Entry

ウイルス作成罪についてつらつら

2011年05月29日

高木浩光さんのところで,紹介されていたので少しつらつら。

重大なバグを後から認識した場合にそれを公開し続けると、不正指令電磁的記録提供罪に問われることが「ある」とのことだ。

高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解

ウィルス作成罪の話に入る前に,コンピュータウィルスの定義にまつわる問題をつらつら。実のところ,あるプログラムがウィルスなのかとか,プログラムの動作がバグなのかとかを判断するのは,なかなか難しいところがあって,これはこのサイトで少し前に問題にしたところだったのでした。

したがって,極端な話,他のプロセス空間を汚染してそのプロセスを暴走させるプログラム(ウィルスだが)を書いたって,「これは他のプロセスを暴走させるプログラムです」と言ってしまえば,バグのない正常なプログラムになる。そのプログラムがバグか否かは,プログラム内部で記述できるものではなく,プログラム外部の評価が必ず必要になるわけです。

qune: ソースコードに書かれていないバグに関する情報の話

結局,ウィルスを記述することは,プログラム内部(プログラムの動作それ自体)から記述することはできず,外部的な評価が必ず必要になる。これは答弁でも問題になっていて,取説がどうとかとかいった話がある。その際,誰を基準にした判断なのか,といった話があって,これは刑事法でよく問題になるんだけれども,個人的な解釈では,一般人基準か別の場面で一部センセがおっしゃっている科学的一般人の基準でいいのだと思う。現状,ソフトウェアの利用目的やユーザのスキルが多岐に渡ることを考えると,主観説はなじまない。

一般人基準であれば,エンドユーザ一般の意図ということになるし,科学的一般人だとソフトウェア開発者一般の認識になるのだと思います。

しかしながら,どう工夫しても,法律上一般的に記述すると,ウィルスの定義は法案の表現が限界なんじゃないかとも思う。あるプログラムがウィルスと呼ばれるかどうかは,(法律の尺度からすると)かなり短期間のうちに大きく変動するものだし,現在のところ(科学的)一般人を定立できるだけの共通認識もあるとは言えないからです。例えば,iPhone4 が GPS で位置情報をゴリゴリ収集しているのは,マルウェアとも呼べるし便利機能とも呼べる(参照: iPhone secretly tracks user location, say researchers - Computerworld)。専門家の間でも意見が分かれているのではないだろうか。

人が死ねば大体の人は死んだと分かるけれども,プログラムがウィルスと呼ばれるかはどんな人を定立しても,言うことがてんでばらばらになるのだと思う。そゆものを取り締まる場合,まさに罪刑法定主義上の配慮が必要なわけだけれども,どうしたもんやら。

思うんだけれども,ウィルスであるかについては,「ウィルスに当たる」としておいて,構成要件上の他の要件で絞るしかないのだと思う。ウィルスの性質(外部的な評価が必要)からしても,ウィルス概念をこねくり回すよりも,正道なんじゃないだろうか。

で,ウィルス作成罪なんですけれど,一応条文を引いておくことにします。

第百六十八条の二 人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
  一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
  二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 2 前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
 3 前項の罪の未遂は、罰する。

法務省:犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律(案)

まず,某所で「実行の用に供する目的」を故意だと推測されているところがあったんですけれど,これは目的犯にいわゆる「目的」と解釈するのが普通なんだと思う。つまり,背任罪における図利加害目的のように,ウィルスプログラムを作ったという認識(故意)だけでは足りず,人にプログラムを実行させる目的が少なくとも必要になる。しかし,その目的で作った以上は,実際に人がプログラムを実行したかを問わず作成罪が成立する。こう解釈した場合,例えばセキュリティ会社が,ローカルな環境で試験する目的でウィルスを作った場合は,おそらく目的がないことになる。これは形式的に条文を読む上で,十分自然で可能な解釈です。

さらに「目的」の解釈について,「人の計算機に損害を加える目的」みたいなもんが必要か,といった問題もあるのだろうけれど,これは条文上からは微妙なところ。この目的が必要だと解釈するなら,フリーウェアの使用許諾にある「損害に対して責任を持ちませんよ」的な条項が直接的/間接的に効いてくるはず。はっきりしてもらいたい。

一方,提供罪。こちらには目的が書かれていないので,形式的には故意犯とゆ解釈になりそ。これは,端的にマズいと思う。政府答弁もそう解釈したからこそ,提供罪が成立する可能性があるとしたのだろうけれども,作成罪とのバランスを考えると,目的犯として解釈すべきなんじゃないだろうか。もっとも,目的犯と解釈したとしても,それを認定するための外部的な基準がどこにあるのかはよく分かりません。また,少なくとも,具体的危険犯として解釈すべきだとは思う。

ここからは技術者としての話になるけれども,なんというかこゆ話について,「法律のバグを直せ」とかいったオヤジギャグ含みで,無責任に問題を放っぽり投げる態度は,そろそろやめたらどうなんだろうかと思います(※高木さんのことではありません)。刑事法で国が取り締まろうとするはるか前からコンピュータウィルスは認知されていて,いたちごっこながらも技術者の間で対策が立てられてきたわけだけれども,有効な対策が立てられないまま,コンピュータが一般に普及し,ネットが高速化するに至って,その深刻さはいよいよ飛躍的に高まりました。

こうした事態に対して,技術者はその倫理としてどのようなものを持っていなければならないのか。単に法案に難癖をつけて問題を他に丸投げするのではなく,プロなりアマなりの技術者として何らかの具体的な提案はできないのか。考えなくてはいけないのではないかと思います。

あちこちの技術者と思われる方の反応を見る限り,そうした問題意識があまりにも希薄な点が,むしろ,法案そのものよりも危うげだと思ったりもする。

Trackback
Trackback URL:
Ads
About
Search This Site
Ads
Categories
Recent Entries
Log Archive
Syndicate This Site
Info.
クリエイティブ・コモンズ・ライセンス
Movable Type 3.36
Valid XHTML 1.1!
Valid CSS!
ブログタイムズ

© 2003-2012 AIAN