• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

岡村久道 IT弁護士の眼

コンピュータ・ウイルスの作成や所持などが新たに処罰対象に

岡村 久道=ITpro Watcher 2006/03/07 ITpro

 前回触れたように、現在、Winnyに情報を流出させるウイルス「Antinny(アンティニー)」による深刻な被害が相次いでいる。Antinnyだけでなく、毎日、我々のもとには恐ろしい数のウイルスがメールなどの形で飛んでくる。

 こうしたなか、現在開会中の通常国会では、コンピュータ・ウイルスの作成などを処罰の対象とする刑法の改正案が審議入りを迎えようとしている。

現行刑法でのウイルス処罰は電子計算機損壊等業務妨害罪

 ウイルス感染によって他人の情報が漏洩して損害を与えたケースで、民事責任をめぐって裁判に発展する場合があることは前回説明した。このように、不注意で感染して損害を与えた場合であっても責任を問われることがあるのだから、悪意でウイルスを作って配布した者が損害賠償責任を負うことは当然である。

 これに対して、現行の刑法でウイルスに関する刑事責任を問おうとすると、難しい問題がある。

 このウイルスを取り締まることのできる現行の法律としては、1987年に成立した刑法第234条の2、電子計算機損壊等業務妨害罪がある。「人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する」というものだ。

今国会で成立の可能性も

 ただ、この電子計算機損壊等業務妨害罪だけで本当に防ぎきれるのか。

 ウイルスの発病による被害が発生するまでには、ウイルスを作る者がいて、ばらまいて感染させようとする者がいる。だが、電子計算機損壊等業務妨害罪ではウイルスの作成や提供そのものを処罰することはできない。

 また、業務の妨害を対象にしているため、一般個人のパソコンやそのデータを破損することも対象になりそうもない。例えば、家庭内のパソコンがウイルスに感染したために、デジカメで撮った家族写真のデータが消滅してしまったとしても、電子計算機損壊等業務妨害罪には問えないことになりそうだ。

 これでは不十分ではないのかという声が出てきても不思議とはいえない。

 ただし、今回の改正案では、サイバー犯罪に関する国際協力や法律制定を定めた「サイバー犯罪条約」を国会で承認したため、対応しなければならないという点が、法案提出の直接的な理由となっている。

 この改正案は当初、2004年春の通常国会に提出されたが、各界で反対意見が強い共謀罪と抱き合わせで提出されたこともあって成立には至らないまま、現在まで審議が実質的に継続してきた。しかし、現在はスーパー与党体制となっており、野党第一党も「偽ホリエモンメール騒動」で忙殺されているため、今国会で成立する可能性がある。

作成、提供は3年以下の懲役又は50万円以下の罰金

 改正案には、コンピュータ・ウイルスという言葉そのものは登場しないが、これを「不正指令電磁的記録」として位置付けている。

 「不正指令電磁的記録」の意味については後述するが、これを「人の電子計算機における実行の用に供する目的」で、「作成し、又は提供した者」は「不正指令電磁的記録等作成等の罪」に問われ、3年以下の懲役又は50万円以下の罰金に処せられる。

 また、これを人の電子計算機における実行の用に供する行為も、未遂を含めて処罰の対象になる。
以上は刑法第168条の2として新設される予定だ。

取得、保管は2年以下の懲役又は30万円以下の罰金

 さらに、同様の目的で取得、又は保管した者も処罰の対象となる。2年以下の懲役又は30万円以下の罰金である。こちらは刑法第168条の3として新設される予定だ。
改正案が成立すると、取得したり保管しているだけで刑務所行きになるのだから、麻薬や覚せい剤なみの扱いとなる。

 以上のとおり、「不正指令電磁的記録」を作成、提供、実行の用に供する、取得、保管する行為が、新たに処罰の対象となる。被害が発生することも、発生のおそれも、必要とされていない。

不正指令電磁的記録とは何か?

 現在、コンピュータ・ウイルスの法律上の定義は、平成12年12月18日の通商産業省告示 第952号(コンピュータウイルス対策基準)に書かれている。「第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、(1)自己伝染機能、(2)潜伏機能、(3)発病機能のうち一つを以上有するもの」がそれだ。しかし、これは告示にすぎず、法律上の定義とはいえない。

 改正案が成立すれば「不正指令電磁的記録」が広い意味でのコンピュータ・ウイルスの法律上での名称になることになる。

 改正案における「不正指令電磁的記録」の定義はかなり広い。「人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録」、もしくは、そうした「不正な指令を記述した電磁的記録その他の記録」というものだ。

 これだけを読んでも曖昧な内容だから、法律の専門家であっても分かりにくい。

 まず、「その意図」とは、「そのコンピュータを使っているユーザーの意図」という意味となる。例えば勝手にユーザーのアドレス帳を使ってメールを送信するプログラムは「意図に反する動作をさせる」不正な指令であり、対象に含まれる。ただし、単に迷惑メールを送りつけるだけでは対象にならない。

 ファイルを無断で抹消してしまうプログラムや、ユーザーのデータをファイル交換に流出させてしまうAntinnyも「意図に反する動作をさせる」ものに該当する。もちろんユーザーのキー入力を記録してパスワードなどを盗み出すキーロガーもそうだ。

 感染すればシステムを起動不能にしてしまうプログラムは、「意図に沿うべき動作をさせず」に該当する。

研究と過失は対象外

 例えばウイルス除去ソフトやウイルス対策ソフト用ウイルスパターンを作成する研究のために、自分のコンピュータでウイルスを実行させるケース、そのために保管するケースなどは、改正案で処罰の対象になるか。

 刑法の用語として、「人の」と記載されている場合、これを「他人の」と読み替えることが一般的である。そのため、「人の電子計算機における実行の用に供する目的」とは、いわば「他人のコンピュータでウイルスを実行させる目的」という意味になる。

 それなら、はっきりと「他人の」と、あらかじめ法律に明記しておけばいいのだが、こうした法律の世界の悪習は、残念ながら捨て去られることなく、今回の法案でも放置されたままである。困ったものだ。

 その点はともかくとして、こうした目的がない場合には処罰の対象とならない。このため、前述のような研究のための行為は、この目的がないことになり、処罰の対象から除外される。

 また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

「バグによる意図せざる動作」は?

 微妙なのは、ベンダーが突貫工事で、取り残したバグがあることを認識しながら、「バグでデータが消去されることは承知しているが、発売時期に間に合わせるためには仕方がない」としてプログラムを出荷してしまったケースだ。

 このように、バグにはまったユーザーの「意図に反する動作」が実行されると知りながら出荷した場合には、未必の故意に問われる可能性は残る。故意があるというためには、積極的な加害意思は必要ないからだ。さらに「不正な指令に係る電磁的記録」にあたるとされる可能性もある。

 結局のところ、前述した「目的」がなかったという言い分が通るかどうかという点が残る。だが、この言い分が、どの程度、裁判所で認めてもらえるのか、現時点では未知数というほかない。

問題は捜査能力

 こうしてウイルスに対する刑法の包囲網が整備されるとしても、犯人を検挙できるかどうかについては別問題であって、実際には難しい場合が多い。ウイルスの犯人が逮捕されたケースは、世界的に見ても数少ない状況だ。そのため、サイバー犯罪条約への対応を目的とした今回の法案には、ハイテク捜査に関する規定も盛り込まれている。

 この点についても解説を加える必要があるが、それは別の機会に委ねざるをえない。

◎関連資料
「ハイテク犯罪に対処するための刑事法の整備に関する諮問」(法務省)
コンピュータウイルス対策基準(経済産業省)
サイバー犯罪に関する条約(外務省)
サイバー犯罪条約とその国内法化に関するQ&A(日弁連)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る