第115号コラム: 石井 徹哉 理事(千葉大学大学院人文社会科学研究科社会科学専攻(法経学部兼務))
題:「アクセス巡回の自動化プログラムと業務妨害罪」
1 はじめに
librahack事件をご存じでしょうか。ある方が、岡崎市立中央図書館(通称Libra)の新着図書のページが使いづらいことから、自分専用のサイトを作ろうとして、phpスクリプトを使用して、新着図書ページから情報を取得しようとしたことに始まります。詳細は、御本人が作成された<http://librahack.jp>をご覧下さい。
最初は、マニュアルでテストし、その後自動的にスクリプトを動かすようにしたのですが、シリアルアクセスでおよそ毎秒1リクエストになるように設定していたそうです。しかし、実際には、図書館側のサーバが落ちる自体となり、スクリプトを作成し、動かしていた人が逮捕され、20日の勾留の後、不起訴(起訴猶予)処分とされたものです。
問題は、法的な問題、技術的な問題、あるいは、社会制度上の問題等が交錯しており、議論することが難しいのですが、刑法の側から見たちょっとした分析と本件が示した課題について若干の感想を述べてみたいと思います。
2 業務妨害罪の成立要件(1):偽計
本件の逮捕容疑は、偽計業務妨害罪でした。しかし、この事件の報道等によれば、DoS攻撃と位置づけられています。このあたりがまず技術者の方々には、理解しがたいところがあるのではないでしょうか。
現行刑法では、業務妨害罪は、233条と234条に規定されており、233条では、手段として虚偽の風説の流布と偽計が規定されており、234条で、威力を手段とする場合が規定されています。偽計とは、人を欺罔し、または、人の不知・錯誤を利用することをいうとされ、威力とは、人の意思を制圧するにたりる勢力を使用することをいうものとされていました。しかし、これらの概念は、その適用において、次第に拡張されるようになりました。偽計については、機械に向けられた非公然の行為をも偽計とされます(最決昭和59年4月27日刑集38巻6号2584頁。いわゆる「マジックホン事件」)。威力も、一定の行為の必然の結果として、人の意思を制圧するような勢力を用いる場合も含むとされるようになります(最判昭和32年2月21日刑集11巻2号877頁)。こうして、業両者の区別が次第に相対化され、円滑な業務の遂行を困難にしうる行為のうち、相手方に直接心理的圧迫を耐える行為が威力、そうでないものを偽計だと理解されているのが現状です。
通常のDoS攻撃ですと、一般的に多量のアクセスがサーバになされることから、直接心理的圧迫を与えるものとして威力とされてきたように思います。例えば、かつてスパム業者が多量のメールを携帯事業者のアドレス向けに同時に多数送信したような場合がそうです。したがって、もし本件がDoS攻撃ならば,威力業務妨害罪とされてもおかしくなかったでしょう。しかし、実際は、偽計業務妨害罪の容疑をかけられたわけです。なぜ、そうなったのでしょうか。
上記サイトの説明よりますと、3月14日から3月31日までレンタルサーバから、4月2日から15日まで携帯PCから合計約64000回リクエストを送信し、Webサーバの側でHTTP500(内部サーバエラー)が発生した日が21日あったとあります。おそらく、このHTTP500(内部サーバエラー)の発生が偽計とされたことと関係するように思われます。以下、推測の域を出ませんが、リクエスト受け取ったWebサーバがデータを返すために、データベースサーバにリクエストして、データベースサーバから受け取ったデータを返すようになっていたのではないでしょうか。ところが、その間の接続あるいはサーバ間のやりとりがうまくいかず、エラーが生じ、もしかするとデータベースサーバがダウンしたのではないでしょうか(参照<http://librahack.jp/okazaki-library-case/libra-server-accident.html>)。
逮捕された方のスクリプトが発端とはいえ、実際には、図書館側のWebサーバがデータベースサーバにDoS攻撃を仕掛ける結果となり、それがHTTP500のエラーとしてあらわれたように思います。
つまり、行為者のスクリプトのリクエストは、それ自体はなんら問題のないものだけれども、実際は、図書館側のサーバ内でDoSが生じうるようなものだったということで、欺くような手法をとっているとされたと考えることが可能なように思います。
3 業務妨害罪の要件(2):故意
業務妨害罪は、その条文上は、「その業務を妨害した」とあり、現に他人の業務を妨害することが要件とされているように読めます。しかし、裁判所は、以前から、業務妨害罪を抽象的危険犯として理解し、業務を妨害するにたりる行為があれば犯罪が成立し、妨害の結果の発生を必要としないという立場をとってきました(最判昭和、28年1月30日刑集7巻1号128頁)。抽象的危険犯というのは、一般には、何らかの危険が発生することが必要なわけではなく、威力を用いる行為または偽計を用いる行為があれば、そこに業務を妨害する危険があるものと擬制されていると理解されるという意味です。もっとも、ただ漠然と威力や偽計が問題とされるのではなく、あくまで業務の妨害するような偽計、業務を妨害するような威力ということが犯罪の成立要件になります。
このことは、業務妨害罪の故意を考える上でも重要です。業務妨害罪は、妨害の結果を犯罪の成立要件にしていませんので、妨害の結果を認識することは不要です。偽計または威力とされる行為を認識していればたりることになります。ただし、業務妨害罪の手段としての威力・偽計の認識が要求されますので、業務の妨害可能性を有しているという意味において、威力・偽計行為の認識が必要になってきます。
上記サイトに記述されているような認識で、この方がスクリプトを走らせたのであれば、おそらく故意はなかったものといえるように思われます。データの取得がなされていたことから、むしろ正常に動作している(サーバはダウンしていない)という認識だったように思われます。
これに対して、ある人が、図書館に嫌がらせをするために、Webサーバとデータベースサーバの接続回りの不具合がありそうなことに目をつけて、同様のスクリプトを組んで、毎日定期的に走らせた場合、この場合には、故意があるといえます。もし、前述のように故意がないにもかかわらず逮捕されたというのであれば、例えば、図書館側が表面的または弥縫策のようなものであったとしても、何か当該スクリプトからのアクセスを回避するような対策したところ、それに呼応するかのように、アクセス方法を変更してしまい、図書館からみると、しつこくアクセスして、サーバダウンを引き起こしているようにみたからなのかもしれません。この点は、捜査当事者が明らかにしない限り、わからないままでしょう。
4 刑法における課題
上述のように、刑法の適用においては、故意がなかったのに逮捕されてしまった感じが強くしますが、実は、条文解釈においても、従来の裁判所の立場に問題があることも、本件は強く示しているように思います。もともと,機械に対する偽計を認めたマジックホン事件の判例は、現在の234条の2の電子計算機損壊等業務妨害罪、246条の2の電子計算機等詐欺罪といった電子計算機を前提にした犯罪が存在しない時代にでたもので、条文の文言を相当程度拡張することで対応しているものともいえます。
とすれば、電子計算機損壊等業務妨害罪が創設されたことによって、電子計算機に対する加害行為を手段とする業務妨害罪は、一律に234条の2の適用範囲となるものについてのみ考慮すればたりるという解釈をとるべきように思います。234条の2は、手段として、電子計算機・電磁的記録の損壊、虚偽の情報・不正の指令の入力、その他の方法の三つの行為態様をその手段として規定していますが、本件では、その他方法にあたることになるでしょう。
重要なことは、234条の2は、明文で、「電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせ」ることを要求していることです。これは、本罪が成立するための要件とされていることから、行為者にこの点についての認識がないと故意がないことになります。本件事案では、このような認識をもっていたとはいえませんので、故意がなかったことが明白です。もし、捜査機関が、この条項では、故意を認定しがたいので、故意が認定しやすそうな233条や234条の適用を考えているのであれば、きわめて問題のある態度だといえます(そうではないと思いますが)。
なお、機械に対する欺罔を認めたマジックホン事件は、電話の応答信号を交換機へ送信することを阻害する装置を設置して、1通話の料金を免れたという事案ですが、その後、ブルーボックスという国際電話の課金システムに誤った情報を送出する装置を設置した事案では、電子計算機使用詐欺罪の成立が認められています(東京地判平成7年2月13日判時1529号158頁)。この二つの事案を比較するとき、どのように感じられるでしょうか。
5 情報技術における課題
情報技術に携わる人たちからは、本件事案について、逮捕はゆきすぎである、これで逮捕されるとなると、技術開発できなくなるなどの声が多く上がっています。一つは、警察における捜査、それに対する技術者のコミットメントあり方という制度設計の提案があるでしょう。そのためには、捜査機関と技術者のコンベンションをいかに確立していくのかということが問題になりそうです。
もう一つ、あるいは、そういった仕組を作る前提としても、考えるべきことは、あるプログラムが害意のあるものかどうかを判別する学問的な理論体系を構築することではないかと考えます。わが国で、デジタル・フォレンジックが様々な場面で問題とされてきていますが、たいていは、人の行為に対してその証跡を確保しようというものが中心となっているのではないでしょうか。むしろ、ソフトウエアについて、それを分析することで、たんなる動作や機能のみならず、その法的評価の基礎となるような事実を明らかにできることが必要なように思います。
本件でも、たしかに多くの方がこんなのはそもそも犯罪ではないといわれますが、個々の技術者が個々に発言するだけでなく、一つの学問的な体系あるいはなんらか科学的な理論のもとでそのように評価できるということになれば、捜査においてそのような専門家の意見を無視することはできないでしょう。
基本的に、犯罪を認定する裁判官も、証拠収集にあたる警察官、検察官も、かならずしも技術に長けているわけでなく、一定の評価をおこなっています。おそらく警察に設置されている情報技術の解析を担当する部署でも、機能の判定等は、可能であっても、その評価までは十分にされていないわけです。
本件は、このような意味でのソフトウエアに対する技術的評価を理論化する試みをはじめるべきとの警鐘とみるべきなのかもしれません。
技術的なことは、素人ゆえ間違いも多々あるやもしれませんが、この事件に関する個人的な感想を述べさせていただきました。
参考
刑法
(信用毀損及び業務妨害)
第233条 虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、三年以下の懲役又は五十万円以下の罰金に処する。
(威力業務妨害)
第234条 威力を用いて人の業務を妨害した者も、前条の例による。
(電子計算機損壊等業務妨害)
第234条の2人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。
【著作権は石井氏に属します】