「何を守るか」の明確化が必要
― サイバー空間における同意によらない通信情報の取得の面からは、どう評価するか。
(西貝)率直なところ、刑事法学者である私にとっては、評価しにくい点だ。それは、情報取得についての高度な必要性があるとされつつも、その具体的なイメージを持ちにくい点にある。「どの程度の情報があれば、何ができるのか」ということについて、サイバーセキュリティの専門家と話す機会もなかなかない。例えば、他の方法では実態把握が著しく困難であるのかどうか、代替手段があるのかないのかということが重要になってきそうではあるが、この点については、セキュリティの専門家のご意見を聞きながらでなければ、答えにくい。
― 憲法上の「通信の秘密」との兼ね合いも論点だ。
(西貝)今回の法案が通信の秘密の制約の限界を攻めているものなのか、あるいは、通信の秘密を重視しつつもさらなる制約を許す法改正が可能である、との想定でできたものなのかが分からない。後者であれば、この法案で実効性がない、ということになると、今後また法改正がなされることがあるかもしれない。その意味でも、今回の法改正は、先にファーストステップと述べたのと同様、一つの契機なのかもしれない。実際にも、この法案が守ろうとする重要インフラなどは、インシデントが顕在化した場合に社会生活が大変なことになりかねないもので、それを保護することの重要性は一般的によく理解されているから、さらなる通信の秘密の制約の議論が発生したら、急速に法改正の動きが生じるかもしれない。であるからこそ、後者の立場を採る場合には、通信の秘密の制約の限界がどこになるのか、を理論的にも詰めて考えておく必要がある。
いずれにしても、一般論としては、サイバーセキュリティを守るための活動というのは、アカウンタビリティ(説明責任)がしっかり果たされていることなどを前提に、必要な限度で許されるべきであり、それを可能な法律にしていくべきだと考える。重要インフラを保護する活動はその例だろうが、「何を守るための活動なのか」ということ、及び守ろうとしているものの社会的な重要性を法的に説明できるようにすることが必要だ。そうした整理をした上で、現在の法律では制約が強く、守ろうとしても、同意によらない情報の取得や保存、利用などが違法な権利侵害になってしまってできず、弊害が大きい、というのであれば、国民の理解を得た上で法令行為化するという方策はあり得ると思う。
物理世界とサイバー空間
― サイバー空間での情報取得について、どう考えるか。
(西貝)アナログな物理空間とデジタルなサイバー空間では、物理的特性が異なるために、勝手が異なる。サイバー空間における一定の特徴を強調しすぎると一面的な議論になりかねないことには注意しなければならないが、例えば、痕跡をほとんど残さずにサイバー攻撃を可能にするツールがあるなら、それに対応できるように、サイバー空間に散在する多種多様な情報を取得し、それらを分析し、攻撃者に到達しようとする試みが非常に重要になる、と考える。そして、こうした情報の取得や解析を平時からしておいて、分析精度を向上させておかないと、実際のケースにおいて「誰が何のためにどこを狙って攻撃しようとしているのか」という情報を適切に得ることができないかもしれない。
「情報取得を行う機関のことが信用できない」という議論を脇に置く前提で話すと、取得した情報を慎重に取り扱いながらも、そうした情報によってサイバー攻撃者の拠点を炙りだそうとする活動は、これから非常に重要になると考えて間違いない。物理的世界とは別に、サイバー空間においても理想的な秩序がある、とする場合、そこに現在のサイバー空間の秩序を近づけるためには、より多くの情報を取得・分析できる体制が必要になってくるのではないか、と考えている。
関連リンク
・西貝 吉晃教授 – CHIBADAI NEXT
・西貝 吉晃 – 千葉大学大学院社会科学研究院・法政経学部
・サイバー安全保障に関する取組 – サイバー対処能力強化法案及び同整備法案の概要、有識者会議の提言。内閣官房
関連記事
・政策インタビュー・能動的サイバー防御関連法案:茂田忠良・日本大危機管理学部元教授に聞く(2025年3月10日)
2
