平成10年3月


不正アクセス対策法制に関する調査研究報告書







情報システム安全対策研究会
不正アクセス対策法制分科会
 
警察庁
 
 
 

目 次


はじめに ・・・・・・・・・ 1


1 社会における情報化の現状 ・・・・・・・・・ 2

(1) 企業における情報システムの導入状況 ・・・・・・・・・ 2

(2) 家庭におけるパソコンの普及状況 ・・・・・・・・・ 3

(3) パソコン通信の利用状況 ・・・・・・・・・ 4

(4) インターネットの利用状況 ・・・・・・・・・ 5

(5) 電子商取引の普及状況等 ・・・・・・・・・ 7

(6) 行政の情報化に関連する計画及び推進状況 ・・・・・・・・・ 9

(7) ネットワーク上におけるその他の社会経済活動 ・・・・・・・ 9

2 コンピュータ犯罪等の現状 ・・・・・・・・・ 10

(1) サイバー犯罪の現状 ・・・・・・・・・ 10

 ア コンピュータ犯罪 ・・・・・・・・・ 10

 イ ネットワーク利用犯罪の推移 ・・・・・・・・・ 11

 ウ サイバー犯罪の特徴~不正アクセスによる匿名性の実現 ・・ 13

 エ 不正アクセスを手口とする主な事案の概要 ・・・・・・・ 13

(2) その他の不正アクセスの現状 ・・・・・・・・・ 18

(3) 不正アクセスとコンピュータ・ウィルス ・・・・・・・・・ 19

(4) 不正アクセスとサイバー・テロ ・・・・・・・・・ 20

(5) 不正アクセスと電子商取引 ・・・・・・・・・ 20

(6) 不正アクセスとプライバシー侵害 ・・・・・・・・・ 20

3 不正アクセス対策法制の必要性 ・・・・・・・・・ 22

(1) 法制の現状 ・・・・・・・・・ 22

 ア 刑法と不正アクセス ・・・・・・・・・ 22

 イ 外国法制 ・・・・・・・・・ 23

(2) 犯罪防止の観点からの不正アクセスの禁止・処罰の必要性 ・・ 25

 ア 不正アクセスの規制の趣旨 ・・・・・・・・・ 25

 イ 「サイバー・スペース」の安全の確保 ・・・・・・・・・ 27

(3) 禁止すべき不正アクセスの範囲 ・・・・・・・・・ 28

 ア 識別情報 ・・・・・・・・・ 28

 イ 行為態様 ・・・・・・・・・ 29

 ウ 今後の技術動向への対応 ・・・・・・・・・ 29

4 セキュリティの現状と犯罪対策上の課題 ・・・・・・・・・ 31

(1) セキュリティの現状等 ・・・・・・・・・ 31

 ア 企業等におけるセキュリティの現状 ・・・・・・・・・ 31

 イ OECDにおける情報セキュリティへの取組みの状況 ・・・ 31

 ウ システムのセキュリティの標準化の動向 ・・・・・・・・・ 31

 エ セキュリティ実態調査結果 ・・・・・・・・・ 32

 (ア) パスワード管理について ・・・・・・・・・ 32

 (イ) コンピュータ・システムのセキュリティ管理体制 ・・・ 34

 (ウ) 外部との接続環境 ・・・・・・・・・ 37

 (エ) 不正アクセス対策法制の必要性 ・・・・・・・・・ 38

(2) 犯罪対策上の課題 ・・・・・・・・・ 39

5 コンピュータ犯罪等のグローバル化への対応 ・・・・・・・ 41

 

結びに代えて ・・・・・・・・・ 46

 

情報システム安全対策研究会不正アクセス対策法制分科会委員

 

 
浅野正一郎  学術情報センター教授
石垣昭一郎 NTT OCN 事業部担当部長
磯部 力 東京都立大学教授
伊藤穣一 株式会社デジタルガレージ代表取締役社長
歌代和正 株式会社インターネットイニシアティブ システム技術部部長
島田秋雄 日本サン・マイクロシステムズ株式会社システム技術本部
白橋明弘 ネットワンシステムズ株式会社チームリーダー
立石勝規 毎日新聞社論説室論説委員
田渕治樹 富士通株式会社ソフトウェア事業本部部長
千葉麗子 株式会社チェリーベイブ代表取締役
成田頼明(座長) 横浜国立大学名誉教授・日本エネルギー法研究所所長
前田雅英 東京都立大学教授
村上清治 日本コンピュータセキュリティリサーチ代表取締役
安冨 潔 慶應義塾大学教授
山川 隆 ニフティ株式会社取締役企画部長
金重凱之 警察庁長官官房総務審議官
五十嵐忠行 長官官房審議官(刑事局担当)
鎌田邦廣 長官官房技術審議官
北村 滋 長官官房総務課企画官
小田村初男 長官官房国際部国際第一課長
小谷 渉 生活安全局生活安全企画課セキュリティシステム対策室長
片桐 裕 生活安全局生活環境課長
岡田 薫 刑事局刑事企画課長
和田康敬 刑事局暴力団対策部暴力団対策第一課長
矢代隆義 交通局交通企画課長
小林武仁 警備局警備企画課長
西川徹矢 情報通信局情報通信企画課長
舟橋 信 情報通信局情報管理課長
 

 
はじめに

 不正アクセスの法的規制の在り方が立法課題のそ上に上ったのは、10数年前にさかのぼる。以来、欧米では次々に法整備が行われる運びとなったが、我が国では、その実現を見ないまま今日に至っている。

しかしながら、その間、犯罪者たちは、日進月歩の情報通信技術を駆使して犯罪に悪用する手口を身に付けるようになった。そのような犯罪の発生件数も年々増加する傾向にあり、今では、「サイバー犯罪」と呼ぶべき犯罪のジャンルを形成するほどになっている。

 このような状況の中で、不正アクセスは、犯罪者自身が「不正アクセスは犯罪ではない」と豪語していることに象徴されるように「白昼堂々」と行われている。しかも、その目的は、匿名環境を作り出し、犯罪を容易に実行するための手段とすることにある。不正アクセスをこのまま「野放し」にすることは、犯罪対策の見地からみて、もはや容認できる状況ではない。不正アクセス対策なくして、高度情報通信社会の発展はないと言っても過言ではなかろう。

 当分科会の置かれる情報システム安全対策研究会は、一昨年4月に「情報システムの安全対策に関する中間報告書」を公表し、情報システムの安全対策をめぐる現状の分析と法制度を含めた今後の警察行政の在り方の方向性を示したが、その中で、不正アクセスについては、新たな視点からの法的対応の必要性を掲げている。当分科会は、平成9年7月、この問題を議論すべく、情報システム安全対策研究会に設置されたものである。本報告書は同分科会における議論をまとめたものであり、今後のこの分野における警察行政手法に一つの方向性を与えるものと確信する。

 

 

1 社会における情報化の現状

 

 現在の社会は、インターネット、パソコン通信を始めとした情報システム(コンピュータ・システム(以下「システム」という。)とそれを利用して行われる情報化した社会的活動の全体をいうこととする。)を抜きにしては語れない。情報システムは、今や現代社会の活動を支える基盤的インフラとなりつつある。ここでは、現代社会の情報システムに対する依存状況と今後の動向等について概観することとする。

 

(1) 企業における情報システムの導入状況

 1997年情報化白書によれば、1の企業で平均して約360台のパソコンを保有し、従業員1人当たり0.29台のパソコンを割り当てられている。従業員3人に1台が配布されている計算になる。

 また、図1-1に示すように、民間情報化投資(電子計算機等に限る。)は、全体の設備投資額の約8.6%を占め、特に最近5年間は毎年1%ずつ増加している。

 また、図1-2及び図1-3に示すように、現在約3分の2の企業でLANを使用し、企業のインターネット利用も急激な伸びを示している。



(2) 家庭におけるパソコンの普及状況

 パソコンは、現在、家庭にも急激な勢いで普及している。平成9年3月現在、家庭におけるパソコンの普及率は22.1%となっており、約960万世帯がパソコンを保有している。特に1993年時点と比較すると、普及率は2倍近くになっている(図1-4)。家庭レベルでは、ファクシミリよりもパソコンの方が普及率が高くなっている(図1-5)。



(3) パソコン通信の利用状況

 家庭へのパソコンの普及に伴い、最近では、パソコン通信を利用する者の数も急速に増えている。1996年6月現在、パソコン通信の会員数は、約573万人であり、1991年7月時点と比較して、5倍超の数となっている。

 また、パソコンネット局数も、1996年6月現在で2,700を超える数の局があり、1991年7月と比較して、約2倍の数となっている(図1-6、図1-7)。



(4) インターネットの利用状況

 インターネットについても、民間で利用されるようになって数年のうちに爆発的な普及を遂げ、その利用者数は、1997年2月時点で、パソコン通信の利用者とほぼ同数の約572万人(推計)に達している。(図1-8)。

 インターネット・サービス・プロバイダ(以下「プロバイダ」という。)の数もインターネットの利用者数と同様に急増しており、1997年2月時点で1645社となっている(図1-9)。また、インターネットに接続されているホスト・コンピュータ数は、1997年1月現在では、世界で1,600万台、我が国で73万台となっている(図1-10)。



(5) 電子商取引の普及状況等

 我が国のコンピュータ・ネットワーク(以下「ネットワーク」という。)上のビジネスの市場規模は、平成7年の1年間で7億円だったものが、平成8年には285億円とに急速に拡大している。その伸び率では、米国(平成7年には417億円、平成8年には2,687億円)を上回っており、世界全体の市場規模に占める割合も、平成7年時点で1%であったものが、平成8年には8%に増加している(図1-11)。また、ネットワーク上の店舗についても、平成9年2月時点で2,217に達し、ここ数年で急激な伸びを示している(図1-12)。

 電子商取引の分野でのこういった急激な発展を受け、政府でも電子商取引の普及を後押しする様々な試みがなされている。政府全体の推進体制として、内閣総理大臣を本部長として設置されている「高度情報通信社会推進本部」に、平成9年9月8日、「電子商取引等検討部会」が設置された。また、具体的な推進計画としては、「経済構造の変革と創造のための行動計画」(平成9年5月16日閣議決定)において、「電子的な契約取引を巡る法律関係、電子商取引における消費者保護関連制度の在り方、いわゆる「電子マネー」に関する制度の在り方、情報通信の発展に伴う新たな形態の犯罪への対応の在り方等、電子商取引の本格的な普及に向けて検討すべき制度的課題のすべてについて早急な検討を行い、その結果を踏まえて、平成13年(2001年)までに必要な措置を講ずる」こととされており、更に「経済構造の変革と創造のための行動計画(第1回フォローアップ)」(平成9年12月24日閣議決定)においては、これに加え、「内閣に置かれている高度情報通信社会推進本部電子商取引等検討部会において検討を進め、電子商取引の推進に向けた各省庁の取組みを加速する」こととされている。



(6) 行政の情報化に関連する計画及び推進状況

 「行政情報化推進基本計画」(平成6年12月25日閣議決定。なお、同閣議決定については、平成9年12月20日に改定されている。)、「高度情報通信社会推進に向けた基本方針」(平成7年2月21日高度情報通信社会推進本部決定)、「経済構造の変革と創造のための行動計画」等において、行政情報化に関連する計画が盛り込まれている。そこでは、例えば、法令により民間事業者に保存を義務付けている書類については原則として平成9年度末までに電子媒体による保存を容認すること、申請・届出手続の電子化・ペーパーレス化については、原則として平成10年度末までに可能なものから早期に実施すること等とされ、これらについて毎年フォローアップを行い、平成13年までに政府全体として強力に推進していくこととされている。

 

(7) ネットワーク上におけるその他の社会経済活動の状況

 これまで見てきた取組み以外にも、さまざまな活動がネットワーク上で行われるようになってきている。例えば、医療分野では、これまで遠隔医療、在宅医療の実験が行われてきたが、その一部は事業化されるに至っている。薬事法による許可を得た測定装置を利用し、心拍数等をセンサーで測定、医師に送信すること等により医師の診断を仰いだり、CT、MRIの検査結果を送信し、専門医による所見を得るサービスも展開されている。また、労働・雇用の分野では、会社だけではなく、ネットワークを利用して、住居の近隣のサテライトオフィスや家に居ながらにして仕事をし、上司の決裁を仰ぐ等の業務形態であるテレワーク(SOHO)の実験が行われてきたが、最近では一部の企業において実用化されている。政府では、例えば医療分野でのこのような活動に対応して、遠隔診断行為につき、医師法との関係を整理するとともに、診断録の電子媒体による保存を認める方向で検討を進めているところであり、労働・雇用分野では、テレワークの就労内容、報酬等の就労条件等につき、検討を進めているところである。

 このほか、電子図書館、電子美術館、インターネットを利用した通信教育等あらゆる分野の活動がインターネット、パソコン通信等のネットワーク上で行われるよう推進されてきている。今後、政府の環境整備とも相まって情報システムに対する依存度はますます高まっていくものと思われる。

 

2 コンピュータ犯罪等の現状

 1で見たとおり、社会経済活動の効率化や新規ビジネスの創造等、情報システムには限りない期待が寄せられ、それに対する社会的、経済的依存度もますます高まりつつある。しかし、それは、同時に、情報システムが犯罪者にとっても魅力あるツールであり、また、情報システムについてひとたび犯罪が発生すれば、その被害や影響が著しく広範に及ぶおそれがあるという意味でもある。現に情報システムにかかわるサイバー犯罪は、最近急増する傾向にある。

 ここでは、情報システムの負の側面としての犯罪等の現状について述べることとする。

 

(1) サイバー犯罪の現状

 警察庁では、情報システムにかかわる犯罪を「サイバー犯罪」と総称している。 サイバー犯罪の発生件数は、図1-13のとおり、ここ数年急増する傾向にあり、平成9年には101件に達している。

 サイバー犯罪は、「コンピュータ犯罪」と「ネットワーク利用犯罪」に大別される。

 

 ア コンピュータ犯罪

 「コンピュータ犯罪」とは、「コンピュータ・システムの機能を阻害し、又はこれを不正に使用する犯罪」をいう。刑法に規定されている電子計算機損壊等業務妨害罪、電子計算機使用詐欺、電磁的記録不正作出・同供用罪、公正証書原本不実記録罪等を指す。

 

○ 公正証書原本不実記載等(第157条)

 公務員に対し虚偽の申立てをして、登記簿、戸籍簿その他の権利若しくは義務に関する公正証書の原本に不実の記載をさせ、又は権利若しくは義務に関する公正証書の原本として用いられる電磁的記録に不実の記録をさせた者は、5年以下の懲役又は50万円以下の罰金に処する。

○ 電磁的記録不正作出及び供用(第161条の2)

 人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、5年以下の懲役又は50万円以下の罰金に処する。

② 前項の罪が公務所又は公務員により作られるべき電磁的記録に係るときは、10年以下の懲役又は100万円以下の罰金に処する。

③ 不正に作られた権利、義務又は事実証明に関する電磁的記録を、第1項の目的で、人の事務処理の用に供した者は、その電磁的記録を不正に作った者と同一の刑に処する。

④ 前項の罪の未遂は、罰する。

○ 電子計算機損壊等業務妨害(第234条の2)

人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正の指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、5年以下の懲役又は100万円以下の罰金に処する。

○ 電子計算機使用詐欺(第246条の2)

 前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、10年以下の懲役に処する。

○ 公用文書等毀棄(第258条)

 公務所の用に供する文書又は電磁的記録を毀棄した者は、3月以上7年以下の懲役に処する。

○ 私用文書等毀棄(第259条)

 権利又は義務に関する他人の文書又は電磁的記録を毀棄した者は、5年以下の懲役に処する。

 

 コンピュータ犯罪の発生件数は、図1-14のとおりであり、近年特に増加傾向にある。しかも、平成9年には、不正アクセス(不正な手段により、ネットワークの利用者以外の者が行うアクセス又はネットワークの利用者が行う権限外のアクセスをいう。以下同じ。)を手口としてネットワークに侵入し、データを消去してシステムをダウンさせるという新たな態様の犯罪が現れている。

 

 イ ネットワーク利用犯罪

 「ネットワーク利用犯罪」とは、「コンピュータ・ネットワークをその手段として用いる犯罪でコンピュータ犯罪以外のもの」をいう。パソコン通信を利用してわいせつ画像を公然陳列するもの等がこれに当たる。

 ネットワーク利用犯罪の発生件数は、図1-15のとおり、増加の一途をたどっている。中でも、他人のユーザID・パスワードを何らかの方法で入手し、それを不正に使用して他人になりすまして犯行に及ぶという不正アクセスを手段としたものが多数発生している。



ウ サイバー犯罪の特徴 ~ 不正アクセスによる匿名性の実現

 ネットワークを利用して行われるコミュニケーションの特徴としては、種々の点を挙げ得るが、犯罪対策の観点から最も重要である点は、相手方の本人確認が、専らID・パスワード等の識別情報に依存して行われているということである。

 対面や文書等によるコミュニケーションの場合には、相手方が氏名を偽ったり、署名を偽造したりしたとしても、多くの場合、その者の顔、声、筆跡、指紋等の物理的な手掛かりからその相手方を追跡し、特定することが不可能ではない。しかしながら、ネットワーク上では、このような物理的な手掛かりが存在しない。したがって、唯一の手掛かりとも言える識別情報が盗用された場合その他不正にネットワークが利用された場合には、ほぼ完全な「なりすまし」を行うことが可能となり、極めて高度の匿名性が生ずることとなる。

 匿名性は、犯罪を容易にする最大の環境要因である。犯罪者が特定され得ないとなれば、その社会における犯罪の抑止力は、ゼロに等しくなると言っても過言ではなかろう。つまり、いったん「なりすまし」によりシステムに侵入すれば、その者は、どのような犯罪を行おうとも、発覚しないという状況に置かれることとなる。また、容易に推知され得るパスワードの設定を許容する等パスワードの管理が十分でない環境下では、識別情報を盗むことが容易になり、それを悪用した「なりすまし」によるシステム破壊、資金の不正移動、禁制品の密売等の犯罪を一層助長することとなる。

 このような「なりすまし」は、アクセス権限を有する者の識別情報を盗用する等して権限外のアクセスを行うこと、すなわち不正アクセスそのものであるということができる。

 

エ 不正アクセスを手口とする主な事案の概要

 イで述べたような「なりすまし」、すなわち不正アクセスによる犯罪の助長はもはや法執行当局の単なる懸念ではなく、現実のものとなっている。アでみたサイバー犯罪の中には、不正アクセスによる匿名性に目を付け、それを手段として行ったものが多数含まれているようになっているからである。

 そこで、ここでは、このような不正アクセスを手口とする犯罪のうち、主なものを取り上げることとする。

 

(ア) 電子計算機損壊等業務妨害・わいせつ図画公然陳列(大阪)

 

[事案の概要]

 被疑者は、インターネット接続会社(プロバイダ)を経由し、A放送株式会社の所有、管理するサーバ・コンピュータ(以下「サーバ」という。)内のホームページに掲載された天気予報画像のデータ・ファイルを消去してわいせつな画像に置き換え、わいせつな画像を不特定多数のインターネットの利用者に閲覧させようと企て、平成9年5月中旬、天気予報画像のデータ・ファイルを消去して損壊し、そのうち一部をわいせつ画像等に置き換え、同利用者らが再生閲覧することが可能な状況を設定し、同会社の電子計算機の使用目的に沿うべき動作をさせず、業務を妨害するとともに、わいせつな図画を公然と陳列したもの。

 

[他人のユーザID等の取得の状況]

 偽名を用いてプロバイダに対し契約の申込みを行い、その際に自動的に発行される仮のユーザID・パスワードを取得したもの。

 

(イ) 詐欺(滋賀)

 

[事案の概要]

 被疑者は、パソコン通信を利用して利用者らからパソコンの販売名下に金員を騙し取ろうと企て、平成8年5月下旬、被疑者方から、真実はパソコンを販売する意思がないのに、電子掲示板に虚偽の情報を提示して申込者を募った上、同月下旬、申込者Bに対し、電子メールにより、Bの卓上コンピュータに内容虚偽の電子メールを送信するなどして、前記パソコン一式の購入代金を被疑者の指定する銀行口座に振り込めば、同商品が自己宛に送付されるものと誤信させ、よって、同月末右BからA名義の普通口座に現金数十万円の振込入金を受け、もって、人を欺いて財物を交付させたもの。

 

[他人のユーザID等の取得の状況]

 パソコン通信の電子掲示板を閲覧し、購入したクラッキング・ソフトを使用して、他人名義のユーザID・パスワードをクラックすることにより取得したもの。

 

(ウ) わいせつ図画販売・わいせつ図画販売目的所持(京都)

 

[事案の概要]

 被疑者は、パソコン通信の電子掲示板や電子メールを利用して、わいせつCD-ROMを販売することを企て、平成8年3月から同年8月までの間、いわゆるID屋(他人又は偽名のユーザID・パスワードを販売する者をいう。)から購入したユーザIDを使用して、同通信の電子掲示板にわいせつCD-ROMの販売広告の掲載をし、電子メールにより購入申込みをした者に対して、他人名義の銀行口座に振込を指示し振り込ませた後、わいせつCD-ROMを数百名に郵送し、もって、わいせつ図画を販売したもの。

 

[他人等のユーザID等の取得の状況]

・ パソコン通信を利用してID屋から他人名義のユーザID・パスワード及び銀行口座を取得したもの。

・ 自らクラッキング・ソフトを使用して他人名義のユーザID・パスワードをクラックすることにより取得したもの。

 

(エ) 詐欺・有印私文書偽造・同行使(埼玉)

 

[事案の概要]

 被疑者は、パソコン通信を利用して音響機器販売名下に金員を騙取しようと企て、平成8年3月から同年9月までの間、自らクラッキングした他人のユーザID・パスワードを使用し、同通信の電子掲示板に振込銀行口座と販売広告を掲載して購入希望者を募り、それに応じた被害者に対して、入金確認後、品物を発送する旨の電子メールを送信し、被害者をしてその旨誤信させ、被害者から被疑者の指定した銀行口座に現金を振込入金させて、これを騙取したもの。さらに、被疑者は、被疑者Yと共謀の上、他人名義で銀行口座を開設したもの。

 

[他人等のユーザID等の取得の状況]

 パソコン通信を通じてクラッキング・ソフトを購入し、自らクラックすることにより、他人名義のユーザID・パスワードを取得したもの。

 

(オ) 詐欺・有印私文書偽造・同行使・電磁的記録不正作出(京都)

 

[事案の概要]

 被疑者は、パソコン通信を利用してパソコン部品の売買仲介名下に金員を騙取しようと企て、平成8年3月から11月までの間、同通信の電子掲示板に販売広告を掲載し、購入に応じた被害者に対して、代金振込口座を指示した上、責任を持って対応する旨の虚偽の電子メールを発信して、被害者をしてその旨誤信させ、数十名から現金の振り込みをさせたが、パソコン部品を送付せず、現金を騙取したもの。

 

[他人のユーザID等の取得の状況]

 自らクラックして他人のユーザID等を取得したもの。(被疑者は、自らが開発したクラッキング・ソフトによりクラックした数百のユーザID・パスワード、被疑者が私書箱を利用して開設した数十の架空銀行口座やクラッキング・ソフトをパソコン通信で販売していた。また、クラックしたユーザID等を利用して、パソコン通信にアクセスし、同通信のホスト・コンピュータに登録されている当該ユーザIDの正規使用者に係る住所、電話番号を虚偽の情報を送信して変更させていた。)

 

(カ) 電子計算機使用詐欺(愛知)

 

[事案の概要]

 被疑者3名は、パソコン通信の登録会員である甲・乙のID番号及びパスワードを甲・乙に無断で知り得たことから悪用することとし、

○ 被疑者Aは、自己のパソコン通信利用料金を減少させようと企て、平成8 年10月末ころ、数回にわたり自宅においてパソコン通信の利用及び課金状 況等の事務処理に使用される電子計算機と接続の上、パソコン通信会員が他 の会員の利用料を一定の限度で負担することができるサービスである「アクセスギフト(使用権)」の利用者が、実際には被疑者であるにもかかわらず、正規利用者である上記甲が被疑者に対し数千円相当のアクセスギフトを贈呈したとする虚偽の情報を与え、同電子計算機に記録されている正規利用者である甲の課金データに数千円相当の有料使用度数の増加を記録させて、被疑 者の課金データに数千円相当の有料使用度数の減少を記録させ、もって汎用コンピュータによって、平成8年11月上旬、上記パソコン通信事業者が加盟店契約をし、甲が使用するクレジット会社に対して交付する甲の料金請求に係る磁気テープに不実の電磁記録を作り、合計数千円相当の財産上不法の利益を得た

○ 被疑者Bは、被疑者A同様、自己のパソコン通信利用料金を減少させようと企て、平成8年12月上旬、数回にわたり甲がアクセスギフト合計数千円相当を自己に贈呈したとする虚偽の情報を与え、合計数千円相当の財産上不法の利益を得た

○ 被疑者Cは、自己の商品購入代金の支払いに使用しようと企て、平成8年 12月上旬、十数回にわたりパソコン通信を利用して商品を購入した相手先に対し、乙が合計1万数千円相当のアクセスギフトを贈呈したとする虚偽の情報を与え、相手方に利益を得さしめた

ものである。

 

[他人のID等の取得の状況]

 被疑者ABCは、パソコン通信を通じて知り合った関係にあり、同様に知り合った関係者から甲のユーザID・パスワードを教えてもらったものである。関係者は、高校時代の同級生である甲方に遊びに行った際、偶然甲のID等が書かれた紙片を見つけメモしていた。また、被疑者Cは、友人が購入した中古通信ソフトを借りて使用中、以前使用していた乙のユーザID・パスワードが残っているのを発見したもの。

 

(キ) 詐欺(広島)

 

[事案の概要]

 被疑者は、他人名義でパソコン通信に入会の上、真実はパソコンを売り渡す意思がないのにこれあるように装い、平成8年11月上旬、被疑者方においてパソコン通信の電子掲示板に偽名を使って虚偽の情報を書き込んだ上、同月中旬前後3回にわたり、掲示板を閲覧して電子メールにより購入方を申し込んできた数名に対し、それぞれ内容虚偽の電子メールを送信し、被害者らをしてその旨誤信させ、よって、前後数回にわたり、被害者らから他人名義で開設した埼玉県下の銀行口座に合計約数十万円の振込入金を受け、もって人を欺いて金銭を交付させたものである。

 

[他人のID等の取得の状況]

 他人名義によりパソコン通信事業者と契約し、ユーザID・パスワードを取得したもの。

 

(2) その他の不正アクセスの現状

 不正アクセス自体は、現行法上犯罪とはされていない。しかし、こういった犯罪に至らない不正アクセスによりかなりの被害が出ていることも事実である。次に犯罪に至らない不正アクセスの現状について見ることにする。

 IRT(=Incident Response Team)のレポートによれば、米国のCERT/CCが取り扱った不正アクセスの件数は、1996年時点で2,573件となっている。他方、日本のJPCERT/CCが取り扱った不正アクセス件数は、1996年10月から1997年3月までの間で215件、1997年4月から97年9月までの間で168件となっている。

 これらの不正アクセスには、代表的なものとして、

○ 電子メール配送プログラム(sendmail)を悪用した攻撃(sendmailの古いバージョンに残されたセキュリティ・ホールを突き、重要なファイルを盗む等するもの)○ ネットワークニュース・サーバ(INN)を悪用した攻撃(INNのセキュリティ・ホールを突き、重要なファイルを盗む等するもの)

○ パケット盗聴プログラムによる攻撃(ホスト・コンピュータにパケット盗聴プログラムを仕掛け、当該ホスト・コンピュータに接続されているネットワーク上を流れるパケットを盗聴するもの)

○ 電子メールの不正な中継と電子メール爆弾(sendmailの機能を悪用し不正に電子メールを中継させ、電子メールの発信人を偽造したり、電子メール爆弾を行ったりするもの)

○ WebサーバのCGIプログラムを悪用した攻撃(CGIプログラムのセキュリティ・ホールを突き、重要なファイルを盗む等するもの)

○ トロイの木馬プログラム(一見正当に見える不正なプログラムをインス トールし、パスワードを盗んだり、ログを改ざんしたりする等するもの)

○ パスワード破り(パスワードを推測してシステムに侵入するもの)、ルート権限詐取(システム・プログラムのセキュリティ・ホールを突いて不正にシステム管理者の権限を取得するもの)

がJPCERT/CCのSummaryに掲げられているところである。

 こういった不正アクセスは、従来は、国外からの事案が多かったものの、最近では国内が発信元と思われる事案が増加している。また、その攻撃も組織化・大規模化する傾向にある。

 これらの不正アクセスは、その大部分が既知のセキュリティ・ホールを放置している等無防備なサイトがいまだに多く存在していることによるものである。不正アクセスを行うためのマニュアル、ツールやターゲット情報のやり取りが、アンダーグラウンドで行われていると言われているが、システムのセキュリティ対策の欠如が不正アクセスを助ける結果となっている。

 今後、ネットワーク上において、大きな価値が流通するようになれば、不正アクセスの手口も更に高度かつ複雑なものとなることが予想される。

 

(3) 不正アクセスとコンピュータ・ウィルス

 不正アクセスは、匿名でコンピュータ・ウィルスをばらまくための格好の手段ともなっている。コンピュータ・ウィルスは、電子計算機損壊等業務妨害罪(刑法234条の2)等の犯罪の実行に結びつきやすいものと言えるが、現在のシステムのセキュリティの状況では、セキュリティ・ホールを突いてネットワークに侵入し、そのネットワークにコンピュータ・ウィルスを紛れ込ませることや、他人のユーザID・パスワードを入手し、他人になりすましてコンピュータ・ウィルスを多数の者に送りつけることにそれほどの困難は伴わないであろう。しかも、最近では、コンピュータ・ウィルスがインターネット上で公開されており、その入手が容易になっている。そのような公開のサイトにアクセスをしてくる者自体が、偽名であることが多いと言われ、不正アクセスとコンピュータ・ウィルスが犯罪者にとって密接不可分のツールになっていることがうかがわれる。このような現状にかんがみると、不正アクセスを放置することは、コンピュータ・ウィルス対策の観点からも、看過できない問題であると言えよう。

 

(4) 不正アクセスとサイバー・テロ

 政府機関のコンピュータも外部ネットワークに接続されている場合には、外部から不正アクセスをされ、機密情報を盗まれたり、データの改ざん、システムの破壊等の被害にあう危険が生ずる。米国会計検査院報告における試算によれば、米国国防総省のコンピュータに対する不正アクセスは20万回を超えるとされ、不正アクセスを手段としたテロ行為、いわゆるサイバー・テロの危険性を指摘し、早急に措置をとることを求めている。

 既に紹介したとおり、我が国においても、行政の情報化が進められ、政府の重要な機能がネットワークに依存する度合いが増大しつつあるが、それは、裏返せば、サイバー・テロの危険の増大にもつながるものである。サイバー・テロはいったん発生すれば、回復し難い被害を招きかねないだけに、不正アクセス対策の中でも特に留意を要する課題であると言えよう。

 

(5) 不正アクセスと電子商取引

 不正アクセスには、単なるいたずらの域を出ないものから上記のサイバー・テロに至るまで様々なものがあり得るが、今後電子商取引が普及発展するに伴い、収益の不正獲得を目的としたものの頻発が予想される。電子商取引においては、インターネット上でクレジットカード番号、電子マネー等の経済的価値に直接又は間接に結びつく情報がやりとりされるため、それを盗むことを目的とした不正アクセスが行われやすい状況となる。電子商取引は、今後本格的な実用の段階へ進んでいくことになるが、不正アクセス対策が機を失することになれば、我が国における電子商取引の成否にもかかわる問題となろう。

 

(6) 不正アクセスとプライバシー侵害

 企業が保有する個人情報の漏えいによるプライバシー侵害が大きな社会問題となっている。特に、これら個人情報が電算処理されている場合には、一度に数万人分、数十万人分といった大量の個人情報が流出する危険性がある。現在は、こういったプライバシー侵害には何ら法的な規制が設けられていない。これまでのような業界による自主的な措置は限界に近づきつつあると言える。更に情報化、ネットワーク化が進展すれば、こういった企業の保有する個人情報に対する不正アクセスによるプライバシー侵害の危険性はますます増大していくものと考えられ、今後、不正アクセスに対する安全対策の在り方が大きな問題となろう。

 

 

3 不正アクセス対策法制の必要性

 

(1) 法制の現状

 

ア 刑法と不正アクセス

 既に述べたとおり、不正アクセスは、現行の刑法では処罰の対象とされていない。不正アクセスを手段として犯罪を実行すれば、その段階で処罰の対象となることはもとより当然であるが、犯罪実行のための「下見」としてシステムに侵入するにとどまる場合や、パスワードファイル、電子マネー等の「情報」ののぞき見にとどまる場合は、処罰の対象ではない。

 具体的には、次の図の網掛け部分が、現在規制されていないこととなる。

昭和62年には、情報システムを客体とする電子計算機使用詐欺、電子計算機損壊等業務妨害、電磁的記録不正作出、電磁的記録毀棄等を新たに処罰の対象とするため、刑法の一部改正が行われたが、その際にも、不正アクセスは、システムにあるデータののぞき見、システムの無権限使用は処罰すべきかという観点から、議論のそ上に上りながら、その処罰は見送られている。その際の理由としては

○ 情報の不正入手及び漏示の問題については、情報の中には、秘密情報、プライバシー情報にかかる情報あるいは財産的価値ある情報等様々なものがあり、その不正入手等に対する罰則の要否等については、これらの情報の法的保護はいかにあるべきか、殊にそれぞれの情報の特質に応じた取扱いをどうするべきか、また、電子情報処理組織以外で用いられる一般の情報の取扱いとの均衡、関連する各種法規の諸規定との関係をどのように考えるかなど、更に諸般の角度から検討を重ねる必要のある多くの問題が存する○ いわゆるコンピュータの無権限使用に対する罰則の要否については、刑法が、財物の占有移転や人に対する加害を伴わない無権限使用自体を処罰の対象としていないことから、コンピュータ以外の機器、システムの取扱いとの均衡を考慮するとともに、どのような観点から処罰の根拠、違法性の実質をとらえるべきかについて、今後なお諸般の角度から検討を要する事柄であることが挙げられている。(出典 多谷千香子他「刑法等の一部を改正する法律について」法曹時報第39巻第12号)

 

イ 外国法制

 表2のとおり、欧米諸国においては、不正アクセスを一般に禁止している。

 OECD(経済協力開発機構)は、1986年、法制度面について国際協力の必要性を強調した最終報告書「コンピュータ犯罪-立法政策の分析」を公表した。

「財産利得罪」(違法に財物又は資金を移動する目的でなされた、コンピュータデータ及びプログラムの入力、改変、消去)、「偽造罪」(偽造の目的で故意になされたコンピュータデータ及びプログラムの入力、改変、消去)、「機能妨害罪」(故意に、コンピュータ及び電気通信システムの良好な機能を妨害する目的で行われたコンピュータデータ及びプログラムの入力、改変、消去)、「プログラム著作権の侵害」(コンピュータプログラムを営利に利用し、流通させる目的でなされたコンピュータプログラムの所有者の排他的権利の侵害)、「不正アクセス」(情報システムの安全対策を侵害し、又はその他の不法若しくは有害な意図を持ってコンピュータ及び電気通信システムの管理者から権限を与えられることなくなされた故意のコンピュータ及び電気通信システムへのアクセスや傍受)の5つの態様について、各国の刑法がこれらに適用できるかどうか検討することを推奨している。

 欧米諸国における関連法制度の整備は、この報告書の影響を受けたものといわれる。



(2) 犯罪防止の観点からの不正アクセスの禁止・処罰の必要性

 ア 不正アクセスの規制の趣旨

 既に2で述べたとおり、不正アクセスは、「何をやってもばれない」という匿名環境を作出するための手段である。不正アクセスが行われる場合のプロセスは、一般に、図3-1のとおりであるが、試行錯誤により利用者のパスワードを推知する方法(ブルートフォース・アタック)、セキュリティ・ホールを突いてルート権限を取得する方法等、いずれの方法をとる場合にも、実際の行為者は高度の匿名性を獲得できることとなる。

 行為者が不正アクセスに成功し、高度の匿名性を獲得した場合には、もともと不正アクセスという不正な行為に着手していることから見て、犯罪に駆り立てられるおそれが強いと言える。実際のケースをみても、不正アクセスを繰り返し行ううちに犯罪の実行を思い立つに至ったという場合が多い。しかしながら、このようなケースの場合、不正アクセスに何らの法的規制がない現状では、警察は、不正アクセスの事実を知ったとしても、犯罪の実行があるまでこれを拱手傍観していなければならないというのが実情である。

 サイバー犯罪は、いったん発生すると、ネットワークを通じてその被害が広範囲に及びかねない危険性を持つ。また、犯罪に関する記録の大部分が電磁的記録であり、証拠隠滅が容易であるため、事後の捜査が困難であるという特質がある。このようなサイバー犯罪特有の問題点を併せ考えれば、犯罪の実行に至る前の不正アクセスの段階で法規制の網を掛けることが、当面の緊急課題であると言えよう。

 

イ 「サイバー・スペース」の安全の確保

 犯罪その他の禁止行為の防止を図るため、その行為に至る前段階で規制する考え方は、行政法規一般に見られることである。例えば、道路交通法についていえば、人身事故を起こした段階で刑法の業務上過失致死傷に問われることとなるが、そのような事故を防止し、交通の安全と円滑を図ること等を目的として、最高速度違反等の一定の危険な行為を禁止し、これに違反した時点においても処罰することとしている。

 このように、次に生じるであろう犯罪その他の禁止行為を防止するために事前の行為を禁止することは、その行為自体の反社会性に着目するものではない。その行為の反社会性、当罰性に基づいてその処罰自体を目的とする刑事法とは、その点で観点を異にするものである。昭和62年の刑法の一部改正の際に問題となった不正アクセス自体の当罰性の議論とは別に、犯罪の予防の観点から行政的に不正アクセスを禁止し、その履行確保のために行政罰を設けることとすることが、現在のサイバー犯罪の実情に沿った措置であると考えられる。

 刑法の一部改正が行われた昭和62年当時と比べると、我が国の情報化は、インターネット等のネットワークの普及発展により、質的にも量的にも著しい転換を遂げており、今や、「サイバー・スペース」、「ヴァーチャル・スペース」などと呼ばれる新たな生活領域が形成されているとさえ言われている。我が国の現行法の多くは、この新たな生活領域を想定していない。不正アクセスに対する現行法の態度が正にその象徴である。この状況を放置するならば、この新たな生活領域の秩序が成り立たなくなると言っても過言ではないだろう。

 「サイバー・スペース」に固有の法秩序を形成するためには、様々な分野における法整備が必要になるであろう。その中でも、不正アクセスの規制は、喫緊の課題である。不正アクセスを手段とする新型のサイバー犯罪が多発傾向にある今日、犯罪の防止を図り、「サイバー・スペース」の安全を確保することが、高度情報通信社会を構築するための第一歩だと思うからである。

 

(3) 禁止すべき不正アクセスの範囲

 規制すべき不正アクセスの範囲は、その規制の趣旨から導かれる。

 図3-1の不正アクセスのプロセスからも分かるとおり、不正アクセスとは、換言すれば、一定のネットワークに対するアクセス権を有する者についての識別情報をその者の承諾を得ないで取得し、使用する行為にほかならない。そこで、規制の対象とすべき不正アクセスについて、「識別情報」と「行為態様」の2つの側面から検討を加えることとする。

 

ア 識別情報

 識別情報の設定は、種々の側面で行われているが、不正アクセスの規制の趣旨を犯罪の防止の観点からとらえるときは、犯罪の客体となるべきネットワークにアクセスするための識別情報を不正に使用する行為等が、ここでいう規制の対象となるべきものであろう。

 例えば、

○ 電子計算機損壊等業務妨害罪の客体たる「人の業務に使用する電子計算機」
 にアクセスするための識別情報の不正使用等
○ 電子計算機使用詐欺罪にいう「人の事務処理に使用する電子計算機」にアク
 セスするための識別情報の不正使用等
等がこれに当たるものと考えられる。

 また、識別情報の盗用の過程を経ないで行う不正アクセスについても、これに準じて考えるべきである。

 

イ 行為態様

 不正アクセスは、識別情報の不正な取得とこれの使用というプロセスにより実行される。識別情報の不正な使用そのものが規制の対象であることはもとより、その使用に直接に結びつくこととなる識別情報の不正取得についても、これを規制する必要がある。識別情報の不正な取得の方法としては、一般に、譲受け(売買)、パスワード・クラッキング(クラッキング・ソフトの利用を含む。)、のぞき見、セキュリティ・ホールに対する攻撃等が挙げられる。これらのうち、少なくとも不正に取得しようとする積極的な意図があると明確に判断される行為については、その行為自体を規制することとし、その他のぞき見など一般の行為から当該行為のみを判別することが困難な行為については、これを使用する段階で規制することが適当である。

(注)

具体的には、

 ・他人の識別情報をその者の承諾を得ないで入力して電子計算機を使用する行為

 ・他人の識別情報をその者の承諾を得ないで譲り受け、又は譲り渡す行為

 ・他人の識別情報を探知するプログラムを電子計算機で使用して他人の識別情 報を探知する行為

等が規制の対象として考えられる。

 

ウ 今後の技術動向への対応

 現在、個人を識別する方法は、ユーザID・パスワードによるものが一般的であるが、今後の技術動向に照らし合わせると、保護すべき対象をユーザID・パスワードに限るべきではない。

 ユーザID・パスワード以外の本人認証手段として機能することが期待されるものとしては、例えば、暗号鍵がある。従来、暗号は伝達内容の秘匿という機能を担ってきたが、公開鍵暗号方式が開発されてからは、その本人認証機能等が着目され、現在、実用化が進められている。

 したがって、不正アクセスを定義するに当たっては、不正使用等を禁止すべき識別情報の範囲は、このような今後の技術動向を踏まえたものとすべきである。

 

 

4 セキュリティの現状と犯罪対策上の課題

 

(1) セキュリティの現状等

 

ア 企業等におけるセキュリティの現状

 3においては、禁止すべき不正アクセスの範囲について検討した。そこで本項では、不正アクセスの客体であるコンピュータについて、実際の企業におけるセキュリティの実態、現状について見てみることにする。

 現在、一部の企業については、外部ネットワークとの接続に際してファイア・ウォールを設置し、一元的な管理を行うとともに、ワンタイムパスワード等他のシステムも積極的に取り入れるなど、かなり厳格なネットワークの管理を行う等の努力がみられるものの、他の大多数の企業では、セキュリティに特段の関心が払われていない実情にある。

 

イ OECDにおける情報セキュリティへの取組みの状況

 OECD(経済協力開発機構)は、これまでにも、安定的な経済活動の発展を促す観点から、情報システムの安全対策に関していくつかの取組みを行ってきている。既に述べたとおり、1986年に出された「コンピュータ犯罪-立法政策の分析-」ではコンピュータ関連の経済犯罪について、特に法制度面について国際協力の必要性が強調されている。また、1992年には、政府や民間部門も含めた安全対策の考え方を示すものとして、「データ、情報及び情報システムのセキュリティのためのガイドライン」が策定され、その後も常に実状に沿ったものとなるよう、定期的な点検が行われることとされている。

 

ウ システムのセキュリティの標準化の動向

 システムや製品の持つセキュリティ機能の客観的評価を行うための尺度がセキュリティ評価基準である。欧米では、1980年代前半からそのような評価の試みがされており(米国:TCSEC等、ヨーロッパ:ITSEC、カナダ:CTCPEC)、1996年、これら欧米諸国間で統一基準が制定された。これが、CC(Common Criteria)と呼ばれるものである。現在ISO(国際標準化機構)において、これをベースにした規格制定作業が行われており、今後各国で標準規格が策定され、1998年中には欧米各国においてCCベースの評価活動が開始される予定である。

 このセキュリティ評価基準は、その適用システムのカテゴリーごとにそれぞれ個別のProtection Profile(適用対象となるシステムの概要、機能要件集及び保証要件集から抽出される要件等により構成されている。)が規定されることになり、このPPに沿ってシステムが構築されていない場合には、そのシステムのセキュリティはリスクに見合っていないとの評価を受けるということになる。

 

エ セキュリティ実態調査結果

 警察庁では、企業及び大学におけるネットワーク管理の実態を調べるため、平成9年1月から3月までの間に、「コンピュータ及びネットワークを利用する企業のセキュリティに関する実態調査」を実施した。この調査は、一部上場企業900社、大学100校を無作為抽出して行われたものであり、回収率は40.7%であった。

 

(ア) パスワード管理について

 まず、システムの利用者に対するユーザID及びパスワードの付与の仕方については、図4-1のとおり、「ユーザIDやパスワードは設定しておらず、誰でもアクセスできる状態にしている」ところや(10%)、「管理者が各個人にユーザIDを付与しているが、パスワードは設定していない」とするところもあった(5%)。他方、個人にユーザIDを付与しているところは全体の69%であり、パスワード管理を利用者各自にゆだねているものが、47%を占めている。なお、平成8年7月に科学警察研究所(原田 豊・黒木 健郎)が行った調査によれば、ABCのみ、小文字のみ、7文字以下といった望ましくないパスワードの使用経験のあるユーザは、全利用者の60%にも及ぶことも判明している(図4-2)。

 また、パスワードの漏洩を防止するために行っていることとしては、「パスワード管理の方法を利用者に対して呼びかけている」が53%を占める一方で、「利用しなくなったユーザIDは直ちに削除するようにしている」(38%)、「指定回数以上のパスワードを間違えた場合にはロックあるいは回線切断される仕組みを導入」(31%)する等、技術的な対策を実施しているところも見られる(図4-3)。

 

 

 



(イ) コンピュータ・システムのセキュリティ管理体制

 各のシステムにおいて、セキュリティ専従の担当者を設置しているのは、わずか7%であり、運用管理者が兼務しているケースが半数以上で、セキュリティ対策担当者を設置していないところも28%に上ることが判明した(図4-4)。運用管理者が兼務している場合には、運用管理者とセキュリティ担当者の利害の対立(conflict of interest)があったときには、利便性を追求する方向に傾く可能性があることに注意しなければならない。

 また、システムのセキュリティ対策の運用管理規程がないところが全体の73%に及ぶことも判明した(図4-5)。

 さらに、アクセスログ及び通信ログの記録の状況については、33%がアクセスログ、通信ログともに記録しておらず(図4-6a)、ログを記録している場合であっても、その用途は、「問題発生時の事後対応」が49%であり、不正アクセスの防止、発見のためのものではないとされている(図4-6b)。

 また、ログを記録している場合であっても、約60%がオンライン接続されている装置内に保管しており(図4-7)、不正アクセスされ、ルート権限を奪取されたときには、この履歴が書き換えられるおそれがある。

 また、ログの保管期間は、1ヶ月から1年未満としているところが34%で最も多く(図4-8)、一般に不正アクセスが1回で成功するものではなく、複数回の試みを経て実行されるものであることにかんがみると、なるべく長期間にわたって保管することが望ましい。

 



(ウ) 外部との接続環境

 システムがインターネット等のオープン・ネットワークと接続され得る状況にあるときは、その管理方法から生ずるリスクが広く一般公共に影響を及ぼすおそれがあるという点で、そのセキュリティの在り方を考えるに当たり特に慎重な配慮を要するところである。

 まず、システム中インターネット経由で外部と接続しているものが19%であり、そのうち、一定の機能の制限を設けて接続しているものが10%、一般的に開放しているものが9%となっている(図4-9a)。インターネット経由で外部と接続している19%のうち、約半数がファイア・ウォールを設置しているが、残りの半数は何ら措置を講じていない(図4-10)。

 また、システム中ダイアルアップ接続により外部からの接続を認めているものが27%である(図4ー9b)。



(エ) 不正アクセス対策法制の必要性

 不正アクセスを法律により取り締まる必要があると回答したところが84%あり、不正アクセス対策法制の必要性が関係者のコンセンサスであることが確認されている。その理由のうち一番多かったのは、「システムのセキュリティにはどうしても技術的限界がある」で、理由のうち64.5%を占めている。さらに「自分の会社(大学)のシステムに保存されている重要なデータが盗まれる可能性がある」、「盗んだ他人のユーザIDで不正アクセスし、猥褻物や薬物等の広告・販売する犯罪が多発している」がそれに続いている(図4-11)。

 

(2) 犯罪対策上の課題

 不正アクセス対策法制の在り方を考えるに当たっては、その実効性を確保する観点から、不正アクセスないしそれを手段とする犯罪に対する捜査環境の在り方を検討することが重要である。

 図4-12は、典型的な不正アクセスを手口とする犯罪の例を示している。同図の「被害システム」がインターネットにつながっているとする。侵入者は電話回線を介してプロバイダに接続し、インターネットを経由して被害システムを攻撃している。

 被害システムでデータの損壊、改ざん等の犯罪が行われた場合、一般に、捜査機関は、その被害システムの管理者からそのシステムのログを押収し、これを分析することとなる。

 

 このように不正アクセスの過程を追跡することができるのは、あくまで被害システムや経由されたプロバイダのシステム等にログが保存されていることが前提となっている。しかし、(1) で述べたように、ログを全く保存していない企業や大学が多数みられ、そのような企業等が被害に遭った場合には、被害の特定自体が困難となる。加えて、不正アクセスがいくつものプロバイダのシステム等を踏み台として行われた場合、その中にログを保存していないプロバイダのシステムが含まれると、そこで追跡が途切れることとなる。

 不正アクセスに係る犯罪の捜査を遂行するためにはログが必要不可欠である。ログの保存にはコストが多少なりともかかること等の問題もあるが、捜査の実効性を期するためには、ログの保存が確保されるための措置が必要であると考えられる。

 

5 コンピュータ犯罪等のグローバル化への対応

 インターネットの普及により、現在、コンピュータ犯罪等が国境を越えて発生する危険が高まってきており、コンピュータ犯罪等に係る国際捜査共助が極めて重要となってきている。

 例えば、我が国から外国の政府機関のコンピュータに不正アクセスが行われた場合を例にとると、不正アクセスが当該外国で既に犯罪となっている場合には、当該外国の捜査機関は捜査を開始しなければならないが、侵入元である日本のシステムのログを直接差し押さえることは我が国の主権を侵すことになるから、その捜査を我が国に要請することが必要になる。その際の手続を定めた法律が国際捜査共助法(昭和55年法律第69号)である。

 しかしながら、同法第2条においては、「共助犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば罪に当たるものでないとき」、すなわち双罰性の要件が満たされない場合には、我が国は共助ができないこととされている。したがって、我が国で不正アクセス自体が処罰の対象でない限り、上記のようなケースにおいては、我が国は外国の要請にこたえることができず、外国の捜査に対し著しい影響を及ぼすことになる。

 また、現行の国際捜査共助法が定める共助の手続では、特に迅速性が要求されるサイバー犯罪の捜査に十分対応できないおそれがあることが懸念されている。

 外国からの共助の要請は、まず外務大臣がこれを受けることとされ(第3条)、外務大臣は、「共助の要請を受理したときは、第2条第3号に該当する場合を除き、共助要請書又は外務大臣の作成した共助の要請があつたことを証明する書面に関係書類を添付し、意見を付して、これを法務大臣に送付する」こととなる(第4条)。これを受け、法務大臣は、一定の要件に該当するときは、「相当と認められる地方検察庁の検事正に対し、関係書類を送付して、共助に必要な証拠の収集を命ずる」か、又は「国家公安委員会に共助の要請に関する書面を送付する」等の措置を採るものとされている(第5条)。

 ここで、「国家公安委員会に共助の要請に関する書面を送付」した場合には、第6条の規定により、国家公安委員会は「相当と認める都道府県警察に対し、関係書類を送付して、共助に必要な証拠の収集を指示する」ものとされる。共助に必要な証拠の収集を指示された都道府県警察の警視総監又は警察本部長は、第7条第2項の規定により、その都道府県警察の司法警察員に共助に必要な証拠を収集するための処分をさせることとなり、同法第8条の規定により、司法警察員は、共助に必要な証拠の収集に関し、関係人の出頭を求めてこれを取り調べること等ができることになる。

 しかし、このような共助の手続によると、実際には数週間から数ヶ月という時間がかかる場合があり、仮にログが保存されていたとしても、証拠の収集を行おうとするときには既に保存期間を徒過し、消去されているおそれがある。コンピュータ犯罪のグローバル化が懸念される現在、サイバー犯罪に係る国際捜査共助は大きな課題である。

 現在、警察庁では、法執行面での迅速かつ実効的な国際協力のため、国際捜査協力ユニットを設置し、体制の整備を図っているところであるが、今後、更に体制の整備等を図っていく必要があろう。また、このような運用面の改善に加え、国際捜査共助の手続面に関しても、国際的に協調を図りつつ改善を図っていく必要があろう。

 

 

国際捜査共助法(昭和55年法律第69号)

 

第1条 この法律において、次の各号に掲げる用語の意義は、それぞれ当該各号の定めるところによる。

一 共助 外国の要請により、当該外国の刑事事件の捜査に必要な証拠を提供することをいう。

二 要請国 日本国に対して共助の要請をした外国をいう。

三 共助犯罪 要請国からの共助の要請において捜査の対象とされている犯罪をいう。

第2条 次の各号のいずれかに該当する場合には、共助をすることができない。

一 (略)

二 共助犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば罪に当た るものでないとき。

三 四 (略)

第3条 共助の要請の受理及び要請国に対する証拠の送付は、外務大臣が行う。ただし、緊急その他特別の事情がある場 合において、外務大臣が同意したときは、法務大臣が行うものとする。

第4条 外務大臣は、共助の要請を受理したときは、第2条第3号に該当する場合を除き、共助要請書又は外務大臣の作 成した共助の要請があつたことを証する書面に関係書類を添付し、意見を付して、これを法務大臣に送付するものとす る。

第5条 法務大臣は、第2条各号(前条の規定による送付を受けた場合にあつては、第2条第1号、第2号又は第4号)

のいずれにも該当せず、かつ、要請に応ずることが相当であると認めるときは、次項に規定する場合を除き、次の各号のいずれかの措置を採るものとする。

一 相当と認める地方検察庁の検事正に対し、関係書類を送付して、共助に必要な証拠の収集を命ずること。

二 国家公安委員会に共助の要請に関する書面を送付すること。

三 (略)

② (略)

第6条 国家公安委員会は、前条第1項第2号の書面の送付を受けたときは、相当と認める都道府県警察に対し、関係書

類を送付して、共助に必要な証拠の収集を指示するものとする。

第7条 第5条第1項第1号の命令を受けた検事正は、その庁の検察官に共助に必要な証拠を収集するための処分をさせ

なければならない。

② 前条の指示を受けた都道府県警察の警視総監又は道府県警察本部長(以下「警察本部長」という。)は、その都道府

県警察の司法警察員に前項の処分をさせなければならない。

③ (略)

第17条 国家公安委員会は、国際刑事警察機構から外国の刑事事件の捜査について協力の要請を受けたときは、次の各

号のいずれかの措置を採ることができる。

一 相当と認める都道府県警察に必要な調査を指示すること。

二 (略)

② 第2条(第3号及び第4号を除く。)の規定は、前項の場合に準用する。

③ ④ (略)

⑤ 第1項第1号の指示を受けた都道府県警察の警察本部長は、その都道府県警察の警察官に調査のための必要な措置を

採ることを命ずるものとする。

⑥ ⑦ (略)

 

 このような国際捜査共助の問題は、主要国の首脳間でも重要課題として取り上げられている。

 1997年1月、ハリファクス・サミットで設置されたG8国際組織犯罪専門家会合にサイバー犯罪サブグループが設けられた。G8国際組織犯罪上級専門家会合は、従来、人の密輸、銃器対策等を対象テーマとしていたが、最近は、サイバー犯罪をメインテーマの1つに据え、迅速な国際協力のための議論が精力的に行われている。さらに、社会経済活動の情報システムへの依存度の高まりを背景として、システムを攻撃するという行為がテロリズムの手段にもなり得るため、G8テロ対策専門家会合の場でもこの問題が取り上げられている。また、ICPO(国際刑事警察機構)においても各種の取組みがなされている。

 デンヴァー・サミットでは、そのコミュニケにおいて、「我々は、リヨンでの勧告を実施するための取組みを強化しなければならない。これからの1年、我々は、重大な関心を有する2つの領域に焦点を当てる。1つは、コンピュータ及び電気通信技術に対して国境を越えて介入するようなサイバー犯罪者についての捜査、訴追及び処罰である。もう1つは、犯罪者の所在地にかかわらず、すべての政府がサイバー犯罪に対応する技術的及び法的能力を有することとなる体制である。」また、「・・・我々は、政府関係者に対し、次の追加的措置をとるよう指示した。即ち、・・・電子・コンピュータ・インフラへのテロ攻撃を抑止するための手段を開発すること、・・」が宣言された。また、更に1998年のバーミンガム・サミットにおいても、同テーマが主要な議題の1つになるものとされていることから、これら専門家会合における取組みは、更に促進されるであろう。

 このほか、OECDにおいても、暗号政策、児童ポルノ等ネットワーク上のコンテンツの問題についても議論されている。

 このように国際的には、法制度の整備と、捜査機関の体制の強化という2本柱でサイバー犯罪対策に取り組むという流れがある。我が国においても、不正アクセス対策法制の整備とともに、専門的知識を持った捜査官の育成や装備資機材の整備が必要である。

 1997年12月、ワシントンで開催された8カ国司法・内務閣僚級会合には、我が国からも警察庁長官等が参加し、同会合において法制面の整備等をその内容とするコミュニケが採択されたところである。今日、サイバー犯罪への対応について、国際的な協調が強く求められているのである。

 

 

 

結びに代えて

 私たちは、この4回の研究会を通じて、我が国のサイバー犯罪の現状と情報通信インフラのぜい弱性を認識し、不正アクセス対策法制の必要性をここに改めて痛感した。この研究会では触れることができなかったが、欧米各国では更に深刻なサイバー犯罪やサイバーテロが発生していると言われ、我が国がそのような危険にさらされる日も、そう遠くはないように思われる。

 欧米へのキャッチ・アップを目標としていた時代が終焉し、我が国の社会経済が強い閉塞感に包まれていると言われる今日、情報通信は、国民の創造意欲や新たなビジネス・チャンスを生み出す基幹インフラとして、大きな期待が寄せられている。

 私達は、我が国が再び活性を取り戻し、新たな未来像を描くことができるようにするため、高度情報通信社会の実現に向けて、着実に歩を進めなければならない。

 不正アクセス対策は、その重要な一歩である。この報告書がその推進力となることを願ってやまない。
 
 
 

 ※本ホームページには、エイチツーソフト(Tel:0422-28-5212 Fax:0422-28-5211)製、「マスタークリップ」のクリップアートを使用しています。