一般社団法人 情報処理学会
セキュリティ委員会
情報処理学会では、2004年1月22日付で公表した「9月10日付け法制審議会答申「ハイテク犯罪に対処するための刑事法の整備に関する要綱(骨子)」に関する意見書」[2]において、刑法改正における「不正指令電磁的記録等作成等の罪の新設」、いわゆるウィルス作成罪・提供罪に対して意見を表してきた。その中で、
1.攻撃を意図しない、ソフトウェアのバグや仕様の不完全性を処罰対象としないこと
2.悪意を持たない、研究開発あるいはセキュリティ・テストを目的とする攻撃を処罰の対象としないこと
を要望してきた。その後、第177回国会の「情報処理の高度化等に対処するための刑法等の一部を改正する法律案(内閣提出第四二号)」において、不正指令電磁的記録等について「正当な理由のない」作成や提供を対象としていることから、上記2.に関する要望は満たされていると考えている。
しかし、上記1.の要望に関しては、特に提供罪に関しその要望が満たされていないのではないかという疑念が残っている。具体的には、平成23年5月27日の衆議院法務委員会[3]において、法務大臣が委員の「無料のプログラム、フリーソフトウエアを公開したところ、重大なバグがあるとユーザーからそういう声があった、それを無視してそのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があって、提供罪が成立するという可能性があるのか」という質問に対し「あると思います」と答弁されている。これは、バグのあるプログラムの提供がウィルス提供罪になることはあり得るという答弁であると理解される。当発言は、5月31日の衆議院法務委員会[4]において、「したがって、そうしたバグの存在というのは、ある意味で許された危険ということがあるかもしれません。ただ、そういうバグが非常に重大な影響を及ぼすようなものになっていて、しかもこれが、そういうものを知りながら、故意にあえてウイルスとしての機能を果たさせてやろうというような、そういう思いで行えば、これはそういう可能性がある、そういう限定的なことを一言で申し上げた。」として、大臣によって修正がなされている。これは、プログラム中のバグの存在は提供者および被提供者にとって合意されているため、「許された危険」であると理解されるため、未必の故意が問われる可能性はあるものの限定的な場合であるということ、およびその境界は捜査機関に委ねられるという趣旨である。
そもそも十分な注意をもって作成してもバグの発生を完全に回避することができないプログラム開発の特性を考慮に入れれば、答弁の内容は、重大なバグがあれば常にウイルス提供罪にあたる可能性が排除されないことを意味すると受け取られかねず、ソフトウエア等の開発・公開やソフトウエア関連サービスの提供を行う者を萎縮させる懸念が拭えないものである。法務省のQA[5]のQ4のAでは、バグが斯様なものとして、本罪の対象とならないことが明らかにされているが、その点は改めて強調していただく必要があると考える。
そこで、本学会としては、以下のことを要望する。
| (1)法案第168条の2第1項による処罰対象となる「他人の電子計算機での実行の用に供する目的による不正指令電磁的記録等の作成又は提供」とは、「他人の電子計算機に、使用者の意図に反する動作等をさせることによって社会的に許容されない不利益をもたらすプログラム」を、「使用者を欺いて実行させることを目的として」作成又は提供する行為を言うものであって、 そのような目的によらないソフトウエアの作成や提供については、
結果的にいわゆるバグやセキュリティホールが作りこまれていた場合や、事後的に第三者に勝手に悪用された場合においても、その社会的影響の大小に関わらず、処罰対象には含まれないという立法趣旨であることを改めて確認したい。なお本立法趣旨は、平成15年6月14日参議院法務委員会における参考人の意見陳述および質疑において確認されたと考えているが、この立法趣旨に反する法運用が行われることがないよう、切に要望する。 |
(2)プログラムの公開には様々な場合があり、特にフリーソフトウェアの公開は自動公衆送信等によって行われる場合が多いが、公開後に当該プログラムのバグやセキュリティホールが重大な結果をもたらし得るものであることが判明したときに、影響を受け得るすべてのプログラムについて、公開の停止や改修等の積極的な行為を行わなければ、不正指令電磁的記録提供・供用罪に関する「未必の故意」が認定される可能性があるとする法運用は本学会としては受け入れがたい。
不正指令電磁的記録供用罪は、プログラムが「意図に沿うべき動作をさせず、意図に反する動作をさせる」ことができることを公開時点において認識しながら、そのような社会的に許容されず、使用者の意図に反する動作を、使用者を欺いてその電子計算機上でさせることを目的として、行われる行為を処罰するものであることを確認したい。すなわち、ソフトウエア等の公開後において、バグやセキュリティホールの存在が明らかになった場合であっても、電子計算機の使用者を欺いてそのプログラムを実行させて不利益をもたらすことを目的に、積極的に新たな公開行為を行なわない限り、本条による処罰対象とはならないと解されるべきである。
また、公開したソフトウエアにセキュリティホールが発見された場合の当該セキュリティホールに関する情報や修正プログラムの公開については、あらかじめ公開されている製品提供者のポリシーや平成16年経済産業省告示第235号「ソフトウェア等脆弱性関連情報取扱基準」に基づく調整・公開の枠組みに従った対応が行われており、ソフトウエア等の提供・公開者は、セキュリティホールの存在を認識しても、利用者の安全を図るために 直ちにはその情報を公開しない扱いが行われており、これらに基づく対応が尊重されるべきである。
|
(3)新規性のあるプログラムの開発や新たなサービスの創造を委縮させてしまうことがないよう、また、ソフトウエア等の開発・公開やソフトウエア関連サービスの提供を行う者にとって過剰な負担となるような運用が行われることのないよう、本改正法の施行前に、どのような場合が犯罪の構成要件に該当するのかについて、逐条解説などの形で明示していただきたい。 |
[1] 情報処理の高度化等に対処するための刑法等の一部を改正する法律案
[2] 「ハイテク犯罪に対処するための刑事法の整備に関する要綱(骨子)」に関する意見書提出
[3] 第177回国会 法務委員会 第14号(平成23年5月27日(金曜日))
[4] 第177回国会 法務委員会 第15号(平成23年5月31日(火曜日))
[5] いわゆるサイバー刑法に関するQ&A
更新履歴
2011年6月17日 初版
2011年6月21日
本法律にいう「他人の電子計算機における実行の用に供する行為」とは、「使用者の意図に反する動作等をさせること
によって社会的に許容されない不利益をもたらすプログラムを、使用者を欺いて実行させる行為」を言うものと解釈さ
れるべきであるところ、本法律に関する意見を述べるに当たって、ソフトウエアを公開する行為を一般的な用語として
の「供用」で表現してしまうと、この法律で犯罪行為を言うものとして用いられる「実行の用に供する行為」(供用行
為)との混濁が生じてしまうことが懸念されることから、ソフトウェアの提供などを意図する説明については、より一
般的な用語である「公開」を使用するように改訂しました。
以上 |