情報セキュリティビジョン策定委員会報告書の概要
序章 問題の所在と本報告書の構成
1 問題の所在
| 我が国においては、オープンネットワークに接続されたコンピュータの急増に見られるように、ネットワーク社会化が急速に進展。 |
これにより、↓| 電子商取引の実用化等社会生活の利便性の向上が期待される一方、なりすましや情報の改ざん等による犯罪や不正行為等も急増。 |
そして、↓| 犯罪等の増加は、匿名性(ネットワーク上の行為者の特定が困難な性質)、無痕跡性(ネットワーク上の行為の痕跡が残りにくい性質)等のネットワーク社会の特性に起因するものであることから、本格的ネットワーク社会の到来を間近に控え、犯罪等防止のための情報セキュリティビジョンの策定が必要不可欠。 |
特に、↓| なりすましを防止する「本人確認」と情報の盗聴、改ざん等を防止する「情報の保護」の課題を解決することが急務であり、暗号技術の利用が有効な対策。 |
その一方で、↓| 暗号技術が普及した場合には、暗号技術の不正利用による犯罪等の多発のおそれも存在。 |
したがって、↓| 暗号技術の普及と暗号技術の不正利用の防止のための施策をセットで講ずる必要。 |
また、↓| 諸外国においては法制度的な対応の動きが顕著であり、我が国における犯罪の多発の防止及び国際的な犯罪対策の実効性確保の観点からも、上記の施策を講ずる必要。 |
以上のようなことから、↓| 国際的な整合性に配意した暗号政策を中心とした情報セキュリティ施策の策定が喫緊の課題。 |
2 本報告書の構成 このような問題意識の下に、本報告書においては、次のような二部構成により検討を進めていくこととする。第1部…暗号技術に係るセキュリティ上の課題を明らかにする。
第2部…諸外国における暗号技術の不正利用対策の動向を把握するとともに、暗号技術の不正利用対策を中心とした我が国における暗号政策の在り方を考察していく。
特に、第2部においては、第1章において暗号政策の在り方について検討した後、第2章において暗号の不正利用対策と密接な関係を有する不正アクセス禁止法制の整備について触れた上で、第3章では、ネットワーク犯罪等を防止するための制度的枠組みとして「ネットワーク犯罪防止法」の整備の必要性について提言することとしている。
第1部 暗号技術に係るセキュリティ上の課題
第1章 暗号技術の不正利用の類型と分析
1 犯罪等防止のための暗号技術の利用の必要性
| 我が国社会のネットワーク社会化に伴い、なりすましや情報の漏洩、盗聴、改ざん等によるネットワークを利用した犯罪及び不正行為が多発しており、これらの犯罪等を防止するためには、「本人確認」と「情報の保護」を図ることが喫緊の課題 |
そこで、↓| 犯罪等を防止するための対策として認証機能と秘匿機能を有する暗号技術を利用することが有効。 |
したがって、↓| 優良な暗号技術の普及の促進のための暗号製品等の開発及び普及の支援方策を講ずることが必要。 |
2 暗号技術の不正利用 暗号技術の普及に伴い暗号技術の不正利用のおそれも顕在化し、それによる犯罪等も様々なものの発生が懸念されるが、暗号技術の不正利用は、その形態から次の2つの類型に分類することができる。
- 暗号鍵の不正利用
他人の暗号鍵を不正に入手した上で、その暗号鍵を利用して他人の暗号文を解読し情報を不正に入手したり、その暗号鍵でデジタル署名を偽造して他人になりすます(注)など自己が正当に使用することのできない暗号鍵を不正に利用する行為 - 暗号の不正利用
自己の暗号鍵を用いて、禁制品の売買等犯罪に関する情報を暗号化し秘匿する等自己が正当に使用することのできる暗号鍵を不正目的のために利用する行為
(注)デジタル署名とは暗号技術を利用することにより、従前の紙による文書における署名ないし捺印に当たるものを、電子的データにおいて実現することであり、これを偽造することで、他人になりすますことができる。
第2章 暗号技術の不正利用対策
| 暗号技術の不正利用は、いずれも捜査機関による犯罪捜査を困難にし、犯罪の手段等の入手を可能とすることにより犯罪等を助長する性質を有する行為 |
このため、↓| 国際機関や諸外国においては、法制的な整備を含めた対処を行う動きが顕著であり我が国においても、国際的な犯罪対策の実効性確保等の観点からも、暗号技術の不正利用対策を講ずることが必要。 |
第2部 暗号技術の適正利用を制度的に保障するための暗号政策を中心とした情報セキュリティ施策の在り方
第1章 暗号技術の不正利用対策に係る施策の在り方
1 暗号技術の不正利用対策に関する施策の検討の方向性
暗号技術の不正利用対策の在り方の検討に当たっては、少なくとも次の考え方を基本とする必要がある。
- 犯罪等の脅威を除去するために必要不可欠な点に限って、制度的枠組みの在り方を検討することとし、規制内容も犯罪等の脅威の除去のために必要最小限のものであること。
- 国際的な動向を踏まえ、規制の導入の時期及び内容の整合性に配意すること。
- 学問・技術の進歩を阻害せず、技術の進歩に迅速に対応できるものであること。
|
2 国際社会における施策の動向 OECD(経済協力開発機構)において1996年5月から策定作業の進められていた暗号政策ガイドラインが1997年3月に採択され、同ガイドラインのフォローアップ等の活動が行われているほか、ISO(国際標準化機構)、EU(欧州連合)においても、認証機関の在り方、キーリカバリーシステムの在り方等についての検討が進められている。
また、欧米諸国等の諸外国においても、ドイツにおいて認証機関の登録制が導入され、フランスにおいて鍵回復機関の承認制が導入されるなど認証機関及び鍵回復機関(キーリカバリー機関)に係る規制を始めとする暗号政策に関する法制の整備等制度的枠組みの整備が進められつつある(別添資料参照)。
3 暗号鍵の不正利用対策に係る施策の在り方(1) 暗号鍵の不正利用対策に関する基本的な考え方
暗号鍵の不正利用は、 - 他人の暗号鍵の不正入手
- 暗号鍵を他人になりすまして認証機関に登録する 等
の行為により行われることから、これらの行為を防止するための施策を講ずることが必要。 |
(2) 鍵回復機関及び認証機関の適格性及び業務の適正性確保のための仕組みの導入
ア 鍵回復機関及び認証機関に対する対策の必要性 他人の暗号鍵の不正入手等の行為を防止するためには、 - これらの行為を行おうとする者
- これらの行為の対象となる暗号鍵を管理する者(鍵回復機関及び認証機関等)
に対する対策が必要。 |
特に、↓| 他人の暗号鍵を管理する鍵回復機関及び認証機関については、これらの者の社会的責任等にかんがみ、これらの者からの暗号鍵の不正入手を防止するために必要な、次のような事項の遵守を求めることが必要であり、また、その遵守の確保のための主体の適格性及び業務の適正性の確保を図る仕組みの導入が必要。 |
- 役員、従業員等構成員の適格性の確保
- 不正行為防止のための内部管理体制の整備
- 業務を行うシステム及び施設のセキュリティ確保
- 業務上知り得た事項についての守秘義務の設定 等
イ 認証機関及び鍵回復機関の適格性及び業務の適正性を確保するための仕組み
認証機関及び鍵回復機関の適格性及び業務の適正性を確保する制度的枠組みには次の表のようなものが考えられるが、どのような制度的枠組みが適切であるかは、 - 犯罪防止目的の達成
- 認証機関等に求められる主体の公共性・中立性
- 民間の多種多様なニーズへの対応の可否
- 国際的な整合性等
を考慮しつつ、適切な仕組みの在り方を検討していくことが必要。 |
| 制度的枠組み | 主体 | 主体の適格性及び業務の適正性 | 主体の公共・
中立性 | 多様性 |
| 公的機関限定 | 公的機関 | ◎ | ◎ | × |
| 許認可性(英国TTP法制案等) | 資格要件を満たした者 | ○ | ○ | ○ |
| 届出制 | 届け出を行った者 | △ | △ | ○ |
| 法的効果付与制(注)(ユタ州法等) | 制限なし | △ | △ | ○ |
| 罰則設定のみ | 制限なし | ▲ | ▲ | ◎ |
| ガイドライン | 制限なし | × | × | ◎ |
(注)法的効果付与制
任意の登録制等を設け、登録等を行った者について業務の適正性の確保のための規制を行うとともに、登録を受けた者の行う認証行為については、裁判上の一定の推定を認める等一定の法的効果を認める制度をいう。4 暗号の不正利用対策に係る施策の在り方(1) 暗号の不正利用対策に関する基本的な考え方 | 暗号の不正利用は、犯罪者等が捜査機関による実態の解明、証拠の収集等を困難にすることを目的として犯罪関連情報の暗号化による秘匿を行うものであることから、その対策としては、その効果をなくすキーリカバリー機能の確保(注)の要否及びその在り方の検討が必要。 |
(注)キーリカバリーとは、解読対象となる暗号文の入手方法そのものではないことから、仮にキーリカバリー機能確保のための制度的枠組みができたとしても、解読対象となる暗号文については、捜査機関が法令上適法に入手できるものに限られ、そのことによって新たに通信傍受ができることになるものではない。(2) 国際社会における施策の動向
サミットにおいてキーリカバリー機能の確保に向けた動きが顕著。OECD、ISO等においてもキーリカバリー機能の確保方策が検討対象となっている。
また、欧米諸国においてはキーリカバリー機能の確保の必要性の認識が強く、フランスにおいて秘匿目的での暗号使用の場合における鍵回復機関への解読鍵の預託が義務付けられ、鍵回復機関に対し法執行機関のキーリカバリー要請に応ずることが義務付けられているほか、米国、英国においても鍵回復機関に対し法執行機関のキーリカバリー要請に応ずることを義務付ける等のキーリカバリー機能の確保のための制度的枠組みの検討が行われている。
(3) キーリカバリー機能確保のための制度的枠組みの在り方
| キーリカバリーが暗号の不正利用対策として有効に機能するためには、捜査機関が法令に基づいて入手し、解読を必要とする暗号文について確実に解読ができることが必要。 |
このため、↓| 捜査機関がキーリカバリーを必要とする場合に鍵回復機関が捜査機関に対して確実にキーリカバリーを行うことの適否について検討を行う必要がある。 |
そして、↓| 捜査機関がキーリカバリーを必要とする場合に鍵回復機関が捜査機関に対して確実にキーリカバリーを行うようにすることは、法令上適法に入手した暗号文について確実に解読できるようにすることであり、入手を認めた法令の趣旨等にかんがみ適当。 |
しかし、↓| 現行刑事訴訟法によるキーリカバリー(注1)は、鍵回復機関等に必要以上の負担を課す場合があり、暗号技術の普及の観点から望ましくない場合もある。 |
このことから、↓| 捜査機関の捜査能力を低下させず、また、暗号技術の普及を阻害するおそれも少ない新たなキーリカバリー制度(注2)の創設についての検討を行う必要がある。 |
(注1)現行刑事訴訟法上のキーリカバリー
捜査機関が解読したい暗号文の解読のみに使う鍵を鍵回復機関から押収することに法律的問題があり、その他のすべての暗号文が解読できてしまう鍵回復機関等のいわば「マスターキー」を入手することにならざるを得ない。
(注2)新たなキーリカバリー制度
鍵回復機関に、捜査機関が解読したい暗号文の解読のみに使う暗号鍵のみを取り出して提出するよう命令をかける制度
5 国際的な枠組みの必要性及びその在り方(1) 国際的な鍵回復機関及び認証機関の業務の適正性等の確保の必要性 ネットワーク社会はボーダーレスであり、日本国内にある暗号技術の利用者が、 外国の鍵回復機関、認証機関を利用することが想定されることから、日本国内にある暗号の利用者に対して業務を行う外国の認証機関及び鍵回復機関についても、犯罪等の予防の観点からその適格性及び業務の適正性の確保を図るための制度的枠組みの在り方を検討することが必要。
(2) 国際的なキーリカバリー機能確保のための枠組みの必要性
| ネットワーク社会はボーダーレスであり、ボーダーレスな犯罪の敢行が容易。 |
そこで、↓| キーリカバリーを要請すべき鍵回復機関が国内に所在していない場合にキーリカバリーを実行するための国際協力に係る制度が必要。 |
しかし、↓| 現行の国際捜査共助法による国際協力の仕組みでは、迅速かつ確実なキーリカバリー要請への対応が常に可能な仕組みとなっていない。 |
このことから、↓| 外国捜査機関からの我が国捜査機関に対するキーリカバリー要請を我が国捜査機関が適当と認める場合に迅速かつ確実にキーリカバリーを実行して共助要請に対応することが可能な制度の整備が必要。 |
第2章 暗号政策に関連するその他の情報セキュリティ施策の在り方
1 不正アクセス禁止法制の整備(1) 不正アクセス規制の状況
米国、英国等多くの国において不正アクセスが処罰の対象とされているにもかかわらず、我が国においてはそれだけでは処罰の対象とされていない。
(2) 不正アクセス禁止法制整備の必要性
- 不正アクセスは、なりすましによる犯罪等を可能とするものであり、暗号技術の不正利用の手口にもなる。
- 我が国において不正アクセス自体を処罰することとしていないことから、国境を超えた不正アクセスに対する国際的犯罪対策の実効性を損なうおそれが生じている。
|
このことから、↓ (3) 不正アクセス禁止法制の検討の方向性
- 刑事法的視点にとらわれず、不正アクセスが様々な犯罪を助長する性質を有することに着目した行政的規制を行うことが適当
- それを入手することが犯罪を助長するおそれの強いID、パスワード等の個人を識別する情報の使用、譲渡し、譲受け等を禁止し、違反者に対し罰則を科すことを内容とする法制度について検討を行う必要。
2 暗号技術の利用者等に対する広報啓発に係る施策 ネットワークを利用した犯罪等の防止を図るためには、暗号技術の利用及びその普及を図る制度的対策と併せて、事業者、暗号技術の最終利用者等それぞれの広報啓発対象に対し効果的に広報啓発活動を実施していくための施策について検討を行う必要がある。
第3章 「ネットワーク犯罪防止法」(仮称)の整備の必要性及び緊急性
1 ネットワーク社会における犯罪防止のための社会的な枠組み
ネットワーク社会化の進展に伴い、ネットワーク利用犯罪等はますます増加するおそれがあるが、警察力(人員、装備資機材及び捜査方法(権限))の増大のみによる対応 では、社会的なコストが多大なものとなり限界があることから、ネットワーク社会の枠組みを構築するに当たっては犯罪の防止の観点を十分に踏まえ、ネットワーク社会におけるセキュリティシステムを構築することが必要。
2 「ネットワーク犯罪防止法」(仮称)の整備の必要性
| 暗号技術の不正利用防止対策に係る制度的枠組みと不正アクセスの禁止に係る制度的枠組みはネットワークを利用した犯罪等の防止を図ることを目的とし、これらの犯罪を助長する行為を禁止するという点において共通点を有する。 |
このことから、↓| 暗号技術の不正利用対策、不正アクセスの禁止を含む、ネットワーク上の又はネットワークを利用した犯罪を防止するための諸措置を網羅した法律(「ネットワーク犯罪防止法」(仮称))を早急に整備することを検討する必要がある。 |
ネットワーク社会の制度的枠組みについて
| ネットワーク社会の制度的枠組みについては、犯罪防止の観点ばかりではなく、私法秩序の維持、産業政策、金融政策、通信政策等の観点から検討が行われるのも当然であり、関係各省庁による様々な検討が進められているが、その整備に当たってはこれらの省庁の壁を超えた国としての統一的な枠組みを整備することが必要であり、その統一的な枠組みは犯罪防止の観点を十分に踏まえたものとしていくことが必要。 |
諸外国における暗号技術の不正利用対策に係る施策の動向<別添資料>
1 諸外国における施策の導入、検討状況
| 米国 | 連邦政府 1997年3月に認証機関及び鍵回復機関の登録制を定める法案が発表され、同年6月にほぼ同内容の法案(マッケイン・ケリー法案)が議会に提出されている等、登録制の導入に関する検討が進められている。州政府 認証機関の許認可等制度やデジタル署名の効力等について定める州法を整備した州は31州に上る。 |
| 英国 | 1997年3月にTTP(Trusted Third Party)(注)の許可制に関する法制案を発表、TTPの許可制度の導入に関する検討が進められている。 |
| ドイツ | 1997年7月に認証機関の免許制の導入等を内容とするデジタル署名法が成立、同年8月から施行されている。 |
| フランス | 1996年7月の電気通信法の改正により、秘匿目的での暗号技術の利用者に対する鍵回復機関への秘密鍵の預託を義務付け、鍵回復機関の承認制を導入している。 |
| その他 | その他マレーシアにおいて認証機関の許可制が導入されるなど、アジア諸国においてもこれら機関の規制の在り方に関する関心は高い。 |
(注)認証機関及び鍵回復機関又はその一方の役割を果たす機関2 主要国における暗号技術の不正利用対策の概要(注1) | 認証機関 | 鍵回復機関 | キーリカバリーシステムの利用の義務付け | その他 |
| 米国 | | - 登録制の導入を検討中。
- 政府機関の要請に対する鍵回復情報の回復の義務付けを検討中。
| | |
| 英国 | | - 許可制の導入を検討中。
- 政府機関の要請に対する秘密鍵の回復の義務付けを検討中。
| | - |
| フランス | - | - 承認制を導入。
- 政府機関の要請に対する秘密鍵等の回復の義務付け。
| - 秘匿目的での暗号技術の利用者に対する利用の義務付け。
| - |
| ドイツ | | - | - | - |
(注1)各国の対策は次の法律(法案)等に基づいて記載した。米国:マッケイン・ケリー法案
英国:TTPの許可制に関する法制案
フランス:電気通信法
ドイツ:デジタル署名法(注2)登録された鍵回復機関に秘密鍵等暗号文解読のための情報を預託することを、登録された認証機関による公開鍵証明証の発行を受ける要件とする。
目次へ警察庁ホームページへ