不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)は悪法である。理由は幾つかあるが,「どのような行為が罰せられるのか,一般人には理解できない」ところが最悪である。刑罰法規にとって,これは致命的欠陥の筈だが,なぜか「改正すべし」という声は聞かれない。実に不可解というほかない。
名前が示すとおり,この法律は「不正アクセス行為」を処罰対象とする。具体的には,同法2条4項各号において,「不正アクセス行為」の内容が定義されている。
まず1号から見てみよう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
この条文は比較的分かりやすい。素人でも「コンピュータに他人のパスワードを入力すれば『不正アクセス行為』になるのだろう」と見当が付く。
では2号はどうか?
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
「『 情報又は指令』の詳細は分からないが,パスワード以外の情報を入力して,コンピュータを不正利用すると処罰される…?」
賢明な読者は,きっと,そう思うに違いない。次の3号を見るまでは。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
ここでも2号同様「 情報又は指令」という言葉が出てくる。つまり 「 情報又は指令」 を入力する不正アクセス行為には2種類あるということだ。とすると,入力の客体だけでは,2号と3号は区別できない。では,両条の違いはどこにあるのか?平均的読者は理解は,ここで行き止まることになる。
2条4項各号の意味について,立法担当者は次のように述べている。少し長いが,これが最も分かりやすい説明なので全文引用する。
○小林(奉)政府委員 不正アクセス行為の類型がどのようなものかということでございます。端的に説明しろというふうなお話でございますが、大変技術的な面でございますので、時間を若干いただきたい、このように思う次第でございます。
まず、不正アクセス行為は、アクセス制御機能によるコンピューターの特定利用の制限を免れる行為だということでございます。その類型につきましては、大別しますと二つございます。他人のID、パスワード等の識別符号を無断で入力するものと、識別符号以外の情報または指令を入力して行うもの、いわゆるセキュリティーホールを攻撃するもの、この二つの類型に大きく分かれるわけでございます。
このうち前者の類型、他人の識別符号を入力する不正アクセス行為について規定したものが第三条第二項第一号でございます。第二号及び第三号は後者の類型、すなわちセキュリティーホールを攻撃するものについて規定しておるということでございます。二号と三号の違いは大変わかりにくいんですけれども、システムの構成に起因するものでございます。
詳細になって申しわけございませんが、システムの構成としては、アクセス制御機能を利用対象コンピューター自体に付与する場合と、識別、認証を行う認証サーバーを利用対象サーバーとは別に設けて識別、認証の集中管理を行うような場合があるわけでございます。後者の場合、すなわち利用対象コンピューターと認証サーバーが別に存在する場合には、認証サーバーが有するアクセス制御機能によって利用対象コンピューターの利用は制限されている、こういう形になるわけでございます。
この後者の場合に、セキュリティーホール攻撃の方法としましては、アクセス制御機能を有する認証サーバーを攻撃する方法と、認証サーバーにより制御されている利用対象コンピューターを直接攻撃する方法の二つがあるわけでございます。
そこで、セキュリティーホール攻撃のうち、アクセス制御機能を有する利用対象コンピューターやアクセス制御機能を有する認証サーバーを攻撃するものを第二号で規定しているということでございます。認証サーバーにより制御されている利用対象コンピューターを直接攻撃するもの、これが第三号で規定しているということになるわけでございます。
この説明を要約すると,下図のようになる。
つまり,2号と3号は,①攻撃対象システムに認証サーバが置かれているか,②(置かれているとして)「情報又は指令」は,不正利用されるコンピュータに直接入力されたか,それとも認証サーバに入力されたか,の2点により区別される。
だが果たして, 一般人は,このような相違を条文の文言から読み取れるだろうか?ちなみに,上記立法担当者の答弁に対し,審議にあたった議員先生は次のように述べている。
○桝屋委員 そこだけを理解しておけばいいから先へ行け、こういう御説明のような気もしますが、委員長も今聞かれて首を傾けておられましたけれども、専門用語が並びますから本当に難しいんだろうと思うのですね。
「首を傾けて」「本当に難しいんだろうと思う」という感想を残して,この法律は成立した。「本法の施行に当たっては,国民に対し犯罪構成要件の周知徹底を図ること」という,誰かのための免罪符(附帯決議)が付けられて。その後,この「周知徹底」のため,どのような施策が講じられたのか,僕は知らない。
本法のようにマイナーな法律の欠陥など,誰も気にかけない。法案を作ったお役人も,理解できないまま,これを成立させた国会議員も,誰一人,問題とは感じていない。けれど,作った当人にしか理解できない刑罰法規が,やがて国民に取り返しのつかない災厄をもたらすことは明らかだ。斯くして,同法の制定に関わった彼らが,その責任を問われる日は刻一刻と近づいている。
サイバーアーツ法律事務所所属。早稲田大学商学部卒。筑波大学大学院システム情報工学研究科修了(工学修士)。2007年8月 弁護士登録(登録番号35821)。インターネット関連事件を専門に受任している弁護士です。