日本の電気通信事業者と「通信の秘密」最新動向

2014/3/5-1

総務省が「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」の一次とりまとめ案を公開するとともに、それに対する意見募集をしています。

日本において電気通信事業者が何か新しいことをするときには、電気通信事業法の「通信の秘密」が大きな意味を持つ事があります。 この一次とりまとめ案も「通信の秘密」に関連する法解釈が中心です。

一次とりまとめの概要は、以下のように記されています。

最近のサイバー攻撃の動向を踏まえ、主として下記の課題に係る対策に関し、通信の秘密との関係等を整理

(1) マルウェア配布サイトへのアクセスに対する注意喚起
→ 利用者が、一旦契約約款に同意した後も、随時、同意内容を変更できる(オプトアウトできる)こと等を条件に、契約約款に基づく事前の包括同意であっても有効な同意と整理

(2) マルウェア感染駆除の拡大
→ C&Cサーバ※1に蓄積されている、同サーバとマルウェアに感染したPC等の端末に係る通信履歴からマルウェアの感染者を特定し、注意喚起を実施することは、当該端末が正常かつ安全に機能することに対する現在の危難を避けるための緊急避難※2として許容される。
※1 Command and Control serverの略。マルウェアに感染してボットと化したコンピュータ群(ボットネット)に、情報漏えいやデータ破壊等に係る指令を送り、制御の中心となるサーバ。
※2 刑法第37条 自己又は他人の生命、身体、自由又は財産に対する現在の危難を避けるため、やむを得ずにした行為は、これによって生じた害が避けようとした害の程度を超えなかった場合に限り、罰しない。ただし、その程度を超えた行為は、情状により、その刑を減軽し、又は免除することができる。

(3) 新たなDDoS攻撃であるDNSAmp攻撃の防止
→ 利用者が設置しているブロードバンドルータ等のゲートウェイに対するインターネット側からの名前解決要求に係る通信を遮断することは、電気通信役務の安定的提供を図るための正当業務行為※として許容される。
※ 刑法第35条 法令又は正当な業務による行為は、罰しない。

(4) SMTP認証の情報(ID及びパスワード)を悪用したスパムメールへの対処
→ 他人のID・パスワードを悪用して送信されるスパムメールへの対処として、 当該IDの一時停止や、正規の利用者への注意喚起等を実施することは、電気通信役務の安定的提供を図るための正当業務行為として許容される。

どれも、通信の秘密を侵害する違法行為でありつつも、正当防衛(刑法第36条)、緊急避難(刑法第37条)にあたる場合や、正当行為(刑法第35条)にあたる場合など、違法性阻却事由がある場合には例外的に通信の秘密を侵すことが許容されるという、最近よく見る議論が書かれています。

個人的には、UDP port 53をブロックしてDNS Amp攻撃を防ぐことは「正当業務行為」であるため違法性が阻却されるという法解釈や、NTP Amp攻撃に関して言及だけしてあるという部分を、まず最初に着目してしまいがちですが、今回の一次とりまとめの最大のポイントは平成25年度から行われているマルウェア感染防止・駆除プロジェクトACTIVE((Advanced Cyber Threats response InitiatiVE)に関連する「マルウェア感染駆除の拡大」という項目の部分だと思います。

これまでよりも一歩踏み込んだ法解釈

「マルウェア感染駆除の拡大」の部分は、これまでの議論よりも、さらに一歩踏み込んだ内容になっています。

今回の一次とりまとめでは、非常に限定された内容であるものの、約款による包括同意が導入されています。 要は、新たに契約する時点で同意するのではなく、既に契約を行っている状態の利用者に対しても約款の変更で「マルウェア感染駆除の拡大」を防ぐ取り組みを適用できるという法解釈です。

論点としては、以下のようにも書かれています(p.19)。

通信の秘密についての同意は、前章第3節(2)で述べたとおり、契約約款等に基づく事前の包括同意のみでは、一般的には有効な同意と解されておらず、個別の同意でなくてはならないと解されている。しかしながら、マルウェアの感染防止に有効な手段であるマルウェア配布サイトへのアクセスに対する注意喚起におけるIPアドレス又はURLの利用等に当たり、常に個別の同意を必要とすれば、当該取組の普及が滞り、マルウェア感染の防止が進まないといった問題がある。そこで、この場合に関しては、個別の同意がある場合のほか、契約約款に基づく事前の包括同意であっても、一定の条件の下においては、有効な同意ということはできないか検討を行う。

一次とりまとめでは、利用者が設定変更が可能であることなどを条件として、アクセス先IP又はURLなどを機械的に自動検知したうえで注意喚起画面等を出しても良いとしています。

他の目的での利用に関して

各項目に関して、検討された内容以外で通信の秘密に当たる情報を利用することは、通信の秘密を侵害するとあります。 たとえば、マルウェア配布サイトのアクセスに対する注意喚起に関しては、以下のように書かれています。

なお、マルウェア配布サイトへのアクセスに対する注意喚起を行うに当たって取得した通信の秘密に当たる情報(アクセス先IPアドレス又はURL)を当該注意喚起以外のために利用することは、同意の範囲を超えることとなるため、通信の秘密の窃用となり、通信の秘密を侵害することとなる。

しかし、取得されたデータが適切な範囲内でのみ利用されているかどうかを外部から確認することは困難です。 そのため、違法性が阻却されるという法解釈がなされている用途にのみ、通信の秘密に当たる情報が利用されているのかどうかを利用者が確認できず、実際は通信が傍受され続けていても気がつけないという問題もありそうだと感じました。

その他、そこにそういった仕組みが存在してしまうと、何かあったときに「それを使え」という話になりかねないという恐れもありそうです。 たとえば、英国では、児童ポルノブロッキングのために用意された仕組みを使って著作権侵害行為を取り締まるべきという判決が出たことがあります(参考:裁判所が著作権保護のために児童ポルノ対策ブロッキングの仕組み利用を命令@イギリス)。

日本では、東日本大震災直後に「流言飛語への適切な対応」に関する要請が総務省から出されましたが(参考)、特定のURL等をブロックするような仕組みが整備された状態では、「これは緊急避難に該当する」という法解釈をしてしまえば、マルウェアを含まないURLをブロックするような要請が政府から出るという状況も考えられます。

ガイドライン改訂へ?

今後予想される流れとしては、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」を策定している「インターネットの安定的な運用に関する協議会」(電気通信関連4団体とテレコム・アイザック)によって、同ガイドラインが改訂されることが考えられます。

同ガイドラインは、電気通信事業者業界における法解釈を示しているに過ぎず、ガイドラインに法的な効果はありません。 しかし、総務省をオブザーバーとして迎えつつ策定されたガイドラインであるため、事実上は政府によるお墨付きがある手法として業界標準になっています。

このガイドラインが変わるということは、日本におけるインターネット運用が変わることを意味します。

ということで、総務省による「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」によって示される法解釈は、日本におけるインターネット運用を事実上変化させるものとなりそうです。 現段階では、まだ一次取りまとめに対する意見募集ですが、最終版がどうなるのかによって、日本におけるインターネット運用がどうなるかが変わりそうだと思う今日この頃です。

参考

プロフェッショナルIPv6解説動画シリーズ再生リスト

動画で学ぶ「プロフェッショナルIPv6」を作っています。 もしよろしければご覧ください。お楽しみいただければ幸いです!