クラウド上のデータを対象とする犯罪捜査に関する法的課題
6
0
0
全文
(2) 情報処理学会研究報告 IPSJ SIG Technical Report. れた情報にもアクセスできることを明記してい る. 次に,捜査機関が,国外の第三者に任意協力を 求めて情報の開示を受けることができるかどうか については,任意である以上問題がないという見 解と,任意であっても捜査機関が要請を行うこと は国際法上の問題を生じうるという見解が対立し ている[3,p.70].これは,捜査機関による情報の 開示要請が,公権力の行使にあたり対象者の人権 を制約するかどうかについて,見解が分かれてい るものと考えられる. 最後に,捜査機関が自国内に存在する捜査対象 者のコンピュータに対して強制捜査を行う際に, 被疑者がそのコンピュータを介して利用している クラウドサービスのデータを差押えたりデータの 提出を命じたりすることが許されるかどうかが問 題となる.これについては,わが国でも米国でも 裁判上の争点になっている. 以上から,捜査機関が情報を取得する行為につ いて,当該情報が蔵置されているサーバコンピュ ータの所在国の国家主権が問題となるのは,その 情報取得が捜査対象者の人権制約を伴う公権力の 行使に当たる場合に限られることが分かる.. Vol.2018-EIP-79 No.6 2018/2/16. 約第 32 条では,こうした国外サーバへのアクセス が許されるのは「コンピュータ・システムを通じて 当該データを自国に開示する正当な権限を有する 者の合法的なかつ任意の同意が得られる場合に限 る」としており,これ以外の場合には国際捜査共助 によって情報を取得すべきであるという指摘もあ る[6][7]. なお,本件では,国外サーバに対する捜査である ことは傍論的に扱われている.証拠の違法性とし て主に問題となったのは,データの取得が最終的 には検証令状に基づいて行われたことである.捜 査機関は当初パスワードがわからなかったために, データを複写して差し押さえることができなかっ た.後からアクセスできるようになった際に,対象 の PC が既に差し押さえられているため差押令状は 適切でないと考えて,検証令状で捜査を行った.確 かに,接続先サーバへの捜査を検証令状で行える のであればそもそも上記規定を新設した意味が無 いともいえる.したがって,検証令状でこれを行う ことが許されないとされるのはやむを得ない.し かし,接続先サーバの捜査が差押え時に限定され るとするのも妥当とは思えない.このような場合 には,既に差し押えた PC について,再度捜索差押 令状の発付を求めることを認めるべきであろう.. 1.3 我が国の裁判例 日本では,2011 年に刑事訴訟法が改正され, 「接. 続サーバ保管の自己作成データ等の差押え(刑事 訴訟法 218 条 2 項)」の手続きが導入されている. これは,捜査機関がコンピュータを差し押さえる 際に,そのコンピュータがネットワーク接続して いるサーバ上で作成したメール・サーバ上のメー ルの情報や,ストレージ・サーバ上の文書ファイル を,捜査機関が複写して差し押さえることができ るようにするものである. この規定に基づいて取得した令状に基づいて差 し押えた PC からメール・サーバにアクセスして取 得した際に,メール・サーバが国外に存在していた と考えられたため,適法な捜査と言えないのでは ないかということが問題となった事例がある.具 体的には,捜査機関が被疑者の PC を差押えた際に, 被疑者がその PC で使っていた Gmail のアカウント にアクセスしたことが問題となった.第一審では, 国外サーバへの捜査が主権の侵害になりうるとし て「この処分を行うことは基本的に避けるべきで あった」という見解が示されており[4],控訴審で も「国際捜査共助等の捜査方法を取るべきであっ たともいえる」として同様の考えが取られている [5].なお,わが国も批准しているサイバー犯罪条 ⓒ 2018 Information Processing Society of Japan. 2. 米国の動向 2.1 マイクロソフト事件. 米国においても,国外のサーバに対する強制捜 査の可否が争われた事例がある. 合衆国司法省が,Microsoft が提供する Web メ ールサービスのメールアカウントが麻薬取引を進 めるために使われていると考えた.そして, Stored Communications Act (SCA) の Search and Seizure Warrant(SCA 令状)に基づき, Microsoft に対して,当該メールアカウントに関 する情報の開示を請求した.Microsoft は,令状 が開示を命じている情報の一部が,アイルランド のダブリンにあるデータセンタに保存されている ことを確認した.そこで,Microsoft は,米国国 内に保存されていた全ての対象情報を開示し,ダ ブリンに保存されている情報のか維持を拒み,こ の情報に関する令状の破棄を申し立てた. 連邦地方裁判所はこの破棄申立を棄却し, Microsoft が令状に従わないことに対して民事的 裁判所侮辱を課した.これに対して,Microsoft は上訴を行った.そして,第 2 巡回区合衆国控訴 裁判所は地方裁判所の判断を破棄した.. 2.
(3) 情報処理学会研究報告 IPSJ SIG Technical Report. 控訴裁判所は,まず,SCA の規定には,立法府 が国外への適用を意図していたという兆候が見ら れないため,SCA 令状の効力は,国内に限られる と判断した.また,SCA が蓄積された通信内容に 関する利用者のプライバシーに焦点を当てて立法 されたものであることなどから,解釈を行う際に こうした趣旨も反映させるべきであるとしてい る. 次に,争点となっている令状の執行は,越境的 な法執行であると判断した.その理由は,本件差 押えはダブリンのデータセンタに保管されている マイクロソフトの顧客の電子通信の内容が対象と なっており,SCA によって保護されるべき通信内 容に対するプライバシー侵害が起こる場所は,政 府機関の代わりに行動する Microsoft がこれを取 得する場所で生じると考えるべきだからである [8]. なお,本件は、連邦最高裁判所に上訴され、2017 年 10 月に、最高裁が審理を行うことが決定してお り,現在も係争中である。 ところで,マイクロソフト事件の控訴審判決が示 されたあとに,Google が同様の捜査に対する情報 の開示を拒否して争われた例がある.Google は従 来,SCA 令状に応じて外国所在の顧客の通信内容に 関する情報を開示していた.しかし,上記の控訴審 判決のあと, SCA 令状に基づく外国にある情報の 開示請求を拒否することにした.そこで,FBI が Google に対して情報の開示を求めて提訴を行った. ペンシルバニア東部地区合衆国地方裁判所は,SCA 令状が合衆国国外への適用を意図したものでない ことを認めた上で,外国のサーバから Google 社の カリフォルニアのサーバに転送する行為は,顧客 のサクセスや占有を侵害するものではなく「差押 え」には当たらないため,SCA 令状に基づきこのよ うな転送と情報の開示を求めることができると判 断している[9]. 2.2 越境執行と立法府の権限. 一見するとマイクロソフト事件の控訴審判決と グーグル事件の地裁判決は,全く異なる考え方に 立っているように見える.しかし,両者とも,基本 的な判断の枠組みは一致している.いずれの判決 も,①法の規定が国外への適用を意図したもので あるか、②当該法執行が国外への法執行であるか、 という 2 ステップで判断をしており,SCA 令状が国 外への適用を意図したものでないため国外への適 用は認められないとしている点では一致している. 米国の裁判所は,米国法の適用範囲について,米 ⓒ 2018 Information Processing Society of Japan. Vol.2018-EIP-79 No.6 2018/2/16. 国の領域的裁判管轄権が及ぶ範囲に限られること が推定されると考えている.その法律が国外に対 しても適用されるのは,議会が特に異なる意図を 明確に示して立法を行った場合に限られる[10].つ まり,米国の法律は,他国の主権に配慮しつつ立法 されるが,米国議会が意図すれば,越境的に適用さ れる法律を制定することができるというのが,議 論の前提となっている. わが国の議論のように,米国も批准しているサ イバー犯罪条約のような国際的な枠組みによらな ければ,越境執行を行うことが許されないのでは ないかという疑念は,そもそも提起されていない. 2.3 マイクロソフト社の見解. マイクロソフトは、この上訴受理をうけて会社と しての意見をあらためて公表している.そのなか で,司法省の捜査について,次のような点が問題で あるとしている. ① 米国法が越境適用され得る条件である立法府 の明確な意図を欠いている ② 電子メールの情報がユーザでなく電子メール 提供事業者に帰属するという前提で事業者に 開示を命じるのは間違っている ③ 個人情報の第三国移転を制限する欧州その他 の多くの国の法律に反している ④ 米国政府が国外データに強制捜査を行うので あれば他国が米国のデータをハッキングして も文句が言えなくなる[11] このうち、①は、連邦控訴裁判所の判断を踏まえ たものであろう。②と③は、顧客の電子メールに関 する情報を、電子メール提供事業者が司法当局に 提供することは、顧客の権利を侵害するおそれが あるという観点からの疑問である。そして④は、外 国政府によるハッキングが心配されているなかで、 こうした行為を外交的に牽制することができなく なってしまうという懸念であろう。. 3. 国際的な議論の動向 3.1 国際犯罪捜査共助. 捜査機関が,国家主権に関する問題を生じずに他 国にあるデータの収集を行う方法として,国際的 な犯罪捜査共助の仕組みがある.わが国では,国際 捜査共助等に関する法律が,国際捜査共助に関す る基本的な手続きを定めている。これに基づき,相 手国の協力が得られれば,外交ルートでの捜査共. 3.
(4) 情報処理学会研究報告 IPSJ SIG Technical Report. 助が可能である.そして,個別の刑事共助条約を締 結している国との間では,相互の協力が義務付け られ,外交ルートを経由することなく,指定された 「中央当局」間での共助を行うことができる.現在 では,米国,韓国,中国,香港,EU,ロシアとの 間で,刑事共助条約または協定が締結されている [12].また,国際刑事警察機構(ICPO:International Criminal Police Organization)による刑事警察 の相互協力も行われており,2015 年にはサイバー 犯 罪 に 関 す る 捜 査 協 力 を 推 進 す る た め に IGCI (INTERPOL Global Complex for Innovation)が, シンガポールに設置されている. しかし,特にサイバー犯罪に関して捜査共助を 行うことについては,多くの問題点が共通認識と して示されている. 例えば,米国では,MLAT(相互犯罪捜査共助条約) [13]に基づく手続きに時間がかかり煩雑であるこ とや,MLAT に署名していない国に対しては,法執 行機関の調査を海外で行う際の支援を得るための 正式なツールがないことなど,多くの問題点が指 摘されている[9, p.221]. また,欧州評議会は,後述のサイバー犯罪条約に 基づいて,国際的な捜査協力を推進するために,サ イバー犯罪条約委員会を設定して検討を行ってい るが,捜査に関する情報を捜査共助によって取得 するためには 6 ヶ月から 24 ヶ月という長期間を要 することなどを挙げて,現実的な方法ではない場 合があると認めている.特に,データがどの法域に 存在するのかがわからない場合や緊急を要する場 合には,捜査機関が直接国外のデータにアクセス することが,強く要望される場合があるとしてい る[14]. 3.2 サイバー犯罪条約と欧州評議会. 欧州評議会は,2001 年 11 月に「サイバー犯罪条 約」を採択している.この条約には,加盟国である 欧州諸国とオブザーバとして条約の策定作業に参 加していた日本・米国・カナダ等 30 カ国が署名し ており,わが国は 2012 年に批准している.同条約 では,システムへの不正な攻撃や児童ポルノ等の 最低限の禁止規定を設けることと,サイバー犯罪 に対する捜査手続を整備することを,各国に求め ている. そして,サイバー犯罪条約第 32 条は,捜査機関 等による国境を超えるコンピュータ・データへの アクセスについて次のように定めている.. ⓒ 2018 Information Processing Society of Japan. Vol.2018-EIP-79 No.6 2018/2/16. サイバー犯罪条約第 32 条:蔵置されたコンピュー タ・データに対する国境を超えるアクセス(当該ア クセスが同意に基づく場合又はデータが公に利用 可能な場合) 「締約国は,他の締約国の許可なしに,次のことを 行うことができる. a 公に利用可能な蔵置されたコンピュータ・デー タにアクセスすること(当該データが地理的に所 在する場所のいかんを問わない.). b 自国の領域内にあるコンピュータ・システムを 通じて,他の締約国に所在する蔵置されたコンピ ュータ・データにアクセスし又はこれを受領する こと.ただし,コンピュータ・システムを通じて当 該データを自国に開示する正当な権限を有する者 の合法的なかつ任意の同意が得られる場合に限 る」 ただし,サイバー犯罪条約 32 条は,国境を超え るアクセスをこの条項が定める場合だけに限定す る趣旨で置かれたものではない.サイバー犯罪条 約の注釈書は,この論点が条約制定時に長時間議 論された問題が,結論に至らなかった問題である として,次のように述べている. どのような場合に,他国に蔵置されたコンピュー タ・データに対して,相互共助を求めることなく一 方的にアクセスすることが許容されるかというこ とは,この条約の起草者が時間を掛けて議論した 問題であった.多くの詳細な検討事例が取り上げ られ,あるものは許容できるように思われ,あるも のは許容できないと思われるものであった.最終 的に起草者は,この問題について包括的に法的拘 束力のある制度を定めることは,時期尚早である と判断した.こうした状況に関する具体的な経験 がまだないことや,妥当な解決は個別の事例にお けるその事例特有の状況によってもたらされると 考えられることから,一般的なルールを定めるこ とが難しいというのが,このような判断にいたっ た理由である.最終的に,起草者は,一方的なアク セスが許容される場合として起草者全員が同意し た場合だけを本条約の第 32 条に規定することとし た.そして,他の場合については,さらに経験が集 積され,それらを踏まえてさらに議論が行われる までは規定しないことで同意した.本件に関して, 第 39 条第3項は,ここに定めている以外の状況に ついては,アクセスを正当化するものでも,排除す るものでもない(293)[15].. 4.
(5) 情報処理学会研究報告 IPSJ SIG Technical Report. 欧州評議会のサイバー犯罪条約委員会も,サイバ ー犯罪条約 32 条によって許容される範囲がかなり 限定的であり,第 32 条に該当しない場合にも国外 データへのアクセスが捜査機関にとって必要な場 合があることを認めている.とりわけ,捜査機関が 証拠を保全する必要がある場合,捜査機関が緊急 の対応を行う必要がある場合,捜査機関が自国で 正当な権限を与えられている場合には,手続きや セーフガードを定めることが必要であると指摘し ている.委員会は,こうした規定をサイバー犯罪条 約に追加することを提案している. 3.3 タリンマニュアル 2.0. NATO サ イ バ ー 防 衛 セ ン タ ー ( CCD COE: Cooperative Cyber Defence Centre of Excellence ) で は , 専 門 家 グ ル ー プ ( an international group of experts)を設置して, サイバー紛争やサイバー戦争に対する国際法の適 用に関する学術的な検討を行っている.その検討 結果として作成された Tallinn Manual 2.0 は,国 家による域外法執行について次のようなルールを 提案している. 規則 11 越境的な法執行権限 国家が人,対象物,サイバースペース上の行為に関 して越境的な法執行権限を行使し得るのは,次の いずれかの場合に限られる (a) 国際法上の明確な権限が付与されている場合 (b) 自国内で法執行が行われることについて当該 国家による明確な同意がある場合 Tallinn Manual 2.0 は,この規則の解説として, 捜査対象者に対して管轄権を行使しうる場合には, 当該捜査対象者が他国で保管しているデータの提 供を命じることが許容されるとして,次のような 設例を挙げている. A 国に帰属する私人がデータを B 国に蔵置してい る状況を想起されたい.C 国は,その法執行の一環 として,そのデータにアクセスを欲している.専門 家グループの意見は,C 国が B 国所在のデータにリ モートアクセスをすることが許容されるために は,A 国の同意だけでは不十分であるということで 一致した.データへのリモートアクセスは,C 国に よる執行管轄権の行使にあたるため,国際法に基 づく特別の権限の付与か,B 国の同意が必要とな. ⓒ 2018 Information Processing Society of Japan. Vol.2018-EIP-79 No.6 2018/2/16. る.しかし一方で,専門家グループの見解によれ ば,A 国が当該私人に対して執行権限を行使して, 例えば,C 国に対して個々の情報を提供するように 求めることはできる[3, p.71].. 4. まとめ クラウド・コンピューティングの進展によって, ネットワーク上でサービスを提供するコンピュー タは世界中に散在している.そして,クラウド上の データに対する犯罪捜査の必要性は,今後も増大 していくであろう.しかし,こうした捜査が他国の 国家主権を侵害したり,捜査対象者の人権侵害に なったりしてはならないことはいうまでもない. 捜査機関による情報の取得が,他国の国家主権の 侵害になるのは,当該他国が主権を有する捜査対 象者に対する公権力の行使をともなう場合である. そして,情報の取得が公権力の行使にあたるのは, 捜査対象者の人権を不当に制約する場合であると 考えられる. 米国マイクロソフト社の事例とわが国の事例を 比べると、米国の事例ではサービス提供者に対す る捜査が問題となっているのに対して、日本の事 例では被疑者の PC からアクセス可能なサーバへの 捜査が問題となっている。 捜査対象者がネットワーク事業者のような第三 者である場合,情報主体である被疑者は,情報の開 示に関して,通常,全く関与せず認識もしていない. 当該データが所在する国家にも認識されずに行わ れることも多い.確かに,明確な権限が付与されて いない場合に,このようなアクセスを行うことは 問題がある. これに対して,被疑者に対して直接捜査が行われ る場合には,被疑者自身が任意による情報の提供 を拒むことができるため,一定の法定手続きが保 障される.被疑者が保有するコンピュータを対象 として強制捜査が行われる場合にも,対象や範囲 を限定して令状等が発布されている.そのコンピ ュータ経由でアクセスされるデータが国内に有る か海外にあるかの違いは,被疑者の人権に大きく 影響しない. したがって,捜査機関による国外データへのアク セスを考えるにあたっては,対象者が被疑者等の 情報主体にあたる場合と,ネットワーク事業者の ような情報管理者にあたる場合を分けて考えるべ きである. そして,少なくとも,捜査機関が自国内の被疑者 等を直接の捜査対象者として捜査を行う場合には,. 5.
(6) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2018-EIP-79 No.6 2018/2/16. 当該捜査対象者が所在する国家の法定の手続きに 基づいて強制捜査が行われるのであれば,特別な 国際法上の権限の付与がなくても,捜査が許容さ れると考えるべきであろう. ただし,サイバー犯罪条約のような国際的な枠組 みが, 「コンピュータ・データに対する国境を超え るアクセス」について規定を定めている以上,こう した枠組みを尊重することは,国際的な協調を強 めるために重要である.したがって,わが国として は,上記のような国際法の理解に立ちながら,条約 改定等の議論に積極的に関与していくことが望ま しい. 参考文献 [1] ROBERT JENNINGS & ARTHUR WATTS, OPPENHEIM’S INTERNATIONAL LAW, (9th ed. 1993), 564. [2] United Nations, Island of Palmas arbitral award (1928), 838. [3] SCHMITT, TALLINN MANNUAL 2.0, CAMBRIDGE UNIVERCITY PRESS(2017). [4] 横浜地判平成 28 年 3 月 17 日. [5] 東京高判平成 28 年 12 月 7 日. [6] 杉山徳明・吉田雅之「『情報処理の高度化等に対処するため の刑法等の一部を改正する法律』について(下)」法曹時報 64 巻 4 号(2012)101 頁. [7] 安富潔『刑事訴訟法』(三省堂,第 2 版,2013)218 頁. [8] Microsoft Corp. v. United States, 829 F.3d 197 (2016). [9] In re Search Warrant 232 F.Supp.3d 708 (2017). [10] Morrison v. National Australia Bank Ltd. 561 U.S. 247 (2010). [11] Microsoft, "US Supreme Court will hear petition to review Microsoft search warrant case while momentum to modernize the law continues in Congress”, Oct 16, 2017. https://blogs.microsoft.com/on-the-issues/2017/10/16/ussupreme-court-will-hear-petition-to-review-microsoft-searchwarrant-case-while-momentum-to-modernize-the-lawcontinues-in-congress/ [12] 法務省『平成 29 年版犯罪白書』「第 6 章 刑事司法におけ る国際協力」 http://hakusyo1.moj.go.jp/jp/64/nfm/n64_2_2_6_1_0.html. [13] MLATs: Mutual Legal Assistance Treaties, 7 FAM § 962.1 (2013), https://fam.state.gov/FAM/07FAM/07FAM0960.html. [14] COE Cybercrime Convention Committee, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, (2016). [15] Council of Europe (2001), Convention on Cybercrime Explanatory Report - [2001] COETSER 8.. ⓒ 2018 Information Processing Society of Japan. 6.
(7)
関連したドキュメント
Since the boundary integral equation is Fredholm, the solvability theorem follows from the uniqueness theorem, which is ensured for the Neumann problem in the case of the
In Section 13, we discuss flagged Schur polynomials, vexillary and dominant permutations, and give a simple formula for the polynomials D w , for 312-avoiding permutations.. In
Analogs of this theorem were proved by Roitberg for nonregular elliptic boundary- value problems and for general elliptic systems of differential equations, the mod- ified scale of
Then it follows immediately from a suitable version of “Hensel’s Lemma” [cf., e.g., the argument of [4], Lemma 2.1] that S may be obtained, as the notation suggests, as the m A
Correspondingly, the limiting sequence of metric spaces has a surpris- ingly simple description as a collection of random real trees (given below) in which certain pairs of
In fact, we have shown that, for the more natural and general condition of initial-data, any 2 × 2 totally degenerated system of conservation laws, which the characteristics speeds
[Mag3] , Painlev´ e-type differential equations for the recurrence coefficients of semi- classical orthogonal polynomials, J. Zaslavsky , Asymptotic expansions of ratios of
(The modification to the statistical mechanics of systems were also studied from the perspective of the extension to the Standard Model that have Lorentz violating terms [36], and
