第2章 その他の情報セキュリティ施策の在り方
第2部第1章においては、数ある情報セキュリティ施策のうち、特に、暗号に関連する施策を採り上げ、その在り方について検討を進めてきた。
そこで、本章においては、暗号に関連する施策以外の情報セキュリティ施策について類型化した後に、各施策毎に、諸外国における動向を整理するとともに我が国における現状及び今後の見通しについて検討を進めていくこととする。
暗号に関連する施策以外の情報セキュリティ施策として通常挙げられるものは、次のとおりである。
そこで、以下、各施策毎に検討していくこととする。
なお、制度的な施策以前の問題として倫理上のフレームも考慮する必要がある。
すなわち、ネットワークのユーザー間においては、自主的ルールとして倫理規範であるネチケット(Netiquette : NetworkとEtiquetteを合成した単語)が守られるべきであるという考え方である。
例えば、1994年4月、その性質上、営業目的の利用が許されないユーズネット(USENET)*1上において、米国の弁護士事務所が広告活動を行った際には、時を経ずして数千通の批判的メッセージが送られた。そこで、当該事務所のネットワークへの接続を請け負っていたプロバイダーは、当該事務所とネットワークとの接続を断った上で当該弁護士事務所の「システムの無責任な使用」を批判し、更に事件に係る情報を掲載するインターネットサイトを設けたということである。*2
このように、ネチケットの意識が高いネットワークエリアにおいては、ネットワーク上での著作権侵害や名誉毀損を含む他人の権利の侵害やのぞき見、あるいはネットワークを濫用するメッセージをアップロードした場合には、システムオペレーターや他のユーザーから激しい非難と断固たる措置をとられる例がみられるとのことである。
*1 ユーズネット(=USENET)
UNIXマシンを電話回線でつなぐ非公式のコンピュータ・ネットワーク。米国を中心にボランティアによって運営されており、加入が自由なため世界的に広がっている。
*2 国際商事法務 VOL.24,No.6(1996)
ア いわゆるコンピュータ犯罪について
まず、従来から存在するコンピューター犯罪としては、例えば、次のようなものが挙げられる。
以下の表は、上記に示した従来から存在するコンピュータ犯罪の認知件数の推移を昭和61年から平成8年まで示したものである。
年 区 分 | 昭和 61年 | 62 | 63 | 平成 元年 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 昭和46年 ~ 平成8年の累計 | |
| コンピュータシステムの機能を阻害する犯罪 | コンピュータ本体又は付帯設備の損壊等 | 2 | 5 | 1 | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 14 |
| うち)過失・事故 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | |
| 磁気テープ、磁気ディスク又は光ディスクの損壊等 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | |
| うち)過失・事故 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | |
| データ又はプログラムの改ざん・消去 | 0 | 0 | 1 | 3 | 6 | 1 | 0 | 0 | 0 | 0 | 1 | 13 | |
| うち)過失・事故 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | |
| システムを不正に使用する犯罪 | ハードウエアの不正使用 | 1 | 1 | 0 | 0 | 1 | 0 | 0 | 0 | 1 | 0 | 0 | 7 |
| うち)悪戯 | 1 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2 | |
| データ又はプログラムの不正入手 | 1 | 2 | 1 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 12 | |
| データ又はプログラムの改ざん | 14
| 5 ( 2) | 8 ( 3) | 9 ( 5) | 6 (63) | 8 (52) | 12 (61) | 13 (79) | 11 (46) | 8 (160) | 9 (123) | 153 (594) | |
| 合 計 | 18
| 13 ( 2) | 11 ( 3) | 12 ( 5) | 14 (63) | 10 (52) | 12 (61) | 13 (79) | 12 (46) | 8 (160) | 10 (123) | 199 (594) | |
注:( )\内は、情を知らない係官をして、電磁的記録である公正証書の原本に不実の記録をさせる形態の犯罪発生件数を外数で示す。
いわゆるコンピュータ犯罪に関しては、OECDにおいても情報システムの安全対策として従来から取り組まれており、1986年の「コンピュータ犯罪-立法政策の分析」において、5つに類型化したコンピュータ犯罪に対する自国刑法の適用可能性について各国に検討するよう推奨している。
また、インターポール(International Criminal Police Organization : ICPO)においても、従来よりコンピュータ犯罪に係る議論が行われており、1995年10月に行われた総会においては、世界各国に対し、欧州並の犯罪対策を講ずべきことを求めている。
イ 諸外国における不正アクセス禁止に係る法制化の状況
このような国際社会の動きを受けて、1980年代後半に各国において刑法等の見直しが行われた結果、システムやデータの破壊・偽造、機能妨害等に対しては、多くの国において犯罪として位置付けられるようになっており、我が国においても、1987年の刑法改正により、電磁的記録ないし電子計算機に係る一定の犯罪行為が処罰の対象とされている。
しかし、ハッキング行為を始めとするコンピュータシステムやデータへの無権限者による不正なアクセスについては、多くの国において処罰の対象とされているにもかかわらず、我が国においては、それだけでは処罰の対象とされていない。
| 国(州)名 | 不正アクセスを禁止する法律名 | 制度の概要 | ||
| 米 国 | 連邦政府 | 連邦法(1986年改正) | ○単なる不正アクセスを処罰 | |
| 州 政 府 | カリフォルニア州 フロリダ州 アリゾナ州 | カリフォルニア刑法典 (1984年改正) フロリダ州法 (1978年改正) アリゾナ州法 (1978年改正) | ○単なる不正アクセスを処罰 | |
| バージニア州 | バージニア州法 (1984年改正) | ○一定の意図によるコンピュータの不正使用を処罰 | ||
| テキサス州 ニューヨーク州 | テキサス州法 (1985年改正) ニューヨーク州法 (1986年改正) | ○安全対策の侵害を要件として不正アクセスを処罰 | ||
| 英 国 | コンピュータ不正使用法 (1990年制定) | ○単なる不正アクセスを処罰 | ||
| フランス | 情報処理関連不正行為に関する1988年法 | ○単なる不正アクセスのほか、不正にコンピュータ・システムの中に留まること及びこれらの未遂、予備、共謀加担を処罰 | ||
| ドイツ | 旧西ドイツ刑法 (1986年改正) | ○安全対策の侵害を要件として不正アクセスによるデータの探知を処罰 | ||
| 不正競争防止法 (1986年改正) | ○営利・加害等一定の目的で営業上の秘密を不正に入手・利用・漏示等する行為及びその未遂を処罰(入手とは、内容を知ることまで必要としないため、目的があれば単なる不正アクセスも処罰の対象となり得る。)。 | |||
| カナダ | カナダ刑法 (1984年改正) | ○単なる不正アクセスを処罰 | ||
| スイス | なし | ― | ||
| 日 本 | なし | ― | ||
無権限者によるコンピュータ・システムやデータへの不正アクセスは、盗聴や漏洩等のネットワーク上の不正行為につながる行為であるとともに、特に、他人のIDやパスワードを用いて他人になりすましてコンピュータ・システムに侵入した場合には、それを手段として、様々な犯罪や不正行為が容易に行われるおそれがあることからすれば、我が国においても、単なる不正アクセス自体を禁止する法制度の策定に向けて検討することが緊急の課題となっているとの見方が強い。
(2)インターネット上の不正・有害情報の流通を防止するための施策
最近特に、オープンネットワークにおける不正行為の一類型として懸念されているのが、インターネットを悪用して行われる知的所有権の侵害やわいせつ図画の頒布・販売等の行為である。
特に、インターネット上におけるわいせつな情報の流通については、青少年に与える影響の重大性に鑑み、法制的な対処に向けての動きが少なからずみられる。
しかし、一方において、表現の自由への侵害を懸念する声もあり、現在、様々な場において議論が展開されている。
インターネット上の不正・有害情報の流通を防止するための施策については、大きくインターネットプロバイダーの管理・規制に係る施策とそれ以外の施策に分類することができる。
そこで、まず、国際社会における議論の動向を概観した後、インターネットプロバイダーの管理・規制に係る施策について、諸外国における議論の動向及び我が国の現状と今後の見通しに係る検討を進め、次にそれ以外の施策について同様に検討を進めていくこととする。
ア 国際社会における議論の動向
このような、いわゆるインターネットの悪用防止に係る施策については、国際的にも、プライバシー保護との関連も含めて議論されるようになっている。
(ア)リヨンサミット
1996年6月に開催されたリヨンサミットにおいて発表された議長声明には、「我々は、世界規模のコミュニケーション・ネットワークにより惹起される倫理上ないし犯罪上の問題について検討する用意がある。」との表現がみられる。
(イ) OECD(経済開発協力機構)
OECDにおいては、1996年2月のICCP(情報・コンピュータ・通信政策委員会)のキャンベラでの会合において、インターネットのルール化に関する国際的ガイドライン策定の必要性についての議論がなされ、また、同年10月には、インターネット上のわいせつ画像の制限や知的所有権の保護などを目的とする「インターネット憲章」の策定の提案がフランスからなされるなど、いくつかの動きがみられていたところ、1997年2月のOECD理事会において、インターネット上の有害情報を制限する国際ルール策定に向け、一年程かけて検討する旨が決定された。
(ウ) EU(欧州連合)
1996年11月に開催されたEUの電気通信相理事会においては、「インターネット上での違法・有害なコンテントに関する特別作業班報告書」に基づき、インターネットに関する決議が採択されている。
同決議の概略は、次のとおりである。
また、国際協力の必要性についても強調している。
*1 PICS (Platform for Internet Content Selection)
インターネット上の情報のフィルタリング用のソフトウエアの統一規格。1996年5月にワールドワイドウエブ・コンソーシアムが発表。非営利団体により、暴力・裸体・性・言語の4つの視点から点数化して格付けされる情報について、受信者側において受信を選択・拒絶できるシステムとなっている。
イ インターネットプロバイダーの管理・規制に係る施策
(ア)諸外国における施策の概要と動向
インターネットプロバイダーの管理・規制は、インターネット上の不正・有害情報の流通を防止するための施策として有力視されている。
この点につき、諸外国においては、次に述べるように、インターネットプロバイダーを各国の電気通信法等における電気通信事業者であると認め、許可取得を義務付けるとともに、守秘義務や刑事手続ないし行政手続上の情報提供義務を課している例が少なくない。
また、シンガポールのように、インターネット上での不正・有害情報の流通を規制する目的でインターネットプロバイダーの登録制を導入した例もあれば、ドイツのように、インターネットプロバイダー等の責任について規定する法律案の制定に向けた動きもみられる。
a 米国
米国においては、AT&Tといった自ら通信インフラを持つ企業、自ら商用ネットワーク等のネットワークを主催する企業等の電気通信事業者が、併せてインターネットプロバイダーとしてのサービスを提供している例が少なくなく、その場合には、電気通信事業者としての義務が課せられることとなる。
しかし、60,000を超えるとも言われる単なるインターネットプロバイダー(=既成の通信インフラを利用して接続サービスを行うに過ぎない者)については、現在、何らの規制も課せられていないため、情報発信者の特定が困難となるなどの問題点が指摘されている。
b 英国
英国においては、インターネットプロバイダーは、電気通信法に基づき、電気通信事業者として許可を受けなければならないこととされており、一般的守秘義務を負うほか、裁判所の令状発布を条件として情報を提供する義務が課せられている。
ただし、令状を伴わない情報提供要請の場合であっても、非協力的な事業者については、従犯(accessory to crime)とみなされる場合があり、また、有罪判決を受けた事業者は、電気通信事業者としての欠格事由に該当することとなる結果、許可が取り消される可能性があるため、このような情報提供要請についても、事実上の強制力を持っているとの見方もある。
c フランス
(a) 電気通信法に基づく規制
フランスにおいては、インターネットプロバイダーは、電気通信法上、電気通信事業者として電気通信担当大臣の許可を受けなければならないこととされている(第33の1条)。
そして、通信の秘密を遵守する義務を負う(第32の3条)。
また、刑事訴訟法典に基づく手続によるほか、電気通信担当大臣により授権を受け、又は、政令の規定により宣誓した電気通信担当行政機関・電気通信規制機関・周波数庁は、電気通信事業者に対し、郵便電気通信法又は同法規則に基づいて、必要な情報の提供又は資料の提出を求めることができることとされている(第32の3条、第40条)。
(b) 通信の自由に関する法律改正案違憲判決を巡る経緯
1996年6月に国会を通過し、7月に官報において公布された電気通信規制に関する1996年法律第96号~659号は、通信の自由に関する1986年法律について、その第43条に「第43条の2」及び「第43条の3」を加えるという形で改正する条項を含んでいた。
そして、その内容は、ユーザーへの情報選択・拒絶のための技術的手段の提供義務を始めとするインターネットプロバイダーの義務・免責等について定めたものとなっていた。
関係する条文の主な内容は、次のとおりである。
この法律案に対し、1996年7月、憲法評議会は、次のような理由により違憲の決定を下した。
このように、結果的には、フランスにおいてインターネットプロバイダー規制の法律案が違憲とされたが、行政機関への白地的な権限委任を問題としたのであり、インターネットプロバイダーに対する規制自体を違憲としたものではないことに留意する必要がある。
dドイツ
ドイツにおいては、インターネットプロバイダーは、1996年7月に制定された電気通信法に基づき、電気通信事業者として郵政電気通信監督官庁から認可を受けなければならないこととされている。
同法においては、電気通信事業者は、電気通信上の秘密保持義務やデータ保護のための技術的な保護措置義務に加えて、電話番号や住所氏名等の顧客データをデータベースとして維持管理しなければならないことや、これらのデータについて、業者に認識させずに司法当局がアクセスできる環境を確保しなければならないことが規定されている。
また、郵政電気通信監督官庁及び安全保障官庁(裁判所・検察庁・警察等)は、電気通信事業者への通知なしに、当該電気通信事業者の有する顧客データを呼び出すことができることとされている。
さらに、電気通信事業者は、顧客の承認を条件として、顧客に関するデータの収集・処理・利用を行うことができることが規定されているほか、犯罪の未然の防止又は犯罪捜査のために必要であれば、顧客への通知を行わずに当局に対してデータを開示しなければならないこととされている。
e シンガポール
シンガポールにおいては、1996年7月に、インターネットプロバイダーや一部の情報発信者に係る免許制度の導入及び「流入を許すべきでない情報」に係るコンテント・ガイドラインが発表されている。
その規制の概要は、次のとおりである。
次に掲げる者は、放送管理局から免許を取得しなければならない。
「流入を許すべきでない情報」に係るコンテント・ガイドラインにおいて、次の3つの分野に分けて計11項目を規定。
いかなる情報を規制の対象とすべきかについて検討を行うための学識経験者等から構成される評議会を設置。
(イ)日本における現状と今後の動向
わが国においては、インターネットプロバイダーは、電気通信設備の設置の態様、規模又は海外との通信のための設備使用の有無により、電気通信事業法上の第一種電気通信事業者、特別第二種電気通信事業者又は一般第二種電気通信事業者として、同法の規制の下におかれている(同法第6条、第21条)。
具体的には、第一種電気通信事業者とされる場合にあっては郵政大臣の許可を受けなければならないこととされており、特別第二種電気通信事業者とされる場合にあっては郵政大臣の登録を受けなければならないこととされており、一般第二種電気通信事業者とされる場合にあっては郵政大臣に届け出なければならないこととされている(同法第9条第22条、第24条)*1。
そして、電気通信事業者がその取扱いに係る通信の秘密を犯した場合には、通常よりも重く処罰されることと規定されている。
しかし、インターネット上での不正・有害情報の通信を防止するための措置等に関する規定は存在しない。
この点につき、インターネットプロバイダーが負うべき責任について、現在、様々な議論が行われつつあり、例えば、不法な情報の存在を知りながら一定期間放置した場合、
等の見解もみられるところである。
現在のインターネット上での情報の氾濫状況及び国際的な動向に鑑みれば、我が国においても、インターネットプロバイダーが守るべきルールの定立の必要性、その内容、ルールの性格等について早急にコンセンサスを形成する必要があるとの意見が有力である。
*1 1997年2月現在におけるインターネットプロバイダーの下図は1,538業者であり、その内訳は、第1種電気通信事業者が4業者、一般第2種電気通信事業者が29業者、特別第2種電気通信事業者が1,505業者となっている。
ウ イ以外の不正・有害情報の流通を防止するための施策
(ア)諸外国における動向
a米国
(a) 通信品位法に係る訴訟の概要
米国においては、1996年2月に、1996年電気通信法第502条による1934年通信法の改正という形で通信品位法(Communication Decency Act:CDA)が定められた。
同法223条においては、「下品な(indecent)」又は「明白に不快な(Patently Offensive)」情報を含む一定の情報について、ネットワーク上における未成年の目に触れる形での発信を禁止する旨が規定されていた。
そこで、人権団体等が「「下品な」及び「明白に不快な」という文言は曖昧であり、合衆国憲法の保障する言論の自由を侵害する」としてフィラデルフィア連邦地裁に提訴したところ、1996年6月に同地裁は、「当該文言では、規制の対象となる情報の範囲が不明確であり、憲法により保障されるべき表現についても過度の規制が行われるおそれがある」として、同条項の執行を差し止める決定を下した。
なお、米国判例法上、「わいせつな(Obcene)」表現は、憲法により保護されないとされており、通信品位法における「わいせつな」表現の規制の部分についても、これまで他のメディアでも認められてきた規制を立法化したものであるため、インターネットについて表現の自由を狭めたものとはいえないとされている。
そのため、今回の訴訟においても、「わいせつな」情報に対する規制の部分については、そもそも原告が争っていないことに留意する必要がある。
(b) フィルタリング用のソフトウェアの開発
米国においては、フィルタリング用のソフトウェアの研究・開発の動きが活発である。
特に最近では、フィルタリング用のソフトウェアの研究・開発を手がける複数の企業がコンソーシアムを形成して、汎用性のある統一的な技術規格の構築を進めている。この統一規格の名称が前述のPICSである。
これにより、当該技術規格に準拠して作成されたフィルタリング用のソフトウェアである限り、発信者側において格付けがなされた情報について、受信者側で選択して受信を拒絶することが可能となる。
b 英国
英国においては、民間における自主規制としての動きがみられる。
例えば、1996年9月には、インターネット・サービス・プロバイダー協会(Internet Service Provider Association)、ロンドン・インターネット・エクスチェンジ(London Internet Exchange)及びセイフティネット財団(Safety-Net Foundation)の3者が共同して、業界サイドにおいてインターネット上の情報を自主的に規律するためのガイドラインであるR3セイフティネットを発表した。
c フランス
フランスにおいては、1996年4月に郵政・電気通信大臣がEU電気通信担当大臣非公式会議においてインターネット上での行為に関する規制についての国際条約作りについて提案するなど、早くからインターネット上の行為に関する横断的なルール策定の必要性に対する認識が強いところである。
そして、1996年10月には、OECD(経済協力開発機構)の全加盟国に対し、インターネット上のわいせつ画像の制限や知的所有権の保護などを目的とする「インターネット憲章」の作成を提案した。
これについては、国際条約の形態を採ると拘束力が比較的強いため、逆に合意形成に至らないおそれがあることから、一般原則としての憲章の作成の形を採り、具体的な法制的枠組みの在り方については各国の判断に委ねる意向からの提案とみられている。
しかし、現実に「インターネット憲章」が作成された場合には、それが契機となり、各国における法制度の整備の促進につながるとの見方も強い。
d ドイツ
ドイツにおいては、1996年12月に、ネットワーク上でのプライバシー保護やわいせつな表現行為の規制に関する規定を盛り込んだ「情報通信サービスの枠組みの規制に関する法律案(通称:マルチメディア法案)」を議会へ提出することが、コール内閣により決定されている。
同法案は、1997年夏の施行を目指しているとのことであるが、これに対しては、産業界、人権団体を始め、各州政府との意見調整が難航するとの見方が強い。
e シンガポール
シンガポールにおいては、前述の1996年7月に発表されたインターネットプロバイダー等に係る免許制度及びコンテント・ガイドラインにおいて、インターネットプロバイダーは、プロキシーサーバーという予め指定されたホームページへの接続を拒絶する機能を有するコンピュータを設置しなければならないこととされており、これにより、国民は、一定のホームページへのアクセスを禁止されることとなる。
このような規制に対しては、選択の自由は国民に委ねるべきであるとの意見もある。
(イ)日本における現状と今後の動向
我が国においても、インターネット上の不正・有害情報の流通防止対策の必要性に対する認識が高まりつつある。
例えば、通産省においては、パソコン通信事業者により構成される電子ネットワーク協議会と共同で、予め指定した特定のカテゴリーの情報の受信を拒絶できる情報自動遮断システム(=フィルタリング・システム)を開発し、1997年4月から実証実験を開始することとしている。
青少年に有害な影響を及ぼすおそれのある情報の規制を始めとして、インターネット上での情報流通に係るルール定立については、表現の自由の尊重にも十分に配慮しつつ、積極的な議論を推進していくべきとの意見が有力である。
(3)電子マネー等の電子決済に関連する犯罪への対策
ア 対策の分類とビジネスペースでの活用概況
電子商取引に関連する犯罪への対策としては、これまで述べてきたオープンネットワーク上の不正行為への一般的な対策の活用(デジタル署名の活用等による本人確認手続の徹底、取引関連情報の暗号化等)のほか、電子決済の場面における犯罪への特有な対策として考えられるもの及び各対策のビジネスベースでの活用例は、次のとおりである。
<例>モンデックス*1
カード型電子マネー*2において、カードに充填できるキャッシュバリューの上限を定める。
<例>ゲルトカルテ*3
ユーザーの利用金額と残高を定期的に点検する。
<例>ビザキャッシュ*4
ICカード型電子マネーにおいて、全てのキャッシュバリューの出入記録を保存しておく。
<例>eキャッシュ*5
ネットワーク型電子マネーにおいて、電子的価値にシリアルナンバーを付与する。
なお、取引関連情報の漏洩・盗聴対策としては、いわば、暗号化の前段階の方法として、一定の個人情報(クレジットカード番号等)のオンライン送信の禁止(=オフライン(電話・FAX等)送信のルール化)等が行われている。
<例>ファーストバーチャル*6
*1 モンデックス(MONDEX)
1993年に英国のナショナル・ウエストミンスター銀行とミッドランド銀行の共同出資で設立。イギリスのスウィンドン市等において実用化実験を実施中。
*2 カード型電子マネー
電子マネーは、大きくカード型とネットワーク型とに分類することができる。
カード型とは、カード(ICカード等)に電子的データとしてキャッシュバリューを充填し、ネットワーク上であるか否かに関わらず、そのカードを用いて決済を行う方式である。
一方、ネットワーク型とは、ICカードを介在させることなく、ネットワーク上での電子的価値の交換のみにより決済を行う方式である。
*3 ゲルトカルテ
金融業界連合会中央信用委員会(ZKA)の主催により、ドイツにおける全ての商業銀行(日本の普通銀行に相当)と貯蓄金庫(日本の信用金庫に相当)等が参加して実施しているICカード型電子マネープロジェクト。
既存のユーロチェックカード等に電子財布機能を装着。1997年末までに全国的に普及させる見通し。最終カード総数5,500万枚を予定。
*4 ビザキャッシュ
ビザインターナショナルにおいて開発したカード型電子マネー。ビザインターナショナルでは、都銀5行、クレジットカード会社5社と共同で、1998年6月から東京・渋谷地区において電子マネーの実験を実施する予定。予定発行枚数は約10万枚
*5 eキャッシュ
オランダの企業であるデジキャッシュ社が研究開発している電子マネー。オランダ・アムステルダムを本拠、アメリカ・ニューヨーク、オーストラリア・シドニーを拠点として、1994年10月からサービス開始。
デジキャッシュ社は、暗号理論の専門家であるデビッド・チャウム氏により1990年に設立。
*6 ファーストバーチャル(=First Virtual)
ファーストバーチャル・ホールディングスによって1994年5月よりスタートした世界初のインターネット上の決済システム。クレジットカードを利用した決済サービス。
イ 国際的な動向
まず、FATF*1においては、1996年6月に改訂された「40の勧告」の中で、電子マネー等の新たな金融技術について注意を払うべき旨と必要な措置を執るべき旨を新たに盛り込み、電子決済・電子マネー等の新しい支払技術がマネーロンダリングにおける新たなリスクとなる可能性が指摘された。
この指摘を受けて1996年11月には、パリのOECD本部において、決済手段のタイプ分析等を行う部会であるタイポロジー会合が開催された。
さらに、1997年2月には、犯罪組織によるマネーロンダリングの最新の動向に関する報告書が発表され、そこでは、
を強調している。
その他、国際決済銀行(BIS)のまとめた電子マネーに関するレポート*2においても、金融システムとしての安全性の観点から、電子マネーの発行主体の制限や、利用限度額の設定等の必要性について言及している。
*1 FATF(Financial Action Task Force on Money Laundering : 資金洗浄に関する金融活動作業部会)
1989年のアルシュ・サミットにおけるマネーロンダリングの防止に係る決意表明を受けて設置。OECD加盟国を中心とした26カ国及び2つの国際機関(ヨーロッパ委員会・湾岸協力理事官)により構成。日本政府からは、外務省、大蔵省、警察庁、法務省が参加。1990年4月に公表した「マネーロンダリングに関する金融活動作業部会報告」において、麻薬資金洗浄の刑事犯罪化、国際協力の推進等を含む40の勧告を行っており、この度、制定以来初めて勧告の改定が行われたもの。
*2 BIS(1996):Security of Electoronic Money
ウ 我が国における議論の動向
従来、我が国においては、基本的に各企業等のビジネスベースでの問題であるという考え方が支配的であったことは否めず、法制度的に整備しようという動きは、あまりみられなかった。
しかしながら、例えば、電子マネーの上限設定について、完全に市場原理に委ねてしまった場合には、上限が設定されていないシステムがシェアを伸ばす可能性があり、その場合には、マネーロンダリングが極めて容易に行われる事態ともなりかねない。
このような点に照らし、電子商取引環境下における何らかの統一的枠組みの在り方を検討することが必要であるとする意見も少なからず主張されている。
また、特にマネーロンダリングに関しては、FATFにおける議論の方向性に留意しつつ、有効な偽造防止策が施され、かつ、トレイサビリティが可能な限り確保された制度となることが望まれる。
(4)セキュリティ評価基準の策定
情報システムのセキュリティ機能の客観的評価とその評価尺度として用いられるコンピュータシステムのセキュリティ評価基準については、現在、国際的にいくつかの取組が行われている。
例えば、システムの相互接続に伴う国際協調の必要性から、1991年には、ECにおいてITSEC*1が策定されている。
また、その後、ITSECと米国・カナダのセキュリティ評価基準を統合するCC*2の作成が進められ、1996年2月に公表されている。
これを受けて、我が国においてもセキュリティ評価基準策定に係る検討が進められているところである。
このセキュリティ評価基準は、認証機関が満たすべき要件と密接に関連すると考えられるものであることに鑑みれば、今後は、周知性を高めつつ、さらに横断的な議論を展開していくことが望まれるところである。
*1 ITSEC(Information Technology Security Ebaluation Criteria)
EC各国におけるセキュリティ評価基準を統合化したもの。機密性、完全性、可用性を要求するとともに、昨日用件、保証用件等をその内容とするもの。
*2 CC(Common Criteria)
特定のセキュリティ要件を強制する性格のものではなく、Protection Profileという適応領域又はシステム毎のセキュリティ要件の作成を予定しているもの。