関係法令Q&Aハンドブック

Q52 ソフトウェアのリバースエンジニアリング

マルウェア対策のために当該マルウェアを解析する場合やサイバーセキュリティ対策として不正行為に用いられるソフトウェアの構造等を解析する場合に、当該マルウェアや当該ソフトウェアの複製や一部改変を行うことは、著作権法上、問題ないのか。

マルウェアに感染等したソフトウェア、又はマルウェアの感染等から守られるべきソフトウェアについて、サイバーセキュリティ対策の目的で当該ソフトウェアを解析する際にこれを複製することは、著作権法上、問題ないのか。

タグ: 著作権法、リバースエンジニアリング、マルウェア、柔軟な権利制限、複製権、翻案権、同一性保持権

1.概要

たとえサイバーセキュリティを脅かす不正行為に供されるソフトウェアやマルウェア1であっても、プログラムの著作物として著作権による保護を否定することはできないと考えられる。このようなプログラムの著作物を調査解析目的で利用すること(いわゆるリバースエンジニアリング2)については、平成30年の著作権法改正以前は、一部の権利制限規定に該当しない限り、複製権や翻案権の侵害となる可能性が否定できなかった。

しかし、平成30年に著作権法が改正され、サイバーセキュリティ対策の目的やプログラムの調査解析の目的で行われる当該プログラムの複製や改変等、いわゆるリバースエンジニアリングについては、同法第30条の4に規定される権利制限の対象として、著作権侵害にはならないと考えられる。

2.解説

(1)プログラムの著作物について

マルウェアや不正行為に用いられるソフトウェア(以下「不正目的ソフトウェア」という。)であっても、通常は、著作権法上のプログラムの著作物(著作権法第2条第1項第10号の2、第10条第1項第9号)3に該当するものは多いと考えられる。このため、これらの不正目的ソフトウェアであっても、それを構成するプログラムについては著作権が発生し、著作権法上の保護が及ぶことになる。もちろん、マルウェアに感染等したソフトウェア、又はマルウェアの感染等から守られるべきソフトウェア(以下まとめて「対象ソフトウェア」という。)についても、著作権法上のプログラムの著作物に該当するものは多いと考えられる。

したがって、プログラムの著作物に関するリバースエンジニアリングについては、たとえマルウェア対策等の目的の解析を行う場合であっても、権利者に許諾なく複製や一部を改変する行為が生じている以上は、平成30年の著作権法改正前までは、同改正前著作権法第30条の4や第47条の3等の権利制限規定に該当しない限り、複製権や翻案権の侵害となる可能性を否定できなかった。

(2)著作権法第30条の4について

社会におけるデジタル化・ネットワーク化の進展等に伴う著作物の利用環境の変化等に対応するべく、著作物等の公正な利用を図るとともに著作権等の適切な保護に資するため、平成30年に著作権法が改正4され、改正内容の一つとして、柔軟な権利制限規定が新設された。

このうち、同法第30条の4は、「著作物に表現された思想又は感情の享受を目的としない行為については、著作物の表現の価値を享受して自己の知的又は精神的欲求を満たすという効用を得ようとする者からの対価回収の機会を損なうものではなく、著作権法が保護しようとしている著作権者の利益を通常害するものではないと考えられるため、当該行為については原則として権利制限の対象とすることが正当化できる」5ことを趣旨として設けられたものである。

同条は、通常権利者の利益を害しないと考えられる行為類型に該当するものとして、著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的としない場合(以下「非享受目的」という。)には、その必要と認められる限度において利用できる旨を規定している。

同条にいう「『享受』とは、一般的には『精神的にすぐれたものや物質上の利益などを、受け入れ味わいたのしむこと』を意味することとされており、ある行為が本条に規定する『著作物に表現された思想又は感情』の『享受』を目的とする行為に該当するか否か」は、「立法趣旨及び『享受』の一般的な語義を踏まえ、著作物等」の利用を通じて、利用による「知的又は精神的欲求を満たすという効用を得ることに向けられた行為であるか否か6という観点から判断」される7

同条は、このような非享受目的の著作物利用を柱書において権利制限の対象8としつつ、同条各号において非享受目的として典型的に想定される場合を例示列挙している。

(3)プログラムの著作物の享受について

プログラムの著作物は、「表現と機能の複合的性格を有して」いることから、「プログラムの著作物に『表現された思想又は感情』とは、当該プログラムの機能を意味すると考えられるところ、その『表現された思想又は感情』の『享受』に該当するか否かは、当該プログラムを実行等することを通じて、その機能に関する効用を得ることに向けられた行為であるかという観点から判断されるものと考えられる。プログラムの著作物について対価回収の機会が保障されるべき利用は、プログラムの実行等を通じて、プログラムの機能に関する効用を得ることに向けられた利用行為であると考えられる9」としている。

したがって、プログラムの著作物に関しては、当該プログラムの実行等を通じて、プログラムの機能に関する効用を得ることを目的としていない場合は、非享受目的として著作権法第30条の4を適用することが同条の趣旨に合致すると考えられる。

(4)リバースエンジニアリングについて10

マルウェア対策やサイバーセキュリティ対策の目的で、いわゆるリバースエンジニアリングの一環として不正目的ソフトウェア又は対象ソフトウェアを解析に伴い複製する場合や、構造等を複製、改変して解析する場合、このような目的での利用は、不正目的ソフトウェア又は対象ソフトウェアの実行等を通じて、その機能を享受することに向けられた利用行為ではないと評価できる、すなわち、非享受目的による利用行為であるといえるため、著作権法第30条の4の規定に基づき、必要と認められる限度において方法を問わず不正目的ソフトウェア又は対象ソフトウェアを構成するプログラムの著作物を利用できることとなり、この場合には、著作権侵害の問題は生じないことになる。

その他具体的な利用方法として、以下のような行為が、非享受目的に該当すると考えられている11

  1. プログラムのオブジェクトコードをソースコードに変換するだけでなく、それをまたオブジェクトコードに変換し直す場合
  2. プログラムの解析を困難にする機能が組み込まれているマルウェアプログラムの当該機能部分を除去する場合
  3. プログラムの解析の訓練・研修のために調査解析を行う場合
  4. プログラムを実行しつつ調査解析する場合や調査解析中の当該プログラムがアセンブリ言語に変換された画面を資料化(紙媒体への印刷、PDF化)する場合であって、そのプログラムの実行や資料化がその機能を享受することに向けられていない場合

実務的には、上記の行為がプログラムの機能の享受に向けられたことでないことを担保し、立証できるようにしておくことが望ましく、具体的な方策として、「例えば、調査解析専用のパソコンを用意してそれで実行したり、調査解析の過程や結果をレポートに記録したりする」12といったことが挙げられている。

(5)利用規約とリバースエンジニアリングの関係について13

通常、ソフトウェアを利用する場合には、利用規約等においてディスアセンブル、デバッグ、リバースエンジニアリング等の解析行為を禁止する条項が規定されているが、以下のように、このような条項は、独占禁止法上の違法性が私法上の効力に影響を与える可能性がある。また、著作権法上権利制限規定がある部分について利用制限を課す契約条項の効力については様々な考え方があり得るため留意が必要である。

ア 独占禁止法上違法となる契約条項

独占禁止法上違法となる契約条項については、民法第90条(公序良俗違反)に基づき、私法上の効力も無効となる場合があり、リバースエンジニアリングを禁止する条項は、市場における公正な競争を阻害するおそれがある場合においては、無効となる可能性がある14

イ 権利制限規定がある部分について利用制限を課すライセンス契約の条項

著作権法で保護されている著作物であっても、同法の規定により著作権が制限されている部分(著作権法第30条から第49条まで)が存在する。この部分は著作権法によって著作権者の許諾なく著作物の利用が認められている部分である。この著作権が制限されている部分について利用制限を課す契約条項の効力については、有効・無効様々な考え方があり得るため、留意する必要がある15

3.参考資料(法令・ガイドラインなど)

4.裁判例

本文中に記載のとおり

[1]

malicious software の短縮された語。不正かつ有害な動作を行う、悪意を持ったソフトウェア(サイバーセキュリティ2021・358頁)。

[2]

文化庁著作権課「デジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定に関する基本的な考え方(著作権法第30条の4、第47条の4及び第47条の5関係)」11頁参照

[3]

知財高判平成18年12月26日(平成18年(ネ)第10003号)最高裁ウェブサイトは、プログラムに著作物性があるといえるためには、「指令の表現自体、その指令の表現の組合せ、その表現順序からなるプログラムの全体に選択の幅が十分にあり、かつ、それがありふれた表現ではなく、作成者の個性が表れているものであることを要する」としており、「プログラムの表現に選択の余地がないか、あるいは、選択の幅が著しく狭い場合には、作成者の個性の表れる余地もなくなり、著作物性を有しないことになる」と判示している。

[4]

「著作権法の一部を改正する法律(平成30年法律第30号)」による改正。同法は、一部を除き平成31年1月1日に施行された。

[5]

前掲注2・6頁参照。

[6]

前掲注2・39頁によれば、「本条では『享受』の目的がないことが要件とされているため、仮に主たる目的が『享受』のほかにあったとしても、同時に『享受』の目的もあるような場合には、本条の適用はないものと考えられる」とされている点については留意が必要である。

[7]

詳細は、前掲注2・6頁~8頁を参照。なお、当該資料は、文化庁としての基本的な考え方が示されたものであり、司法判断を拘束するものではなく、「享受」の意味や個別具体的な事案における著作権法第30条の4の権利制限規定への該当性については、最終的には司法の場で判断されるものである点に留意。

[8]

なお、本権利制限規定は著作権を対象とするものであり、同一性保持権などの著作者人格権を対象としていない点については留意が必要である。

[9]

前掲注2・37~42頁参照。

[10]

前掲注2・11頁及び37~42頁参照。

[11]

前掲注2・11頁参照。

[12]

前掲注2・11頁参照。

[13]

電子商取引準則253頁参照。

[14]

ソフトウェアと独占禁止法に関する研究会「ソフトウェアライセンス契約等に関する独占禁止法上の考え方」(平成14年3月)(http://warp.ndl.go.jp/info:ndljp/pid/247419/www.jftc.go.jp/pressrelease/02.march/020320.pdf)によれば、「プラットフォーム機能を持つソフトウェアのように,当該ソフトウェアとインターオペラビリティを持つソフトウェアやハードウェアを開発するために」「①当該ソフトウェアのインターフェース情報が必要であり、②ライセンサーがインターフェース情報を提供しておらず、③ライセンシーにとって、リバースエンジニアリングを行うことが、当該ソフトウェア向けにソフトウェアやハードウェアを開発するために必要不可欠な手段となっているような場合においては、リバースエンジニアリングを禁止することは,ソフトウェアにノウハウが含まれる場合があり,また,仮に外形上又は形式的には著作権法上の権利の行使とみられる行為であるとしても,著作権法上の権利の行使と認められる行為とは評価されず,独占禁止法が適用されるものと考えられる。」「このような場合において,ライセンサーがライセンシーに対して,リバースエンジニアリングを行うことを禁止することは,このような制限が課されることにより,ソフトウェアの製品市場又は技術市場におけるライセンシーの研究開発活動が阻害されるなど,当該ソフトウェアで利用可能な他のソフトウェア若しくはハードウェアの製品市場又はシステムインテグレーターなどが提供する当該ソフトウェアに関連したサービス市場における公正な競争が阻害される場合には,不公正な取引方法に該当し,違法となると考えられる(一般指定第13項(※)〔拘束条件付取引〕に該当)。」とされている。(※)現行一般指定12項。

[15]

前掲注13・251頁参照。

Q53 暗号の利用と情報管理等

暗号の利用は情報の管理を求める法令等に関してどのような役割を果たすか。また、関連する法制度としてどのようなものがあるか。

タグ: 個情法、不正競争防止法、著作権法、電波法、電子署名法、暗号、CRYPTREC、危殆化、技術的制限手段、技術的利用制限手段、技術的保護手段

1.概要

暗号技術を利用することにより、情報の内容を第三者に秘匿することができる。このため、法律上情報の安全管理が求められている場合(個情法等)や情報の秘匿を行っていることにより法的な保護を受けることができる場合(不正競争防止法、著作権法等)には、暗号が利用される。また、暗号を応用した技術により電磁的記録の改ざんの検知や情報発信の否認を防止することができる。この技術を利用し、電磁的記録の作成の真正を技術的に担保することができる(電子署名法)。

暗号を利用するに当たっては、適切な強度の暗号を選択すること、復号するための鍵について適切に管理すること、危殆化が生じている暗号を利用しないことが必要である。

2.解説

(1)サイバーセキュリティと暗号1

暗号技術(暗号を応用した技術を含む。)を利用することにより、情報の内容を第三者に秘匿すること、情報の改ざんを発見すること、発信の否認を防止すること、正当な利用者のみアクセスさせることができる。そのため、保管データや通信の秘匿など情報の秘匿化、認証によるアクセスコントロール、改ざんの検知(電子署名)などにおいて広く利用されている。

暗号を生成するアルゴリズムには、基礎理論の違い、解析の容易性・困難性、利用の際のハードウェアへの負荷の程度の軽重などに応じて種々のものがある。そのため、一定の目的を達成するために暗号を利用する場合には、その利用方法と達成する目的を勘案した上で、適切な強度の暗号を選択し、利用するよう留意しなければならない。

また、一度暗号化された情報を再度意味内容が理解できるようにすることを復号というが、復号に当たっては、復号鍵が必要である。情報を暗号化したとしても、復号鍵が流出してしまうと、その流出した復号鍵を利用して第三者が復号することが可能になるなど、情報を暗号化した意味がなくなってしまう。そこで、復号鍵の適切な管理も重要であり、復号鍵の適切な管理のためには、管理手順を定めることが有用である。

さらに、暗号自体の問題として、暗号アルゴリズムが開発された時点では暗号理論上、十分な堅牢性を持っている場合であっても、計算速度の向上など日々の技術の進歩により、容易に破られるようになってしまう(暗号の危殆化)2。そこで、暗号の実装に当たっては、このように危殆化した暗号を排斥し、安全で信頼できる暗号を利用する必要があり、また、一度実装した暗号であっても時の経過により危殆化した場合には、新たな暗号アルゴリズムに置き換える、鍵長を長くするなどの対応が必要である。安全で信頼できる暗号アルゴリズムのリストとしては、CRYPTREC3の電子政府推奨暗号リスト4やISO/IEC18033シリーズがある。

以上のとおり、暗号を利用する場合には、その利用方法と達成する目的を勘案した上で、適切な強度の暗号を選択し、また、技術の進歩による暗号の危殆化についても情報を継続的に入手したうえで、利用する暗号アルゴリズムを更新すること、復号鍵を適切に管理することが重要である5

(2)暗号と法制度

暗号は、法制度との関係では、情報の秘匿性が実現できるという観点から、①一定の情報について法律上、セキュリティ義務が課せられている場合の利用、②一定の情報については、セキュリティ確保が法的保護を受けるための条件となっているところ、当該セキュリティ確保のための利用がある。また、情報改ざん検知、発信の否認防止ができるという観点から、③一定の法制度の基礎技術としての利用がある。

ア サイバーセキュリティに関する義務の履行としての利用

事業者に一定の情報についてセキュリティ義務を課している法律は多く、そのセキュリティ義務の履行の方法として暗号が利用される。

個人情報取扱事業者は、個人データに対して安全管理措置(個情法第23条)を講ずる必要があるが、個情法ガイドライン(通則編)においても、安全管理措置のうち、技術的安全管理措置として、個人データを含む通信の経路又は内容を暗号化することが手法の例示の一つとして挙げられている。同様に、行政機関の長等は、保有個人情報について安全管理措置を講ずる必要があり(個情法第66条第1項)、また、総務大臣等は、特定個人情報の提供システムについて秘密管理として適切な方法を取らなければならないが(番号利用法第24条)、これらの方法としても暗号化がその方法の一つとして利用される。

ただし、暗号化はあくまでも安全管理措置の一環として行われるものであり、個人情報(個情法第2条第1項)を暗号化しても、暗号化された情報は非個人情報となるわけでない6

その他個情法との関係では、要配慮個人情報が含まれる個人データの漏えい等一部の類型の漏えい等事案(報告対象事態)が生じた場合、個情委への報告及び本人への通知が必要となる(個情法第26条、個情法施行規則第7条)ところ、漏えい等した個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には、上記個情委への報告及び本人への通知を行う必要がないとされている7

ここにいう「高度な暗号化等の秘匿化がされている場合」とは、漏えい等事案が生じた時点の技術水準に照らして、漏えい等した個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されている場合をいう。そして、第三者に見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、電子政府推奨暗号リストやISO/IEC18033シリーズ等に掲載されている暗号技術が用いられ、それが適切に実装されていることをいい、また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離した上で、復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかを満たすことが必要である8

イ 法的保護の前提としてのセキュリティ確保のための利用

事業者が一定の情報についてセキュリティ等を確保している場合、当該情報が法的に保護を受け得ることがあるが、その方法として暗号が利用される。

一定の情報が不正競争防止法における営業秘密(不正競争防止法第2条第6項)や限定提供データ(同法第2条第7項)に該当する場合、民事上、刑事上の保護を受け得る9。この際、営業秘密や限定提供データと認められるためには、それぞれ秘密管理性や電磁的管理性などの要件を満たす必要があり、対象情報を暗号化し、特定の者のみがアクセスすることができるようにすることも、これらの要件を満たすための方法の一つである10

また、技術的制限手段(同法第2条第8項)として暗号が利用されており、技術的制限手段を回避する装置やプログラム等を譲渡等することは不正競争に該当し(同法第2条第1項第17号、第18号)、民事上、刑事上の保護を受けることができる。

さらに、著作物についても、技術的利用制限手段(著作権法第2条第1項第21号)や技術的保護手段(同項第20号)として暗号が利用されている。技術的利用制限手段を回避する行為や、技術的保護手段の回避又は技術的制限手段を回避する装置やプログラム等を譲渡等する行為は、当該技術的利用制限手段にかかる著作物に係る著作権、出版権又は著作隣接権を侵害する行為とみなされる(同法第113条第3項)。また、著作物の利用については、私的使用のための複製(同法第30条第1項本文)について著作権の制限であるとされているが、その場合であっても、技術的保護手段によってコントロールされた著作物について、その技術的手段が回避されたことを知って複製を行う場合には、制限の例外とされている(同項第2号)11

最後に、電波法は、暗号通信という概念を設定しており、無線通信が暗号化されている場合には、その内容を漏えいし、又は窃用する目的で、無線通信を復号する行為が罰則の対象となる(電波法第109条の2第1項、第2項)。

ウ 一定の法制度の基礎技術としての利用

電磁的記録に記録された情報について本人による電子署名が行われているときは、真正に成立したものと推定される(電子署名法第3条)。また、電子署名法上の電子署名に該当するためには、電磁的記録に記録することができる情報について行われる措置であって、①当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること、②当該情報について改変が行われていないかどうかを確認することができるものであることの二つの要件を満たす必要がある(同法第2条第1項)。また、電子署名法上の特定認証業務による電子署名の要件を技術的に満たす方法として、暗号を応用した技術が使われている(同法施行規則第2条各号)12

3.参考資料(法令・ガイドラインなど)

  • 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)
  • 個情法
  • 個情法施行規則
  • 番号利用法第24条
  • 不正競争防止法第2条第1項第17号、第18号、第8項
  • 著作権法第2条第1項第20号、第21号
  • 電波法第109条の2
  • 電子署名法第2条、同法施行規則第2条

4.裁判例

特になし

[1]

暗号については、例えば「暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。」(IPA「暗号技術Q&A」(https://www.ipa.go.jp/archive/security/crypto/qa.html))などとされている。暗号に関する技術の解説についても同ページが参考となる。

[2]

平成25年3月時点の電子政府推奨暗号リストにおいては、共通鍵暗号について64ビットブロック暗号の3-key Triple DESやストリーム暗号の128ビットRC4、ハッシュ関数についてSHA1などは、互換性維持以外の目的での利用が非推奨とされている。

[3]

CRYPTRECはCryptography Research and Evaluation Committees の略であり、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。総務省及び経産省が共同で運営する暗号技術検討会と、NICT及びIPAが共同で運営する暗号技術評価委員会及び暗号技術活用委員会等で構成される。

[4]

CRYPTRECは活動を通して電子政府で利用される暗号技術の評価を行っており、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を策定している。そのリストの中で、安全性及び実装性能が確認され、市場における利用実績が十分であるか今後の普及が見込まれると判断されて利用を推奨する暗号技術のリストを「電子政府推奨暗号リスト」としてまとめている。

[5]

暗号の評価、導入、管理について、NISC「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」192頁「6.1.5 暗号・電子署名」が参考になる。

[6]

個情法ガイドライン(通則編)5頁

[7]

個情法施行規則第7条

[8]

個情法QA 6-16

[9]

ただし、限定提供データについては、刑事上の保護は規定されていない。

[10]

Q20、Q23も参照。

[11]

Q24も参照。

[12]

Q43も参照。

Q54 認証/本人確認に関する法令について

認証とはどのような概念か。これに関連して、本人確認を求める法制度としてどのようなものがあり、なりすましが起きた際の法的問題はどのようなものがあるか。

タグ: 個情法、電子署名法、公的個人認証法、犯収法、出会い系サイト規制法、古物営業法、携帯電話不正利用防止法、認証、認可、アクセス制御、本人確認、顔認証、安全管理措置、eKYC、なりすまし

1.概要

インターネットにおける特定の機能の利用等の権限やアクセス権を付与する仕組みとして、認証、認可、アクセス制限といったものが挙げられる。また、法令上本人確認がもとめられていることがあるが、本人確認における脅威として、なりすましが挙げられ、民事上、刑事上問題となりうる。

2.解説

(1)認証(authentication)と認可(authorization)

まず、認証とは、インターネット上においては、利用者が本人であることを確認すること1、厳密に言うとアクセス主体を特定した上で、そのアクセス主体が正当な主体であることを検証すること2とされている3。認証の方法としては、知識(ID及びパスワード等、利用者本人のみが知り得る情報)、所有(電子証明書を格納するICカード、マイナンバーカード、ワンタイムパスワード生成器、利用者本人のみが所有する機器等)及び生体(指紋や静脈、顔等、本人の生体的な特徴)によるものがある4

そして、認可とは、特定の条件の下、利用者に特定の機能の利用の権限(アクセス権限)を付与することを指す。例えば、SNSにおいて、利用者がログインした場合、当該利用者に、当該SNSの利用者のアカウントでの投稿を許可する場合などを指す。

そして、認証と認可を組み合わせて、正当に承認されている人を認証した上でその人にだけ特定の情報やリソースについてのアクセス権を付与し、主体を制限することをアクセス制御という。

なお、いわゆる顔認証に関して、顔画像等から特定の個人を識別できれば個人情報に該当することから、特定の個人を識別可能なカメラ画像は個人情報に該当する。また、認証用に抽出した顔の特徴情報は、個人識別符号として個人情報に該当する。そのため、これらの情報の取扱いに当たっては、利用目的を特定した上で通知又は公表を行うなど、個情法に基づく取扱いが必要である5

(2)認証の活用

上記のように、認証機能を利用することで、誰にどの情報やどのリソースにアクセスさせるのかを管理し、情報についての機密性を確保することができる。そのため、個情法ガイドライン(通則編)においても、安全管理措置(個情法第23条)のうち、技術的安全管理措置として、個人データを取り扱う情報システムを使用する従業員を認証し、アクセス制御することが手法の例示の一つとして挙げられている。また、情報についての機密性を確保することができることから、営業秘密の要件である秘密管理性の確保にも活用することができる。

(3)法令における本人確認

また、関連して、各種法令には、本人確認又は本人の属性の確認が義務とされているものがある。

まず、犯罪による収益の移転防止に関する法律(平成19年法律第22号。以下「犯収法」という。)第4条において、特定取引6を行う際に取引時確認を実施すべきことが義務づけられているところ、オンライン上だけで完結する確認方法も認められている(犯罪による収益の移転防止に関する法律施行規則(平成20年内閣府、総務省、法務省、財務省、厚生労働省、農林水産省、経済産業省、国土交通省令第1号)第6条第1項)。その具体的な方法としては、同項の要件を充足するマイナンバーカード等の写真付き本人確認書類の画像と容貌の画像で確認することが考えられる。

このほかに、以下のような法令で本人確認又は本人の属性の確認が求められている。

  1. マッチングサイトなどの出会い系サイト事業者による、利用者が児童でないことを確認するための本人の年齢確認(出会い系サイト規制法7第11条)
  2. 古物営業による、古物取引の相手方の本人確認(古物営業法第15条第1項)
  3. 携帯電話の販売業者等による、携帯電話の悪用を防ぐための、携帯電話等の契約・譲渡時の取引相手方の本人確認(携帯電話不正利用防止法8第3条1項)

また、法令ではないが、決済事業者等とクレジットカードの連携に係る本人認証等についてのガイドライン9があり、決済事業者等がクレジットカードと連携させる場合は、当該ガイドラインに沿って本人確認のための認証等を実施する必要がある。

(4)なりすまし

上記のとおり、様々な場面で活用される認証に対する脅威として、本人になりすますことがあげられる。以下で、なりすましが起きた際の法的問題について紹介する。

ア なりすましについての民事的論点

民事上の論点としては、本人になりすました者による意思表示の効果がなりすまされた本人に帰属するかという点がある。

まず、本人以外の者が本人になりすましておこなった意思表示の効果は本人に帰属しないのが原則である。ただし、例外的に、表見代理(民法第109条、第110条、第112条)の規定は、本人の帰責性等の一定の要件の下、代理行為の効果の本人への帰属を認めている。表見代理制度は、あくまでも、相手方に、代理権がある旨を誤認した場合の制度であり、なりすましの場合に直接適用されるものではないが、判例において、代理人が直接本人名義で権限外行為を行い、相手方が当該行為を本人自身の行為と信じたことに正当事由がある場合に、民法第110条の類推適用を認めたものがある(最判昭和44年12月19日民集23巻12号2539頁)。

一方で、一定の方式に基づく認証がなされた利用者による意思表示の効果が本人に帰属する旨の事前同意がある場合は、原則として、同意した方法で認証された利用者による意思表示を本人による意思表示とみなし、契約が成立すると考えうるが、以下のような考慮が必要である。

まず、対等な当事者間(例:事業者間取引)において、上記のような本人確認方式について合意した場合は、契約自由の原則(民法第521条)の下、当該本人確認方式の効力が認められ、契約が成立すると考えられる。もっとも、定型約款(民法第548条の2第1項)の個別条項として事前合意される場合は、その内容如何によっては、民法第548条の2第2項により、定型約款の合意内容から排除されることがあるので留意が必要である。

次に、利用者が消費者であり、一方当事者が消費者ではない場合は、消費者契約法に基づく考慮も必要である。ID・パスワードを使ってログイン等した利用者を常に本人とみなし、事業者に帰責性がある場合でも利用者の行為が本人に効果が帰属する旨を本人との間で合意した場合、そのような合意は、消費者の利益を一方的に害するものとして無効となり得る(消費者契約法第10条)。例えば、インターネット通販におけるクレジットカードのなりすましによる利用については、本人ではない者がクレジットカード番号等を入力して商品を購入したとしても、現行の主なクレジットカード会員規約からすると、本人に帰責性がない限り、本人が支払義務を負わないとするケースが多い10

イ なりすましについての刑事的論点

例えばSNSで他の誰かになりすまして何らかの投稿をすると、著作権侵害や、名誉毀損で刑事罰を科される可能性がある。そして、なりすまして得た営業秘密を使用又は開示する行為については、営業秘密侵害罪に該当する可能性がある(不正競争防止法21条1項1号、2号)。また、なりすましに必要な、IDやパスワード等を販売、公開する行為は、不正アクセス禁止法第5条により、同法に規定する識別符号の不正な提供であるとして刑事罰を科される可能性がある。

3.参考資料(法令・ガイドラインなど)

本文中に記載のとおり

4.裁判例

  • 最判昭和44年12月19日民集23巻12号2539頁
  • 最判平成15年4月8日民集57巻4号337頁
  • 最判平成5年7月19日集民169号255頁
[1]

総務省 「国民のための情報セキュリティサイト」https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-1.html 参照

[2]

サイバーセキュリティ戦略本部 「政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)」(令和3年7月7日)参照
https://www.nisc.go.jp/active/general/pdf/kijyunr3.pdf
統一基準は、令和5年度版が策定されているが、本脚注の部分については、変更は無い。

[3]

電子署名法第2条第2項は、「認証業務」について、「自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務」と定義している。また、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(公的個人認証法)においても「認証業務」のうち「署名認証業務」について同様の定義が置かれている(同法第2条第3項、第4項)。電子署名法についてQ43、公的個人認証法についてQ19を参照。

[4]

サイバーセキュリティ戦略本部 「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」(令和3年7月7日)参照
https://www.nisc.go.jp/pdf/policy/general/guider3_2.pdf

[5]

個情委は、令和5年3月、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」と題する文書を公表した。同文書では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会から理解を得るための自主的な取組について整理が行われている。
https://www.ppc.go.jp/files/pdf/kaoshikibetsu_camera_system.pdf なお、個情委ウェブサイトにおいては、同文書に関連する資料がまとめられた「「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」資料一覧」というページが設けられている。
https://www.ppc.go.jp/news/camera_related/

[6]

犯収法別表及び犯罪による収益の移転防止に関する法律施行令(平成20年政令第20号)第7条及び第9条を参照。例えば、銀行が行う預貯金契約の締結が一例である。

[7]

正式名称は、「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」

[8]

正式名称は、「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」

[9]

一般社団法人日本クレジット協会「資金決済業者等とクレジットカードとの連携に係る本人認証等セキュリティガイドライン」(令和3年3月24日制定)
https://www.j-credit.or.jp/download/news20210330c1.pdf

[10]

以上の詳細について電子商取引準則I-3-1「なりすましによる意思表示のなりすまされた本人への効果帰属」を参照

Q55 サイバーセキュリティと輸出管理

サイバーセキュリティに関する物の輸出や技術提供を行う場合において、輸出管理に関する法令上、どのような点に留意すべきか。

タグ: 外為法、輸出貿易管理令、外国為替令、貨物等省令、貿易外省令、役務通達、輸出管理、ワッセナー・アレンジメント、侵入プログラム関連品目

1.概要

輸出管理制度においては、規制リストに掲載されている貨物の輸出及び技術の提供を行う際には、原則として経済産業大臣の許可が必要となる。規制対象となる行為の範囲は広く、電子メールでデータを送付することも対象行為となり得る。

サイバーセキュリティに関しては、サイバー攻撃に転用されるおそれがあるものについて、国際的な枠組み(輸出管理レジーム)の一つであるワッセナー・アレンジメントで検討され、侵入プログラム関連品目等が規制対象とされている。

侵入プログラム関連品目の中には、それに関わる脆弱性関連情報や、マルウェアに関する情報が含まれうるが、セキュリティの脆弱性の開示に係るもの又はサイバー攻撃の対応に係るものは規制対象から除かれることが多く、サイバーセキュリティの実務への影響が低くなるよう配慮されている。

2.解説

(1)輸出管理制度

安全保障上リスクのある貨物や技術が、我が国及び国際的な平和及び安全の維持を脅かす国家やテロリスト等に渡り、大量破壊兵器等や通常兵器の開発等に転用されることを未然に防ぐため、国際的な枠組み(輸出管理レジーム)により輸出管理が推進されている。

我が国においては、外国為替及び外国貿易法(以下「外為法」という。)によって、輸出管理(貨物の輸出及び技術の提供の管理)を行っており、具体的には、規制対象となる貨物の輸出(外為法第48条第1項及び輸出貿易管理令)や技術の提供(外為法第25条第1項、第3項及び外国為替令)について経済産業大臣の事前の許可が必要である。

ア 規制対象について

外為法に基づく規制対象については、政省令で定める品目(武器、機微な汎用品など)に該当する貨物の輸出又は技術の提供を規制する「リスト規制」と、「リスト規制」に該当しない貨物又は技術であっても、その用途や需要者に兵器の開発等に関する懸念がある場合などに貨物の輸出又は技術の提供を規制する「キャッチオール規制」がある。

イ 貨物の輸出と技術の提供
(ア)貨物の輸出

どのような場合に貨物の「輸出」にあたるかについて、法令上の定義は置かれていないが、その範囲は広い。典型的には、商取引に基づいて海外へ商品を送付することが想起されるが、その他、例えば、輸入した商品の返品等のための返送や、海外子会社への装置や部品の送付、個人が業としてではなく手荷物で海外に持ち出す場合など、かなり広範な行為が外為法上の「輸出」に該当する。

(イ)技術の提供

「技術」については、典型的には、リスト規制に該当する貨物の「設計」、「製造」、「使用」に必要な技術やプログラムが規制対象となる。

技術の提供については、規制対象となる行為が外為法第25条第1項に規定されているところ、規制の対象となる外国為替令別表の中欄に掲げる技術(プログラムを含む。以下「特定技術」という。)を外国において提供することを目的とする取引(例えば、海外子会社において技術指導を行う場合や、電子データを外国へ送信する場合など)、居住者が非居住者に対して提供することを目的とする取引(例えば、日本居住者が外国から来た研修員に技術指導を行う場合)といった行為が規制対象とされている。

また、令和4年5月1日からは、居住者への技術提供であっても、非居住者へ技術情報を提供する取引と事実上同一と考えられるほどに当該居住者が非居住者から強い影響を受けている場合には、当該技術提供を「みなし輸出」管理の対象であることを明確化した(「みなし輸出」管理の運用明確化)。

ここにいう「取引」とは、経産省貿易経済協力局通達「外国為替及び外国貿易法第25条第1項及び外国為替令第17条第2項の規定に基づき許可を要する技術を提供する取引又は行為について」(以下「役務通達」という。)によれば、有償無償にかかわらず、取引当事者双方の合意に基づくものをいい、「提供することを目的とする取引」とは、特定の外国において又は特定国の非居住者に対して技術を提供することを内容とする取引をいう。例えば、サイバー攻撃などによって規制対象となる技術が漏えいした場合は、当事者双方の合意がないため「取引」に該当しないと考えられる。

次に、ここにいう「提供」とは、役務通達によれば、「他者が利用できる状態に置くこと」と定義されているところ、いわゆるクラウドサービスの利用についても規制対象となりうる。例えば、役務通達別紙1-2「いわゆるクラウドコンピューティングサービスの解釈」1によれば、クラウドストレージサービスなどの利用により、国外に設置されたサーバに情報が保管される場合に当該サーバに情報を保管する行為が技術の「提供」にあたるかどうかについて、ストレージサービスを利用するための契約は、サービス利用者が自ら使用するためにサービス提供者のサーバに情報を保管することのみを目的とする契約である限りにおいて、サービス利用者からサービス提供者に情報を提供することを目的とする取引に当たらないため、外国に設置されたサーバに特定技術が保管される場合であっても、原則として2外為法第25条第1項に規定する役務取引に該当しないとされている。

また、サーバ上に存在するプログラム(アプリケーションソフトウェア等)を、インターネットを介して、他者がダウンロードすることなく利用できる状態にするサービス(SaaS等)を提供することは、プログラムをサービス利用者にとって利用できる状態に置くことを目的とする取引であり、「提供」を目的とする取引に当たるため、当該プログラムが特定技術であれば、外為法第25条第1項に定める役務取引に該当する3とされている。

(2)サイバーセキュリティに関する輸出管理

サイバーセキュリティの分野においては、サイバー攻撃に転用される懸念のあるツールについて、国家によるサイバー攻撃やテロリストに転用されることを防止する事を目的として、いくつかの品目が規制リストに追加されている。

サイバーセキュリティに関して何を規制リストに加えるかについては、ワッセナー・アレンジメント4で議論されており、平成25年に外為法関連法令において、ワッセナー・アレンジメント合意内容を反映した侵入プログラム関連品目が規制リストに追加された。

なお、侵入プログラム関連品目の中には、侵入プログラムを製造するための脆弱性情報、マルウェアによる動作、被害、ふるまい等の情報や、類似するマルウェアに関する対策情報等が含まれうるが、これらについては、「セキュリティの脆弱性の開示又はサイバー攻撃の対応に係るもの」として規制対象外となることが多いと考えられ、サイバーセキュリティに関する実務への影響が少ないよう配慮された規定となっている(詳細は後述する)5

(3)侵入プログラム関連品目

「侵入プログラム」については、「役務通達」によれば、監視ツールによる検出を回避、又は防御手段を無効化するように設計又は改造されたプログラムであって、①データ又は情報の抽出を行う、又はシステムや利用者のデータを変更するもの、又は②外部からの命令の実行を可能とするため、プログラム又はプロセスの標準的な実行パスを改造するもの、と定義されている。

侵入プログラム関連の規制については、貨物の輸出及び技術の提供双方についてリスト規制が存在するが、侵入プログラムそのものを規制の対象としていない点に留意が必要である。

ア 規制対象となる貨物について

輸出貿易管理令別表第一の八の項において、「電子計算機若しくはその附属装置又はこれらの部分品…であつて、経済産業省令で定める仕様のもの」と規定されており、これに基づき、輸出貿易管理令別表第一及び外国為替令別表の規定に基づき貨物又は技術を定める省令(以下「貨物等省令」という。)第7条第5号において、「電子計算機若しくはその附属装置又はこれらの部分品であって、侵入プログラムの作成、指揮統制又は配信を行うように特に設計又は改造されたもの」が挙げられている。

典型的にはいわゆるC&Cサーバ6や、侵入プログラムのビルダーがこれに該当するが、「特に設計又は改造されたもの」でなければならないため、一般的に使用されているPCやサーバは該当しない。

イ 規制対象となるプログラム及び技術について

外国為替令別表の八の項において、「(一) 輸出貿易管理令別表第一の八の項の中欄に掲げる貨物の設計、製造又は使用に係る技術であつて、経済産業省令で定めるもの(四の項の中欄に掲げるものを除く。)」、「(二) 電子計算機若しくはその附属装置又はこれらの部分品の設計、製造又は使用に係る技術であつて、経済産業省令で定めるもの((一)及び四の項の中欄に掲げるものを除く。)」と規定されており、これに基づき、貨物等省令第20条第1項及び第2項において、規制対象となるプログラム及び技術(プログラムを除く。)が挙げられている。主たるものを抜粋すると以下のとおりである。

  1. プログラム関係

    1. 上記アの貨物を含む貨物等省令第7条各号に該当する貨物を設計し、又は製造するために設計したプログラム(貨物等省令第20条第1項第5号)
    2. 侵入プログラムの作成、指揮統制又は配信を行うように設計若しくは改造されたプログラム(貨物等省令第20条第2項第6号)

  2. 技術(プログラムを除く。以下aからcにおいて同じ。)関係

    1. 上記アの規制対象貨物等の設計又は製造に必要な技術(貨物等省令第20条第1項第2号)若しくは使用に必要な技術(同項第6号)
    2. 上記①a又はbのプログラムの設計、製造又は使用に必要な技術(同項第5号、同条第2項第6号)
    3. 侵入プログラムの設計に必要な技術(同項第7号)
ウ セキュリティの脆弱性の開示又はサイバー攻撃の対応に係る例外

上記イの①、②、プログラムを除く技術については、セキュリティの脆弱性の開示に係るもの又はサイバー攻撃の対応に係るものは規制対象から除かれる。

役務通達別紙1「外為令別表中解釈を要する語」によれば、「セキュリティの脆弱性の開示に係るもの」とは、「脆弱性を解決する目的のプロセスであって、脆弱性を特定するもの、報告するもの、対策を行い、若しくは調整する責任がある個人若しくは組織に伝達するもの又はこれらの個人若しくは組織と分析するもの」をいい、脆弱性関連情報の取扱いプロセス(Q67参照)を念頭に置いているものと考えられる。

また、「サイバー攻撃の対応に係るもの」とは、「サイバーセキュリティ攻撃に対処するための対策を行い、又は調整する責任がある個人又は組織とサイバーセキュリティ攻撃に関する情報を交換するプロセス」をいうとされている。

上記イの規制は、海外のサイバー攻撃者や組織に対し、攻撃に転用されるおそれがあるツールや技術情報が渡らないようにするための規制であるが、サイバーセキュリティ分野において迅速な防御活動を行うためには、日々複雑化・巧妙化する攻撃手法や新たなソフトウェアの脆弱性に対応するため、海外のセキュリティベンダ等との連携や情報収集が不可欠である一方で、形式的には、マルウェアを製造するための脆弱性関連情報や、マルウェアによる動作・被害・振舞い等の侵入プログラムのビルダーやC&Cサーバに関わる情報などを電子メールで海外に送信することが「技術の提供」として規制の対象になるおそれがあった。海外との情報交換のために逐一経済産業大臣の許可を取得する必要があるとなると、許可を取得する間にサイバー攻撃の被害が拡大するおそれもあり、そのような事態を招くのは本末転倒となるため、上記のとおり、セキュリティの脆弱性の開示に係るもの又はサイバー攻撃の対応に係るものを例外としたものである。

3.参考資料(法令・ガイドラインなど)

4.裁判例

特になし

[1]

クラウドサービスに関しては、役務通達別紙1-2のほか、経産省安全保障貿易管理のウェブサイト「技術関係」のQ&Aにおいて、Q55からQ62にかけて詳細に解説されているためそちらも参照されたい。なお、「クラウドコンピューティングサービスについては、サービスの形態や使用技術が日々進歩し変化しているため、諸外国の規制の動向等も踏まえつつ、必要に応じて通達及びQ&Aを改正していく予定」(Q55)とされているため、その点留意が必要である。

[2]

サービス提供者が保管された情報を閲覧、取得、利用できることを知りながらサービス利用契約を締結する場合や、契約開始後、サービス提供者が保管された情報を閲覧、取得、利用していることが判明したにもかかわらず契約関係を継続している場合には、実質的にサービス利用者からサービス提供者等に特定技術を提供することを目的とする取引とみなすとされている。

[3]

ただし、貿易関係貿易外取引等に関する省令第9条第2項第14号イ(いわゆる市販プログラム特例)の要件を満たすプログラムについては、役務取引許可は不要である。

[4]

Wassenaar Arrangement ( http://www.wassenaar.org)

[5]

なお、他国から日本へ輸出されたものを日本からさらに他国へ再輸出する場合に、元の輸出国の規制が適用される場合がある。例えば、米国に関しては、米国輸出管理規則(EAR: Export Administration Regulations)により、米国から日本へ輸出されたものを他国へ輸出する場合、日本の外為法に加えてEARが適用される。EARにおいても、2022年に、ワッセナーアレンジメントに基づき、侵入プログラム関連品目に関する規制が追加されたが、日本と同様、脆弱性の開示又はサイバー攻撃への対応を目的とする場合には規制の対象外である。

[6]

Command and Control(指揮統制)サーバの略称。C2(シーツー)サーバということもある。マルウェアに感染したPCをネットワーク経由で操作し、情報の収集や攻撃の命令を出すサーバのこと。

Q56 サイバーセキュリティ事業者への投資

外国投資家が、サイバーセキュリティに関する事業を営む日本の上場会社の議決権を取得することについて何らかの法令上の制限があるのか。

タグ: 外国為替及び外国貿易法、国家安全保障、対内直接投資、コア業種、CFIUS、FIRRMA

1.概要

近時、サイバー攻撃が、国民の安全・安心、国家や民主主義の根幹を揺るがすような重大な事態を生じさせ、国家安全保障上の課題へと発展していくリスクは増大しており、サイバーセキュリティの強化は、安全保障等の観点から不可欠となっている。外国投資家が、サイバーセキュリティに関する事業を営む日本の上場会社の議決権を取得することについては、外為法により、一定の場合に事前届出並びに財務大臣及び事業所管大臣による審査を経る必要がある。

諸外国においても、国家安全保障を目的とする対内直接投資の規制強化がなされており、例えば、日本から米国内のサイバーセキュリティに関する事業を営む企業への投資については、対米外国投資委員会(CFIUS)による審査の対象となる場合もあると考えられる。

2.解説

(1)安全保障等の観点におけるサイバーセキュリティの重要性

サイバー空間が社会活動、経済活動、軍事活動等のあらゆる活動が依拠する場となり、サイバー空間と実空間の一体化が進展している一方で、重要インフラの機能停止、国民情報や知的財産の窃取、民主プロセスへの干渉など国家の関与が疑われるものをはじめとする組織化・洗練化されたサイバー攻撃の脅威が増大しており、サイバー攻撃が、国民の安全・安心、国家や民主主義の根幹を揺るがすような重大な事態を生じさせ、国家安全保障上の課題へと発展していくリスクも増大している。こうしたリスクに対処するため、サイバーセキュリティの強化は、安全保障等の観点から不可欠となっている。

平成25年12月に閣議決定された「国家安全保障戦略」1において、我が国がとるべき国家安全保障上の戦略的アプローチの1つとして、サイバーセキュリティの強化が挙げられており、令和3年9月に閣議決定された「サイバーセキュリティ戦略」2においても、サイバー空間の安全・安定の確保のため、外交・安全保障上のサイバー分野の優先度をこれまで以上に高めるとともに、サイバー攻撃に対する防御力等の向上等を一層強化するとされている。

(2)外国から日本への投資に対する規制

外国投資家3が、サイバーセキュリティに関する事業を営む日本の上場会社の議決権を取得することについては、外国為替及び外国貿易法(以下「外為法」という。)により一定の規制がなされている。

ア 外為法に基づく対内投資に関する規制の概要

外為法は、「外国為替、外国貿易その他の対外取引が自由に行われることを基本とし、対外取引に対し必要最小限の管理又は調整を行うことにより、対外取引の正常な発展並びに我が国又は国際社会の平和及び安全の維持を期し、もって国際収支の均衡及び通貨の安定を図るとともに我が国経済の健全な発展に寄与することを目的と」し(同法第1条)、外国為替、外国貿易その他の対外取引を総合的に対象としている法律であり、日本の対外取引の基本法となっている。同法による規制の1つに、対内直接投資規制がある。すなわち、同法は、対外取引の原則自由という基本的考え方に立ちつつ、経済協力開発機構(OECD)の資本移動自由化コード等の国際的な投資ルールの範囲内で、国の安全等の観点から対内直接投資規制を導入している。

具体的には、①外国投資家が行う国内の会社の株式又は議決権の取得等のうち一定の要件を満たすもの4を「対内直接投資等」(外為法第26条第2項、対内直接投資等に関する政令第2条第16項第1号~第7号)として原則として事後報告を義務付ける(同法第55条の5第1項)。特に、②「国の安全」、「公の秩序」、「公衆の安全」、「我が国経済の円滑な運営」の観点から、一部の指定業種に係る対内直接投資等に限定して、事前届出並びに財務大臣及び事業所管大臣による審査を要求している(同法第27条第1項、同令第3条第2項)5

イ サイバーセキュリティ業に係る対内直接投資等に関する規制

以下に述べるとおり、サイバーセキュリティに関する事業は、令和元年5月に指定業種に追加されたため、②の規制の対象となった(後記(ア)参照)。なお、同年11月の同法改正では、事前届出免除制度(同法第27条の2)が新設されたものの、サイバーセキュリティに関する事業の一部は、この免除制度が利用できないコア業種となっているため、この免除制度のメリットを享受することはできない(後記(イ)参照)。

そのため、外国投資家が、サイバーセキュリティに関する事業を営む日本の上場会社の議決権を取得する場合、それが「対内直接投資」の要件を満たせば、原則として事前届出並びに財務大臣及び事業所管大臣による審査を経る必要がある。

(ア)サイバーセキュリティ業の指定業種への追加

サイバーセキュリティの確保の重要性等を踏まえ、安全保障上の重要な技術の流出や、日本の防衛生産・技術基盤の毀損等、日本の安全保障に重大な影響を及ぼす事態を生じることを適切に防止する観点から、令和元年5月の対内直接投資等に関する業種告示等の改正により、指定業種に情報処理関連機器等の製造業やソフトウェア開発業、IT関連サービス業等が追加され6、サイバーセキュリティに関する事業も指定業種に含まれることになった。

(イ)令和元年外為法改正によるサイバーセキュリティ業のコア業種への指定

近時、投資を通じた機微技術へのアクセスに対する関心の高まり等を背景に7、諸外国において、国家安全保障を目的とする対内直接投資の規制強化がなされている8。このような状況を踏まえ、経済の健全な発展につながる対内直接投資を一層促進するとともに、国の安全等を損なうおそれがある投資に適切に対応することにより、メリハリのある対内直接投資制度を目指す観点から、令和元年11月に外為法が改正され、事前届出免除制度の導入(同法第27条の2、第28条の2)、上場会社等の株式取得等の閾値の10%から1%への引下げ(同法第26条第2項第3号、同項第4号)等が行われた。

事前届出免除制度については、国家の安全等の観点から、原則として免除制度を利用できない業種(=コア業種)が指定されており(対内直接投資等に関する命令第3条の2第3項、対内直接投資等に関する命令第3条の2第3項の規定に基づき、財務大臣及び事業所管大臣が定める業種を定める件9)、サイバーセキュリティ業のうち、重要インフラのために特に設計されたプログラム等の提供に係るサービス業等が、コア業種に指定されている10

(3)日本から米国への投資に対する規制

米国では、日本を含む米国外から米国内への投資を、国家安全保障の確保の観点から審査する対米外国投資委員会(CFIUS11)の権限を、審査対象となる取引の拡充12、一部取引に対する事前申告の義務付け13等により拡大する外国投資リスク審査現代化法(FIRRMA14)が、平成30年(2018年)8月に成立し、令和2年(2020年)2月から施行されている。

FIRRMAは、CFIUSの審査における考慮要素の1つとして「サイバーセキュリティへの影響」を挙げており(FIRRMA1702(c))、例えば、日本企業が、サイバーセキュリティに関する事業を営む米国企業を中国企業15に売却する場合等には、CFIUSによる承認が得られず売却等を断念せざるを得ないケースも生じ得ると考えられる。

3.参考資料(法令・ガイドラインなど)

本文中に記載のとおり

4.裁判例

特になし

[3]

外国投資家については、外為法第26条において定義されている。

[4]

上場企業の株式の1%(後記イ(イ)のとおり、従前は10%であったが、令和元年外為法改正により、1%に引き下げられた。)以上を取得する場合や、非上場企業の株式取得を取得する場合等が含まれる。

[5]

なお、②の要件を満たし事前届出及び審査が要求される「対内直接投資等」については、①の事後報告は免除される(外為法第55条の5第1項ただし書)。

[6]

財務省ウェブサイト「対内直接投資等に係る事前届出対象業種の追加等を行います」(https://warp.ndl.go.jp/info:ndljp/pid/12654173/www.mof.go.jp/policy/international_policy/gaitame_kawase/gaitame/recent_revised/20190527.htm)参照。

[7]

平成31年3月にOECDが公表したレポート(Acquisition-and ownership-related policies to safeguard essential security interest)においては、安全保障上の利益を保護するため、会社の資産買収を管理する伝統的な領域から、投資を通じた会社への影響力の行使(技術やデータへのアクセス等)を管理する領域へと、投資管理の対象範囲が拡大していることが指摘されており、この中では、対内直接投資に関する新たな懸念領域として、①重要インフラ(鉄道、水道、電力等)の支配に対する懸念の増大、②デジタル化の進展による個人情報の安全保障上重要な資産への変容、③先進技術へのアクセスの増加、④サイバーセキュリティに関する懸念の増大、⑤サプライチェーン上の重要企業に対する支配の増大が挙げられている。

[8]

例えば、米国では、対米外国投資委員会(The Committee on Foreign Investment in the United States)の権限を拡大する外国投資リスク審査現代化法(the Foreign Investment Risk Review Modernization Act)が平成30年8月に成立し、EUでは、平成31年3月に、欧州議会・理事会規則(Regulation (EU) 2019/452 of the European Parliament and of the Council of 19 March 2019 establishing a framework for the screening of foreign direct investments into the Union)によって、加盟国間及び欧州委員会の間の情報交換を含む対内直接投資審査に関する枠組みが新たに制定された。

[10]

令和元年外為法改正にあわせて指定業種の見直しが行われ、コア業種に該当せず、かつ、①自らが営む指定業種に該当しない事業に付随してソフトウェア業、情報処理サービス業若しくはインターネット利用サポート業を行う場合又は②指定業種に該当しない業種を営むグループ会社のためにソフトウェア業、情報処理サービス業若しくはインターネット利用サポート業を行う場合が、指定業種の対象から除外されることとなった。詳細については、日本銀行「外為法Q&A(対内直接投資・特定取得編)」(https://www.boj.or.jp/about/services/tame/faq/data/tn-qa.pdf)Q78を参照されたい。

[11]

The Committee on Foreign Investment in the United States

[12]

従前は、外国人が米国事業の支配を獲得することになる投資のみが審査対象となる取引であったが、重要技術・重要インフラ・機微個人データに関する米国事業に対する投資のうち一定のものについて、(非支配的な投資であっても)審査対象となる取引に含まれることとなった。

[13]

外国政府による相当程度の影響力がある者(国有企業等)による、重要インフラ・重要技術・機微個人データに関する米国事業に対する投資のうち一定のものが、事前申告の対象となっている。

[14]

the Foreign Investment Risk Review Modernization Act

[15]

FIRRMA1702(c)は、「重要な技術・重要インフラの獲得を戦略的な目標として掲げる特定懸念国による投資」も考慮要素として挙げているが、「特定懸念国」が具体的にどの国を想定しているのかは明らかにされていない。

Q57 サイバーセキュリティと情報共有・公表

サイバーセキュリティに関する情報共有体制へ参画し、情報共有を行おうとする場合に、法令上どのような点に留意すべきか。また、セキュリティインシデント発生時には、何を目的としてどのような情報を共有又は公表すべきか。

タグ: サイバーセキュリティ基本法、個情法、不正競争防止法、金融商品取引法、刑法、情報共有、サイバーセキュリティ協議会、CISTA、J-CSIP、JC3、セプター、サイバーセキュリティ対処調整センター、ISAC

1.概要

サイバーセキュリティ対策は自組織で行うことが原則だが、サイバー攻撃の複雑化・巧妙化に伴い、情報共有の重要性が高まっており、現在、複数の情報共有体制が活動を行っている。サイバーセキュリティに関する情報を共有するに当たっては、他者に対して情報を提供することとなるため、情報の内容によって、個情法、不正競争防止法、金融商品取引法、刑法、独占禁止法といった法令や秘密保持契約など自社が締結している契約上の秘密保持義務に注意が必要であり、万が一これらの法令等に抵触した場合にはレピュテーションリスクが生じることにも留意する必要がある。

また、セキュリティインシデント発生時には情報共有及び公表の要否及び適否について検討する必要がある。

2.解説

(1)情報共有の意義及び重要性

サイバーセキュリティは、本来、各々の組織において取り組むべきものであるが、攻撃が複雑化し、脅威の変化が早い現状においては、一組織の対応では限界があり、また、被害を受けた組織等から迅速な情報共有が行われなければ、攻撃手口や対策手法等を他組織が知ることができず、同様の手口によるサイバー攻撃の被害がいたずらに拡大するおそれがある。そのため、情報を相互に共有することで自組織の取組みを一層高度化したいといった意識が高まり、サイバーセキュリティに関する情報を一定のコミュニティで共有する動きが一層活発化している。

経営ガイドラインにおいても、サイバーセキュリティ対策を実施する上で、経営者が責任者に指示すべき10項目の一つとして「サイバーセキュリティに関する情報の収集、共有及び開示の促進」が挙げられている。

前提として、「共有」と「公表」は峻別する必要がある。共有とは、一定の目的を果たすために、必要な情報を特定の相手方に提供することということができ、公表とは、同じく一定の目的を果たすために、ウェブサイト等を通じて不特定多数が閲覧できる状態に置くことということができる。

このうち、「共有」については、さらに、法令や契約に基づいて相手方に報告する場合(Q7~Q9など参照)と、必要に応じて情報共有体制に共有する場合という2つに分けることができるが、本項では、後者の情報共有を中心に述べることとする。

サイバーセキュリティに関する情報共有のための体制は、現時点においても複数存在しているところ、代表的なものをいくつか紹介する。

ア サイバーセキュリティ協議会

平成30年のサイバーセキュリティ基本法の改正により組織された法定の情報共有体制であり、NISC及び政令指定法人JPCERT/CC1が事務局を務めている。情報共有を行う上で阻害要因となっていた事項について法律改正等により改善を図り、既存の情報共有体制の活動を補完し、これらと有機的に連携しつつ、従来の枠を超えた情報共有・連携体制を構築することを目標としている(詳細は後述)。

イ 早期警戒情報の提供システム「CISTA2

JPCERT/CCは、国民の社会活動に大きな影響を与えるインフラ、サービス及びプロダクトなどを提供している組織におけるセキュリティ関連部署又は組織内CSIRTに向けて、セキュリティに関する脅威情報やそれらの分析・対策情報を早期警戒情報として提供している3

ウ 重要インフラ行動計画に基づく情報共有体制

重要インフラ行動計画における5つの施策群の一つとして、「情報共有体制の強化」が挙げられており、NISCは、重要インフラ所管省庁、情報セキュリティ関係省庁等と相互にシステムの不具合等に関する情報の共有を行うこととされている。

エ サイバー情報共有イニシアティブ「J-CSIP4」(ジェイシップ)

IPAは、平成23年、サイバー情報共有イニシアティブ「J-CSIP」を発足し、重工や重電等、重要インフラで利用される機器の製造業者を中心として、標的型メール攻撃に関する情報共有を実施している。

オ 日本サイバー犯罪対策センター(JC35)による情報共有

平成26年に業務を開始した一般財団法人日本サイバー犯罪対策センター(JC3)においては、産学官(セキュリティ関係等の産業界、学術機関、警察庁等)の情報や知見を集約・分析し、その結果等を還元することで、脅威の大元を特定し、これを軽減及び無効化することにより、以後の事案発生の防止を図ることとしている。

カ サイバーセキュリティ対処調整センター

NISCは、サイバーセキュリティ戦略を踏まえ、2020年東京オリンピック・パラリンピック競技大会(以下本項において「大会」という。)におけるサイバーセキュリティの確保に向け、脅威・事案情報の共有等を担う中核組織としてサイバーセキュリティ対処調整性センターを構築し、情報共有システム(JISP6)を構築、運用している。大会後も、今後の取組方針として、2025年に開催が予定される大阪・関西万博におけるサイバーセキュリティの確保に向けた取組みの推進の一環として、JISPを提供することが予定されている7

キ セプター及びセプターカウンシル

NISCは、重要インフラ事業者等の情報共有・分析機能を担う組織である「CEPTOAR(セプター)8」及び各セプターの代表で構成された協議体である「セプターカウンシル」の運営および活動を支援している。

ク ISAC(アイザック)

民間の各業界において、自主的な情報共有を行う組織である「ISAC9」が徐々に増加している。主要なものを挙げると、「ICT-ISAC」(通信事業者等)、「金融ISAC」(金融事業者)、「電力ISAC」(電力事業者)、「交通ISAC」(交通・運輸事業者等)、「J-Auto-ISAC」(自動車関係事業者等)、「Software ISAC」(ソフトウェア産業等)などがある。

(2)情報共有において留意すべき法令等

サイバーセキュリティを確保するために有用な情報の中には、攻撃手法に関する情報、マルウェアに関する情報など様々なものが含まれうるが、それを他者との間で共有する場合には、情報の性質等に応じて、以下の法令等に留意しなければならない。

ア 個情法

共有しようとする情報の中に個人データ(個情法第16条第3項)10が含まれている場合には、原則として本人の同意なく第三者提供ができない(同法第27条第1項)。

ただし、法令に基づく場合など、同法第27条第1項各号のいずれかに当たる場合は、本人の同意は不要である。

イ 不正競争防止法

仮に共有しようとする情報の中に営業秘密や限定提供データが含まれている場合、当該情報を他者と共有することで、営業秘密にあっては「秘密として管理されている」(不正競争防止法第2条第6項)という要件、限定提供データにあっては「業として特定の者に提供する情報として」、又は「電磁的方法により…管理され」(同条第7項)という要件が失われ、当該情報が営業秘密、又は限定提供データとしての法的保護を受けられなくなるという事態を招かないよう留意しなければならない。

営業秘密において適切な管理状況を保つための対応としては、提供に当たって営業秘密を特定した秘密保持契約を締結する等して自社の秘密管理意思を明らかにすることなどが考えられる。

ウ 金融商品取引法

上場会社等における会社関係者が業務に関する重要事実を職務等に関して知りながら当該重要事実が公表される前に株式の売買等を行うことは、いわゆるインサイダー取引として禁止される(金融商品取引法第166条第1項)。これに違反した者は、個人については5年以下の懲役又は500万円以下の罰金(同法第197条の2第13号)、当該個人が代表者又は代理人、使用人、その他の従業者である法人に対しては、5億円以下の罰金が科される(同法第207条第1項第2号)。

例えば、サイバーセキュリティに関する情報共有を行うに当たっては、自社がサイバー攻撃を受け、情報漏えいが疑われているという事実を含めて情報を伝達することもあり得る。当該事実は、公表されれば会社の株価に影響を及ぼし得る情報として、上記にいう「重要事実」に該当し得る。

また、ここにいう「会社関係者」には、上場会社等の役員、代理人、使用人その他の従業者(以下本項において「役員等」という。)のほか、当該上場会社等と契約を締結している者又は締結の交渉をしている者(法人の場合はその役員等)も含まれる(同法第166条第1項第4号、第5号)。

サイバーセキュリティに関する情報共有体制は、当該体制が持つ規約といった内規を守る旨を合意することを前提に各々のメンバーが当該体制に加入し、当該内規に基づき情報を共有することとなる。また、メンバーには上場している会社も含むため、当該体制に加入しているメンバーが上場会社等と各々相互に情報共有の契約を締結していると評価することも可能である。この場合、当該体制に加入し、情報共有活動を行っているメンバー会社及び当該活動に従事している者が全て「会社関係者」に該当することとなる。

なお、情報共有体制が上場会社等と契約を締結していると評価できない場合であっても、会社関係者から情報伝達を受けた者はインサイダー取引規制の対象となる(同法第166条第3項)11

情報共有体制において情報共有活動を行うに当たっては、外形的な情報共有又は情報伝達行為のみをもってインサイダー取引を疑われないよう、当該情報をサイバーセキュリティの確保目的以外に利用してはならないといった利用目的の制限、情報共有体制に加入している上場会社がサイバー攻撃の被害に遭った場合には、加入メンバー会社及び当該活動に従事している者は、被害会社の株取引を禁止すること、このような取決めに違反した場合にはサンクションを課す等の対応を行うことが考えられる。

エ 刑法(不正指令電磁的記録に関する罪)12

サイバーセキュリティに関する情報共有を行うに当たっては、マルウェアの挙動の解析や対応策の発見など、対策のためにマルウェアそのものを共有することも考えられる。

このような場合、外形的には不正指令電磁的記録の提供(刑法第168条の2第1項)又は供用(同条第2項)に当たり得るため、他人の電子計算機の実行の用に供されることのないよう、情報の提供側と受領側でマルウェアの授受を行う旨を合意することを前提として、提供者・受領者ともに、外部に当該マルウェアが送られることがないよう、厳格に管理しながらやりとりするなどの対応を行うことが考えられる。

オ 独占禁止法

競合事業者同士の価格、供給数量等の重要な競争手段である取引条件に関する情報交換は独占禁止法上のカルテル規制(同法第3条)との関係で問題となる可能性がある。そのため、共有体制において情報共有活動を行うに当たってはこれらの情報が交換されないよう十分に留意する必要がある。

カ 秘密保持契約等の自社が締結している契約上の秘密保持義務

自社が締結している秘密保持契約その他の契約の秘密保持義務の対象となっている情報を契約の相手方の同意を得ることなく第三者に共有した場合、秘密保持義務に抵触する可能性がある。そのため、情報共有活動を行うに当たっては、共有する情報が自社の締結している契約における秘密保持義務の対象となっていないか確認する必要がある。

(3)サイバーセキュリティ協議会について

平成30年に改正されたサイバーセキュリティ基本法に基づき、平成31年4月、上記留意すべき法令に対応した法定の情報共有体制として、サイバーセキュリティ協議会が組織され、官民又は業界を超えた、全315者の多様な主体が参加(令和5年4月28日時点)している。本協議会では、他の情報共有体制では拾えていなかった情報など、真に有益で、他では得られない情報に絞りこんで共有を行っている。

本協議会では、情報共有を行う上での阻害要因を除去するため、協議会構成員に対する情報提供義務及び守秘義務を法定化しており、以下概説する。

ア 情報提供等協力の求めと応答義務

協議会は、構成員に対して必要に応じて情報の提供等の協力を求めることができ、当該求めを受けた構成員は、正当な理由がない限り、これに応じなければならない(サイバーセキュリティ基本法第17条第3項)。

これは、協議会の判断で必要な協力の求めを行い、それに対応して情報の提供等の協力を行うことに法的な裏付けを付与することを趣旨の一つとしており、例えば、本項に基づく情報提供の求めに応じて情報を提供する場合に、そこに個人データに当たるものが含まれているとしても、「法令に基づく場合」(個情法第27条第1項第1号)の提供として許容されうる13。ただし、個人のプライバシーに配慮し、サイバーセキュリティの確保のために必要のない余分な情報を提供しないよう留意が必要である。

なお、情報提供の求めが濫用されないよう、サイバーセキュリティ協議会規約においては、本項に基づき、以下の2つの場合に限って一般の構成員に対する情報提供等の協力の求めを行うこととしている。

  1. 大規模なサイバー攻撃が発生するなど、情報提供等の協力を求める特別の必要性が認められる場合又はこれに準ずる状況であると認められる場合

  2. 構成員が協議会による協力の求めを受けることについて同意している場合

イ 守秘義務

協議会の事務に従事する者又は従事していた者は、正当な理由がなく、当該事務に関して知り得た秘密を漏らし、又は盗用してはならない(サイバーセキュリティ基本法第17条第4項)。

ここで禁止されている行為は、秘密を「漏ら」すという第三者への提供行為のみならず、「盗用」、つまり、受領した情報を自らが不正に利用することも含まれているため、サイバーセキュリティ協議会において情報共有を行う者は、情報を受領する者に守秘義務がかかっており、提供した情報が不正に利用・提供されないことを前提として、安心して情報を提供できる仕組みとなっている。

(4)セキュリティインシデント発生時の情報共有と公表について

セキュリティインシデント発生時の情報共有については、何を目的に共有を行うかという観点から、どのような情報をどのタイミングで誰に共有するかを検討する必要がある。この点に関しては、JPCERT/CCが総務省サイバーセキュリティタスクフォース第33回資料として公表した「サイバー攻撃被害情報の共有と公表のあり方について(公開版)」が参考になる。

この文書においては、共有(及び報告)と公表を区別し、また、共有すべき情報として、「技術情報」と「コンテクスト情報」を区別している。技術情報とは、攻撃に使用されたマルウェアや不正通信先の情報など、必ずしも被害を受けた組織に固有の情報ではないものであり、コンテクスト情報とは、被害を受けた個別組織名や対応経緯、被害内容など、被害組織に固有の情報を指す。

以下では、目的別に、共有及び公表の是非及びそのタイミングについて概説する。

ア 攻撃の全容解明及び被害企業自身の二次被害防止目的

サイバー攻撃を受けた被害企業においては、自社がどういった攻撃を受けているのか、また、どのような対応を行えば脅威を除去できるのかがわからないケースも多く見られる。これに対処し、被害の原因調査及び根本的な原因への対処を行うためには、早期の段階での情報共有が重要となる。このとき、専門機関に対して技術情報を共有し、専門機関を含む他組織が保有する情報のフィードバックを受けることで、まずは、自組織が受けた攻撃を一定程度の確度をもって一次判定を行い、初期対応を行うことができる。また、攻撃の全容解明につなげるとともに、脅威を除去して被害企業自身の二次被害を防止する目的を果たすことができる。

この場合にコンテクスト情報を広く共有又は公開することは推奨されない。被害企業のネットワーク内に攻撃者が未だに潜伏している可能性があるため、コンテクスト情報を含めて広く公開を行うことは、攻撃者による被害企業への更なる攻撃を招くおそれがある。

イ 同種の攻撃による他の企業の被害拡大防止目的

同種の攻撃による他の企業の被害拡大防止を目的とする場合にも、公表等を行う前の早期の段階における情報共有が重要となり得る。専門機関や情報共有体制に対して技術情報を共有することで、専門機関や情報共有体制において当該技術情報のうち重要なエッセンスを抽出し、対策情報として展開することで被害拡大の防止という目的を果たすことができる。

この場合にコンテクスト情報を広く共有又は公開することは、自社が特定されることによる二次被害を生じる可能性がある一方で、被害拡大防止への寄与度が大きく変わるものではないため、その意義は乏しいと評価することができる。また、そのような情報を外部に出すためには、社内調整及び関係者との調整を経るためのハードルが高くなるところ、調整をしている間に、情報が陳腐化する、又は同種の攻撃による被害の拡大を招く結果となりかねない。

ウ 漏えいした情報の関係者の二次被害防止目的

例えば個人データが漏えいした場合には、漏えいした個人データが悪用されるなどして本人に対する二次被害が発生する可能性がある。本人に対して直接連絡することができれば、一定程度二次被害の防止に資すると考えられるが、本人の連絡先が古いなどして直接の連絡ができない場合には、その代替措置としての公表を検討する必要が生じる。

この場合、個人データの本人に対して説明責任を果たす、又は信頼関係を維持するために、一定程度コンテクスト情報を連絡内容又は公表内容の中に盛り込む必要が出てくると考えられる。

エ レピュテーションリスク対策目的

サイバー攻撃を受けた際には、自社以外の第三者からサイバー攻撃を受けたことが露呈する場合がある。例えば、ランサムウェア攻撃の場合は、攻撃者がリークサイトに情報を公開する、又は自らメディアを含めて広く情報を流すケースなどが挙げられる。また、一定の範囲で流通しているマルウェアの中に攻撃対象に関する情報が含まれていることで、当該攻撃対象に対するサイバー攻撃が行われた事実が推定されるケースもある。

この場合に、何らの情報も公表しなければ、サイバー攻撃を受けたことを隠蔽しているのではないかという誤解を与え、企業のレピュテーションを毀損する可能性がある。そこで、レピュテーションリスク対策としての公表を検討する必要が生じる。

この場合も、上記ウと同様、企業としての説明責任を果たしつつ、隠蔽という誤解を解くために、一定程度コンテクスト情報を公表内容の中に盛り込む必要が出てくると考えられる。

オ 法令に基づく義務を果たす目的

サイバー攻撃を受けた際に、法令又はガイドライン等に基づき当局等への対応が必要となる場合がある(詳細についてはQ7~Q9を参照)。

このとき、法令に基づく義務を果たさない場合には、違法行為として当局から法執行を受けるリスクがあるため、少なくとも、その義務を果たす為に必要な範囲で、情報共有又は公表を行う必要が生じる。

 サイバー攻撃被害組織等において、被害に係る情報のうち、どのような情報を、どのタイミングで、どのような主体と共有すればよいかの検討を行うにあたり、実務上参考となるガイダンス文書を策定するために、令和4年4月20日、サイバーセキュリティ協議会の運営委員会の下で、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催することが決定され、令和5年3月8日に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が公表されている14

3.参考資料(法令・ガイドラインなど)

  • サイバーセキュリティ基本法第17条
  • サイバーセキュリティ協議会「サイバーセキュリティ協議会規約」(令和4年3月22日一部改正)
  • 経営ガイドライン
  • 個情法ガイドライン(通則編)
  • サイバー攻撃被害情報の共有と公表のあり方について(公開版)
  • サイバー攻撃被害に係る情報の共有・公表ガイダンス

4.裁判例

特になし

[1]

サイバーセキュリティ戦略本部の事務として、サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整に関する事務(基本法第26条第1項第4号)が規定され、当該事務の一部を政令で定める法人に委託することができる(同法第31条第1項第2号)とされているところ、当該政令で委託する法人として、JPCERT/CCが指定されている(サイバーセキュリティ基本法施行令第5条)。

[2]

Collective Intelligence Station for Trusted Advocates の略

[4]

Initiative for Cyber Security Information sharing Partnership of Japan の略

[5]

Japan Cybercrime Control Center の略

[6]

Japan cyber security Information Sharing Platformの略

[7]

NISC東京2020グループ「東京大会におけるサイバーセキュリティ対策と今後の取組方針」(令和4年1月)
https://www.nisc.go.jp/pdf/policy/2020/Tokyo2020houkoku.pdf(44頁)

[8]

Capability for Engineering of Protection Technical Operation, Analysis and Responseの略、令和2年2月現在、14分野19セプターが存在している。

[9]

Information Sharing and Analysis Centerの略。

[10]

個人情報データベース等を構成する個人情報(詳細はQ10参照)。

[11]

上場会社等から情報共有を受ける者が「会社関係者」と評価できない場合、当該情報共有を受けた者は、上場会社等から情報伝達を受けることになるが、情報伝達行為の一部も規制の対象である。会社関係者は、重要事実について、他人に対し、公表前に有価証券等に係る売買等により他人に利益を得させ、又は当該他人の損失の発生を回避させる目的をもって、当該重要事実を伝達し、又は当該売買等を推奨してはならない(同法第167条の2第1項)。これに違反し、情報の伝達を受けた者が当該重要事実の公表前に株式の売買等を行った場合には、上記インサイダー取引と同様の罰則が科される(同法第197条の2第14号、第207条第1項第2号)。サイバーセキュリティに関する情報共有を行うに当たっての情報伝達・取引推奨行為は、「他人に利益を得させ、又は当該他人の損失の発生を回避させる目的」にあたらないため、基本的にはインサイダー取引規制の対象ではないと考えられる。

[12]

構成要件などの詳細についてはQ76参照。

[13]

本号に該当すると言えるためには、法令上明文の根拠が存在し、かつその根拠法令に基づいて適正な運用がなされていることが前提となる。

Q58 脅威インテリジェンスサービス

脅威インテリジェンスサービス(特にダークウェブからの情報収集を行っているサービス)を提供するに当たって、どのような点に留意すべきか。

タグ: 脅威インテリジェンス、ダークウェブ、個情法、不正競争防止法、刑法

1.概要

DXの加速により、個人情報や営業秘密の漏えい、不正アクセス、サイバー攻撃など、デジタルにおける脅威・リスクが増している。そのような中、攻撃者からの脅威の検知・分析・対応・予防、サイバーセキュリティ向上のために活用するため、通常の方法ではアクセスが容易ではなく、アクセス自体に危険が伴うことがあるダークウェブやダークマーケットにおいて情報を収集し、加工・分析したうえで、攻撃者の脅威の兆候などの有用な情報等を提供するサービス、すなわち、脅威インテリジェンスサービスが脚光を浴び始めている。

ダークウェブやダークマーケットでの情報収集は、それ自体の適法性も問題となる。そのため、違法行為を前提とする脅威インテリジェンスサービスの利用はコンプライアンスやレピュテーションに関して問題となり得る上、当該違法行為の幇助・教唆も問題となり得るので、適切な知識を持った上で、利用する必要がある。

2.解説

(1)脅威インテリジェンスサービスとは

脅威インテリジェンスサービスとは、明確な定義があるわけではないが、サイバーセキュリティ上の脅威に関する情報(マルウェアや攻撃インフラに関する情報、いわゆるIoC(Indicator of Compromise)情報などを収集し、その情報を分析または集約し、分析結果等の付加価値を加えて顧客に提供するという形態をとるサービスが多い。

情報の収集先は、一般公開されているニュースサイトやSNSなどのいわゆるサーフェスウェブのみならず、通常の方法ではアクセスが容易ではなく、アクセス自体にも危険が伴うことがあるダークウェブやダークマーケットから情報を収集する脅威インテリジェンスサービスも近時増加しつつある。そうしたサービスでは、ダークウェブやダークマーケットにアクセスし、サイバー攻撃者のやりとりの内容、取引されている情報といった、サイバー攻撃の兆候となる情報を収集し、時にはAIを駆使して専門家が加工・分析した上で、顧客との関連性が高い脅威情報を抽出して提供している。

こうしたサービスが増加している背景には、デジタルリスクが高まっていることや、特定の事業者や組織を狙う「標的型攻撃」の脅威が高まっていること、サイバー攻撃の巧妙化に伴い、これまでとは違った予防策を実施する必要が高まっていることが挙げられる。加えて、サイバー攻撃が複雑化・巧妙化する中、日々刻々と様々なセキュリティ関連の企業や団体が脅威に関する情報発信を行っているため、情報過多となり、事業者にとって必ずしも必要な脅威情報に効率的にアクセスできないケースもある。

脅威インテリジェンスサービスを提供するための情報収集として、違法取引の温床となっているダークウェブやダークマーケットに潜入し、一定の活動や取引をすることが法令に違反しないかが問題となる。そのような状況を踏まえて、例えばアメリカでは、アメリカ司法省サイバーセキュリティユニットが、2020年3月に、脅威インテリジェンスについてのガイダンスを発表している1。一方で、日本では、官公庁、団体によるガイダンス等は特段公開されていない。

(2)法的論点

以下では、日本法の観点から、脅威インテリジェンスサービスに関連する法的論点を解説する。

ア ダークウェブ上で流通する個人情報を閲覧又はダウンロードすることの適法性

ダークウェブ上で流通する情報を収集するタイプの脅威インテリジェンスサービスにおいても、どのような情報を収集するかはさまざまなものがある。例えば、ダークウェブ上で、不正アクセスにより窃取されたと思われるユーザID・ユーザ名・パスワードのリスト等が取引されている場合に、どのようなデータなのかという抽象的な情報のみを取り扱うサービスもあれば、実際に取引されているデータをダウンロードして取り扱うサービスもある。

とくに後者については、ダークウェブ上で取引されている個人情報を含むデータをダウンロード等することがありうるため、これが、偽りその他不正の手段による個人情報の取得を禁ずる個情法第20条第1項に反しないかが問題となる。

個情法GL(通則編)によれば、まず、「取得」について、個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報の「取得」にあたらないとされている。一方で、個人情報に該当するデータをダウンロード含め転記等する行為は、個人情報の「取得」に当たると考えられる。

そして、同GLでは、個情法第20条第1項違反に当たる事例として、同「法第27条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合」や「不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合」が示されている。

ダークウェブ上で掲載・取引されている個人情報は、掲載した者が偽りその他不正の手段により取得した個人情報である蓋然性が高く、また、掲載した者が個情法第27条第1項に違反してこれをダークウェブ上で提供している蓋然性が高い。このため、個人情報取扱事業者が、ダークウェブ上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得することは、偽りその他不正の手段による個人情報の取得に該当するものとして、法第20条第1項に違反するおそれがあると考えられる。

ただし、個別の事案ごとに判断することとなるが、例えば、人(法人を含む)の生命、身体又は財産の保護のために個人情報をダークウェブから取得してこれを取り扱う必要がある場合、社会的に影響のあるサイバー攻撃の解析等のために研究機関等が必要最小限の範囲で個人情報をダークウェブから取得してこれを取り扱う必要がある場合には、法20条1項には違反しないものと考えられる(ただし、その取得したデータに上記の取扱いの必要性が認められない個人情報も含まれていた場合には、直ちにこれを削除する必要がある)。他方、みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20条第1項に違反するおそれがあると考えられる2

加えて、当該個人情報が特定個人情報に当たる場合は、マイナンバー法で認められていない目的での情報の取得は、同法に違反する可能性もあるので、注意が必要である。

イ ダークウェブ上で流通する営業秘密及び限定提供データを閲覧又はダウンロードすることの適法性(不正競争防止法第21条)

営業秘密及び限定提供データのダウンロードは、窃取、詐欺、強迫その他の不正な手段による取得についての不正競争には当たらないと考えられる(不正競争防止法第2条1項4号・11号)。しかし、不正取得行為が介在したことを知って、取得している場合には、不正競争に当たる(同法第2条1項5号・12号)。ただし、営業上の利益の侵害等がなければ、同法上の差止請求及び損害賠償請求の対象にはならない(同法第3条・第4条)。なお、限定提供データに関しては刑事責任に関する規定がなく、営業秘密についても、「不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的」がなければ、営業秘密の取得についても、刑事責任を負うことはないと考えられる(同法第21条1項7号・8号)。

ウ ダークウェブ上で流通するマルウェアをダウンロードすることの適法性

正当な理由がなく、人の電子計算機における実行の用に供する目的で、不正指令電磁的記録を取得又は保管する行為は、不正指令電磁的記録取得又は同保管罪(刑法第168条の3)が成立する場合がある(Q65参照)。マルウェアは、この不正指令電磁的記録に該当しうるため、マルウェアのダウンロードについては、同罪に注意する必要がある。ただし、例えば、脅威インテリジェンスサービスの提供目的であれば、「正当な理由がないのに」及び「人の電子計算機における実行の用に供する目的」という要件を欠くと思われるため、同罪は成立しないと考えられるが、ダウンロード及び保管する際には正当な理由及び目的があることを明らかにできるよう準備しておく必要がある。

エ ダークウェブ上で流通するID・パスワード等の識別符号をダウンロードすることの適法性

何人も、不正アクセス行為の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならず(不正アクセス禁止法第4条)、同目的でそれを保管してはならない(同法第6条)。

ダークウェブ上で流通しているIDやパスワードは、同法に規定する識別符号に該当する可能性があるため、これをダウンロードし、保管する行為は、同法上問題となり得る。ただし、これらの罪が成立するのは、あくまで「不正アクセス行為の用に供する目的」が肯定される場合である。そのため、脅威インテリジェンスサービスの提供のために他人の識別符号を取得・保管する行為について、「不正アクセス行為の用に供する目的」という要件を欠く場合には、同罪は成立しないが、ダウンロード及び保管する際には、正当な理由及び目的があることを明らかにできるよう準備しておく必要がある。

3.参考資料(法令・ガイドラインなど)

  • 個情法第20条第1項、同法第27条第1項、同法第30条第1項及び第3項
  • 個情法GL(通則編)
  • 個情報QA
  • 不正競争防止法第21条
  • 刑法第168条の3

4.裁判例

特になし

Q59 データの消去、データが記録された機器・電子媒体の廃棄

データを消去したり、データが記録された機器・電子媒体等を廃棄したりする場合に、どのような点に留意する必要があるか。

タグ: 個情法、安全管理措置、秘密情報、消去、削除、廃棄、暗号化消去、秘密保持契約、ハードディスク

1.概要

データの消去や、データが記録された機器・電子媒体等の廃棄に際しては、データを完全に消去せずに機器・媒体を廃棄した場合、データが復元される危険もあるため、このような不完全な消去等によって個人データや他社の秘密情報等のデータが漏えいしないように十分留意する必要がある。消去等の作業を行うに当たっては、複数のガイドライン・資料が公表されており参考になる。また、外部の事業者にデータ消去を委託する場合は、適切な委託先を選定し、情報の漏えいに関して規定した契約を締結したうえで情報が適正に抹消されたことを証明する資料の提出を求める、スタッフ等による立ち合いを行う等、委託先での履行状況を確認することが重要である。

2.解説

(1)総論

データを消去したり、データが記録された機器・電子媒体等を廃棄したりする場合(以下あわせて「データの消去等」という。)には、不完全なデータの消去等によって個人データや他社の秘密情報等のデータの漏えいが生じないように十分留意する必要がある。

個人データについては、個情法第23条に基づき安全管理措置義務を講じる必要があり、具体的な安全管理措置の内容及びその実践手法の例については個情法ガイドライン(通則編)の「10(別添)講ずべき安全管理措置の内容」に定められている。そのうち、安全管理措置の一環としての物理的安全管理措置としては、個人データを消去等する場合は、復元不可能な手段で行わなければならないこと、また、個人データを消去等した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要であるとされている。同ガイドラインでは、より具体的な措置の手法の例として、個人データが記載された書類等を廃棄する際に、焼却、溶解、適切なシュレッダー処理等の復元不可能な手段を採用すること、個人データの消去等に際して、情報システム(パソコン等の機器を含む。)において、個人データを削除する場合、容易に復元できない手段を採用すること、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用することが挙げられている。

他社の秘密情報については、まず秘密保持契約の有無を確認し、そのような契約がある場合には、契約上の義務に十分留意する必要がある。例えば、秘密保持契約に、データの消去義務や返却義務が規定されているケースが多く、消去の方法の指定や、消去したことの証明を提出しなければならないこと等が規定されているケースもある。このような条項がない場合であっても、データの消去等に際して、不完全なデータの消去等によって他社の秘密情報を漏えいさせた場合には、取引に関する契約に基づく責任や不法行為に基づく責任が生じる可能性があるため留意が必要である。

(2)データの消去等における留意点

データが記録されている機器・媒体を廃棄するに当たって、データを完全に消去せずに廃棄した場合、廃棄された機器・媒体からデータが復元され、情報が流出する危険がある。実際に、令和元年11月、神奈川県がリースを受けて使用していたハードディスクをリース会社に返却したところ、当該リース会社からデータ消去作業を受託した会社の従業員が、当該ハードディスクを消去の作業前に盗んでオークションサイトに出品し、全て落札され、県の内部情報ではないかという連絡を受けたことで事案が発覚したことがあった1

データの消去に関しては、以下のような資料が参考になる。

ア NIST SP800-88 Revision 1

アメリカ国立標準技術研究所(National Institute of Standards and Technology)が発表しているガイドラインである「NIST Special Publication 800-88 Revision 1」2は、記録媒体のサニタイズ(消去や破壊)に関する内容をまとめたもので、消去や破壊を行う機器やソフトウェアにて処理方法の基準となっており、主に大容量のハードディスクをソフトウェア消去(上書き方式)する場合の標準方式として参照されている。

イ 地方公共団体における情報セキュリティポリシーに関するガイドライン

総務省が令和4年3月に公表した「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和5年3月版)」3は、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方及び内容について解説したものとなっている。同ガイドラインでは、「情報システム機器が不要になった場合やリース返却等を行う場合には、機器内部の記憶装置からの情報漏えいのリスクを軽減する観点から、情報を復元困難な状態にする措置を徹底する必要がある。この場合、一般的に入手可能な復元ツールの利用によっても復元が困難な状態とすることが重要であり、OS及び記憶装置の初期化(フォーマット等)による方法は、ハードディスク等の記憶演算子にはデータの記憶が残った状態となるため、適当でないことに留意が必要である。」という記載がある。また、記録されている情報の機密性に応じて、情報システム機器の廃棄等を行う際の「機器の廃棄等の方法」及び「確実な履行を担保する方法」を整理した表が掲載されており、参考になる(同ガイドラインiii-53頁)。

ウ 政府機関等統一基準群

政府機関等統一基準群の一つであるNISC「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」4では、「「ファイル削除」の操作ではファイル管理のリンクが切断されるだけであり、ファイルの情報自体は抹消されずに電磁的記録媒体に残留した状態となっているおそれがある。」として、電磁的記録媒体に記録されている情報を抹消するための方法を次のように列挙している。

  • データ抹消ソフトウェア(もとのデータに異なるランダムなデータを 1 回以上上書きすることでデータを抹消するソフトウェア)によりファイルを抹消する方法
  • 暗号化消去を行う方法
  • ATAコマンドの「Enhanced SECURITY ERASE UNIT」コマンドを使用する方法
  • ハードディスクを消磁装置に入れてディスク内の全てのデータを抹消する方法
  • 媒体を物理的に破壊する方法

上記のうち、「暗号化消去」とは、情報を電磁的記録媒体に暗号化して記録しておき、情報の抹消が必要になった際に情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、情報を利用不能にする論理的削除方法と定義されており、暗号化消去に用いられる暗号化機能の例としては、ソフトウェアによる暗号化(Windows の BitLocker 等)、ハードウェアによる暗号化(自己暗号化ドライブ(Self-Encrypting Drive)等)などが挙げられている。暗号化消去は、同ガイドラインの令和3年改正時に新たに加わったものであり、この方法による消去も積極的に検討されるべきである。

なお、前掲のハードディスクが盗まれオークションサイトに流出した事例では、ハードディスクのデータの消去に関して委託を受けた業者の従業員が一連の行為を行っている。企業のスタッフ自らが情報を抹消することが不可能な場合は、あらかじめ抹消の手段と抹消の措置を行う者を企業内で実施することや情報の抹消を外部の事業者等へ業務委託することは合理的であるが、外部事業者にデータの消去を委託する場合には、適切な事業者を選定し、情報の漏えいに関して規定した契約を締結したうえで、情報が適正に抹消されたことを証明する資料の提出を求める、スタッフ等による立ち合いを行う等、委託先での履行状況を確認することが重要である5

3.参考資料(法令・ガイドラインなど)

本文中に記載のとおり

4.裁判例

特になし