警察庁 不正アクセス対策法案に関する意見書

平成10年12月16日

証券コード協議会 殿

社団法人 情報サービス産業協会
会 長  三次 衛

警察庁 不正アクセス対策法案に関する意見書

I.総 論

1.最小限の規制

不正アクセス防止対策は、高度情報化社会における自由な情報流通の確保を前提として考えなければならない。また、ネットワーク社会が民間主導の活力で今日の発展に至ったことも忘れてはならない。従って、不正アクセス防止対策は「自己責任の原則」に従って、各自が行うべきものであり、法規制は最小限に止めるのが原則である。

不正アクセス対策としては、不正アクセスを違法とし、まずは抑止的効果を図ることが重要である。従って、実効性の確保等を理由として、必要以上に規制を課すべきではない。例えば、不正アクセスがあったことの届出義務、ログ保存義務などを規定するのであれば、そうした義務を課すことでどのような犯罪抑止効果ないし社会的利益があるのか、より具体的に論証する必要がある。パブリック・コメントの募集で示された内容ではその必要性が十分に示されているとは言い難い。


2.段階的規制

多くの被害事例を想定し、それを全て処罰範囲に取り込むという発想ではなく、現段階でもっとも典型的、中心的な被害事例を基礎に処罰範囲を考えるべきである。

今後の不正アクセスによる被害実態と本法案の運用状況を見ながら、処罰範囲を拡大すべきかどうか、また、不正アクセスの届出義務やログ保存義務を課すべきかなど再度議論すればよく、罰則の導入においては、謙抑的、段階的に対応することが望ましい。


3.関係資料の公表、議論の継続

不正アクセスの技術的手段ないし方法及びその防止策、さらには不正アクセスをとりまく環境は、今後著しく変化していくものと予想される。従って、本法案の立法化を基礎付ける社会的な事実関係(被害実態)を常に監視し、統計資料はもとより事例などを広く公開し、改正のための議論を継続する必要がある。


4.保護法益の明示

不正アクセスの禁止、ID屋の禁止等各条項の保護法益を明確に示すべきである。


II.各 論

1.「不正アクセス」の処罰規定

「不正アクセス」行為を処罰することについては、原則として賛成である。

(1)「不正アクセス」の定義の明確化

「不正アクセス」の定義については、社会的コンセンサスが形成されているとは言い難い状況にあるので、法律により、「不正アクセス」の概念が明確になり、かつ、違法な行為であることの認識が社会に浸透することは望ましいことであると思われる。

「アクセス・コントロール」の内容についても明確にすることが必要である。

(2)処罰範囲の限定

処罰範囲を考えるにあたっては、対象となる設備の範囲をある程度明確にする必要がある。コンピュータシステムに限定するか、電気通信設備(回線へのタッピングを含むか)、コンピュータ内のデータファイルに限定するか、広く建物等も含むとするかを検討し、必要性の高いものに限定するべきである。


2.ログ保存について

(1) ログ保存の必要性について

ログが保存されることにより、違法行為の痕跡が残る可能性が高くなるものの、「なりすまし」等では違法行為の痕跡にすらならず、犯罪の抑止効果を生むとは必ずしもいえない。また、いたずら程度は別として悪質なものになればなるほど、ハッキングする者がログを消去したり、電磁記録を破壊する可能性も高くなるため、捜査に有用な情報が残るかどうかは疑問である。

しかし、違法行為の痕跡が記録されていた場合には、証拠保全の目的で、犯罪が行われたことを知った時点で消去しないようMT等の媒体に保管することは現実的だと思われる。

(2)ログ保存の義務化について

犯罪捜査の目的のためだけに、広範囲の事業者に一律にしかも常時ログ保存を義務づけることは過剰な規制であると思われる。

また、ログを保存するについても、何のログを取るのかという問題があるほか、法律で規定した内容が、技術革新によって陳腐化し実効性がなくなる可能性も高く、事業者にとっても必要以上の負担となる可能性がある。

(3)対応策

原則として各事業者の対応に委ねるとともに業界の対応を促すことからはじめるべきである。

商用プロバイダにとっては、自社のシステムのセキュリティ・レベルはサービスの品質という差別化要素の一つであり、必要があれば、自発的にログ保存を行うものと思われる。民間の健全な発展を促すという観点からは、まず、業界団体等を通じたガイドラインの策定など民間ベースの対応を誘導すべきである。そうした試みを実施してもなお、犯罪捜査に支障を来す事実があるのであれば、その時点でログ保存を義務付けることを検討することで足りるものと思われる。


3.届出義務について

不要である。そうした義務を課すことでどのような犯罪抑止効果ないし社会的利益があるのか明確ではない。そうした情報をいかに活用し犯罪の抑止を図るのか、具体性に乏しい。規制の最小化の考え方からは、罰則規定の有無に関わらず、規定の導入には反対である。


4.IDやパスワードの売買等の禁止について

ID屋の販売行為に対しては、不正アクセスのターゲットとされたシステムの管理者が自助努力で対応することは困難であり、処罰の対象とする必要がある。


5.クラッキング技術の提供の禁止について

何をクラッキング技術とするのかが困難であり、慎重な検討が必要である。クラッキング技術そのものは、システムセキュリティの検証にも用いられるもので、使用目的によって変わってくる中立的なものである。また、クラッキング技術に対しては、システムセキュリティの向上により対応することもできるため、規制の必要性は相対的に小さい。特に、クラッキング技術を開発し公開するような行為については、匿名性が高く、処罰するものとしても実効性に疑問があり、かつ、クラッキング技術が使われたときに対応することができることを考慮すべきである。


6.その他の意見・要望

(1)業務に支障のない捜査方法の確立

不正アクセスを受けたシステムについて捜査が行われるときに、システムの機器等のリソース一切を差し押さえられると業務に支障が生じかねない。従って、ログデータを媒体にコピーしても証拠として認められるようにするなど、業務の支障が最小限に止まるような捜査方法を確立して頂きたい。

(2)被害者(事業者)名非公表の徹底

取り扱うデータ内容に即して相当と認められるセキュリティ対応をしていた場合には、被害者(事業者)名を公表しないように十分な配慮をお願いしたい。

事業者名等がマスコミなどを通じ公表されることになれば、被害者(事業者)は顧客の信用を失なうなど、不正アクセスによる直接の被害に重ねて経営上の損失を被ることになる。また、場合によっては不正アクセスによる直接の被害を上回ることもあり、警察への通報を躊躇する事業者も現われる可能性がある。この点は、犯罪抑止の観点からも問題であろう。

(3)国の技術開発支援

政府が不正アクセス防止のための技術開発を率先して行う必要がある。特に、暗号化技術については、米国の技術を使わざるをえない現状にあり、こうした事態を打開すべく、早急に日本独自の技術を開発する必要がある。

(4)情報提供の実施・意見交換の実施

警察庁は、関連団体等を通じて、運用面での犯罪、不正の防止のために必要な方法についての情報提供を積極的に行うべきである(例えば、現在JPCERTが行っているような、不正アクセスの手法等に関する情報提供など)。

また、情報産業界との意見交換の機会を設けるなど連携・協力の体制を構築すべきである。

(5)無線を利用したネットワークへの対応

無線を利用したネットワークについても検討の視野に入れる必要がある。

(6)国境を跨いだ犯罪行為への対応

海外サーバを使用した不正アクセスの追跡方法、外国からの不正アクセスについての対応等についても検討が必要である。


以上


  •  

このページの先頭へ▲