包括的な違法性阻却を実現する法令行為的規定は適切
第一歩を積極評価、緊急性判断は現場にある程度の裁量付与も
政府が今国会に提出した「能動的サイバー防御関連法案」は、警察官職務執行法などの改正により、サイバー攻撃を仕掛けてくる相手方のコンピューターに対する「無害化」を盛り込んだ。無害化とは攻撃を事前に察知して、未然に防ぐことを指す。重要インフラなどの被害を防ぐためには、非常に重要なテーマだ。一方で、どのような場合に発動が許されるのかなど、法令上の規定の仕方は大きな論点となった。
西貝吉晃(にしがい・よしあき)氏は工学部と大学院情報理工学系研究科を出て弁護士となり、現在は千葉大学ロースクールにおいて教壇に立ち、刑法を専攻分野として、サイバーセキュリティ及びサイバー犯罪の研究に従事している。主に刑事法学者としての視点から、今回の法案について意見を聞いた。
※聞き手:政策ニュース編集部
インタビューは2025年2月21日に実施しました
法令行為的規定は望ましい
― まず、この法案を全体的にどう評価するか。
(西貝吉晃氏、以下同じ)刑事法学者の視点からは、例えば、警察官職務執行法に新たな条文を追加するといった改正の方向性は良いと思う。その上で、強いて言うなら、改正で付け加える条文(警職法改正案第6条の2第2項)は、緊急状況に限って一定の活動が可能だと読める内容になっており、普段から、いわば平時においてサイバーセキュリティ維持のためにどのような活動が可能かという観点が少し後退している印象がある。ただ、柔軟性を欠く点があるとしても、今回の改正がさらなる改正の契機となればよい。全体として、ファーストステップとして積極的に評価できる、というのが率直な感想だ。
いきなり踏み込んで、さまざまな活動ができる包括的な内容にしてしまうと、本来許容すべきでない活動を許容してしまうリスクや、規定の濫用の恐れが大きくなるのではないか、という懸念を否定できない。まずは謙抑的な内容から始める、という趣旨なのであれば、そうした立法者の判断は十分に尊重すべきだ。私が望ましいと考えていたのは、例えば、不正アクセス罪(不正アクセス行為の禁止等に関する法律第11条)などの個別の罪についての適用除外ではなく、警職法等に包括的な違法性阻却を実現する法令行為的な規定を置くことであったから、今回の法案は、そうした方向性での改正となっており、適切なアプローチだと考えている。
― 個別の論点に移るが、サイバー攻撃を受けた際の民間事業者による報告義務について。
(西貝)例えば、重要インフラの保護について何を重要インフラとみるべきかは、刑事法学者である私は疎い面があり、断定的なことは言いにくい。官民の連携に基づく情報の共有という観点からは、重要インフラを担っている民間機関に関し、特にサイバーセキュリティが弱いところについて、一定の場合に報告を義務付けるという発想は理に適っているとは思う。ただ、報告を行う体制がどの程度整備されているかなど、具体的な課題が出てくるかもしれない。
時間的切迫性
― 攻撃してくるコンピューターの無害化措置に関する書きぶりは。
(西貝)警職法第6条の次に第6条の2を追加した部分のことになるのだろうが、特に攻撃してくるコンピューターの無害化に関しては、評価が難しい点だと言える。一つのポイントとなるのは「そのまま放置すれば人の生命、身体または財産に対する重大な危害が発生するおそれがあるため緊急の必要があるとき」という部分だろう。この部分の解釈については、例えば、放っておいて手遅れにならないうちに無害化を実行しようという立場や、あるいは、サイバー攻撃が目前に来ているという時間的切迫性を要求する、より限定的な立場などがあり得る。仮に後者なら、本当に実効性のあるタイミングで無害化措置に着手できるのかという指摘が出てきそうだ。
条文を読む限りにおいては、この改正は後者のような時間的切迫性を要求しているようにみえる。「緊急の必要があるとき」などという文言があるためだ。ただ、そこまで限定しなくてもよい、という解釈が不可能ではない、と思われる。つまり、「手遅れにならないうちに実行すべき」という解釈ができないわけではない。私は、サイバー空間においては、セキュリティ維持活動の実効性を担保するためには、「手遅れになる」か否かなどの、緊急性についての判断の裁量を、ある程度、現場に与えるのが良いのではないか、とも考えている。能動的サイバー防御が今後どのように動いていくか、分からないことも多い中ではあるが、現時点での印象は以上の通りである。
「危害」と「重大な危害」
― なるほど。
(西貝)「人の生命、身体または財産に対する重大な危害」という箇所も限定的な文言にみえる。
この点について、「重大な」という文言に関し、より具体化を要するものの、例えば、重要インフラに対する攻撃であれば重大だ、というように柔軟に考える立場もあるかもしれない。より積極的に無害化措置を講じなければ、サイバーセキュリティが国際的にも維持できない状況が生じてくると、こうした緩やかな解釈をすべきだ、という議論がでてくる可能性も否定できない。
一方で、立法者が「重大な」と書き込んだことを軽視すべきでないという立場もあり得る。例えば、現行の警職法6条では「人の生命、身体又は財産に対し、危害が切迫した場合」と書かれているが、警職法改正案第6条の2では「危害」ではなく「重大な危害」となっている。これにより、立法者の意思として、警職法第6条よりも限定的な場面でしか無害化措置を行使してはならない、と読むべきかどうかという問題が生じる。仮に、より限定した場合と解釈するならば、技術的に可能であっても、法律上は権限行使できず、歯がゆい事態が生じる可能性が出てくるかもしれない。
いずれにしても、規定文言のこれからの解釈・運用が気になるところである。
― この法案の内容で実効性のある無害化措置は可能か。
(西貝)もともとは、これだけの内容を盛り込んだ法案になるとは思っていなかった。むしろ、例えば、現在ある不正アクセス罪などに適用除外を入れるに留めることになるかもしれないなどと考えていたが、今回の法案は、それに比べるとずっと進んでいる。この要件に該当すれば、警察、自衛隊の方の活動は違法性ではないことになる。これは非常に重要な進展だと思う。
1
2
