情報処理学会ホームに戻る
最終更新日:2004.2.2

「ハイテク犯罪に対処するための刑事法の整備に関する要綱(骨子)」
に関する意見書提出

 

会長 益田隆司

 このたび本会では,第492回理事会(平成15年12月24日)においてITの分野に責任を持つ専門家の集団として,法務省法制審議会に対し提言を行うことを決定し,以下の通り,1月22日に提言を提出いたしましたのでご報告いたします.


2004年1月22日

法務省法制審議会会長殿

社団法人 情報処理学会
会長 益田隆司

9月10日付け法制審議会答申
「ハイテク犯罪に対処するための刑事法の整備に関する要綱(骨子)」
に関する意見書

 情報セキュリティが大きな関心事である今日、コンピュータシステムに対する犯罪を取り締まることには大きな意味がある。しかし、法制化に当たっては、技術の本質、動向等をよく理解した上で、我が国における健全な情報技術の発展を阻害しないようにすることを、情報処理学会は望む。特に、以下の点について、十分な配慮を願いたい。これらの内容は法的な見地からは杞憂といえるかもしれないが、情報処理技術の研究・開発に携わっている者の懸念を代表して、あえて意見を表明するものである。

1.攻撃を意図しない、ソフトウェアのバグや仕様の不完全性を処罰対象としないこと(要綱第一)

現行の表現では、
 1)攻撃を意図しないが仕様を完全には満たさないソフトウェア(すなわちバグのあるソフトウェア)、あるいは
 2)設計者の仕様は満たすがユーザの意図を必ずしも反映していないソフトウェア
を作成した者、またそのようなソフトウェアを配布した者が処罰の対象になるという解釈も成り立つのではないか。しかし、現状のソフトウェア開発プラクティスではソフトウェアのバグはゼロにすることは不可能であり、またソフトウェアの正しさの理論的な検証を実用的なレベルで行うことは現在のところできない。コンピュータ・セキュリティの専門家の間では、どのようなプログラムにも平均1,000行に1つのセキュリティ・バグがある、と信じられている。また、仕様がユーザの意図を反映しないことも多々あることである。したがって、故意による攻撃と、善意の開発者によるバグの混入や仕様の不完全性を同列に扱うべきではなく、上記1)と2)を処罰の対象から除くことを明らかにすべきであると考える。

 ソフトウェアの仕様がユーザの意図を満たし、また開発されたソフトウェアがその意図通りに実装されていることに対する、ソフトウェア開発者の製造物責任に関する議論があるのは意味のあることであり、ソフトウェアに対する信頼を高めるためにも、大いに議論すべきであるが、この点は別に取り扱うべき項目と考える。

2.悪意を持たない、研究開発あるいはセキュリティ・テストを目的とする攻撃を処罰の対象としないこと(要綱第一)

 また、攻撃を意図していたとしても、他人に害を与えない範囲での試験、研究開発等は明確に処罰対象から外すべきである。さもないと、日本における、コンピュータ・セキュリティの研究開発に重大な影響を及ぼす。例えば、ウィルス等悪意のあるソフトウェアが見つかった場合に、そのソフトウェアを保管し、コントロールされた環境下で実行し、その動作を確認することは、その原因となったセキュリティホールを修復するために必要不可欠なステップであることが多い。これが許されないとなると、システム管理者、アンチウィルスメーカ、コンピュータ・セキュリティ研究者は困ることになる。

 したがって、要綱第一には、「研究開発あるいはセキュリティ・テストを目的とした攻撃で、かつ影響を与える範囲の計算機の管理者・使用者の事前の了解を得ている場合にはこの限りでない」というような例外を設けるべきである。

3.電子計算機に電気通信回線で接続している記録媒体からの複写について(要綱第五)

 「当該電子計算機で処理すべき電磁的記録を保管するために使用されていると認めるに足りる状況にあるもの」との表現では、「処理」という言葉が広い意味を持っていることから、電気通信回線で接続されているあらゆる記録媒体が対象となりかねないことが懸念される。

 極端な例を一つ提示すると、ある人のパソコンがインターネット経由でアクセス可能な検索エンジンサイトのサーバのハードディスクについても、当該パソコンで処理すべきデータを保管するために使用されていると解釈することもできることになり、当該検索エンジンを運営するサーバのハードディスク上に記録された他人の電磁的記録(検索エンジンによる検索結果など)についても、複写・差押が及ぶのではないかと危惧するものである。

 その意味で、このような解釈の余地をなくすために、差押対象となった電子計算機と接続された記録媒体に含まれる電磁的記録が誰によって管理されているかによる制限を加える必要があるのではないか。

 要綱第五は、「当該電子計算機で処理すべき電磁的記録」の部分を、「当該電子計算機で管理されるべき電磁的記録」とした方が良いのではないか。

─以上─