「情報処理の高度化等に対処するための刑法等の一部を改正する法律」(いわゆる「サイバー刑法」)が施行され、1年が経ちました。今月は、日本のサイバー犯罪に対する法律についてお話したいと思います。
サイバー刑法ができるまで
日本では、このサイバー刑法ができるまで、コンピュータウイルスの作成や頒布を直接的に禁止する法律がありませんでした。とはいえ、すべてのウイルス作者が罪に問われなかったというわけではなく、別の法律により取り締まるケースもありました。たとえば、スパイウェアでオンラインバンクのアカウントとパスワードを盗みだし、それが使われた場合は不正アクセス禁止法で対処できますし、データを破壊するようなトロイの木馬の場合は、法人が対象であれば業務妨害、個人が対象であれば器物損壊罪などを適用して対処することが可能と考えられます。
実際に、2008年にP2PソフトであるWinnyやShareのネットワークを通じて拡散された通称「原田ウイルス」と呼ばれるマルウェアの作者は、そのマルウェアが有名アニメの画像を表示するために著作権法違反の疑いで逮捕されました。同作者が2010年に通称「イカタコウイルス」を作成して頒布した際には、マルウェアがユーザーデータを破壊することから、器物損壊罪の疑いで逮捕されています。また、いずれも逮捕されただけでなく、裁判で有罪判決が出ています。
しかし、こういった方法で対処可能なのはあくまでも一部に過ぎません。P2Pネットワークで拡散されたマルウェアで一時期大きな問題になった、ユーザーの情報をインターネット上にばら撒くようなマルウェアを禁止することは、既存の法律では難しいと考えられます。他にも、ユーザーに実害を与えないような、感染活動を広げるだけのワームであったとしても、感染活動が激しくなった場合、ネットワーク帯域の圧迫という公共的な観点から望ましくない状況が発生し得ると考えられます。
マルウェアにより多数の被害が国内で発生したという背景と、2001年に署名した「サイバー犯罪に関する条約(サイバー犯罪条約)」の批准を目指すため、2011年になってようやくサイバー刑法が制定され、その中でコンピュータウイルスの作成・供用等も罰則化されるに至りました。
サイバー犯罪条約とサイバー刑法
サイバー犯罪条約は、欧州連合(EU)の全加盟国に加え旧ユーゴ諸国、ロシア、ウクライナなどが加盟する欧州の国際機関「欧州評議会(Council of Europe)」で策定され、日本やアメリカ、カナダ、オーストラリアなどがオブザーバーとして参加している国際条約です。多くの国が2001年に署名をしていますが、参加国数などの条件があり、実際に条約が発効したのは2004年です。
サイバー犯罪条約が策定されたのは、当時インターネットが盛んになってきたことをふまえたものです。国境を越えて行なわれるサイバー犯罪に備え、各国で協力体制を作ることを目的とした条約となっています。基本的には、サイバー犯罪は、犯罪行為を行なった人間がいる国の法律によって裁かれることになります。
A国では合法だがB国では違法になる行為を、A国からインターネットを通じてB国で行なったとします。B国からは他国の行為なので手を出すことができず、Aでは違法ではないため取り締まれない事態が発生してしまいます。こういったことが起こらないよう、サイバー犯罪条約の批准国には、共通した法整備が求められます。また、複数の国をまたがる国際犯罪に対する捜査協力のため、通信ログの保全なども必要です。
国 | 署名 | 批准 | 発布・公布 |
---|---|---|---|
デンマーク | 2003/4/22 | 2005/6/21 | 2005/10/1 |
フィンランド | 2001/11/23 | 2007/5/24 | 2007/9/1 |
フランス | 2001/11/23 | 2006/1/10 | 2006/5/1 |
ドイツ | 2001/11/23 | 2009/3/9 | 2009/7/1 |
ハンガリー | 2001/11/23 | 2003/12/4 | 2004/7/1 |
イタリア | 2001/11/23 | 2008/6/5 | 2008/10/1 |
オランダ | 2001/11/23 | 2006/11/16 | 2007/3/1 |
ノルウェイ | 2001/11/23 | 2006/6/30 | 2006/10/1 |
ポルトガル | 2001/11/23 | 2010/3/24 | 2010/7/1 |
スペイン | 2001/11/23 | 2010/6/3 | 2010/10/1 |
アメリカ | 2001/11/23 | 2006/9/29 | 2007/1/1 |
サイバー刑法により、サイバー犯罪条約に必要な法整備が完了したと政府は考えています。今後、インターネットサービスがますます盛んになっていくにあたり、こうした条約が必要なこととは思います。ですが、日本の国内法の中身としてどうするかは非常に難しい問題です。サイバー犯罪条約の中では、実害を与えないウイルスの作成そのものを罪とするところまでは求めていないという背景もあるため、2011年の法律の内容は過剰であるといえるかもしれません。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ