2010年2月19日金曜日

オーストラリアのネットワーク管理者等の防衛的な傍受・アクセス行為に関する法律改正

 
わが国でもDDoS等のリスクが一般的に話題になる昨今であるが、コンピュータ・ネットワークの管理者やオペレーターがこれらセキュリティ・リスクを回避するためには試験、モニタリングやメンテナンスは欠かせない。また、ネットワークが誤設定の解放(free of misconfiguration)という効率的な方法による動作を保証するため、モニタリングやメンテナンスは欠かせないし、これらの対応によりネットワークは最高速度で稼動するのである。

しかし一方で、これらの通常のネットワークのセキュリティの保持・維持活動は従来の「1979年電子通信法(Telecommunications(Interception and Access) Act )」に違反するかも知れず、この問題にオーストリアが取組んだ結果にもとづく改正法案がこのほど連邦議会で可決した。(筆者注1)

わが国でも同様であるが、オーストラリアではこれら電子通信ネットワークの傍受行為が認めされるのは国家の保安機関や法執行機関に限定されていた。また、多くの政府機関は時限立法として2009年12月12日までの適用除外措置の下で傍受が認められていた。

今回のブログは、この問題につき官民を問わず解決すべく正面から取組んだ法改正の経緯と内容を紹介する。


1. 「1979年電子通信法(通信傍受およびアクセス)改正法(Telecommunications (Interception and Access) Act 1979 Act No. 114 of 1979 as amended)」
(1)法改正の要旨
法案が議会を通過した2月2日、同法の担当省である司法省ロバート・マクルランド(Attorney-General ,Robert McClelland)長官のリリースがまとまった内容になっており、その内容を紹介する。なお、国内での議会の議論や関係団体の意見については具体的に言及していない。
「本法案は、政府の取組みとしていかなる方法でコンピュータ・ネットワークを悪意ある攻撃やサイバー犯罪に該当する違法な活動から守るかにつき明確なガイダンスを提供することによるオンラインの世界の信頼性構築の重要なステップである。従来、電子通信ネットワーク傍受法は国家の安全や法執行機関が悪意あるソフトウェアからネットワークを保護する目的でのみ認められてきた。

本法案は、オーストラリアの公的な機関と同様に民間組織のコンピュータ・ネットワークを保護するもので、初めて民間のコンピュータ・ネットワークはいかなる方法で合法的に保護され、またいかなる情報がこれらの活動から引き出されるかについてルールを明確化した。

このようなかたちで、政府は個人のプライバシー権とネットワークの完全性ニーズとの均衡を求めている。また法案は、セキュリティ、防諜および法執行が最優先の的である政府にとっても自身のネットワークが適切に使用されることを保証するものである。

なお、警察など法執行機関が電子通信情報にアクセスするために令状(warrants)や許可(authorisations)を必要とする現行規定は適所に引き続き残ることになる。」

(2)法案策定の背景(アレンズ・アーサー・ロビンソン法律事務所の解説など参照)
オーストラリアの電子通信傍受法は、1979年制定時は「電子通信傍受法(Telecommunications (Interception ) Act 1979 Act)」であったが、 2006年6月13日施行の改正法から「アクセス」が加わった。
従来の電子通信傍受・アクセス法では、以下の行為は犯罪行為とされていた。
①電子通信システム上を通過した通信内容の傍受また傍受が認められた場合の傍受行為。
②当該傍受により得えられた情報の通信、使用および記録する行為。

これらの傍受禁止行為は、通信が行われている間(リアルタイムで)に聴取・記録する場合のみ適用され、かつ目的とする通信の受取人に通信サービスを介して提供される前のときに限定されていた。

通信している本人が「利用約款(acceptable usage policy:AUP)」により聴取や記録に関し同意しているときは犯罪行為には当らない。

しかしながら、AUPは通信を行う本人がAUPに基づき同意した範囲でのみ有効であり、換言するとAUPに署名したユーザーの外部転送データ(outbound traffic)により通信したデータの聴取や記録は犯罪行為には当らない。

逆に、本人の同意なしで目的とする通信の受取人がアクセス可能になる前に外部転送データを聴取したり記録する行為は禁止されていた。

(3)改正法の改正項目(全条1~211条および300条)
執筆時間の関係で、公開されている討議資料の説明項目のみあげる。
①What is network protection?
②What does the current network protection regime allow?
③What is the proposed approach?
④Network protection
⑤Appropriate use of a computer network
⑥Regulatory impact of ‘appropriate use’ provisions(対象者の取組み方につき具体的シナリオで説明している)

(4)司法長官のパブリックコメントの公募
2009年7月15日、オーストラリア連邦司法省長官は改正法案「Telecommunications (Interception and Access) Amendment Bill 2009」および関係委員会での討議資料(DISCUSSION PAPER AND EXPOSURE DRAFT LEGISLATION Computer Network Protection:全14頁)を添付したパブリックコメント募集を告示(締め切り2009年8月7日)した。
なお、改正法案の最後に移行措置一覧があり、また従来の暫定法は廃止される。

(5)オーストラリアの人権擁護団体(Electronic Frontiers Australia :EFA))の意見書提出
A.オーストラリアEFA(筆者注2)の意見書(6頁もの)
EFAは、筆者もデスカッション・メンバーであり毎日世界のプライバシー侵害問題等のニュースに基づく積極的な意見交換が行われている。
2009年8月7日の司法長官からの意見公募を受けてEFAが提出した意見書につき、問題指摘した該当条文・指摘事項の内容箇所のみあげる。
①'Appropriately used': s 6AAA, s 5(1),s 63C

6AAA: When a computer network is appropriately used by an employee etc. of a Commonwealth agency etc

5(1):Interpretation : In this Act, unless the contrary intention appears:・・・

63C:Dealing in information for network protection purposes etc

②'Disciplinary purposes':s 63C(3)
63C(3): A person must not communicate or make use of, or cause to be
communicated, lawfully intercepted information under subsection (1) or (2) if the information was obtained by converting a communication intercepted under paragraph 7(2)(aaa) into a voice communication in the form of speech (including a communication that involves a recorded or synthetic voice).

③Disclosure for network protection purposes: s 63C(1)
63C(1): Subject to subsection (3), a person engaged in network protection
duties in relation to a computer network may, in performing those duties, communicate or make use of, or cause to be communicated, lawfully intercepted information that was obtained by intercepting a communication under paragraph 7(2)(aaa).

④Expectations of privacy of external network users

B.APF(Australian Privacy Foundation)の反対意見書
4頁の意見書であり、検討期間の少なさなども指摘している。

(6)議会での審議経過の内容
2009年7月、連邦議会に法案および法案説明書が上程された。連邦議会調査局(Parliamentary Library)が「公式討議用資料(Bills Digest no. 47 2009–10)」を議会に提出しており、法案提出の背景や情報保護委員、EFAならびに電子通信業界等の意見の要約も添付されている。
本法案の審議は上院法務委員会(Senate Legal and Constitutional Affairs Committee)が中心となって11月16日まで審議された。

2.法改正により何が変わるのか
アレンズ・アーサー・ロビンソン法律事務所のレポートは、次の3点をあげている。
①合法的な通信ネットワークの保護活動
送信者が知らない間にネットワークを通じた通信内容をコピーしたりアクセスするネットワークの保護行為は、次の2つの要件を満たさない限り違法な傍受行為として違法行為となる。
・当該実行者が合法的にネットワークの保護、運用およびメンテナンスに関する義務に取組むため傍受を実行していること(この要件は、当該ネットワークが、連邦機関、州の安全当局または適任たる当局により直接または代替して運営されている場合は、この要件はネットワークが政府機関や当局の従業員、公務員または契約者によって適切に使用されるのを保証するという関連 する義務にまで拡がる)。
・これらの義務の履行に関し合理的に見て必要な範囲であること。

②傍受情報の二次使用と開示行為の制限
ネットワークの保護活動対象となる情報は、二次使用および合法的な傍受情報の開示に関しては次の例外を除き、一般的禁止規定に従う。
・関連する情報を合法的に通信する目的で記録をとること。
・法執行機関や国家の安全目的に関する情報の開示を行うこと。
・特定の手続について証拠とすること。
・ネットワークの保護目的で他人の情報を通信する合理的な必要性があること。
③スピーチの際の傍受データの利用
法案は、ネットワークの保護目的のスピーチの傍受は認めない。また、パケット形式の音声による通信内容の傍受や開示は可能であるが、スピーチの中で通信内容を再構成する行為は、他人との通信や別の使用には当らないことになる。

3.わが国の検討課題
わが国では通信傍受の法規制は現時点では「犯罪捜査のための通信傍受に関する法律(平成11年8月18日法律第137号)」があるが、その他ISP等ネットワーク管理者の法規制の在り方について本格的に論じたものは少ない。

その中でIT専門弁護士の高橋郁氏が総務省「次世代の情報セキュリティ政策に関する研究会」次世代の情報セキュリティ政策に関する研究会(第8回)(平成20年5月23日)資料8-5 においてこの問題を論じており、ここで引用しておく。
高橋氏が指摘するとおりこの問題は多くの関係する問題を提起するし、ITの急速な拡大やサイバー犯罪の巧妙化に対抗するためにも専門家による本格的な検討が必要になっていることは間違いない。

その意味で、今回のオーストラリアの法改正はわが国にとっても大きな示唆を与えるものと理解している。

「提言1(比較法的研究)
• (1)電気通信事業者等のなす活動に関して、我が国で「通信の秘密」が関係
する以下の問題について
– (ア)通信に関連するデータの記録
• 発信者情報開示問題・法執行機関に対する情報提供問題(記録)
なお、保全義務
– (イ)トラフィックによる問題
• 帯域制限問題・セキュリティ関心からのネットワーク管理活動(取
得・利用・開示)・法執行機関に対する情報提供問題(リアルタイム)
– (ウ)通信の内容に関係する問題
• 有害情報についての伝達制限問題・違法情報についての伝達制限
問題
• (2)世界各国の法的規制および実務について、詳細な研究をなして、それを
もとに、我が国の現状と比較することによって、
• (3)我が国の今後のネットワーク通信に関する法的規制および関係者の行
為規範のあり方を早急に検討すべきである。

提言2(解釈の明確化)
• (1)電気通信事業者等の行為に関するいわゆる「違法性阻却事由」構成を廃棄し、
• (2)むしろ、電気通信事業者における「積極的な取得」および「窃用」概念の意義が明確にわかるようにかかる二つの概念についての定義を明確にするとともに、
• (3)電気通信事業者等の行動規範が明確になされるべきである。」

(筆者注1) 実は筆者がこの改正法の成立を知ったのは2010年2月2日の連邦司法長官(Robert McClelland)ニュースであった。しかし、その内容を読んでも何のための法改正か、そもそもの法改正の背景等が今一よく理解できなかった。オーストラリアの大手法律事務所であるアレンズ・アーサー・ロビンソン法律事務所 (Allens Arthur Robinson)が法改正につき関係者向けに解説していたので、そこから再度アプローチを開始し、最後には司法長官府サイトやEFAサイト等を見て2009年秋以降の検討経緯等が理解できた。

(筆者注2)EFA活動の中心人物は以下のとおりであるが、このほかにも州の情報保護委員事務局のメンバーが非公式に参加するなど、その活動や情報収集の範囲、迅速性は世界トップクラスである。Roger Clarke 、Anna Johnston、 David Taylor 、Chris Connolly 、Mark Burdon、Jan Whitaker等である。

[参照URL]
http://www.comlaw.gov.au/ComLaw/Legislation/ActCompilation1.nsf/0/2A75C81273FA07C1CA2576CC001A07A0/$file/TelecommIntAccess1979_WD02.pdf
(改正法本文)
http://www.ema.gov.au/www/agd/rwpattach.nsf/VAP/(084A3429FD57AC0744737F8EA134BACB)~Discussion+Paper.pdf/$file/Discussion+Paper.pdf
(改正案の公開討議資料)
http://www.ema.gov.au/www/agd/agd.nsf/Page/Consultationsreformsandreviews_Telecommunications(InterceptionandAccess)AmendmentBill2009-NetworkProtection
(司法長官の意見公募リリース)
http://www.ag.gov.au/www/agd/rwpattach.nsf/VAP/(084A3429FD57AC0744737F8EA134BACB)~Exposure+Draft+Legislation+-+Telecommunications+(Interception+and+Access)+Amendment+Bill.pdf/$file/Exposure+Draft+Legislation+-+Telecommunications+(Interception+and+Access)+Amendment+Bill.pdf
http://www.efa.org.au/main/wp-content/uploads/2009/08/20090807-EFA-AGD-TIAA-Computer-Network-Protection.pdf
(EFAの意見書)

Copyright (c)2006-2010 福田平冶. All Rights Reserved

0 件のコメント: