包括的な違法性阻却を実現する法令行為的規定は適切
第一歩を積極評価、緊急性判断は現場にある程度の裁量付与も
政府が今国会に提出した「能動的サイバー防御関連法案」は、警察官職務執行法などの改正により、サイバー攻撃を仕掛けてくる相手方のコンピューターに対する「無害化」を盛り込んだ。無害化とは攻撃を事前に察知して、未然に防ぐことを指す。重要インフラなどの被害を防ぐためには、非常に重要なテーマだ。一方で、どのような場合に発動が許されるのかなど、法令上の規定の仕方は大きな論点となった。
西貝吉晃(にしがい・よしあき)氏は工学部と大学院情報理工学系研究科を出て弁護士となり、現在は千葉大学ロースクールにおいて教壇に立ち、刑法を専攻分野として、サイバーセキュリティ及びサイバー犯罪の研究に従事している。主に刑事法学者としての視点から、今回の法案について意見を聞いた。
※聞き手:政策ニュース編集部
インタビューは2025年2月21日に実施しました
法令行為的規定は望ましい
― まず、この法案を全体的にどう評価するか。
(西貝吉晃氏、以下同じ)刑事法学者の視点からは、例えば、警察官職務執行法に新たな条文を追加するといった改正の方向性は良いと思う。その上で、強いて言うなら、改正で付け加える条文(警職法改正案第6条の2第2項)は、緊急状況に限って一定の活動が可能だと読める内容になっており、普段から、いわば平時においてサイバーセキュリティ維持のためにどのような活動が可能かという観点が少し後退している印象がある。ただ、柔軟性を欠く点があるとしても、今回の改正がさらなる改正の契機となればよい。全体として、ファーストステップとして積極的に評価できる、というのが率直な感想だ。
いきなり踏み込んで、さまざまな活動ができる包括的な内容にしてしまうと、本来許容すべきでない活動を許容してしまうリスクや、規定の濫用の恐れが大きくなるのではないか、という懸念を否定できない。まずは謙抑的な内容から始める、という趣旨なのであれば、そうした立法者の判断は十分に尊重すべきだ。私が望ましいと考えていたのは、例えば、不正アクセス罪(不正アクセス行為の禁止等に関する法律第11条)などの個別の罪についての適用除外ではなく、警職法等に包括的な違法性阻却を実現する法令行為的な規定を置くことであったから、今回の法案は、そうした方向性での改正となっており、適切なアプローチだと考えている。
― 個別の論点に移るが、サイバー攻撃を受けた際の民間事業者による報告義務について。
(西貝)例えば、重要インフラの保護について何を重要インフラとみるべきかは、刑事法学者である私は疎い面があり、断定的なことは言いにくい。官民の連携に基づく情報の共有という観点からは、重要インフラを担っている民間機関に関し、特にサイバーセキュリティが弱いところについて、一定の場合に報告を義務付けるという発想は理に適っているとは思う。ただ、報告を行う体制がどの程度整備されているかなど、具体的な課題が出てくるかもしれない。
時間的切迫性
― 攻撃してくるコンピューターの無害化措置に関する書きぶりは。
(西貝)警職法第6条の次に第6条の2を追加した部分のことになるのだろうが、特に攻撃してくるコンピューターの無害化に関しては、評価が難しい点だと言える。一つのポイントとなるのは「そのまま放置すれば人の生命、身体または財産に対する重大な危害が発生するおそれがあるため緊急の必要があるとき」という部分だろう。この部分の解釈については、例えば、放っておいて手遅れにならないうちに無害化を実行しようという立場や、あるいは、サイバー攻撃が目前に来ているという時間的切迫性を要求する、より限定的な立場などがあり得る。仮に後者なら、本当に実効性のあるタイミングで無害化措置に着手できるのかという指摘が出てきそうだ。
条文を読む限りにおいては、この改正は後者のような時間的切迫性を要求しているようにみえる。「緊急の必要があるとき」などという文言があるためだ。ただ、そこまで限定しなくてもよい、という解釈が不可能ではない、と思われる。つまり、「手遅れにならないうちに実行すべき」という解釈ができないわけではない。私は、サイバー空間においては、セキュリティ維持活動の実効性を担保するためには、「手遅れになる」か否かなどの、緊急性についての判断の裁量を、ある程度、現場に与えるのが良いのではないか、とも考えている。能動的サイバー防御が今後どのように動いていくか、分からないことも多い中ではあるが、現時点での印象は以上の通りである。
「危害」と「重大な危害」
― なるほど。
(西貝)「人の生命、身体または財産に対する重大な危害」という箇所も限定的な文言にみえる。
この点について、「重大な」という文言に関し、より具体化を要するものの、例えば、重要インフラに対する攻撃であれば重大だ、というように柔軟に考える立場もあるかもしれない。より積極的に無害化措置を講じなければ、サイバーセキュリティが国際的にも維持できない状況が生じてくると、こうした緩やかな解釈をすべきだ、という議論がでてくる可能性も否定できない。
一方で、立法者が「重大な」と書き込んだことを軽視すべきでないという立場もあり得る。例えば、現行の警職法6条では「人の生命、身体又は財産に対し、危害が切迫した場合」と書かれているが、警職法改正案第6条の2では「危害」ではなく「重大な危害」となっている。これにより、立法者の意思として、警職法第6条よりも限定的な場面でしか無害化措置を行使してはならない、と読むべきかどうかという問題が生じる。仮に、より限定した場合と解釈するならば、技術的に可能であっても、法律上は権限行使できず、歯がゆい事態が生じる可能性が出てくるかもしれない。
いずれにしても、規定文言のこれからの解釈・運用が気になるところである。
― この法案の内容で実効性のある無害化措置は可能か。
(西貝)もともとは、これだけの内容を盛り込んだ法案になるとは思っていなかった。むしろ、例えば、現在ある不正アクセス罪などに適用除外を入れるに留めることになるかもしれないなどと考えていたが、今回の法案は、それに比べるとずっと進んでいる。この要件に該当すれば、警察、自衛隊の方の活動は違法性ではないことになる。これは非常に重要な進展だと思う。
「何を守るか」の明確化が必要
― サイバー空間における同意によらない通信情報の取得の面からは、どう評価するか。
(西貝)率直なところ、刑事法学者である私にとっては、評価しにくい点だ。それは、情報取得についての高度な必要性があるとされつつも、その具体的なイメージを持ちにくい点にある。「どの程度の情報があれば、何ができるのか」ということについて、サイバーセキュリティの専門家と話す機会もなかなかない。例えば、他の方法では実態把握が著しく困難であるのかどうか、代替手段があるのかないのかということが重要になってきそうではあるが、この点については、セキュリティの専門家のご意見を聞きながらでなければ、答えにくい。
― 憲法上の「通信の秘密」との兼ね合いも論点だ。
(西貝)今回の法案が通信の秘密の制約の限界を攻めているものなのか、あるいは、通信の秘密を重視しつつもさらなる制約を許す法改正が可能である、との想定でできたものなのかが分からない。後者であれば、この法案で実効性がない、ということになると、今後また法改正がなされることがあるかもしれない。その意味でも、今回の法改正は、先にファーストステップと述べたのと同様、一つの契機なのかもしれない。実際にも、この法案が守ろうとする重要インフラなどは、インシデントが顕在化した場合に社会生活が大変なことになりかねないもので、それを保護することの重要性は一般的によく理解されているから、さらなる通信の秘密の制約の議論が発生したら、急速に法改正の動きが生じるかもしれない。であるからこそ、後者の立場を採る場合には、通信の秘密の制約の限界がどこになるのか、を理論的にも詰めて考えておく必要がある。
いずれにしても、一般論としては、サイバーセキュリティを守るための活動というのは、アカウンタビリティ(説明責任)がしっかり果たされていることなどを前提に、必要な限度で許されるべきであり、それを可能な法律にしていくべきだと考える。重要インフラを保護する活動はその例だろうが、「何を守るための活動なのか」ということ、及び守ろうとしているものの社会的な重要性を法的に説明できるようにすることが必要だ。そうした整理をした上で、現在の法律では制約が強く、守ろうとしても、同意によらない情報の取得や保存、利用などが違法な権利侵害になってしまってできず、弊害が大きい、というのであれば、国民の理解を得た上で法令行為化するという方策はあり得ると思う。
物理世界とサイバー空間
― サイバー空間での情報取得について、どう考えるか。
(西貝)アナログな物理空間とデジタルなサイバー空間では、物理的特性が異なるために、勝手が異なる。サイバー空間における一定の特徴を強調しすぎると一面的な議論になりかねないことには注意しなければならないが、例えば、痕跡をほとんど残さずにサイバー攻撃を可能にするツールがあるなら、それに対応できるように、サイバー空間に散在する多種多様な情報を取得し、それらを分析し、攻撃者に到達しようとする試みが非常に重要になる、と考える。そして、こうした情報の取得や解析を平時からしておいて、分析精度を向上させておかないと、実際のケースにおいて「誰が何のためにどこを狙って攻撃しようとしているのか」という情報を適切に得ることができないかもしれない。
「情報取得を行う機関のことが信用できない」という議論を脇に置く前提で話すと、取得した情報を慎重に取り扱いながらも、そうした情報によってサイバー攻撃者の拠点を炙りだそうとする活動は、これから非常に重要になると考えて間違いない。物理的世界とは別に、サイバー空間においても理想的な秩序がある、とする場合、そこに現在のサイバー空間の秩序を近づけるためには、より多くの情報を取得・分析できる体制が必要になってくるのではないか、と考えている。
関連リンク
・西貝 吉晃教授 – CHIBADAI NEXT
・西貝 吉晃 – 千葉大学大学院社会科学研究院・法政経学部
・サイバー安全保障に関する取組 – サイバー対処能力強化法案及び同整備法案の概要、有識者会議の提言。内閣官房
関連記事
・政策インタビュー・能動的サイバー防御関連法案:茂田忠良・日本大危機管理学部元教授に聞く(2025年3月10日)
