二月七日、石破政権は、能動的サイバー防御法案を閣議決定し、衆議院に送付した。この法案は、重要電子計算機に対する不正な行為による被害の防止に関する法律案」(以下、「新法」)及び「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」(以下、「整備法」)の二本からなっている。
法案の概要
まず新法では、①基幹インフラ事業者による導入された一定の電子計算機の届出やインシデントの報告を求め、情報共有・対策のための協議会を設置し、脆弱性対応を強化することについての官民連携を図り、②基幹インフラ事業者等と協定(同意)に基づく通信情報の取得、同意なき通信情報の取得、自動的な方法による機械による情報の選別の実施、関係行政機関の分析への協力、取得した通信情報の厳格な取扱い、独立機関による事前審査・継続的検査の実施等という通信情報の利用が定められた。これにより、分析情報・脆弱性情報の提供等が可能となるという。
これらのうち、特に「同意なき通信情報の取得」には注意する必要がある。政府が作成した説明文書(十頁、新法②[通信情報の利用])によれば、それには、外外通信の分析と外内通信または内外通信の分析があり、前者は「国外の攻撃インフラ等の実態把握のため必要があると認める」時に行なわれ、後者は、「国内へのサイバー攻撃の実態把握のため、特定の外国設備との通信等を分析する必要がある」時に行なわれるという。これらは、憲法が保障する通信の秘密を侵害することは明白であり、「制度設計にあたっては、『通信の秘密』に十分に配慮」するとしているが、無同意での通信情報の取得は、通信の秘密を侵害していることに間違いはない。どのような制度設計をしようが、憲法違反であることは明白である。
警察による能動的サイバー防御の実施
能動的サイバー防御を実施するために、整備法は警察官職務執行法を改正し、新たに六条の二「サイバー危害防止措置執行官による措置」を設け、また、自衛隊法を改正し、八十一条の三「重要電子計算機に対する通信防護措置」を設けている。
サイバー攻撃は、攻撃サーバが電子計算器内にある情報摂取したり、そこにあるソフト等の機能を停止させることによって成り立っている。その攻撃対象は、政府自治体等、基幹インフラ、経済情報保有事業者等に及んでおり、その機能が停止してしまえば、その影響は甚大であることを理由に、能動的サイバー防御を実施する根拠があるという。
能動的サイバー防衛は、警察庁長官により指名されたサイバー危害防止措置執行官により実施される。
実施するための要件は、①サイバーセキュリティを害する等の情報技術を用いた不正な行為に用いられまたはその疑いのある電気通信の認知、②そのまま放置すれば、人の生命、身体または財産に重大な危害が発生するおそれがあるため緊急の必要があるときであり、その実施の内容は、①通信の送信元であるサーバ等の管理者等に対する「危害防止のために通常必要と認められる措置で会って電気通信回線を介して行う加害関係電子計算機の動作に係るものをとること」を命令し、②攻撃関係サーバ等への措置(インストールされている攻撃のためのプログラムの停止・削除など)を自ら実施することである(サイバー危害防止措置)。
その電子計算機が、「国内に設置されていると認める相当な理由がない場合」には、事前に外務大臣と協議しなければならず、その実施については、独立機関であるサイバー通信情報管理委員会の承認を得なければならず、加害の通信がすでに送信されている場合など、承認を得るいとまがないと認める特段の事由がある場合には、速やかな事後通知で足りるとしている。
法案に規定されている警察による能動的サイバー防御措置の概要は、以上のとおりであるが、ここには、非常に大きな問題が含まれている。
攻撃の通信をしてきたサーバの管理者に対しする措置命令を認めているが、その法的根拠については何も明らかにされていない。法的根拠を有しない命令は無効であることは明白である。送信元が従わないことを前提とし、自らが行なうことを自明のこととしているので、その法的根拠を無視しているのであろうか。それは。非常に荒っぽい議論である。人々が警察の命令に従わざるを得ないのは、その命令が法的根拠を以て発信されているからである。こんな法的根拠を持たない命令には、従う義務は存在しない。
さらに、送信元が命令に従わなかった場合、警察自らがその措置をとるという。それは、相手方電子計算機に侵入し、プログラム等を破壊し、無害化することを示している。このような措置をとることに、令状主義は必要ないのであろうか。警察が強制処分を行う場合には、令状が必要なことは憲法三十五条が認めていることだ。それを無視することができる根拠はどこにあるのか。そんな根拠はどこにもない。
また、整備法では、国内に設置されていない電子計算機についても、同様な措置をとることが認められている。これは、警察権限の発動は国内に限定されなければならないという大原則を完全に無視している。
外国にあるサーバに侵入し、そこにあるソフト等を破壊する行為を警察が行なうことを許容する根拠はどこにあるのか。サイバー社会には国境がないことを良しとし、外に出ていこうというのか。本来は、現実の社会と同様に、自らの財産は自らの力で守るべきであり、放置されていてはならない。現実の社会には国境があり、国を守るために、防空措置を講じている。サイバー社会でも、その論理は変わるところがない。攻撃対象となる電子計算機が外国に存在している事実については、警察は把握しているのだ。その外国に存在する電子計算機への攻撃は、その正当化根拠を明示し、法的根拠を明らかにすべきである。
自衛隊による能動的サイバー防御の実施
整備法は、自衛隊にもサイバー防御を実施する権限を与えている。
内閣総理大臣が次の場合に通信防護措置を命じた上で、自衛隊の部隊等が措置を実施することとなる。①重要電子計算機に対する特定不正行為があり、②本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行なわれ、③次の各号のいずれにも該当することにより、自衛隊が対処を行なう特別な理由があると認めるときである。
一 当該不正行為により重要電子計算機に特定重大支障(重要電子計算機の機能の停止または低下であって、当該機能の停止または低下が生じた場合に、当該電子計算機に係る事務または事業の安定的な遂行に容易に回復することができない支障が生じ、これによって国家及び国民の安全を著しく損なう事態が生ずるものをいう。)が生ずる恐れが大きいと認めること。
二 特定重大支障の発生を防止するために自衛隊が有する特別な技術または情報が必要不可欠であること。
三 国家公安委員会からの要請またはその同意があること。
警察が行なう能動的サイバー防御は「サイバー危害防止措置」であり、自衛隊が行なうものは、「通信防護措置」である。これらの措置は全く異なっている。にもかかわらず、自衛隊が行う通信防護措置については、警察が共同して行なうという。警察は、国内に設置されていることについての相当な理由がない場合のみ、例外的にサイバー危害防止措置を実施することが許されているにすぎない。通信防護措置の実施についての権限を持たない警察が、自衛隊が行なう通信防護措置の実施に参加できるのかについての合理的根拠は示されていない。これでは、国外での警察権力の実施が、当然のように許されることになってしまうだろう。この通信防護措置がサイバー戦争行為の一環であると捉えた場合には、その戦争行為に警察が参加することを意味し、整備法に規定されているような形での自衛隊と警察の共同作業を簡単に認めるわけにはいかない。
ここでも、憲法九条を忘れてはならない。能動的サイバー防御関連法案について、マスコミは様々な視点から報道しているが、一番欠落しているのが、憲法九条の視点が欠け、この法案が戦争推進法であることである。マスコミは、冷静な視点を持ち、的確な批判を行なう責務があると思うが、いかがかな。
要件の一つである「本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行なわれ」ということについては、政府が作成した説明文書では、「外国政府を背景とする主体による高度な攻撃と認められるもの」とされている(一六頁「整備法①[アクセス・無害化]」。どのように理解すれば、政府の説明になるのかは全く理解できない。「本邦外にある者」を「外国政府を背景とする主体」と理解しようとしたいのは、政府が自らの中で仮想敵国を設け、それによるサイバー攻撃が行われることを想定しているのではないだろうか。それはもう戦争行為そのものである。
外国からのサイバー攻撃を受け、それに対処するために行われる防御であっても、それは反撃であり、それを戦争とみるかどうかは別として、もう戦争行為の一環でなされている。
本来、サイバー社会は無防備なものであり、セキュリティの確立は、その程度を問わず、それぞれの所有者の判断に任されている。技術は毎日のように進歩するのだから、それに対応した形で、セキュリティも進歩しなければならない。その際に絶対に行ってはいけないことは、セキュリティが破られたからということを理由とした相手方電気計算機への反撃である。もしこれを許してしまえば、復讐の連鎖であり、留まるところを知らなくなってしまう。
※コメント投稿者のブログIDはブログ作成者のみに通知されます