筆者はさる7月17日付けの Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」で、ドイツ連邦議会が刑事訴訟法上で予告なしに容疑者間の電子通信内容のスパイウェアによる傍受やデバイスのメモリーの捜査を可能とする法案を可決したというブログ記事を読んだ。
筆者としては、まずこの問題は単に刑事訴訟法といった手続法上の問題にとどまらず、ドイツ憲法にあたる「連邦共和国基本法(Grundgesetz für die Bundesrepublik Deutschland:GG)」違反の問題等をどう考えるかという疑問が湧いた。
米国の各ローファームの解説(注1)は、おおむね法案の概要は解説しているものの、(1)関係条文の具体的な規定内容、(2)連邦議会での与野党等各党派の意見、(3)ドイツ国内の人権擁護団体の見解等は見いだせなかった。
したがって、筆者は上記疑問点につき独自に関係資料の調査を行い、概括的な内容ではあるが、今回のブログであえて紹介することとした。(注1-2)
取りまとめにあたり、まず今回の立法措置の前提となるドイツの連邦刑事庁(Bundeskriminalamt:BKA)や州刑事庁(Landeskriminalamt:LKA)等の捜査機関のスパウェア使用と憲法問題の議論は、2011年10月にドイツの国際的ハッカー集団(Chaos Computer Club:CCC)の告発に始まったことに関し、情報を整理した。
そこで本ブログでは、まず(1)CCCや弁護士などが指摘したドイツ主要州のスパイウェアの利用実態についての事実関係の整理、(2)セキュリティ・ソフトハウスであるSophosが提供するトロイの木馬(R2D2)の情報サイト、(3)ドイツで問題となった「いわゆる合法的とされる通信傍受(Quellen-TKÜ)源」や「オンライン捜査」問題につき、問題点を整理した。これらの問題に関し、わが国ではまともな解説が皆無に近いにもかかわらず、その必要性はきわめて重要性をもってわが国の法執行機関等では秘密裡に検討されているであろう。
わが国では、いわゆる立法論ではなく、事実関係として捜査現場のニーズが優先する「GPS捜査の合法性」の最高裁判決(注2)でも見られるとおり、仮にわが国でドイツの州刑事庁のようなことが生じた時に、だれがどのように告発することになろうか。フォレンジック捜査の重要性を先取りした議論に寄与することが本ブログの第一目的である。
なお、この問題を取り上げるうえで役職員数5,500人以上をかかえる「ドイツ連邦刑事庁(BKA)」の権限、機能の正確な理解がポイントとなる。しかし、わが国では、BKAの詳しい解説は皆無であるし、さらにEU委員会内におけるForensic Science, Criminal Scienceの中心的研究機能を果たしていることを解説したものはない。
この問題だけでもかなりの大部なものとなるため、別途のブログで取りまとめることとする。
1.ドイツの州刑事庁(LKA)等捜査機関のオンライン捜査やスパウェア使用と連邦憲法裁判所の対応
2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht)は、ノルトライン・ヴェストファーレン州(Nordrhein‐Westfale)は連邦憲法違反を犯しており、'遠隔捜査'(オンライン捜査:Online-Durchsuchung:nline search/online surveillance)は非常に厳しい条件下でのみ許可されると判示した。
(1) 2011年10月にドイツの国際的ハッカー集団(CCC)の告発にはじまり、市民の厳しい追及もあり、メデイア、人権擁護NPO等を中心とする事実関係の調査が行われた。この事件の経緯を整理する。
欧州の人権擁護NPOが発行するStatewatch Journal volume 21 no 4, March 2012Analysis:「State Trojans: Germany exports “spyware with a badge”」(全7頁)を以下、仮訳する。
ドイツの連邦や州警察は、市民のインターネット活動を監視するソフトウェアの使用が、法律で許可されている範囲以上で行っている。また、警察との国境を越えた協力の非公式なワーキンググループ会議も開催している。
2005年以来、ドイツの州警察は、捜査目的で個人や団体等を遠隔型スパイを行うため、ソフトウェア(マルウェアやトロイの木馬)をコンピュータにインストールしている。 これらの活動のための法的根拠基盤は存在せず、前述のとおり、2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht:以下”BVerfG”という)は、'遠隔捜査'(オンライン捜査)は非常に厳しい条件下でのみ許可されると判示した。
ドイツでは「デジタル・プライバシー」の保護に強い市民運動があり、その事実の開示が民間のコンピュータや携帯電話を傍受する国家情報機関とセキュリティ機関に関する熱い論議を巻き起こした。
2011年10月、ドイツの世界的ハッカー団体カオス・コンピュータ・クラブ(Chaos Computer Club:CCC)は、彼らがコンピュータ(付録参照)にインストールされたトロイの木馬を見つけたとする調査結果を公表した。(本記事に詳細な付録参照資料としてCCC報告が添付されているが、本ブログでは内容訳は略す)
CCCによると、このマルウェアはスパイ活動を行うことができた。すなわち、CCCの分析によれば、このトロイの木馬は①キーストロークをログ記録するだけでなく、②スクリーンショットを撮ったり、②Skypeの会話内容を録音したり、③ウェブカメラやコンピュータマイクを起動することさえでき、人の家内で私的な出来事を調べることもできた。また、このマルウェアは対象者のコンピュータに「バックドア」を開き、ソフトウェアをインストールすることもできるとものとして構築されていた。
CCCの情報開示に続いて、バイエルン州は、トロイの木馬の存在を認め、他の州もすぐに開示を続けた。当時の連邦法務大臣ザビーネ・ロイトホイサー=シュナレンベルガー(Sabine Leutheusser-Schnarrenberger(自由民主党:FDP)は調査を開始した。またドイツのメディア”Deutsche Welle”は、州における既知のトロイの木馬の使用状況について報告を行った。
州の内務大臣等は、バーデン=ヴュルテンベルク州(Baden‐Württemberg)、ブランデンブルク州(Brandenburg,)、シュレースヴィヒ=ホルシュタイン州(Schleswig‐Holstein )、ニーダーザクセン州(Land Niedersachsen)が、地方警察が法律の制限内でソフトウェアを使用していたと述べた。
公共放送局NDRによると、ニーダーザクセン州では、同ソフトウェアは2年間使用されていたと報じた。
ブランデンブルク州の捜査当局は、デイリー・ベルリン・モルゲンポスト紙に対し、使用スパイウェアを1つであるが、引き続き調査を行っていると述べた。バデッシュ・ツアィツング紙はバーデン=ヴュルテンベルク州は個別事案においてこのようなソフトを使っていると報じた。
ノルトライン・ヴェストファーレン広域州西部地区の内務担当大臣は、2つの事例でソフトウェアを使用したが、両者とも裁判官の承認の得ていると述べ、ニュース通信社DPAによると、これら2件とも重大な麻薬犯罪事件であると報じた。
バイエルン州南部地区の当局者は、自州の捜査機関が2009年以降スパイウェアプログラムを使用していると述べた。これら4つの州すべてが同じソフトウェアを使用していたかどうかは不明である。
連邦刑事庁(BKA)の長官ヨルグ・ツイカー(JörgZiercke)は、素早く地方警察の刑事警察がこのプログラムの使用を断念したと述べた。
ツイカーは初めは何も言わなかったが、連邦議会左派党(DieLinke)からの質問を受けて、バーデン・ヴュルテンベルク州とバイエルン州の警察官だけでなくという、ベルギー、オランダ、スイスが参加するDigiTaskソフトウェアユーザーのための非公式のワーキンググループが活動していることが明らかとなった。
このワーキンググループは、最初は「DigiTask Userグループ」と呼ばれて3年間活動していた。それは後に「リモート・フォレンジック・ソフトウェア・ユーザー」に改名した。
同グループは年に2回会合し、議会議員はその存在を認識していなかった。
連邦議会が、この非公式の国際作業部会の存在を知る前に、DigiTaskはドイツのメディアに対し、このソフトウェアが他国に売却されたと語った。
オランダの自由党(D66)は法務大臣にソフトウェアがオランダで使用されているかどうかを尋ねたが、その回答は保留中である。
刑事訴訟事件でも、これらのソフトの運用に関する情報が公開されている。
スイスの2人の左翼活動家が、ニュルンベルクのサーバーを使って暗号化していたため、スイス警察とニュールンベルグ警察がハードウェアとソフトウェアを使用してサーバーを経由するすべての通信をキャプチャする「ディープ・パケット・インスペクション(deep packet inspection)」(注3)を行っていたことが明らかになった裁判事件がある。
法的ファイルとして、スイスとバイエルンの警察の間でDigiTaskソフトウェアを使用し、誰が履行し費用を分担するかについて議論していた。しかし、このような非公式の作業部会が国際的な共同作業の調整にも使用されているかどうかは不明である。
同サイトは、セキュリティソフトハウスであるSophosが提供する情報解説サイトである。CCCの解析を補完する意味でも参考となる内容なので、参考までに概要を仮訳する。 2011年10月10日に掲載されたものである。
① これはあなたが探す”R2D2”ではない、何が起きたのか?
Skypeインターネット通話を監視し、感染したコンピュータのオンライン活動を監視し、キーストロークを記録し、ネット経由でその機能を更新する「トロイの木馬」が発見された。。
ほとんどのウイルス対策ベンダーが「R2D2」と呼んでいるが、「0zapftis」または「Bundestrojaner」とも呼ばれるこのトロイの木馬は、世界的に有名なハッカー集団Chaos Computer Club(CCC)によって発表された。
② なぜこのトロイの木馬はR2D2と呼ばれるのか?
この名前は、トロイの木馬のコードの中に埋め込まれた文字列から来ている。
C3PO-r2d2-POE
③ CCCはどこからそのマルウェアを取得したのか?
ドイツの弁護士Patrick Schladt(パトリック・シュラド)は、メディアに対し、自身のクライアントのコンピュータのハードディスクに法執行機関がインストールしたトロイの木馬が見つかったと伝えた。
このマルウェアは、ミュンヘン空港の通関管理を通過する際に、コンピュータにインストールされたとされたと述べた。シュラドは、医薬品に関連しドイツの法律を適用される責任から顧客を守っていた。
容疑者とされた人物と同社の法律チームがデジタル証拠を調べたところ、彼らはトロイの木馬が存在することを示唆する証拠を見つけ、そのハードディスクは シュラドのクライアントの許可を得てCCCと共有した。
CCCはフォレンジック・ソフトウェアを使用して、削除されたファイルをハードドライブから復元し、R2D2トロイの木馬を発見した。
④ なぜこのトロイの木馬はニュース価値があるのか?
CCCは、マルウェアがBKAやLKAなどのドイツの法執行当局のために作成され、使用されていることを示している。さらに、シュラドは、税関部門がマルウェアのインストールにも関与していたと主張する。
⑤ BKAとLKAはどのような機関をさすのか?
連邦刑事庁(BKA)はドイツの連邦犯罪捜査機関であり、また州捜査局として働く16の州刑事局(LKAs:Landeskriminalamt)が全国にある。
BKAは、CCCによって明らかにされたファイルは自身はそれらには関与していないと述べた。もちろん、BKAが他の場合にスパイウェアを使用していないことは言うまでもない。今回の場合、マルウェアへの接続を正式に拒否しているというだけである。
連邦政府の広報担当者Steffen Seibertは、BKAの関与を否定するためにTwitterを使用した。
一方、この問題につきLKA部門はコメントしていない。スパイウェアを使用する警察は議論の余地があると思う
そうです。 あなたは、プライバシー擁護者が、警察の捜査官がユーザの認識なしにコンピュータの活動を偵察できるという考えのもとに、なぜこのような神経過敏になるのかを想像することができよう。
⑥ ドイツ法執行当局が市民のコンピュータをトロイの木馬で偵察するのは合法か?
ドイツの法律は、警察はスパイウェアを疑いのある犯罪者にスヌーピング(注4)することを認められているが、厳格なガイドラインのもとでのみ行いうる。たとえば、当局は、暗号化される前にSkypeの会話を録音するために電話盗聴(phone wiretap)に相当するものについては法的承認を求めなければならない。
ドイツ連邦憲法裁判所は、判決等において捜査官のスパイソフトウェアで何を行いうるかを制限するとされる厳しい法的ガイドラインを設けている。たとえば、Skypeの会話を録音することは許可されていますが、そのスパイウェアは被疑者のコンピュータ上のコードを変更してはならず、トロイの木馬が追加機能を含むようにするために保護装置を設置する必要がある。
⑦ R2D2トロイの木馬はSkypeの会話内容を覗いているのか?
Skypeの会話を記録するだけでなく、MSN MessengerやYahoo Messengerチャットクライアントのようなものも盗聴し、Firefox、Opera、Internet Explorer、SeaMonkeyなどのブラウザでのキーストロークを記録することもできる。
さらに、トロイの木馬は、ユーザーの画面の内容を取得し、アップデートをダウンロードし、リモートWebサイトと通信することができます。
⑧ トロイの木馬はどのウェブサイトと通信しているのか?
このトロイの木馬は、デュッセルドルフまたはノルトライン=ヴェストファーレン州ノイスにあるIPアドレス83.236.140.90に接続しているようである。
⑨ LKA Nordrhein-Westfalenはどこにあるのか?
デュッセルドルフである。
⑩ スパイウェアであるトロイの木馬を使用しているLKAについてさらに何を知っているか?
2008年初め、WikiLeaksは、LKAとDigiTaskと呼ばれるソフトウェア会社の間で秘密のメモがあるとリークした。このWikiLeaksによって漏洩された詳細は、CCCによって発見されたR2D2トロイの木馬の動作と一致するように見える。もちろん、DigiTaskがマルウェアを書き込んでいない可能性もありますが、機能は一致している。
DigiTaskはこれまで、Skypeの会話を監視するための監視ソフトウェアを発表したりプレゼンテーションを行ってきている。
⑪ R2D2トロイの木馬がLKAによって使用されたことを証明できるか?
ドイツ警察当局が関与を確認しない限り、マルウェアを誰が作成したかを証明することは実際には不可能である。しかし、それは彼らが関与していない可能性が高いように見え始めています。
⑫ R2D2トロイの木馬はどのようにコンピュータに感染するか?
このマルウェアはWindowsコンピュータをターゲットとしている。 通常、添付ファイルを含む電子メール、またはコンピュータに感染するWebへのリンクすることで起きる。(注5)
ドイツの大手メデイアDWが政府スパイウェアの背後にあるドイツの会社DigiTaskがバイエルン州へのスパイウェアの販売の事実を認めたとする記事を載せている。
前記(1)で述べた内容とかなり重複するのでここでは引用しないが、より詳しい事実関係の説明があるので、併読されたい。
(4) いわゆる「合法的とされる通信傍受(Quellen-TKÜ)源」と「オンライン捜査」に関する法的考察
限られた時間のため、法学者ウルフ・ブルマイヤー(Ulf_Buermeyer氏のレポート「Quellen-TKÜ – ein kleines Einmaleins (nicht nur) für Ermittlungsrichter」をあえて参照し、仮訳した。なお、筆者はドイツ法の専門でもないし、また憲法裁判所の判決内容についての研究者でもない。その意味で神戸大学(当時)高橋和広「IT基本権に関する一考察(Eine Uberlegung vom IT-Grundrech)」神戸大学六甲台論集法学政治学篇,61(12):39-89等を適宜参照した。
① 検証:その法的根拠は?
「いわゆる合法的とされる通信傍受(Quellen-TKÜ)源」は、「古典的な」電気通信監視手段の特別なケースとして提示されることが多い。ただし、技術的な観点からは、これは「オンライン検索」と同じ手順である。Quellen-TKÜと更に進めた捜査手段の両方について、監視ソフトウェア(「トロイの木馬」)がターゲット・システム上で実行されるため、厳密性・完全性には違反する。
合法、違法の違いは、気づかないであろうが、唯一Quellen-TKÜで収集できるデータの性質のみによる。ターゲットシステムに侵入すると、単に電話を傍受するだけの捜査は、モジュールを再起動するという単なる問題に過ぎない。CCCは「国家によるトロイの木馬」の分析でこのことを印象づけている。
これは、トロイの木馬によるQuellen-TKÜの法的根拠の可能性を問ううえで、次の2つの思考を証明するステップにつながり、Quellen-TKÜとオンライン捜査の両方とも既に容認できなくなる可能性がある。
(A)Quellen-TKÜにつき特定の許可基準とは何か?
ソース通信システムの場合、電気通信のモニタリングが関係しているので、刑事訴訟法§100a条の義務ならびに§100bStPOの手続き上の法的基準が明らかである。 しかし、これらの基準は、情報通信システムの完全性と機密性には影響しない(基本法第10条第1項)。これは、連邦憲法裁判所のオンライン上の決定 検索、・・・・・
しかし、連邦憲法裁判所はさらに同じ判決で、Quellen-TKÜのみが存在し、オンライン検索が全くないと述べている。
監視が進行中の電気通信プロセスのデータに限定されている場合、これは技術的な規定と法的要件によって保証されなければならない。
連邦憲法裁判所(BVerfG)によって策定された法的要件の要求は、法科学においてほとんど全会一致に導かれている(例えば、JurPCのAlbrecht、Buermeyer / Baker HRRS 2009、p.433、Becker / Meinicke StV 2011,50参照) 証拠)これらの法的要件を正確に含む具体的かつ法的な規制が必要である。
ドイツ刑事訴訟法第100a条および刑事訴訟法第100b条は、 Quellen-TKÜ の特別な特徴について言及しておらず、特に「技術的予防措置」による電気通信の制限を確実にするための保護措置を規制していないため、 これらの基準の拒否は、最初の検査段階である。 個々の裁判官がこれを違う方法で見れば、司法機関の自己エンパワメントがあり、それはすでにNetzpolitik.org とのインタビューで非常に疑わしいと批判されている。
(B)「附属品の権能」
ドイツにおいて非常に影響力のある裁判官(Lutz Meyer-Goßner)は、Quellen-TKÜの具体的な法的根拠は必要ないと主張する。ターゲットコンピュータにトロイの木馬を潜入させる許可は、それほど重要ではありません 電気通信の監視の付属品は、刑事訴訟法§100a,§100bに基づいても可能である。そうでない場合はプロバイダーのみが通信傍受(TKÜ)手段の使用が許可される。
ここでのキーワードは「附属品としての権能(Annex-Kompetenz)」である。この基準の裁判官が通信傍受(TKÜ)を手配することができれば、トロイの木馬使用につきTKÜを小さな付録として与えることは簡単であろう。
この見解が疑わしいほど、CCCは、データ主体のプライバシーのためのトロイの木馬の使用の劇的な結果を明らかにしただけでなく、ターゲットシステムのデータセキュリティ問題を明らかにした。 通常のTKÜと発信元TKÜは、関係者の権利における介入の重大度と比較されるべきではなく、常にトロイの木馬に関連するリスクがあるためである。ほぼ預言的であるが、連邦憲法裁判所が2008年にすでに「オンライン捜査」に関する決定を行っている。
「複雑な情報技術システムが電気通信監視のために技術的に浸透している場合(「情報通信監視」)、システム全体を偵察するためには侵入に大きな障害がある。現在の電気通信の単なる監視に接続されており、特に、パーソナルコンピュータに記憶されたデータは、システムの電気通信使用に関係しないことに留意されたい。
さらに、聴聞会で有能な専門家から提供された情報によれば、たとえこれが意図ではないとしても、現在の電気通信に言及することなく、浸透後にデータを収集することができる。その結果、従来のネットワークベースの電気通信監視とは異なり、関係者は電気通信の内容や状況を超えて追加の個人情報が収集されるリスクが常にあることになる。
これは実際には追加するものではない。 TKÜへの憲法上無関係な併合措置へのターゲットシステムの非常に繊細な浸潤をどのように描写するかは、私にとってはあまり驚くことではない。
(C)結論
① ここに記載された見解によれば、これはすでにトリの木馬(Trojans)によるQuellen-TKÜの認可に適した法的基盤が欠けている。
②比例性についての検証
通信傍受につき刑事訴訟法の§100a、§100bの適用を希望する者は、裁判官または検察官として、電気通信監視の比例性を検証しなければならない。 この検証には、テクニカルリソースの選択、特に通信傍受(TKÜ)に利用可能な他の制限の少ない可能性の検討も含まれる。
この場合、警察は、「通常の」通信傍受(TKÜ命令)によって、例えばDeutsche Telekomに実装されているのと同様に、「通常の」通信傍受TKÜ決定に基づいて通信事業者に連絡することができる。。Skypeから特定の ポートまたはユーザー名を得る可能性が存在するかどうかは、100%確実ではない(Skypeは公式に意見を述べていない)。一方、「スカイプの合法傍受」に関するGoogle検索の結果では、この可能性を示唆する多数の目標が明らかになっている。Thomas Stadlerはこの可能性についても言及しています。この可能性は、Skypeのプライバシー利用条件で明示的に言及されている。 オーストリア警察当局はこのオプションを望んでいます。 すでにドイツメデイア”Heise.de”にもこの可能性について報告している。
しかし、スカイプはEUのルクセンブルクに拠点を置く企業でもあり、容易にアクセスできる。 裁判官または検察官の観点から見ると、これは、比例関係の文脈では、当初、Quellen-TKÜに対抗し、Skypeなどのプロバイダーと古典的傍受を実装するためのマイルドな方法であることを意味する。これは、一方では、ドイツ刑事訴訟法第100b条(3)号によって規定されている道でもある。 一方、これはトロイの木馬が拒否したターゲットシステムへのかなりの干渉のためです - 穏やかな介入の憲法的見地からもそうである。 Skypeが通信傍受(TKÜ)の司法上の許可を実施していないなどの事実も明らかになった場合にのみ、さらなるステップを検討することができる。
実際には、これは、Quellen-TKÜを開始するための「主な」要求が、検察官と調査官によって却下されるべきであることを意味する。 むしろ、前提条件がそれ以外の場合は、それぞれのVoice over IP事業者に対して「通常の」TKÜが適用されるか、注文されることになる。この対策が成功した場合にのみ、さらに拡大段階をコンピュータに浸透させなければならない可能性がある。
③ 技術面からの検証
実際に利用可能な他の技術的解決策がないことが明らかであり、刑事訴訟法の§100a、§100bが法的根拠とされるというさらなる仮定がある場合はBVerfGの判決文にあるとおり、電気通信サービスの制限について憲法裁判所上の問題するのが実際的である
一方、ドイツ基本法第10条(1)項(信書の秘密並びに郵便及び電信電話の秘密は、これを侵してはならない)は、モニタリングが進行中の電気通信プロセスのデータのみに限定されている場合、「ソース電気通信監視」の認可の評価に関する唯一の基本的な法的基準である。これは、技術的な規定と法的要件によって保証されなければならない。 "
しかし、これは問題のない形式ではない。Quellen-TKÜ.の全体の構成はこの制限に依存する。制限が満たされなかった場合は、代わりに不正なオンライン検索が行われ、自営の情報システム(「コンピュータ基本権(Computer-Grundrecht)」)の完全性と機密性に対する基本的権利が侵害される。 したがって、裁判官と検察官は、これを効果的に管理するためにすべてのことを行う必要がある。 特に、当局自身がソフトウェアの各メーカーによって完全かつ正確に情報が提供されているかどうかは不明であるため、警察だけの保証を信頼することはできない。 CCCによって分析された事件は、少なくとも司法機関(おそらく警察)でさえ、彼らが実際にハードディスク上で告発するため得られた「デジタル・バグ」(FAZ)を知らないことさえ示唆している。 したがって、ターゲットシステムの耐性状態の浸潤に対して、以下の最小要件を定式化することができる。
◾それぞれ使用されているソフトウェアは、独立した場所のソーステキストと実行可能ファイル(「バイナリ(Binaries)」)を使用して分析されていなければならない。
◾このチェックはケースバイケースで行われなければならず、使用されるソフトウェアが法的要件を満たしていることを確かめられねばならない。
このためには、個々のケースではコントロールセンターから専門家の意見を得なければならず、意思決定プロセスにおいて裁判官が利用可能でなければならないため、すべての前提条件が満たされているかどうかを「ポイントごとに」チェックしうる。
【結論】
いずれにしても、基本法の憲法上、州においては、Quellen-TKÜは一番困難な憲法上でのみ実施される。すべての裁判官、検察官は、上記の最低限の法的要件および技術的要件が「戦闘の熱意のなさ」ではないことを確実にするための積極的な措置を講じる責任がある。
残念ながら、犯罪は遍在していますが、私たちは起訴に尽力している。 しかし、法執行当局の法的違反は決して取られないかもしれないし、あるいは促進されるかもしれない。 さもなければ、私たちは保護しようとしている司法国家を改めて洞察する必要があろう。
2.連邦議会は、刑事訴訟法上で予告なしに容疑者間の電子通信内容のスパイウェアによる傍受やデバイスのメモリーの捜査を可能とする法案を可決
(1) 連邦議会の公式文書”Bundestag gibt Strafermittlern neue Instrumente in die Hand”を以下、仮訳する。なお、この議会サイトでは動画での質疑応答が閲覧可である。自信がある読者はチャレンジされたい(注6)
○ 連邦議会が可決した犯罪捜査の新しいツールは、容疑者間の暗号化した電子通信内容を傍受するとともに予告通知なしに容疑者のコンピュータのメモリー内の情報を捜査できるとするものである。2017年6月22日、法案委員会は議会の「左翼派(Linke)」と「同盟90/緑の党(Bündnis 90/Die Grünen)」の反対にもかかわらず、これらの法案を採択した。連立与党は、スパイ・ソフトウェア使用法案の承認を決定するために、2つの法案可決につき連邦政府の助言を使用した。
この2つの法案とは、 「捜査実務面の効率化と刑事訴訟手続の効率化の実現に関する法案(18/11277)、 「刑法、少年裁判所法、刑事訴訟法およびその他の関連法律の改正に関する法案(18/11272)である。 法律委員会(議会総会の決議案が採択した決議に続き18/ 12785 )は、前者で第二のような法案の条項を挿入し、いわゆる「合法的傍聴による通信監視(Quellen-TKÜ)」と「オンライン捜査 (Online-Durchsuchung)」の法的根拠としてこの法則を拡張した。
○ 暗号化の克服
アカウントへのスパイウェアのための使用許可と犯罪者が増え暗号化されたメッセンジャーサービスを介して通信していることを確認するために手段が取られるべきである。 データが暗号化する前にソースでTKU対象メッセージは、すでに送信者のコンピュータにとりこまれている。オンライン捜査(Online -Durchsuchung)は、犯罪の手がかりのために容疑者のコンピュータをリモートで見過ごさずに調査することができた。
○ 野党は、立法過程を批判
両野党とも、法律で「Quellen-TKÜ」と「オンライン捜査」を挿入することに関する議論で連立与党の大規模な行動を厳しく批判した。改正案が6月20日の法務委員会で審議、急がれたされたのち、ハンズ・クリスチャン・ストローブル(Hans-Christian Ströbele (MdB Bündnis90/Die Grünen: 同盟90/緑の党)は6月22日の採決に同意した。このようなラッシュ審議は許されない、このような「基本的権利への運用上の介入」問題は、詳細に検討する必要があると述べている。
ヨルン・ブンダーリッヒ(Jörn Wunderlich (Die Linke)(左翼党)は、これらの対策に比べて第一読会の主題となったものは「経口避妊薬(Pille-Palle)」であると記している。このような選択した方法や措置は、また連邦参議院で可決されよう。
○ 最も侵襲的監視法の一つであるという批判
引き続き、ヴンダーリッヒはこの法案は近年で最も侵襲的な監視法の一つであり、テロ対策への例外措置としても「標準的な警察の行動手順」で十分であると述べた。
また、前記Hans-Christian Ströbele は、連邦憲法裁判所所の判決と互換性がなく、個人データのプライバシーへの実質的な干渉であり、刑法とクロスする法案はQuellen-TKÜ と Online-Durchsuchungの対象として、70件の犯罪を設定していると主張した。
○与党連合は、合憲性を強調
連立政党のスピーカーであるベッティーナ・ベア・ロッサ(Bettina Bähr-Losse (SPD)は、この法案は、「連邦憲法裁判所の認める要件を満たす」と述べた 裁判官による措置の承認のための要件は、「厳密に私的施設管理の監視に適用される措置に基づいている点であり、傍受は唯一「特に重大な犯罪」のために使用されるべきであると述べた。
SPDのヨハネス・フェヒナー(Dr. Johannes Fechner)は、法案により実際に課される措置はなんら「新しいもの」ではないと述べた。もし、携帯電話が犯罪現場で発見されたとき、捜査担当者はもちろんその内容を読むであろう。これは、 オンライン捜査である。Quellen-TKÜは通信の新しい手段に適応したもので、従来認められた通信の監視以外の何ものでもない。
○ ギャングに対する行動情報の捜査が目的
エリーザベース・ヴィンクルマイヤー・ベッカー(Eliabeth Winkelmeier-Becker)(CDU / CSU)は、法案に賛成の立場から効果的な刑事訴訟法の執行のための新たな資金が必要不可欠と呼んだ。 それは「捜査当局の可能性は犯罪者とギャングが今日どのように動作するかに合わせていないだけでナンセンス」である。つまり、従来の通信傍受のみでは、ギャングはただただ、頻繁にピザを注文した人で終わろう。
また、ヴィンクルマイヤー・ベッカーはこれらの新たな措置の使用は厳しい条件の対象となると強調した。適用されるのは犯罪者や関係者という容疑者が重大な犯罪にかかるであることを疑うに足りる理由がある場合であり、したがって、Quellen-TKÜ や Online-Durchsuchung、は標準的な捜査手段ではない。
以下は、スパイウェアとは関係ない法改正部分なので訳は略す。
************************************************************
(注1) 次の米国ローファーム・サイトが本件を取り上げている。
①2017.7.17 Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」
②
2017.6.26 Morrioson Foester「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」
(注1-2) 筆者は、本ブログの取りまとめに当たりEUの関係機関の検討状況も合わせて調査した。その中で欧州議会事務局・域内政策局・政策部(Directorate-General for Internal Policies of the Union:Policy Department)が、「市民の自由・司法・内務委員会(LIBE委員会)」の要請を受けて取りまとめた研究報告「法執行機関によるハッキングの法的枠組み:実践された内容の特定、評価、比較(Legal Frameworks for Haching by Law enforcement : Identification, Evaluation and Comparison of Practices)」を見出した。
その要旨および本文を斜め読みした結果を踏まえ、仮訳すると次のとおりとなる。
「この研究(LIBE委員会の要請により市民権、憲法情問題にかかる欧州議会・域内政策局がまとめたもので、法執行によるハッキング技術利用に関する確固たる政策提言を行うとの観点から取り組んだ。これら提言は、EU加盟6か国(フランス、ドイツ、イタリア、オランダ、ポーランド、英国)および非加盟3ヵ国(オーストラリア、イスラエル、米国)における法執行機関におけるハッキングに関する法的枠組みの研究から導きだしたもので、同分野における執行機関の市民権への介入に関し、トピックスとEUの法的根拠につき国際およびEUレベルでの討議結果との統合を踏まえたものである。」
いずれにしても、前記報告は全142頁ものであり、時間と手間はかかるが、わが国の関係者としては、正確な分析は必須のテーマと内容であり、改めて仮訳作業を試みたい。。
なお、域内政策局の主な任務は次のとおりである。
① 主に17の委員会と1つの暫定委員会の事務局を設けることにより、内部政策分野におけ
る議会委員会の立法および非立法活動の円滑な運営を確保する。
② 主に委員長の会議を通じて議会の立法活動を調整する。
③ 委員会委員、特に委員長と報告者を任務の遂行に支える。
④ 委員会、その他の議会機関、大統領府に、内部政策の分野における議会の活動のすべて
の側面に関する説明、背景記録、長期調査を提供する。
⑤ 委員会および委員会との緊密な協力の下に委員会が作業プログラムを開発するのを支
援する。
⑥ 議会でのより良い法律作成に関連するすべての活動の促進と調整。
また同判決の解説例として次のものが閲覧可である。しかし、将来的課題として本ブログで取り上げた犯罪捜査とオンライン捜査やQuellen-TKÜ問題までは言及していない。最近筆者の手元にとどいた「法とコンピュータNo.35《特集 人工知能が社会にもたらすもの》」(学会誌)を読むにつれ、学会レベルで取り上げるテーマなのか。
(注3) ディープ・パケット・インスペクション(Deep Packet Inspection、DPI)はコンピュータネットワークのパケットフィルタリングの一種で、インスペクションポイントをパケットが通過する際にパケットのデータ部(と場合によってはヘッダ部)を検査することをいう。プロトコルに準拠しているかとか、コンピュータウイルスではないか、スパムではないか、侵入ではないか、あるいは何らかの基準に照らしてそのパケットを通過させるかを判断したり、それとも別の宛先に転送するかを判断したり、統計情報を収集したりといった目的で行われる。(Wikipediaから抜粋)
(注4) ”snooping”とは、通信・ネットワークの分野では、通信機器やコンピュータが、回線やネットワークを流れるデータのうち、自分宛でないものをこっそり取り込んで中身を見る仕組みや機能のことをいう。
(注5) Sophosは自社の専門的視点から次の補足説明を行っている。
*ソフォスはR2D2トロイの木馬を検出しますか?
はい。 ソフォス製品は、 Troj / BckR2D2-Aとして検出します。
* Sophos製品を使用していない場合は、アンチウィルスベンダーに連絡して保護が追加されているかどうかを確認してください。
* 法執行機関と協力して意図的にマルウェアを検出してはいけませんか?
作者が誰であろうと、当社は知っているすべてのマルウェアを検出する。そのため、ソフォスラボでは、州主催であるかどうかにかかわらず、お客様のコンピュータに対する攻撃から保護する。
*あなたがそれについて考えるなら、賢明な選択肢はありません。 サイバー犯罪者が法執行機関のトロイの木馬を召喚し、それを無実の当事者に対して使用させるのを止めるにはどうすればよいですか?
お客様の保護が最優先です。 当局がマルウェアを検出しないようにしたいのであれば、私たちがソフトウェアを傷つけるのではなく、検出できないものを書き込もうとしている。
(注6) 筆者のPCや回線環境のせいか不明であるが、動画(Video)は途切れる。したがって、下図のとおり”Video herunterladen”でAudioを選択するとスムーズにヒアリングできる。
Copyright © 2006-2016 星野英二(Eiji Hoshino).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
