サイバーセキュリティ対策④:セキュリティ研究者・技術者の法的保護
更新日:
「サイバー攻撃への防御を固めること」「サイバー空間の動きを把握すること」「サイバー攻撃を牽制・抑制すること」を通じて、国民の生命と暮らしを守り抜き、経済社会活動の安定性・持続性を確保する為には、政府が「技術革新に後れを取らない法制度整備」に果敢に取り組むことが必要です。
今日は、「セキュリティ研究者・技術者の法的保護」について書きます。
一昨年11月に自由民主党サイバーセキュリティ対策本部長に就任して以来、セキュリティ研究者・技術者の方々からご意見を伺う機会が多々ありました。
多くのセキュリティ研究者・技術者が、攻撃者の特定・推定に繋がる解析や、その結果の公表が、『刑法』のウイルス作成罪・ウイルス保管罪(不正指令電磁的記録に関する罪)や『個人情報保護法』に抵触するかもしれないと懸念している現状でした。
これを放置しては、日本のセキュリティ技術・対策の進展が阻害されかねません。
この点について、自由民主党サイバーセキュリティ対策本部から政府に対して、次のような提言を行いました。
第1に、『個人情報保護法』等に抵触しない手法の検討です。
ダークウェブでは、違法に取得された個人情報や企業の営業秘密情報が、暗号資産を用いて取引されています。
これを入手すれば、個人情報の場合は、「不正な取得」 (民間人であれば、『個人情報保護法』第17条違反の可能性がある。行政機関の場合は、『行政機関個人情報保護法』は想定外であり、違法となる)に該当する可能性があります。
営業秘密情報の場合は、「不正競争行為」(『不正競争防止法』第2条1項5号)に該当する可能性があります。
このような懸念を払拭するべく、例えば、「研究方法を国が認定した場合に限り、セキュリティ技術者を免責する」など、対象となる「セキュリティ技術者」や「情報の範囲」について検討を進めるとともに、有効な手当てを講ずるべきだと考えます。
第2に、『改正著作権法』に係る『ガイドライン』の整備と周知です。
2019年1月1日に施行された『改正著作権法』によって、いわゆる非享受目的の利用に係る権利制限規定(第30条の4)が創設されたことに伴い、「リバースエンジニアリングを行うこと」「解析やその訓練のために必要なプログラム等を保全し、コピーを作成すること」「セキュリティ上の調査のためのデバッグ等の解析」なども著作権違反にならないこととなりました。
しかし、一般的には知られていませんでしたので、これらを明確化するよう、『ガイドライン』を整備し、周知するべきだと提言しました。
第3に、『刑法』第168条の2第1項に係る『ガイドライン』の整備です。
『刑法』第168条の2第1項の「不正指令電磁的記録作成等罪」において、「ウイルスに関する研究や業務としてウイルスを扱う者」を、明確に除外する必要があります。
法務省によりますと、不正指令電磁的記録作成等罪(刑法第168条の2)については、「実行の用に供する目的」や「正当な理由がない」ものであることが要求されており、個々の具体的事案にはよるものの、ウイルス対策ソフトの開発試験等を行う場合等においては、それらの行為が上記の要件を満たさないのであれば、処罰の対象とされないそうです。
また、対象となる電磁的記録は、「反意図性」「不正性」を要求されているところでもあり、現行法において適切に対処されているということでした。
しかし、これらの法務省の見解も、私がお目にかかったセキュリティ技術者の皆様には理解されていませんでしたし、ウイルス(不正指令電磁的記録)は日々進化し続けますから、その該当性が不明確で、「反意図性」や「不正性」の有無が判断できないが場合あるということでした。
よって、早急に『ウイルスの取扱いを定めたガイドライン』の整備を行い、セキュリティ研究者・技術者の皆様に広く周知することが必要だと考えます。
第4に、『不正アクセス禁止法』の内容に係る周知です。
セキュリティ研究者からは、『不正アクセス禁止法』が研究開発の妨げになるという指摘がありました。
しかし、警察庁によりますと、同法が関係し得る研究開発として、「アクセス制御機能を持つサーバに擬似攻撃を行い、脆弱性を探知するもの」が考えられるが、このようなテストは一般的に「アクセス管理者からの依頼」に基づき実施するものであり、アクセス管理者からの許可なしに行うことはなく、同法が研究開発の妨げとなることは想定されないということでした。
これも、セキュリティ研究者の皆様に対し、同法の内容について周知を行うべき案件です。
法改正をしなくても改善できる点が多いことから、政府には、きめ細やかな対応をお願いしたいと存じます。