量をカレログ事業者のサーバに常時送信する機能を持っています。利用者(カノジョ)は、追跡したい相手(カレ)のスマートフォンにこのカレログアプリをインストールしておき、自分のパソコン等からカレログのサーバにWebブラウザを用いてアクセスすることにより、これらの情報を随時取得することが出来ます。これにより、「カノジョ」は「カレ」の「浮気チェック」ができるサービスとして提供されていました(現在は批判を受けて、論調が微妙に変更され、カレログアプリも一部機能が削除されています)。

このサービス、モラル的にどうかという点もありますが、法的にも気になる点があります。個人情報保護法上は、本サービスに関わる「カレ」「カノジョ」およびサービス事業者の間を流通する個人情報について「カレ」にその内容が通知され、同意が取れているかが大きなポイントです。しかし、本サービスの利用規約はこのような三者の関係を意識したものになっていません(これは本稿執筆時点でもそうです)し、そもそも本サービスが「浮気チェック」用として提供されていた以上、「カノジョ」が「カレ」に個人情報提供の同意を取らないままこっそりカレログアプリをインストールすることは十分に考えられます。もちろんこのような利用形態がありうることをもってサービス自体の違法性を問うことは難しいでしょうが、同法の主旨に対してかなり挑戦的なサービスであるとの感想を持ちました。

加えて私が気になったのは、「カノジョ」が「カレ」に無断でカレログアプリを導入する行為がウイルス供用罪に該当しないかということでした。カレログアプリは当初、それが導入されていることや動作していることを使用者から隠す機能を持っていましたから、一種のスパイウェアのように見えます(現在は少し改善されているようです)。利用規約も「カレ」に個人情報が取得されていることを認識させ同意させることを必須とするようになっていないため、まさに「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」としての供用を黙認しているのではないかと感じたのです。

そこで、この点について法曹関係者を中心に何人かの意見を集めたのですが、否定的な意見が少なくありませんでした。それは、客体としてのカレログアプリは不正指令電磁的記録にあたらないという意見です。客体が不正指令電磁的記録にあたるか否かは「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して」「社会的に許容しうるものであるかどうかという観点から」判断すると、先の法務省による解説で示されており、その観点でいけばカレログアプリは、既に存在する子ども見守りサービスや従業員管理サービスで用いられるプログラムと大差ない機能をもつのだから、既に社会的に許容されており該当しないのではないかとする意見が多くありました。

しかし個人的には、ウイルス供用罪に該当するかどうかの構成要件の検討において、客体が不正指令電磁的記録であるかどうかを、まずその機能面を中心にして総合的に評価することから始めることについては、二つの意味で違和感を感じるのです。まず一つは、ウイルス供用罪については、このような評価が適しているとは思われないことです。ウイルス作成罪や提供罪では、供用を目的とすることを要件にしていますから、目的があったかどうかを判断する客観的基準として客体の持つ機能の評価が必要なのは判ります。一方供用罪では(未遂でなければ)被害の結果が伴うはずですから、供用行為そのものにおいて客体がどのように「意図に沿うべき動作をさせず」「意図に反する動作をさせる」に至ったのか評価するべきではないでしょうか。客体の持つ機能の総合的な評価を重視してしまうと、いわゆる「デュアル・ユース」つまり善用も悪用も可能なプログラムが客体として用いられた場合、構成要件を満たさないとされる可能性があります。しかし現実にはこの種のプログラムの悪用可能な側面がウイルスのように使われる例があります。先の法務省の解説は、このようなデュアル・ユースなプログラムの例として、ハードディスク消去プログラムが通常の文書であるかのように偽装された上で送付され、実行された場合に処罰対象となり得るとしていますが、このような場合でも当該プログラム単体を「機能面から総合的に判断して」不正指令電磁的記録とするべきなのでしょうか。この例で鍵になっているのは「偽装された上で送付され」た供用行為そのものなのではないでしょうか。

もう一つ感じている違和感は、プログラムそのものが「機能を総合的に見て」不正指令電磁的記録にあたるかどうか評価されること自体が、プログラマにとって萎縮効果を産む恐れを感じる点です。もちろん、たとえデュアル・ユースなプログラムであっても、ウイルスとしての供用の目的がなければウイルス作成罪や提供罪に問われる恐れはありません。しかし、当該プログラムが誰かに悪用されてウイルス供用罪に問われた際に、「当該プログラムの機能は総合的に見て不正指令電磁的記録にあたる」とされるのなら、その機能を作成した当人はどう感じるでしょうか。さらに、法務省が示した不正指令電磁的記録の判断基準である「社会的に許容しうるものであるかどうかという観点」が逆に作用して、そのようなデュアル・ユースなプログラムは社会的に許容できないとする世論が喚起されれば、萎縮効果は加速し、プログラマの自由な創作活動は大きく制限されるでしょう。

こういう違和感を感じながら法務省の解説を読み直すと、そもそも構成要件を検討するにあたって、当該プログラムが不正指令電磁的記録にあたるかどうかを機能面から絞り込もうとする表現が目立ちます。しかしこれはそもそも、プログラムの各機能が様々な使われ方をするものであるという性質を十分に汲み取らない論法であると気づかされます。同解説は、不正指令電磁的記録に該当するかの判断において核となるのは、「そのプログラムが使用者の意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える」か否かである、としています。しかし、これは技術者の感覚から微妙にずれたものであって、本当に核となるべきなのは「そのような指令を与えるべく、使用者に『それを認識させないまま』実行させる目的があったか(作成・提供罪)、あるいは実際にそのように実行させようとした(供用未遂罪)、又はさせたか(供用罪)」ではないでしょうか。つまり、まさに参議院法務委員会において前田参考人が指摘した「裏にくっついた偽計的・欺罔的要件」を必ず対にして評価するべきではないかと、そう考えています。

さて、私事になりますが、私こと上原は9月末日をもって京都大学を退職し、総務省にて勤務することとなりました。国家公務員となりますので兼業規定の関係で本研究会の理事を退任させていただくことにいたしました。本研究会設立以来、役員・事務局そして会員の皆様に長きにわたって本当にお世話になりました。ありがとうございました。本研究会との関わりは続けようと思っておりますので、また別の形でお会いすることがあるかと思います。今後とも変わらぬご指導ご鞭撻を賜りますようよろしくお願いいたします。

【著作権は上原氏に属します】