「電気通信システムに対する不正アクセス対策法制の在り方について」への意見

平成10年12月16日

証券コード協議会 殿

社団法人 情報サービス産業協会
会 長  三次 衛

「電気通信システムに対する不正アクセス対策法制の在り方について」への意見

I.総 論

1. インターネット社会の到来を迎え、不正アクセスはトラブルや犯罪発生原因・手段として脅威となっており、何らかの対策が必要であることは明らかである。
2. 不正アクセスが問題となるのは、利用者が不特定多数で、かつ多種多様な情報通信が行われるインターネット等のオープン・ネットワークにおいてが殆どであり、それが社会的・経済的に及ぼす影響が甚大であることから、そこに対象を絞った適切な対策を講じるべきである。従って、WAN(広域ネットワーク)であってもクローズド(閉鎖型)ネットワークは対象から除外してよいが、LAN(構内ネットワーク)は、ファイアウォールなどで外部ネットと隔絶されていたとしても、LANの構成要素となるサーバが他ネットからアクセス可能な状態にある場合がほとんどであり、対象に含めるべきである。
3. しかし、このようなインターネット等オープン・ネットワークだけを対象とするとしても、これらネットワークの歴史的背景を見ると、あくまでも民間主導の活力で今日の発展に至ったことを忘れてはならない。そこには「自己責任の原則」が貫かれており、このため、事業者・利用者が一体となって不正アクセスを規制するルール・基準を作り上げていくべきである。
4. そこで、今回の対策が不正アクセスを端緒とした犯罪の捜査を容易にすることを主眼として行われることは、この民間活力を削ぎ、今後のネットワークの発展に水を差すことにならないかという危険がある。従って、この危険をできるだけ回避し、民間イニシアティブとの相乗効果をあげるべく、各界の意見を集約して慎重に検討しなければならない。

II.各論

1.電気通信設備に対する「不正アクセス」行為の禁止について

(1) 不正アクセス行為を禁止することに異論はない。
(2) 次に、不正アクセス行為の内容として、「虚偽の情報又は不正の指令を与え、当該特定電気通信設備を不正に操作できるようにする行為」とあるが、この意味は、「不正に操作できるようにする行為」がその真意であり、「虚偽の情報又は不正の指令を与え」はその手段か。
更に、IDやパスワード等を盗む行為は、「不正に操作できるようにする行為」に該当するのか。
(3)

不正アクセス行為のうち、「当該特定電気通信設備と設置者を同じくする電気通信設備からの行為を除く」を除外した理由として、企業LAN等の同一構内における不正アクセス行為を対象外としたこととの均衡を図るため、とあるが、次の場合は、不正アクセス行為となるのか。

a. 企業LANのアクセス無権限者(部外者)が、ここでいう除外行為を行った場合(一般的には企業LANについても、アクセス制御機能を用い、何らかのアクセス制限を行っているので、このようなケースが発生するのは希かもしれないが)、ここに「自己責任の原則」を適用するとしても、企業内の問題として対処・解決できない場合も生じる。例えば、部外者(不正アクセスの意図を持った第三者を含む)が企業内のコンピュータから同一企業内の別の電気通信設備に不正アクセスした場合など。
2. 不正の意図を持った不正アクセス者が、セキュリティ・ホールを突いて企業LANに入り込み、そこから同一企業内の別のLANの電気通信設備に不正アクセスした場合、最終的には同一企業内の別のLANで不正アクセスが行われることになるが、カッコ内の除外行為に当たらず、セキュリティ・ホールを突いた時点で不正アクセスと見るのか。
3. 入口の電気通信設備がアクセス制御機能を備えておらず、又は、アクセス制御機能を備えていても偶然にも企業LANに侵入でき、別のLANの電気通信設備にアクセスした場合。
(4) 「違反者に罰則を設ける」とあるが、どのような罰則が考えられるか。この場合、違反者は、利用者(個人)であろうから刑事罰を予定しているのか。(事業者でないから、営業停止等の行政罰は無意味)とすれば、罪刑法定主義の考えから、罰則対象のとして行為の構成要件を明確にしなければならず、上記の疑問をクリアしておく必要がある。特に、(3)の問題は、行為形態によって不公平が生じる危険を孕んでいる。

なお、インターネットを介して、ここでいう不正アクセスが行われた場合、果たして犯人を突き止めることが可能か。インターネットの特性は、匿名性、無痕跡性、地理的・時間的無制限性等があるといわれ、例えば、海外からの不正アクセスについては、仮に犯人を突き止められたとしても、どのように罰するのか。

結局、この罰則の実効性は、果たして期待できるのだろうか。
(5) 結論的には、不正アクセス行為をどのような行為と規定するかが基本問題であるが、原案は解釈上多くの疑義が生じる。ここで、外部からの不正アクセスだけに限定するとしても、通常は、アクセス制御機能を有する特定電気通信設備へ入り込み、各種情報(データ等)の窃取や改竄などを行うことによって「虚偽の情報又は不正指令を与え」「不正に操作できるようにする」ことになるわけであり、このような行為はかなり高度な通信技術ないしソフトウェア技術がなければ実行できない。しかし、現実にはこれらの技術・ソフトや他人のID・パスワード等を開示・提供する者が存在しており、このような不正アクセスのための予備行為といえる行為を規制することから始めるべきであるので、次項の「ID・パスワード等の保護」の規定が先行すべきではないか。

2.ID・パスワード等の保護

(1) 結論的には、前項で述べた通り原案の趣旨に賛成であるが、以下の問題がある。
(2) 単に「他人のID・パスワード等をみだりに漏らす行為」としているが、(解説)の1に記述されたように「クラッキングソフト等を用いることにより、他人のID・パスワード等を取得した上、第三者に譲渡する」ことを正確に表現していないように思われる。つまり、前段の「クラッキングソフト等を用いることにより、他人のID・パスワード等を取得する」行為自体は、「みだりに漏らす」には該当しないと文言上解釈できる。
(3) しかし、事業用電気通信設備以外の電気通信設備でも、ID等をみだりに漏らされた場合に同程度の問題が生じるおそれがあるため、事業用電気通信設備に限定する必要はないと思われます。

3.利用者の個人情報の適切な取扱い

(1) 「電気通信事業者に対し、……個人情報を適切に取扱うべき義務を課す」ことは、賛成である。また、その取扱いについて郵政大臣が指針を定めること自体は問題ない。しかし、指針を定めるにあたり、民間事業者に原案を公開し、その意見を踏まえて現実的な指針とすることを要望したい。
(2) ただ、先ず、指針の性質・内容が問題である。従来、各省庁が民間事業者向けの個人情報保護ガイドラインを出しているが、これらは、あくまでも民間事業者の自主規制をサポートするためのものであり、法的拘束力を持たないのは事実である。しかし、ここでいう指針は、従来のガイドラインと違い、この指針に従わない場合「勧告」や「公表」ができるとなっているが、その根拠を電気通信事業法等の法律に置くとしても、このような行政措置の権限までを規定することができるのだろうか。
(3) 個人情報を適切に保護するためには、必要かつ十分な適正管理措置(セキュリティ対策)を講じることが殊のほか重要であることは言うまでもない。このため、指針には、適正管理措置の具体的内容が規定されることが予定されており、この考え方には賛成である。しかし、どのようなレベルを想定するかによって、事業者の負担が異なってくる。例えば、(解説)3で記されている通信履歴(ログ)を残すことは確かに有用であるが、一定期間、これを保存するとなると、当該保存量に見合うコンピュータ資源が必要となり、中小プロバイダーが果してこれに対応できるかの問題が生じる。
従って、結局は事業者の規模や事業実態等に合った適正管理措置を講じる(自主性に任せる)ことが現実的となり、指針の内容も細かな技術等のレベルまで規定できないことになると思われる。

4.その他の意見・要望

セキュリティ投資についての税制上の融合措置を検討頂きたい。

以上


  •  

このページの先頭へ▲