「百度(バイドゥ)」にはウイルス罪の適用はないのか?
■怪しい動きをした「Baidu IME」
報道によると、中国最大手の検索サイト「百度(バイドゥ)」が提供する日本語の入力ソフト(「Baidu IME」とAndroid向け日本語入力システムの「Simeji」)が、パソコンに打ち込まれたほぼすべての情報を、利用者の知らない間に、無断で外部に送信していたということです。個人情報はもとより、企業や官庁・大学などの機密情報が流出する可能性があるとして、国がこのソフトの利用を控えるように呼びかけています。
「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起
刑法168条の2は、コンピュータ・ウイルスを作成したり、他人に感染させたりする行為を処罰しています。「Baidu IME」が、この条文に抵触するのかどうかを検討してみました。
■ウイルス作成罪とは
まずは条文です。
刑法第168条の2(不正指令電磁的記録作成等)
正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、3年以下の懲役又は50万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
条文は難解な表現となっていますが、まず「不正指令電磁的記録」(コンピュータ・ウイルス)とは、当該プログラムの機能内容やその説明、想定される利用方法などを総合的に判断して、一般的な利用者の予想を超える動き方をするようなプログラムであって、しかも、それが「不正」であること、言い換えればその動き方がおよそ社会的に許容されないようなプログラムのことです。
そして、このようなコンピュータ・ウイルスを「正当な理由がないのに」(違法に)、「人の電子計算機における実行の用に供する目的で」作成した場合に、作成罪が成立します。「実行の用に供する」とは、コンピュータ・ウイルスであることを知らない人に対して、それをそのコンピュータで実行させることです。
したがって、当該プログラムの機能を適切に説明した上で普通に公開しているような場合は、使用者はそのような機能を知った上で使いますので、「(使用者の)意図に反する」ものではなく、作成罪にはなりません。しかし、それをたとえば信頼できる機関からの通知文書であるかのように装うなどの虚偽の説明を付し、またアイコンを偽装するなどして、何も知らない人にメールで送りつけて実行させる目的で作成した場合には処罰対象となります。また、何も知らない人のコンピュータで、これを実際に実行できる状態にすれば、供用罪が成立します。
■「Baidu IME」はコンピュータ・ウイルスか
報道によると、「Baidu IME」は、パソコンに打ち込まれたほぼすべての情報を、利用者に無断で外部に送信していたということですから、ユーザーがたとえ「Baidu IME」じたいをインストールすることには同意していたとしても、そのような動作をすることは同意の範囲を超えることで、「(使用者の)意図に反」したものといえます。さらに、問題はそれが社会的に許容されるかどうかですが、利用者の知らない間に個人情報や機密情報が流出する可能性がありますし、政府も利用に注意を呼びかけていたことから、とうてい社会的に許容されるものであったとはいえないでしょう。
同様のソフトは、マイクロソフトやグーグルなども提供していますが、それらでは、初期設定のままでは、入力情報を外部へ送信しないようになっていて、同意があった場合でも、パソコンに入力されたすべての情報を送信するような仕組みにはなっていないということですから、これらと比べると「Baidu IME」の動き方はかなり怪しい動きだったといえるのではないでしょうか。
■「the movie」事件のツケが回ってきた
「the movie事件」とは、2012年4月に、アンドロイド携帯端末の公式サイトである「グーグルプレイ」に、アイフォーンの人気ゲーム等の名称の後ろに「the movie」という文字を付け加え、人気ゲームの動画再生アプリを装ったアプリが配信され、これをダウンロードした20数万人のユーザーが、その電話帳にある個人名、電話番号、メールアドレスなど、1300万人分もの個人情報を抜き取られたという事件です。
「the movie」と「Baidu IME」とでは事案が異なりますが、「the movie」事件が不起訴となった以後、個人情報を不正に収集するアンドロイド向けアプリ開発が活発化しているとの指摘もあります。
「Baidu IME」についても、しっかりとした司法判断が出されないと、今後も同種のソフトが出回る危険性は大いにあると思います。
[注記]
本記事について、内閣官房情報セキュリティセンター(NISC)の高木浩光氏より、Facebookで、「the movie」事件と類似の、個人情報等を抜き取る不正アプリについてウイルス供用罪等が適用され、有罪判決も出されているので、「ツケは返上されているのでは」とのご指摘を受けました。ご指摘のとおり、たとえば、2013年4月には、スマホの電話帳データを抜き取るコンピュータ・ウイルスを保管したとして、ウイルス保管・供用罪に問われた被告人に対して懲役1年6ヶ月(執行猶予3年)の有罪判決が出されていますし、同年11月には、スマホに登録された個人情報を抜き取る不正アプリを仕込んだとしてウイルス供用罪などに問われた被告人に対して、千葉地裁が懲役3年(執行猶予5年)および罰金150万円の有罪判決を出していますので(他にも摘発事例は複数あります)、個人情報等を抜き取る不正アプリが放置されていたわけではありません。「ツケが回ってきた」との表現は不適切であったと思いますので、訂正いたします。
■追記―バイドゥ株式会社の見解―
バイドゥ株式会社は12月26日、IMEの情報送信について見解を公表しています。「Baidu IME」、「Simeji」とも、クラウド変換やログ情報の送信についてはユーザーの許諾を得ていない場合には情報を送信しないと説明していますが、ただ、「Simeji」については、クラウド送信がオフの設定になっている場合でも、実装バグにより入力文字列が送信される問題があったとして、問題を修正したバージョンを公開しました。また、「Baidu IME」については、事前許諾の設定が見つけにくい点を改善したとしています。
上で述べましたように、当該プログラムが許容されるためには、ユーザーの事前許諾は重要な条件ですが、問題は、ユーザーの知らない間に「不正な」動作をしたのかどうかであって、「the movie」事件でもそうですが、本件でも「ユーザーの事前許諾を取っていた」と単純に言えるかどうかは疑問だと思います。
問題となるのはバグですが、本罪はそもそも故意犯ですから、バグは処罰の対象とはなりません。一般にプログラミングにはバグは不可避ですから、その限りではそのような危険が発生することは社会的に許容されているといえ、「不正な」という要件にも該当しません。ただ、重大なバグのあることを知った者が、不特定多数の者に対する公開を中止しようと思えば容易にできるのに、あえてそのままにしてダウンロードさせたような場合には、供用罪(刑法168条の2第2項)が成立する可能性はあります。