まとめてみますた*1。
サイバー犯罪条約は何度か話題に出ているが、実際それがどのように批准されようとしているのかご存知だろうか？
この間弁護士さん主催の勉強会に出席してきたが、そこで報告された批准のされ方には危機感を抱かざるを得ないものだった。
その危機感のもともとをたどっていけば、法制審議会メンバーの、技術的側面での無理解、知識不足がどうしても否定できない。あまりに知識を持たない、知らない、理解できていないために、平気で法律としては仕様上の大バグ持ちのものを制定しようとしているのだ。もちろん法律というものが、その成り立ちの時点で配慮不足、設計上のバグを含んでいたとしても、現場の解釈で現状に即して運用できるだけの余地が残されていればまだいいのだが、仮に現在の審議がそのまま通ってしまうようであればおそらくその余地すらなくなってしまう可能性もある。それだけ危機的な状況なのである。
審議は主に、現行の刑法のどこをどう修正するか、というポイントで進められている。現行法でどこが足りないのか、条約によって要請されている要件のどこが不足しているのか、というのを見極め、その部分を補完していくアプローチだ。例えばウイルスを取り締まる法律が無い、となれば、ではウイルスを定義する条文と、ウイルスをどのように取り締まるか、という条文を追加するのである。
ウイルスやワームを取り締まりたい部分は以下の通りだ。

第一 　不正指令電磁的記録等作成等の罪の新設等
　一 　人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。
　二 　一の不正な指令を与える電磁的記録を人の電子計算機において実行の用に供した者も、一と同様とすること。
　三 　二の未遂は、罰するものとすること。
　四 　一の目的で、一の不正な指令に係る電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処するものとすること。
　五 　電子計算機損壊等業務妨害の罪（刑法第二百三十四条の二）の未遂は、罰するものとすること。

そのアプローチ自体に文句をつけるわけではない。しかし、例えばウイルスの定義に問題がある。現行の修正案における定義では、ウイルスのみならず各種のexploitまで、要するにわれわれセキュリティベンダーが商売として監査をやるときに使うテストプログラムの類、研究目的で作られるものも含めて、すべてがこの修正案にひっかかる可能性があるのだ。しかも、製造だけでなく、保管や公開（提供）にまで罰則が明記される案になっている。日弁連はそこに「悪意ある行為」*2という制限を設けるべき、という提言を出したが、あえなく却下されたようだ。
要するにこれは、ウイルスやワームというプログラムを取り締まりたいのだが、その定義がどこからどう見ても曖昧で、法律を執行する側に恣意的に濫用されてしまう可能性がある、ということである。もちろん執行者が全て悪意を持っているわけではないだろうし、見る目がそれほど曇っているというわけでもなかろう。しかし、保管していただけであっても有無を言わさず罪に問われる可能性がある、ということは、即ち誰かを陥れようと思ったら、exploitコードをこっそり置いて時限的に外に向けて発射するようにしておくだけで良い、ということになるのだ。
公開（提供）もヤバい。例えば掲示板に誰かがexploitコードを貼り付けたらどうなるのだろうか？貼り付けたヤツが直接の公開者ということになるのだろうが、その掲示板の管理人にしても、そのexploitコードを貼り付けた日前後、たまたま海外旅行でプーケットにハネムーンプランで（笑）*3出かけていて、戻ってくるまで時間がかかってしまった場合、共犯ということになるのだろうか？もっと直接的に、弱点を持ったWebサーバーにexploitコードを撃ちこんでおけば、それで公開（提供）ということにならないだろうか？
こうしたことを考えると、業界全体がこの手の商売に対してものすごく慎重にならざるを得ないし、ひいては萎縮することになる。業界だけでなく学会もそうだろう。学校についても研究目的にせよ、持っているだけでダメなのだ。そういうリスクを犯してまで研究するような学校も無かろう。
取り締まられる側だけでなく、取り締まる側にとってもこの点は問題がある。というのも、やはり定義が曖昧であるため、一般的なプログラムバグまでその範囲であると解釈できてしまうからだ。意図に沿うべき動作をさせない、意図に反する動作をさせる、という文言があるのだが、その指す範囲も曖昧であり、どうとでも解釈できる。となると単なるバグを作り込んだだけでも、取りようによっては刑事罰になるわけである。逆に言えばもともとウイルスにしろワームにしろ、原因にはバグがあるとも言えるわけだし、単なるバグとバグ以外*4を峻別できなければ、すべてのバグを含めてしまうしかないことにならないだろうか。
これでは執行側もこの法律の適用DOS状態となり、本来の目的を達することができなくなってしまうのではないだろうか。あるいは逆に本当に悪いことを企てる人がDOSを作為して混乱を招くことは容易であろう。
いずれにしても今回の法制審議会の修正案は危険極まりない。というより、もっと積極的に、結局誰の得にもならない修正であるように思える。修正点は他に3点あるのだが特に問題となるであろう（今は全然問題にされていない、それこそが大問題（笑））「不正指令電磁的記録等作成等の罪の親切等*5」について取り上げてみた。
参考：

• ハイテク犯罪に対処するための刑事法の整備に関する諮問http://www.moj.go.jp/SHINGI/030324-2.html
• 日弁連の意見書http://www.nichibenren.or.jp/jp/katsudo/sytyou/iken/03/2003_38.html
• 経団連の意見書http://www.keidanren.or.jp/japanese/policy/2003/077.html
• 山下幸夫弁護士の意見http://www1.neweb.ne.jp/wb/zinken/lawnef1_21.html
• 崎山伸夫さんの問題提起http://www.sakichan.org/publication/cybercrime-20031011/
• 宇野俊介さんの記事http://www.atmarkit.co.jp/fsecurity/special/14cyber/cyber01.html