10分で読めるコンピュータ犯罪立法史
■最初のコンピュータ
1946年に人類が初めて手にしたコンピュータ(「エニアック」)は、重量30トン、18,000本もの真空管で構成されていました。その数十年後、ノートパソコンはエニアックの数十万倍の処理速度をもつにいたったと言われています。情報技術の世界は、人間の数倍の速さで歳を取る犬になぞらえて「ドッグ・イヤー」と言われることがありますが、これで言えば、この数十年間はかつての300年以上の時間に匹敵することになります。しかし、法律の制定や改正にはたいへんな手間と時間がかかるため、裁判では法と現実のギャップをどのように埋めるかが問題となっていきました。以下では、ハイテク犯罪に対する主な刑事立法の歴史を振り返ります。
■犯罪の道具としてのコンピュータ
犯罪の道具としてのコンピュータは、1960年代の終わり頃からすでに問題となってきます。当時は、大型コンピュータを共同利用する形態(タイムシェアリング・システム)が一般でしたが、利用権限のある他人のパスワードを収集・解析するプログラムをシステム内に仕掛け、他人のIDでコンピュータを不正に使用する〈トロイの木馬型〉もすでに見られました。これは、自動作動するプログラムをシステム内に潜入させるコンピュータ・ウィルスの原型なのです。
70年代に入ると、日本でも情報化の流れが速まり、情報犯罪も目立つようになります。購読者名簿の磁気テープを不正コピーし、同業他社に売却した「リーダースダイジェスト事件」、身代金を預金口座に振り込ませる誘拐事件などが発生しました。とくにこの事件は、60年代後半からのオンラインバンキングによる銀行大衆化の隙を狙った犯罪で、当時全国数百ヵ所に設置されていたCD機のどこで現金が引き出されるかが分からず、逮捕につながる接点の希薄を狙ったものでした(急きょシステムが改善され、犯人は逮捕されました)。
また、この時代は、キャッシュカードと情報処理システムがターゲットとなり、銀行の金融システムがさらに狙われました(1981年の「三和銀行オンライン詐欺事件」が有名)。この頃の稚拙な暗証番号照合システムやセキュリティに関する意識の低さが犯行を助長した面がありましたが、犯行形態としては、銀行の内部犯行が目立ち、手口としてはそれほどの複雑さはありませんでした。テレホンカード偽変造が急増したのもこの時期です。
■1987年の刑法一部改正
当時の刑法は、具体的な「物(有体物)」の保護を中心に組み立てられていました。情報は、無形のものであり、視覚によってとらえることのできない存在です。この点において財産犯罪(窃盗罪は他人の物を盗む犯罪です)や文書偽造罪(偽造罪は、人の目をごまかす犯罪です)などの限界も意識され、1987年に、電磁的記録に関係した犯罪行為について、次のような刑法改正が行われました。
- 電磁的記録の定義規定(刑7条の2)
- 公正証書原本不実記載罪関係(刑157条、158条)
- 電磁的記録不正作出罪関係(刑161条の2)
- 電子計算機損壊等業務妨害罪関係(刑234条の2)
- 電子計算機使用詐欺罪関係(刑246条の2)
- 電磁的記録毀棄罪関係(刑258条、259条)
〈刑法(全文)〉
この時に〈情報の不正入手〉の処罰化も議論されましたが、情報は時間の経過によって価値が変動し、また人によっても価値が一定ではないので、それをどのように保護するのかは将来の課題とされました。情報の侵害には、〈探知〉と〈漏えい〉の2つのパターンがあり、〈漏えい〉は、特定の人(公務員や医師、弁護士など)に守秘義務を課すことによって処罰されてきましたが、〈探知〉の処罰についてどのような仕組みを設けるのかが問題となり、結局、1999年に行為の面から、閉ざされたネットワークに対する不正なアクセスを処罰するという形で立法化がなされたのでした。
■1990年代以降のネットワーク犯罪(サイバー犯罪)の時代
インターネットが社会に普及し、重要な社会的インフラとなるにつれて、新たな違法行為に対処するための刑事実体法を整備する必要性が高まりました。90年代の後半から、ネットワークを悪用する行為や不正に利用する行為ないしはネットワークそのものを攻撃対象とする違法行為に対応すべく刑事実体法に関する立法作業が積み重ねられていくのですが、これらの立法は、1987年の刑法改正においてペンディングとなっていた課題にいかに応えるのかという点を念頭に行われていったものと言えます。
1.不正アクセス禁止法
1999年に制定された不正アクセス禁止法(2012年に、「フィッシング詐欺」を取り締まるための部分改正が行われました)は、インターネットに接続されているコンピュータ(ネットワークシステム)が、IDやパスワード等の「識別符号」を用いて利用者を認証し、識別することによって利用が制限されている場合(これを「アクセス制御」と言います)、(1)当該コンピュータに対してネットワークを通じて他人の識別符号を入力したり(識別符号窃用型)、(2)アクセス制御機能を免れるデータまたはプログラムを入力して(セキュリティ・ホール攻撃型)、コンピュータを不正に利用する行為を「不正アクセス」として処罰しています。不正アクセスにとっての中心的な概念は「アクセス制御」ですが、この具体的な内容と範囲については議論があります(「ACCS事件」)。
なお、不正アクセス禁止法は、アクセス制御に対する社会的信頼を保護することが目的であって(社会的法益に対する罪)、不正アクセスを処罰する副次的な効果として、情報が保護されることになります。
2.児童ポルノ禁止法
1999年に制定された児童ポルノ禁止法は、当初は、インターネットを念頭に置いたものではありませんでしたが、2004年に児童ポルノの媒体が電磁的記録にまで拡張され、サイバー・チャイルド・ポルノが正面から処罰できるようになりました。そのときに犯罪類型も整理され、法定刑も加重されました。
3.支払用カード電磁的記録不正作出罪
2001年に、クレジットカードの磁気情報を不正にコピーするスキミングに対処すべく、刑法の部分改正が行われ、支払用カード電磁的記録不正作出罪(刑法163条の2以下)が新設されました。
4.出会い系サイト規制法
2003年に出会い系サイト規制法が制定され(2008年に一部改正)、児童の犯罪被害防止を目的に、犯罪者に利用されやすく児童にとって危険な役務を提供している事業者に対して一定の規制が課されることとなりました。
5.サイバーポルノ(刑法175条の改正)
2011年には、サイバーポルノに関して、刑法175条(わいせつ物公然陳列罪)が大きく改正されました。従来、わいせつな情報が紙やビデオなどといった物理媒体に一体化してものを「わいせつ物」とし、その陳列や販売などが規制されてきましたが、インターネットは、この情報の物理媒体への依存性を解放したメディアだといえます。この点で、「物」を取り締まる刑法の限界が見えていましたが、判例は、サイバーポルノに刑法175条を適用してきました。その論理は、わいせつな情報が記録されているサーバーが「わいせつ物」であり、それをダウンロードさせることが「陳列」であるとしてきたのでした。しかし、ポルノ画像をメールに添付して「販売」する事案などについては、(物に対する権利である所有権を移転させることが「販売」ですが)情報には所有権を観念することができないことから、処罰が難しいのではないかという批判が強くなっていきました。このようなことから、わいせつな電磁的記録にも対応できるように、刑法175条が改正されたのでした。
6.コンピュータ・ウイルス作成罪
2011年には、刑法典にコンピュータ・ウイルス作成罪も新設されています(刑法168条の2)。従来、他人のコンピュータにウイルスを送りつけ、データを改ざんしたり、消去し、あるいはディスクを初期化してしまうなどの行為は、1987年の刑法改正によって新設された電磁的記録毀棄罪や電子計算機損壊業務妨害罪などによる処罰が可能でしたが、これらの罪には未遂規定がなく、ウイルスが実際に起動する前の「感染」させただけの状態では処罰できませんでした。そこで、コンピュータ・ウイルスを作成したり、他人のコンピュータに供用(感染)させる行為などが新たに処罰されるようになりました。
条文は大変難解な表現になっていますが、要するに、コンピュータ・プログラムというものは、善にも悪にも転用可能なわけで(たとえば、個人情報保護を目的とした、ファイルを完全に消去するプログラムは悪用も可能)、それ自体でコンピュータ・ウイルスと判断することが難しいことから、どのような使われ方をしたのか、つまり、社会的に許容できないような使われ方をしたのかといった観点から、コンピュータ・ウイルスかどうかが決まります。なお、バグ(プログラミングの不具合)が問題となりますが、本罪はそもそも故意犯であるので、バグは処罰の対象とはなりませんし、一般にプログラミングにはバグは不可避ですから、その限りではバグは社会的に許容されているといえ、「不正な」という要件にも該当しないことになります。
■まとめ
法は、時々の社会的要請によって制定されますが、法の言葉は包括的であるため、社会がある程度変化してもその法を適用することには問題はありません。しかし、社会が構造的に大きく変化するとき、法がそのままでは適用できない場面が多くなってきます。そのようなときは、法じたいが進化し、新しい法が新しい社会を規律することになります。
最近の刑事法の改正によって、一応、サイバー犯罪に対する刑法的な対応は整備されてきたと言えます。しかし、個々の概念についてはまだその内容が十分に固まっておらず、法的な解釈が問題になるケースが増えてくると思われます。一般に裁判所は、新しい犯罪現象に対しては、現行の法規定を拡張的に解釈して対応する傾向がありますが、解釈を広げることによって対応することは、他の一般の刑事事件にも影響することであり、好ましいことではありません。そのような場合、侵害の大きさに目を奪われることなく、従来の刑事法の原則を維持しながら対応することが重要であると思います。
また、刑法的対応は、基本的に犯罪が行われた事後の対応であって、サイバー犯罪への対応には自ずと限界があります。サイバー犯罪については、何よりも事前の対応として、技術面や心理面でのセキュリティを高めることが基本だと思います。