第2章 暗号政策に関連するその他の情報セキュリティ施策の在り方

 既に述べたように、暗号政策に係る情報セキュリティ施策以外の情報セキュリティ施策としては、不正アクセス禁止法制の整備、インターネット上の不正・有害情報の流通を防止するための施策、電子マネー等の電子決済に関連する犯罪への対策、コンピュータ・システムに係るセキュリティ評価基準の策定等があるが、本章では、第1章で検討した暗号技術の不正利用対策の効果を十分なものとするため、暗号技術の不正利用対策と併せて緊急に講ずべき情報セキュリティ施策として、不正アクセス禁止法制の整備及び暗号利用者等に対する広報啓発に係る施策について検討することとする。

1 不正アクセス禁止法制の整備 (1) 不正アクセスの現状
 他人のID、パスワード等他人の個人を識別する情報を盗用し、無権限でコンピュータ・システムやデータにアクセスした上で、商品販売名下の詐欺やデータの書換えを行うなど、なりすましを手口とする犯罪等が多発し始めている(第1部第1章1参照)。
 このようにコンピュータ・システムやデータに無権限でアクセスすることが一般に不正アクセスと言われており、権限を有する者になりすます点において、ほぼなりすましと同義と考えられている(注)。
 我が国では、現在、(2)イで述べるとおり、不正アクセスそのものが犯罪とされていないことから、警察においてはその被害実態を把握していないが、JP-CERT/CC(Japan Computer Emergency Response Team/Coordination Center)によれば、1996年10月1日から1997年9月30日までの1年間で383件の被害が届け出られている。また、コンピュータ・システム内部に電子的に蔵置された情報の盗取の被害は、盗取されても情報そのものがなおシステムに残るため、潜在化する傾向が強く、実際の被害は更に多いものと考えられる。
(注)「不正アクセス」の定義は、必ずしも一義的に明確ではないが、「不法又は有害な意図をもって行われる権限外のアクセスや傍受」(OECD「コンピュータ関連犯罪-立法政策の分析」)、「不正な手段により、ユーザ(注1)以外の者が行うアクセス(注2)又はユーザが行う権限外のアクセス」(「情報システム安全対策指針」(平成9年国家公安委員会告示第9号))とされている。
(注1)ユーザ
 情報システムにより提供されるサービスを利用するためにアクセスする権限を有する者をいう。
(注2)アクセス
 コンピュータ・システムを利用できる状態とすること又はその内部に電子的に存在する情報を取り扱うことをいう。

(2) 不正アクセス規制の状況

ア 諸外国における状況
 諸外国では、OECDが1986年に示した「コンピュータ犯罪-立法政策の分析」においてコンピュータ犯罪に対する自国刑法の適用可能性について各国に検討するよう推奨したことなどを受けて、1980年代後半に刑法等の見直しが行われた結果、システムやデータの破壊・偽造、機能妨害等に対しては、多くの国において犯罪として位置付けられ,不正アクセスが処罰されるようになっている。
表2-2-1 諸外国における不正アクセス禁止法制の概要(情報セキュリティ調査研究委員会「情報セキュリティ調査研究報告書」)
 
国(州)名
不正アクセスを禁止する法律名
制度の概要
米国連邦政府
連邦法(1986年改正) 単なる不正アクセスを処罰
米国
州政府
カリフォルニア州
カリフォルニア刑法典(1984年改正) 単なる不正アクセスを処罰
フロリダ州
フロリダ州法(1978年改正)
アリゾナ州
アリゾナ州法(1978年改正)
バージニア州
バージニア州法(1984年改正) 一定の意図によるコンピュータの不正使用を処罰
テキサス州
テキサス州法(1985年改正) 安全対策の侵害を要件として不正アクセスを処罰
ニューヨーク州
ニューヨーク州法(1986年改正)
英国
コンピュータ不正使用法(1990年制定) 単なる不正アクセスを処罰
フランス
情報処理関連不正行為に関する1988年法 単なる不正アクセスのほか、不正にコンピュータ・システムの中に留まること及びこれらの未遂、予備、共謀加担を処罰
ドイツ
旧西ドイツ刑法(1986年改正) 安全対策の侵害を要件として不正アクセスによるデータの探知を処罰
不正競争防止法(1986年改正) 営利・加害等一定の目的で営業上の秘密を不正に入手・利用・漏示等する行為及びその未遂を処罰 
(入手とは、内容を知ることまで必要としないため、目的が有れば単なる不正アクセスも処罰の対象となり得る。)
カナダ
カナダ刑法(1984年改正) 単なる不正アクセスを処罰
スイス
なし
日本
なし
 
イ 我が国における状況
 我が国においても、上記の諸外国と歩調を合わせて、1987年(昭和62年)の刑法改正によりコンピュータ犯罪に関する処罰規定が整備(注)されたが、不正アクセスについては、法制審議会における議論の俎上に上りながら、これに係る処罰規定の創設は見送られた。
 これは、電子的な情報の盗取については、紙に記載された情報の盗取が不可罰であることとの均衡をいかにすべきか検討の余地があること、情報の中には、秘密情報、プライバシーに係る情報、財産的価値のある情報等様々なものがあり、法的保護はいかにあるべきか、取扱いをいかにすべきかについて検討の余地があること等を、また、コンピュータの無権限使用についても、自動車の無権限使用が常に処罰することとはされていないことなど無権限使用のうちどのような行為を処罰すべきかについて検討の余地があること等を理由としたものである。
 したがって、現在の我が国においては、クラッキングを始めとするコンピュータ・システムやデータへの無権限者による不正アクセスについては、多くの国において処罰の対象とされているにもかかわらず、そのことだけでは処罰されない。不正アクセスを手口として、詐欺等の現行法上処罰することとされる行為を行った場合に、当該詐欺等に該当する行為についてのみ処罰されるだけである。(図2-2-1)
(注)整備された刑法におけるコンピュータ犯罪に関する処罰規定
図2-2-1 法律の手当がなされていない不法行為
 法律の手当てがなされていない不法行為
 
(3) 不正アクセス禁止法制整備の必要性ア なりすましによる犯罪の防止の必要性
 不正アクセスは、コンピュータ・システム等の利用権限を有する者のID、パスワード等個人を識別する情報を利用し、当該個人を識別する情報の保有者になりすまして無権限でコンピュータ・システム等を利用する行為であることから、ネットワーク上において様々な行為を当該他人になりすまして行うことを可能とするものである。
 すなわち、不正アクセスは、身分を偽変することにより捜査機関による摘発を逃れつつネットワーク上における犯罪を可能とする行為であることから、ネットワーク上の又はネットワークを利用した犯罪を助長するおそれが強い。
 また、既に述べたように、なりすましによる犯罪の防止のための暗号技術の不正利用対策として暗号鍵の盗取や認証機関に対する不真正な公開鍵の登録等を防止することが必要であるが、これらの行為も不正アクセスを手口とすることが多いと考えられる。
 したがって、不正アクセスを禁止することは、暗号技術の不正利用対策とあいまって、なりすまし犯罪を防止するための有効な手段となるものであり、この観点からも不正アクセスの禁止が必要であると考えられる。
 なお、警察庁が1997年1月から3月にかけて行った「コンピュータ及びネットワークを利用する企業のセキュリティに関する実態調査」によると、「システムのセキュリティには技術的な限界があること」、「重要なデータが盗まれるおそれがあること」などから、不正アクセスを法律によって取り締まる必要があるとする回答が84%を占めている。

イ 国際的な犯罪対策の実効性の確保
 インターネットのグローバルな広がりを背景として、国境を越えて不正アクセスが行われるおそれが生じており、このような不正アクセスを効果的に取り締まるためには、国際間の捜査共助が必要となる。
しかしながら、表2-2-1のとおり、米英独仏加等諸外国においては、既に不正アクセスに対する処罰規定が整備されているにもかかわらず、我が国においては上記のとおり不正アクセス自体を処罰することとされていないことから、国際捜査共助の要件である双罰性が確保されないこととなるため、国際捜査共助の要請に応ずることが困難な状況にあり、国際的な犯罪対策の実効性を損ないかねない状況となっている。
したがって、国際的なネットワーク上の又はネットワークを利用した犯罪の対策の実効性を確保する観点からも不正アクセスを禁止することを内容とする制度的枠組みが必要と考えられる。
 

(4) 不正アクセス禁止法制の検討の方向性
 不正アクセスについては、1987年の刑法の一部改正時に不正アクセスに関する処罰を見送った法制審議会の議論及びその後の議論の動向を踏まえれば、刑事法的視点にとらわれず、不正アクセスがネットワーク上の行為者の匿名性を増大させること等によって様々な犯罪を助長する性質を有することに着目した行政的規制を行うことが適当ではないかと考えられる。
 したがって、それを入手することが犯罪を助長するおそれの強いID、パスワード等の個人を識別する情報の使用のほか、譲受け、譲渡し等を禁止し、違反者に対して罰則を科することなどを内容とする法制度について検討していく必要があると考えられる。
 2 暗号技術の利用者等に対する広報啓発に係る施策(1) 広報啓発の必要性
 ネットワーク上の又はネットワークを利用した犯罪等の防止を図るためには、ネットワークにおける「本人確認」と「情報の保護」を図ることが必要であり、そのためには良質な暗号技術の普及及び暗号技術の不正利用の防止を図る対策をセットで講ずるとともに、併せて不正アクセス禁止法制を整備することが必要であることは、これまで述べてきたとおりである。
 ところで、良質な暗号技術の普及等を図るためには、ネットワークを利用するすべての者が情報の漏洩、盗聴、改ざんやなりすましによる犯罪等のネットワークの利用に係るリスクを自らにかかわる問題として認識するとともに、これらのリスクを回避するためには、暗号技術を利用することが必要であることを認識することが必要である。犯罪等の防止対策として、技術的対策、制度的対策及び広報啓発(教育)による対策の3つの分野の対策があり、広報啓発(教育)による対策は技術的対策や制度的対策では十分に対応できない分野に対する対策であることは既に述べたとおりであるが、ネットワーク利用者の一人一人に対してネットワーク利用の場合における暗号技術の利用の必要性を認識させることは、正にこのような広報啓発(教育)による対策として必要な対策と考えられる。犯罪等防止のための技術的及び制度的対策として、いかに優れた暗号技術を開発し、いかに優れた暗号技術を利用した制度を整備したとしても、ネットワークを利用する者一人一人がこれらを利用することの必要性を認識し、自ら利用しない限り、犯罪等の防止の効果は極めて限定されたものにならざるを得ないと考えられるのである。
 また、暗号技術に関する技術的対策及び制度的対策や不正アクセス禁止法制が所期の効果を十分に発揮するためには、ネットワークの利用者がこれらの対策において利用者に遵守されることを予定している事項を十分に遵守することが必要となるが、これをネットワーク利用者の一人一人に対して認識させることも広報啓発(教育)対策として重要なことである。犯罪等の防止のための技術的対策及び制度的対策は、当該技術や制度がその利用者の遵守を予定している事項が確実に利用者に遵守されることによって初めて所期の効果を発揮することは往々にして忘れられがちであり、多くの者は犯罪等の防止効果が高いと言われている技術を利用し、あるいは犯罪防止のための制度が整備されてさえいれば犯罪等の脅威から逃れられると誤解しがちである。
 このことを、ネットワーク上での個人を識別する情報となるID、パスワードの設定及び管理の問題を例にとって説明することとする。ID、パスワードの適正な設定及び管理は、ネットワーク上の又はネットワークを利用した犯罪等の防止のための技術的対策の一つであるが、これをルール通り適正に行うだけでもかなりの犯罪等の防止効果を発揮するものとして重視され、ネットワーク利用者にその適正な設定及び管理が繰り返し求められているにもかかわらず、利用者一般においてそのような意識は希薄であり、自分のID、パスワードを他人の見やすい場所に紙に書いて張り付けていたり、安易に同僚等に教えたりしているのが現状である。これを現実社会に置き換えれば、ID、パスワードは、いわば自分の家の鍵のようなものであり、上記のような行為は、家の鍵を玄関前に放置したり、他人に預けたりするようなものであって、自分の家の鍵をこのように扱う者は極めて少ないにもかかわらず、ネットワークの利用に関してはこのようなことがしばしば起こっている。その結果、ID、パスワードの設定及び管理という、それが適正に行われれば犯罪防止上一定の効果を有する技術的対策が講じられていながら、ネットワークの利用者においてその対策が効果を発揮するための遵守事項が遵守されていないため、当該対策が十分に機能しないどころか、ID、パスワードが簡単に盗取され、かえってこれらを盗用したなりすまし等の犯罪が多発する現状を招来してしまっているのである。
 これは、暗号技術やこれを利用した制度についても同様に当てはまることであり、どのような暗号技術を利用し、また、暗号技術を利用したどのような制度を構築したところで、利用者によって暗号技術やそれを利用した制度が利用者の遵守を予定していることが遵守されない場合には、上記のID、パスワードの例と同様、犯罪防止の効果があるどころか、犯罪者等がこれらを不正に利用(暗号技術の不正利用)するおそれがある上、利用者は技術等の利用により犯罪等の脅威がなくなったと安心してしまうだけに、かえって有害ということにもなりかねないのである。
 以上のことから明らかなとおり、ネットワーク上の又はネットワークを利用した犯罪等の防止対策として暗号技術の普及及びその不正利用の防止を図るための対策や不正アクセス禁止法制が導入されたとしても、ネットワークの利用者がこれらを利用しなかったり、利用者において遵守すべき事項が遵守されない場合には、これらの対策は十分な効果を発揮することができなくなると考えられる。
 したがって、ネットワークにおける「本人確認」及び「情報の保護」を図るためには、ネットワーク及び暗号技術を利用する者に対して、ネットワーク利用の場合におけるID、パスワードの適正な管理の重要性、暗号技術の利用の重要性、暗号技術の利用に当たって遵守すべき事項等について効果的な広報啓発(教育)を行っていくことが必要である。そうすることにより、第1部でも述べたように、技術的対策、制度的対策及び広報啓発(教育)による対策の3つの要素が効果的に組み合わされ、暗号技術の普及及びその不正利用防止のための対策として最大の効果が発揮されるものと考えられる。

(2) 広報啓発の在り方
 ネットワーク上の又はネットワークを利用した犯罪等の防止を図るためには、暗号技術の普及及びその不正利用の防止並びに不正アクセスの禁止を効果的に図るための広報啓発対策が重要であることを述べたが、この広報啓発対策を効果的に行うためには、広報啓発の対象となる者のネットワークへの関与の形態により、その内容及び方法等を変えることが適切な場合もあり、広報啓発の対象者ごとにその内容及び方法について検討し、効果的な広報啓発を行っていく必要があると考えられる。
 

ア 広報啓発を行うべき対象
 広報啓発の対象は、ネットワークへの関与の形態等にかんがみ、 に分類し、最終利用者については、さらに、 に分けて検討することが適切と考えられる。

イ 広報啓発の内容

(ア)すべての対象に共通の内容
 すべての広報啓発の対象に共通の広報啓発の内容としては、例えば、次のようなことが考えられる。a 犯罪等の実態
 事業者がその事業に係る犯罪等を防止するための対策を講じ、また、最終利用者が犯罪等の被害を受けることを自ら防止することを可能とするためには、これらの者が対策を講ずることの必要性を認識するとともに、効果的な対策を講ずるために必要となる犯罪等の発生状況やその手口等の犯罪等の実態についての情報を入手することが必要となるので、これらの情報を提供する。
 また、ネットワーク上の又はネットワークを利用した犯罪を行う者の中には、自己の行為が犯罪に該当する行為であることの認識が希薄な者も認められることから、犯罪に該当する行為についての広報啓発を行うことも検討していく必要がある。
b ID、パスワード及び暗号鍵の適正な管理等
 ID、パスワード、暗号鍵等ネットワーク上で個人識別のために利用される情報は、不正アクセスや暗号技術の不正利用等を可能とするものであり、これらが犯罪者等に不正に入手されることのないよう適正に設定及び管理される必要があるが、既に述べたとおり、現状においてはID、パスワードの設定及び管理は適正になされているとは言い難く、暗号技術が普及した場合における暗号鍵の管理も適正に行われないおそれがある。
 このようなことから、最終利用者に対して、ID、パスワード等の適切な設定及び管理方策その他ネットワーク及び暗号技術の利用に当たり留意すべき事項の周知徹底を行うとともに、事業者に対しても犯罪実態等を踏まえた適切なID、パスワード、暗号鍵等の管理を促す必要がある。
c 犯罪等の被害を受けた場合における対処方法
 事業者及び最終利用者が被害を受けた場合において、被害の拡大及び新たな被害の発生を防止するとともに、爾後、効果的な対策を講じていくためには、関係機関等が被害の事実及びその状況を早急かつ的確に把握することが必要であり、被害を受けた場合の届出先及び届出を行う際に把握しておくべき被害状況等の届出事項についてあらかじめ明確に知らしめておく必要がある。
 また、ID、パスワードの盗取等の場合におけるID、パスワードの効力停止措置の方法等被害の拡大及び新たな被害の発生を防止するために被害者が速やかに講ずべき措置についても同様である。
d 優良な暗号技術の利用
 ネットワーク上の又はネットワークを利用した犯罪等の防止のためには暗号技術を用いることが必要であるが、効果的に暗号技術を利用するためには、暗号技術を利用する目的及び対象に応じて適切な暗号技術を選択し、利用することが必要であり、これを可能とするために優良な暗号技術の紹介を行うことが必要であると考えられる。
 これは、特に暗号技術を利用するサービスを提供する事業者について重要と考えられる。(イ) 事業者及び学校、企業等の最終利用者に共通の内容
 事業者はその提供に係るサービスの最終利用者と必ず接点を有することから、これらの事業者がその接点を活用して最終利用者に対して広報啓発を行うことは容易であり、また、その効果も大きいと考えられる。
 したがって、最終利用者に対する広報啓発の徹底を図るためには、事業者に対し、その提供に係るサービスの最終利用者に対して広報啓発を行うことの重要性についての理解を求めるとともに、最終利用者に対する(ア)に掲げた事項の広報啓発を促す必要がある。
 また、学校、企業等の最終利用者についても、その構成員である個人の最終利用者と接触する機会が多く、また、授業や事業等その業務においてその構成員である個人の最終利用者にネットワークや暗号技術を利用させる者であることから、学校、企業等がその構成員である個人の最終利用者に対して広報啓発を行うことは容易であり、また、その効果も大きいと考えられる。 したがって、学校、企業等についても、その構成員である個人の最終利用者に対する広報啓発の必要性について理解を求めるとともに、最終利用者に対する(ア)に掲げた事項の広報啓発を促す必要がある。
(ウ) 最終利用者(学校、企業等及び個人利用者)に対する内容
 ネットワークは近年急速に普及してきたものであり、ネットワークの最終利用者のネットワーク利用歴も浅いことから(注)、ネットワークの最終利用者は、ネットワーク社会がその匿名性、無痕跡性等の特徴故に犯罪に対する脆弱性を有しており、自らも容易に被害者となり得るものであることの認識が非常に希薄である。ID、パスワード等の適正な設定及び管理が盛んに求められていながら、これが適切に行われているとは言い難い現状は、これを如実に表しているものと考えられる。
 最終利用者がネットワーク社会の犯罪に対する脆弱性及び自らも被害者となり得るものであることを認識することは、最終利用者が暗号技術の利用、ID、パスワードの適正な設定及び管理等の諸対策を講ずる出発点となるものであり、犯罪等の実態と併せてまず最初に広報啓発が行われるべきものである。
(注)例えば、企業を対象とする調査の結果では、インターネットの利用者(企業)のうち60%以上の企業のインターネットの使用歴が1年未満、90%以上の企業の使用歴が2年未満となっている(日本インターネット協会「インターネット白書’97」)。
 以上の広報啓発の対象ごとに広報啓発の内容をとりまとめたものが次の表である。
表2-2-2 広報啓発を行うべき対象とその内容
 
対象
広報啓発の内容
事業者
プロバイダー等
  • ネットワーク利用犯罪及び不正アクセスの実態等
  • ID、パスワード対策
  • 犯罪等の被害を受けた場合における対処方法
  • 優良な暗号技術の利用
  • 利用者に対する広報啓発の必要性及びその内容 等
認証機関 
鍵回復機関等
  • 暗号技術の利用に係る犯罪等の実態
  • 犯罪実態に即した暗号鍵の管理等被害の防止対策
  • 犯罪等の被害を受けた場合における対処方法
  • 優良な暗号技術の利用
  • 利用者に対する広報啓発の必要性及びその内容 等
暗号技術の 
最終利用者
学校・企業等
  • ネットワークの特徴、ネットワーク利用犯罪、暗号技術の不正使用に係る犯罪等の実態
  • 犯罪等防止のための暗号技術利用の必要性
  • ID、パスワード及び暗号鍵の適正な管理等ネットワークの利用に当たり留意すべき事項
  • 犯罪等の被害を受けた場合における対処方法
  • 構成員に対する広報啓発の必要性及びその内容 等

 
個人利用者
  • ネットワークの特徴、ネットワーク利用犯罪、暗号技術の不正利用に係る犯罪等の実態
  • 犯罪等防止のための暗号技術利用の必要性
  • ID、パスワード及び暗号鍵の適正な管理等ネットワークの利用に当たり留意すべき事項
  • 犯罪等の被害を受けた場合における対処方法 等
 
  このほか、ネットワークに係るセキュリティコンサルタント業務を行う事業者が出てきているが、今後これらの者が適切に業務を実施するための広報啓発についても検討を行っていく必要があると考えられる。

ウ 広報啓発の方法
 多くの者に対し、より効果的に広報啓発を行うため、様々な方面からの広報啓発の方法について検討を行う必要がある。

(ア)広報啓発の形態
 広報啓発の形態としては、次のようなものが考えられる。
図2-2-2 広報啓発の形態
広報啓発の形態
 a 警察と関係機関・関係団体との連携によるもの
 犯罪情勢等を把握している警察が、関係機関や防犯、消費者団体等の関係団体と連携の上、事業者及び最終利用者に対して広報啓発を行うことが重要である。
 また、事業者及び学校や企業などに対し、それぞれ事業者の提供するサービスの最終利用者や企業等の構成員に対する広報啓発の重要性についての理解を求め、広報啓発を実施するための情報提供を行うことは総合的な広報啓発の実施のために必要不可欠である。
b 事業者による事業者の提供するサービスに係る最終利用者に対するもの
 既に述べたとおり、事業者はそのサービスの最終利用者と接点を有する存在であり、事業者とその最終利用者との契約、事業者から最終利用者への通知の機会等を利用して広報啓発が実施されることによる効果は大きなものであると考えられる。
c 学校、企業等のネットワーク利用団体による構成員に対するもの
 学校教育や事業におけるネットワークの利用状況の推移等にかんがみると、学校、企業等におけるネットワークの利用は増加し、これに伴って学校、企業等においてその利用方法を学ぶ者もますます増加することが予想され、学校、企業等のネットワーク利用団体によるその構成員に対する広報啓発はますます重要なものになると考えられる。(イ)広報啓発の手段
 広報啓発手段の検討に当たっては、広報啓発の対象となる者が日常生活において、又はネットワークの利用に際して頻繁に目にすると考えられる媒体を選択し、利用することが効果的である。例えば、次のような手段が考えられる。

次へ(第2部第3章)

戻る(第2部第1章)

目次へ

警察庁ホームページへ