不正アクセスとは、他人のIDやパスワードなどを不正に使用してコンピュータ・ネットワークに無権限で侵入したり、権限を越えて侵入することをいう。ネットワークに単に侵入するだけの不正アクセスは「ハッキング」と呼ばれることがあり、侵入後にファイルの改ざんや消去などを行う「クラッキング」から区別されることもある。クラッキングは、電磁的記録不正作出罪(刑法161条の2)や電子計算機損壊等業務妨害罪(234条の2)などに該当するが、ネットワークに侵入するだけの行為には処罰規定が存在しなかった。「不正アクセス行為の禁止等に関する法律」の制定によって、今後このような行為を処罰することが可能となった(8月13日公布、来年2月施行の予定)。
法律は、電気通信の秩序を維持し、高度情報通信社会の健全な発展に寄与することを目的とし(1条)、電気通信回線に接続され、かつアクセス制御機能が設けられているコンピュータに対する侵入行為を不正アクセスと定義する(3条)。法定刑は、1年以下の懲役または50万円以下の罰金である(8条)。また、他人の識別符号(IDやパスワードなど)を第三者に提供する不正アクセス助長行為も禁止し(4条)、違反に対して30万円以下の罰金を規定している(9条)。さらに、都道府県公安委員会は利用者に対して不正アクセス防止のために必要な援助を行なうこと(6条)、国家公安委員会と通産・郵政両大臣は最低年1回、不正アクセスの発生状況とアクセス制御技術の開発状況を公表し、知識の啓蒙に務めること(7条)、などが盛り込まれている。
不正アクセスをめぐる問題性が刑事立法の次元にまで発展した背景には、コンピュータと通信技術の急速な発達に伴う、コンピュータ犯罪の複雑化と国際化という事情がある。
コンピュータを悪用した犯罪は、1980年代から目立つようになり、経済協力開発機構(OECD)が、1986年に各国に不正アクセス犯罪化の検討を推奨していた。この前後より、欧米各国はコンピュータ犯罪について新たな立法を行い、不正アクセスについても一定の犯罪化を行ってきた。アメリカでは連邦刑法が1986年に改正されて、ハッキングに対する処罰規定が設けられた。いくつかの州法でもハッキングが禁止されているが、一定の意図をもったハッキングやセキュリティの侵害を要件としてハッキングを処罰する立法例も見られる。イギリス(1990年コンピュータ不正使用法)、フランス(1988年情報処理関連不正行為に関する法律)、カナダ(1984年刑法)なども、ほぼ同様にハッキングを処罰している。ドイツでは、1986年の刑法一部改正でデータ探知罪が新設され、また同年の不正競争防止法の改正で営業秘密の奪取目的での不正アクセスが犯罪化された。
このような欧米の流れとは対照的に、日本では1987年にデータの改ざんや虚偽情報の入力による詐欺や業務妨害が犯罪として禁止されたにとどまった。このときには不正アクセスの刑法的規制も検討されたが、不正アクセスがこれらの行為の予備的手段として位置づけられ、コンピュータの(物理的な移転を伴わない)無権限使用や他人のデータを単純に覗き見ることじたいが犯罪とされていないことから、ハッキングの処罰化については見送られた経緯があった。
ところが、1990年代後半からインターネットが爆発的に普及し、情報通信環境がそれまでのクローズドなネットワークから、一般社会に開放されたオープンなグローバル・ネットワークへと劇的に変貌した。そのことによって、国境を越えて発生するネットワーク犯罪の危険性が高まり、重要なデータを盗んだり、重要なコンピュータに虚偽のデータを入力して誤動作させ、大事故を引き起こす「サイバーテロ」の発生も懸念されている。しかし、外国から不正に日本のネットワークを経由して外国で犯罪を犯した場合、日本に処罰規定がなければ、日本の警察は海外からの捜査協力要請にこたえることができない(双罰主義)。日本が外国のシステムへの侵入拠点となるだけではなく、日本が標的とされるおそれもある。
1998年5月に開催されたバーミンガム・サミットでは、ハイテク犯罪対策が主要議題の一つとして取り上げられ、そのための具体的な行動計画の策定と実施が日本の課題となっていた。警察庁はハイテク犯罪対策重点推進プログラムを策定し、その一環として1999年4月には、警察庁にハイテク犯罪の捜査を支える技術対策課が設置され、すでに「サイバーポリス(電脳警察)」の中核として活動を開始している。今回の法律の制定によって、日本も先進国とハイテク犯罪に対する闘いに足並みをそろえたことになる。
1 法律は、不正アクセスについて二つの類型を設けている。一つは、他人の識別符号を用いて不正にネットワークにアクセスする場合(識別符号盗用型)であり(3条2項1号)、もう一つは、セキュリティの弱点を突いて不正にアクセスする場合(セキュリティ・ホール攻撃型)である(2号および3号)。いずれの侵入類型においても、対象となるコンピュータを利用しうる状態にすれば不正アクセス罪が成立する。
IDやパスワードなどの識別符号は、ネットワークへのアクセス権限を付与された本人であることを識別・認証するもっとも一般的な手段である。逆にいえば、ネットワークに通常のアクセス手段でアクセスしている限り、アクセスしているのは本人であるとの強い推定がはたらくことになる。識別符号を盗用された本人が、アクセスしたのは自分でないと主張することはかなり難しい。顔のないネットワーク空間で他人を装うこと(成りすまし)は、現実空間に比べてはるかにたやすいのである。ハッキングに成功すれば、いわば他人の指紋を残しながら堂々と犯罪を行うことができるため、実際にはハッキングがさまざまな犯罪行為の最初のステップとなるおそれがある。
他人のパスワードを入手する手段としては、システム管理者に対して「パスワード・ファイルが壊れたので、連絡してほしい」などとだまして聞き出したり(ソーシャル・エンジニアリング)、本人や家族の誕生日・電話番号などから類推して突き止める方法などがある。正規のパスワードを入力すれば、正規のアクセスとして機械的に処理されるのであるから、識別符号盗用型の類型では、パスワードなどの管理についてのいわば人間の心理的な弱点が問題となっている。その意味で、この侵入類型は技術的なセキュリティだけで対応できるものではないので、規範的な規制について一定の合理性は認められる。
これに対して、セキュリティ・ホール攻撃型においては、セキュリティの論理的な脆弱性が不正アクセスの手段として利用される。したがって、この類型では刑法的な予防よりもセキュリティを強化することこそが有効な対策なのである。
通常、ハッキング(クラッキング)は、《ポート・スキャン》→《空いているポート番号へのアタック》→《ルート権限の取得》→《データの取得・改ざん》→《ログファイル(通信記録)の消去》といったような手順で行われる。インターネットに接続されたコンピュータでは、さまざまなサービス毎に分けられたデータの出入り口をポートと呼ぶ。ポート・スキャンとは、このポート番号に順次アクセスして各ポートに対応するサービスを探り出すことである。空いたポートを見つけ、運用中のネットワーク・サービスの弱点やセキュリティ上の弱点(セキュリティ・ホール)が発見された場合、そこがアタックされ、侵入の突破口となる。セキュリティ・ホールとは、セキュリティに関するプログラムミス(バグ)や不正な侵入への配慮を欠くなどの人為的ミスに基づく論理的欠陥である。侵入者は、メールサーバー(Eメールのサービスを行うコンピュータ)のバグを利用したり、ホームページ上からアタックを繰り返す。侵入に成功し、とくに階層構造になったファイル・システムの最上位(ルート)に到達すれば、スーパーユーザー(管理者)のルート権限を取得することができ、すべての制限から解放されてシステムは侵入者の思い通りになる。大企業や研究所などでは、他のネットワークへのアクセス権限をもった者も多い。侵入したコンピュータからそのようなIDやパスワードが入手できれば、侵入者はそこを踏み台にして、さらに他のネットワークへ権限ある他人に成りすまして堂々とアクセスすることが可能となるのである。最後に、ルート権限を利用してログを改ざん・消去して、侵入者は立ち去る。
2 不正アクセスの規制においては、クラッキングなどを目的としたハッキングのみを処罰対象とするという方向も考えられる。しかし、法律は不正アクセス罪をそのような意味で目的犯とはせずに、ハッキング全般を規制対象とした。規制の網は広いが、保護の対象となるコンピュータが、電気通信回線に接続され、アクセス管理者によって一定のアクセス制御がなされているコンピュータに限定されている(2条)。アクセス制御とは、各ユーザーに対してあらかじめ許可された以上のアクセスを禁止するための技術的措置である。したがって、通信回線に接続されていない状態のコンピュータに、他人のパスワードを入力し、制限を解除するような行為は、不正アクセスには当たらない。他方、通信回線に接続された状態のコンピュータであれば、個人のコンピュータにEメールなどに添付させたウィルス(「トロイの木馬」が有名)を忍び込ませて、そのコンピュータを遠隔操作してファイルをコピーするような場合は不正アクセスに当たることになるだろう。不正アクセスを処罰することは、結果的には情報の不正入手を処罰するという効果をもつから、アクセス管理者によって管理されているコンピュータと、そうでない個人ユーザーのコンピュータに対する保護に差が生じることになり、この点は今後検討すべき課題となるだろう。
なお、一般に「不正」という意味には、アクセス権限者の犯罪目的でのアクセスも含まれうるが、法律は、コントロール主体が許容しない形態でのアクセスという意味で使用している。その意味では、「無権限アクセス」という文言を用いる方が適当ではなかったかと思われる。
3 不正アクセスの刑法的規制を考えるとき、その当罰性・処罰根拠については基本的に二つの考え方がある。クラッキングの未遂罪ないし予備罪的な行為と考えるか、ネットワークにおける社会的経済的な安全性や信頼性を侵害するという独自の当罰性をもった行為と考えるかである。法律では、法の目的が「電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする」(1条)とされて、中間的な表現になっている。
クラッキングはハッキングの発展段階であるから、ハッキングの段階まで処罰時期を早めることについては一定の合理性は認められる。しかし、すべてのハッキングがクラッキングを意図し、それに連動するものではなく、また、わが国ではサービスや情報の不正入手一般が犯罪とはされていない以上、ハッキングを未遂罪ないし予備罪的な性格をもつものとして構成することには無理があるだろう。そこで、ハッキング自体に当罰性が認められるのかが問題となる。コンピュータ・ネットワークの社会的経済的な重要性がますます増大する以上、外部から隔離されたシステム自体に法的保護を与えることは必要であり、不正アクセスをいわば電子的な不法侵入罪(ネットワーク犯罪)として、現実社会での住居侵入罪との対比で捉えることは可能であるだろう。住居侵入罪では物理的な侵害が要件となっているが、ヴァーチャルな世界では、一定のアクセス制御システムを破ることがこれに相当する。法律も保護の対象を、通信回線に接続されてアクセス制御が施されたシステムに限定し、このアクセス制御の不正な解除を要件としている。
ただし、不正アクセス助長行為に関する当罰性の評価については問題がある。不正アクセス助長行為の法定刑は「30万円以下の罰金」(9条)であり、不正アクセス罪の法定刑(「1年以下の懲役又は50万円以下の罰金」)(8条)に比べて格段に低く設定されている。法律は、不正アクセス助長行為を不正アクセスに比べて当罰性のより低い周辺的な行為と位置づけている。しかし、他人の識別符号をむやみに第三者に提供する行為は、セキュリティの高さで対抗できるものではなく、ネットワークの安全性・信頼性を不正アクセスと同等か、あるいはそれ以上に侵害する行為である。したがって、この点に関する当罰性の評価については今後に問題を残すものであるだろう。また、ネットワーク上に流通するいわゆるハッキング・ツールを使用すれば、MS―DOSの知識すらない者であっても、ハッキングやクラッキングが可能となる。今後は、そのようなソフトの流通規制も問題となるだろう。
4 最後に、法案作成段階で大きな問題点の一つとなっていたのが、ログの保存義務である。これについては、郵政省と警察庁との間で大きく意見が分かれた。郵政省案では、ログの保存についてはインターネット・プロバイダ(接続業者)などの自主的な判断に任せるべきだとしていたが、警察庁案では一律3ヶ月の保存と捜査機関への提出が義務づけられていた。ログは電気通信事業法にいう「通信の秘密」(同法4条)であるし、また、容易に修正できるから、ログの証拠能力にも疑問がある。法律では、結局、ログの保存は通信の秘密・プライバシーの侵害となるおそれがあり、一律に義務づけることには合理性を欠くとする、郵政省の意見が優先した。妥当であると思う。
不正アクセスが処罰されるからといって、それでネットワークの安全性が確保されるものでないことは言うまでもない。ネットワークの中には非常に高度な技術をもった者も暗躍している。彼らにとっては不正アクセスの痕跡すら消し去ることが可能である。現実にそのような事件も発生している。刑罰の抑止効果も、彼らには期待できないおそれがある。 法律は、プロバイダや研究機関などのアクセス管理者に、パスワードを適正に管理するように要求し、適切なセキュリティを講じる努力義務も設けた。公安委員会などよる技術的な支援も行われる。それぞれのネットワーク管理者が不正アクセスの重大性を自覚し、セキュリティについて研究を怠らないということは、ネットワーク管理者の社会的責任でもある。確かに完全なセキュリティなどはありえない。しかし、セキュリティを高めていくことは、確実にネットワークの安全性を高めることになる。不正アクセスに対しては、刑事法による事後的な処罰よりも、パスワードなどの厳重な管理を含めて、事前に徹底した防御システムを構築することこそが最強の対策なのである。
【参考文献】
- 「不正アクセス行為の禁止等に関する法律案」(http://www.npa.go.jp/seiankis5/houann.htm)五十嵐忠行他「特集・ハイテク犯罪対策の推進」警察学論集51巻7号(1998年)1頁以下加藤敏幸「ネットワーク不正使用」情報研究第4号(1996年)27頁以下佐々木良一『インターネットセキュリティ入門』(岩波新書、1999年)佐伯仁志「無権限アクセス規制に関する覚書」研修602号(1998年)3頁以下園田寿「西ドイツ刑法典におけるデータ探知罪」法学論集37巻4号(1987年)41頁以下園田寿・北岡弘章「不正アクセスと刑法」法学論集47巻6号(1998年)29頁以下前田雅英「ハイテク犯罪の現状と課題」ジュリスト1140号(1998年)92頁以下山口厚「情報通信ネットワークと刑法」『岩波講座現代の法6 現代社会と刑事法』(岩波書店、1998年)103頁以下警察庁(http://www.npa.go.jp/network.htm)郵政省(http://www.mpt.go.jp/policyreports/japanese/group/internet/index.html)日弁連(http://www.nichibenren.or.jp/sengen/iken/9812-02.htm)