「サイバー犯罪」の曖昧な定義が、過剰な取締りや権威主義的国家による弾圧に利用されている

「サイバー犯罪」という言葉を耳にして思い浮かべるのはどのような犯罪だろう？ ネットワークに侵入する闇のハッカー集団。学校のシステムを人質に取るランサムウェアギャングたち。ソーシャルネットワークの利用規約の抜け穴を突くユーザーや、コカインの売買にVenmoを使うドラッグディーラー、偽情報の発信者などはどうだろう？

米国内においては、サイバー犯罪といえばコンピュータを介して行なわれるありとあらゆる違法行為がそこに含まれてしまう。米連坊政府や州法による「サイバー犯罪」とその関連用語の定義が曖昧かつ広範なままであるために、インターネットが用いられたというその一点により罪が加算されてしまうという事態が生じていて、市民的自由を守ろうとする人権活動家たちが頭を悩ませている。

サイバー犯罪とは具体的に何を指すのかを明確に絞り込んだうえで世界的な定義づけを行なわなければ、同じような問題が地球上のあちこちでもち上がることになるだろう。

国連ではサイバーセキュリティに関する国際条約に関する協議が進められているが、このままでは米国の連邦法および州法と同様のサイバー犯罪の扱いや、中国やイランといった国々の法律にあるような、広範な定義付けがそのまま用いられてしまう危険性がある。

人権団体の連合的組織である非営利組織、電子フロンティア財団（Electronic Frontier Foundation＝EFF）によれば、条約案における「サイバー犯罪」のリストは極めて広範に及ぶものであり、ジャーナリストやセキュリティ専門家、内部告発者といった人々の安全に留まらず、人権一般を脅かすものだという。

「この“サイバー犯罪”の広すぎる、あるいは無意味とさえ言える概念は、国際規模で問題視すべきものです」。デジタル時代の市民的自由に焦点を当てた活動を展開するEFFのシニアスタッフ弁護士であるアンドリュー・クロッカーはそう警告する。

犯罪と、そこにまつわる誤解

サイバー犯罪に関する国際条約を求める動きを加速させたのは、やや意外な国だった──ロシアだ。サイバー犯罪条約の起草に向けた作業部会、いわゆるアドホック政府間委員会の設置というモスクワ主導の2019年の発案に対し、88の国連加盟国が賛成票を投じたのだ。

中国、ミャンマー、カンボジア、イラン、シリア、ベラルーシ、ニカラグア、そしてベネズエラが共同提案国として加わった、「犯罪目的での情報通信技術の使用」を包括的にサイバー犯罪と位置付ける決議だ。

このような条約の制定は、ネットワークへの侵入やマルウェアの拡散、情報窃盗などに焦点を当てたものというよりは、むしろインターネットに対する統治的支配の強化や政府に不都合な言論の抑圧といった、権威主義的体制にとっての喫緊の課題を見据えたものではないかというのが、決議がなされてなお根強く残る懸念だ。

その決議から3年の歳月が流れ、4度に及ぶ交渉が繰り返されたいま、懸念は現実のものとなっている。表現の自由のための国際人権団体であるArticle 19の調べでは、今回国連が採択した新たなサイバー犯罪条約草案によって「サイバー犯罪」の大枠に加えられる犯罪は34種類にものぼる。

これはコンピューターネットワークへのハッキングなどといった特定の犯罪に対する捜査や起訴を目的として2001年に採択されたサイバー犯罪条約であるブダペスト条約をはじめ、従来の国連協定と比べてかなり拡大された内容になっている。

条約案に盛り込むべき犯罪の提案リストのなかで最大の懸念となっているのは、コンテンツ関連の犯罪だ。Article 19のシニアリーガルオフィサーを務めるポーリーナ・グティエレスは、その種の犯罪が条約に盛り込まれることについて注意を促している。

すでに多くの国々で違法とされている活動──例えば児童ポルノコンテンツの配布やテロ行為の扇動など──もそこに含まれるが、それらは必ずしもインターネットに接続されたコンピューターを必要としない。

また、権威主義的な政権により悪用されかねない「犯罪」の概念もそこには加えられている。国際的合意として定義されていないテロ関連犯罪に加え、ロシアの用意した条約草案には「政治的、思想的、社会的、人種的、民族的、宗教的な憎悪を動機として」つくられたオンラインコンテンツの共有なども含まれており、それらはいずれも言論弾圧、そしてジャーナリストや活動家の拘束に用いられる可能性があるとEFFは危ぶむ。

Article 19とEFF、さらにそのほかの人権団体にとっての最大の懸念は、著作権侵害や偽情報の作成といった「サイバー利用犯罪（Cyber-enabled crimes）」と、マルウェアの拡散や企業ネットワークへの侵入による情報窃盗などの「サイバー依存犯罪（Cyber-dependent crimes）」とが混同されていることだ。

「ありとあらゆる行為を“犯罪とテクノロジー”の名のもとに犯罪として取り締まろうという意図が明らかとなったいま、条約の範囲を狭めるためには、可能な限り強い姿勢でわたしたちも臨まなければなりません」と、グティエレスは語気を強める。

条約により規定される「サイバー犯罪」のリストの縮小に留まらず、その対象となる個人に「不正の意図」があったか、またその行為により「重大な被害」が生じたかに応じて犯罪か否かを見極めるための文言を加えるべきだというのがArticle 19の考えだ。

そのような文言を伴わなければ、例えば「フェイクニュース」の記事をそれと知らずに拡散したり、サイバーセキュリティ研究を行なったりといった活動までもが、条約の名のもとに「サイバー犯罪」と認定されかねない。

「故意性や被害の重大性といった要素を盛り込まなければ、テクノロジーを用いたあらゆる攻撃的な行為が犯罪と見なされてしまうかもしれません」とグティエレスは言う。

定義が曖昧な条約に潜む危険性

国連は、定義が曖昧な国際条約に潜む危険性について議論を重ねている。問題は、そのような解釈がいくつもの国で採用されかねないということだ。

米国では、その広範な解釈がすでにまかり通ってしまっている。36年も前の1986年に制定されたコンピュータ詐欺・不正利用防止法（Computer Fraud and Abuse Act＝CFAA）という法律によって、いまや犯罪と見なされるべきではない数々の行為が犯罪とされたままとなり、人権団体がその状況を問題視するようになったのはずいぶん前のことだ。

実質的に、インターネットに接続されているすべてのコンピューターを指すこととなる「保護された」コンピューターに対し「許可なく」アクセスすることを禁じるという文言の曖昧さがその理由だ。

CFAAの適用範囲を狭める判断を連邦裁判所が下したのは近年になってからのことだ。例として、ウェブサイトの利用規約に反する行為などに限定する解釈がなされた。加えて2022年5月には、米国司法省により「善意のセキュリティ研究」を行なう人々を訴追の対象としないとするCFAAのポリシーが加えられた。

とはいえ、これまで裁判所の行なってきたCFAAの解釈を見れば、狭められた法的範囲が新たなCFAA案件のすべてに適用されていないことが分かる。CFAAのポリシーは、司法省の解釈次第でどうにでもなるということだ。EFFやほかの人権団体が、同法を改訂して適用範囲を狭めるよう働きかけているのはそのためだ。

報告されたサイバー犯罪（2019～21年）
各州の法執行機関よりFBIに報告のなされたハッキングおよびコンピューター侵入事件の件数。Data visualization: Datawrapper

CFAAがこの先どうなるのかはさておき、「サイバー犯罪」に関する曖昧な定義は各州レベルでもすでに同じように浸透している。人口比率で高いコンピューター関連犯罪の発生率を示す都市ごとの解析を『WIRED』が独自に行なった結果、FBIにより「サイバー犯罪」と分類された件数は、各州の犯罪法規に応じて大きく異なることが判明した。

FBIの犯罪報告システムが収集したデータによれば、例えばコロラド州ベイルの警察当局では、過去3年間に同市で発生した「サイバー犯罪」事件は47件、5,000人の市民に被害が及んだという報告内容になっている。これは国内で最も高い発生確率だ。『WIRED』による公文書開示請求により示された犯罪報告書を見ると、クレジットカードの不正使用、個人情報の抜き取り、ヌード写真をめぐる恐喝など、事件の内容は多種多様だ。

州によってはハッキング防止法の適用範囲がCFAAよりさらに広範なものになっていると指摘するのは、EFFの弁護士のクロッカーだ。そのクロッカーが州レベルのサイバー犯罪法の「典型的」な例として挙げるカリフォルニア州刑事法第502条にも、CFAAのものに似て曖昧な「不正アクセス」を禁じる文言がある。

だが同時に、「故意にアクセスし、許可を得ることなくデータ、コンピューター、コンピューターシステム、またはコンピューターネットワークを改竄、破損、消去、破壊、そのほかの方法により使用した」場合は州法に違反する可能性があるという規定もある。

この第502条によって違法性を問われ、EFFが弁護を請け負った過去の事例は、データ所収者が非公開にすることを怠ったためにアクセス可能となっていたデータを被疑者がダウンロードしたという、セキュリティ専門家やジャーナリストにとっては特に珍しくもないケースがあっただけだとクロッカーは述べている。

このように、解釈の定まらない州レベルのサイバー犯罪に関する刑法は、どれも過剰な犯罪化［編註：不適切な規制などにより、本来無害であるはずの行為が法律で犯罪とされてしまうような事態］を引き起こしかねないと警鐘を鳴らすのは、全米刑事弁護士協会会長のネリー・キングだ。具体的に何をもって違法とするかが明確でなければ、問題はより深刻になる。「サイバーストーカー」を対象とした法律などはその好例だとキングは指摘する。「迷惑行為を指してストーキングと誤認するケースがあまりにも多いのです」

その曖昧すぎる法律に加え、サイバー犯罪を対象とした法律がほかの法律の内容と重複していることも多々ある。そうなると、同一の犯罪行為に複数の刑罰が科されるという、いわゆる「二重処罰」が生じてしまうとクロッカーは指摘する。

一例として、「詐欺罪で有罪となった被告がインターネットを用いてその行為を行なっていた場合、コンピューターやネットワークに対する加害が認められなくても、インターネット上で行なわれた詐欺行為という理由で量刑が重ねられてしまう」のだ。キングもまた「サイバー関連」の罪状を上乗せすることによる「重罰化」に危機感を募らせている。

さらにクロッカーによると、州法に定められているサイバー犯罪関連の法律の多くは、CFAAのようにその正当性を裁判所で吟味されていないので、解釈の余地が大きく残されたままになっているという。「ハッキングを取り締まる州法による判例が乏しい州はいくつもあり、法解釈の不足につながっています。そのような法律で裁かれる個人にとっては、極めて深刻なリスクが存在しているのです」と、クロッカーは厳しい表情で語った。

“過剰な犯罪化”を予防できるか

「サイバー依存型」の活動に絞り込んだ法的定義を明示することで、このように曖昧かつ煩雑化したサイバー犯罪の問題解決を進めるべきだとする専門家の声もある。「もし“サイバー犯罪”という語に意味をもたせるのであれば、コンピューターシステムやネットワークを対象とした、コンピューターシステムやネットワークを利用した犯罪に限定する必要があるでしょう」と、クロッカーは述べる。

「つまり、これらのテクノロジーがなければ成り立たない犯罪でなければなりません。コンピューターを使って行なわれるあらゆる悪事を“サイバー犯罪”と簡単に呼ぶわけにはいかないのです」

クロッカーも認めているとおり、州法や連邦法にあるサイバー犯罪関連法のすべてを改正するのは現実的ではない。連邦議会がその気になればいつでも更新できるはずのCFAAでさえ、度重なる改正に向けた動きがあるにもかかわらず、ほぼ手付かずのままだ。

サイバー犯罪関連法により引き起こされる“過剰な犯罪化”のさらなる拡大を予防するには、いまや国連の条約に頼るのが最善の道だ。しかし、その条約の内容を「サイバー依存犯罪」に限定しようと協調する多くの加盟国や、故意性のない行為や深刻な被害を及ぼさない過失の除外を働きかける市民の人権擁護団体などの存在があってなお、Article 19のグティエレスの懸念は晴れない。

「実現の可能性は高くないと考えています」と、グティエレスは悲観的なコメントを残している。

とはいえ、条約を巡る協議は継続中だ。アドホック政府間委員会はこの4月中旬に5回目の会合を開いていて、夏の終わりには第6ラウンドが予定されている。24年2月までには最終草案をまとめ上げなければならないが、このような国際協定に求められる煩雑さや規模の大きさ、またその影響力を考えれば問題は依然として山積みのままだ。

このスケジュールでは、人権団体などが強く求める文言を条約に盛り込むための時間などないに等しい。それどころか、合意内容をさらに危うくしかねない文言が、ロシアや中国といった国々によって土壇場でゴリ押しされる可能性もあるのだ。実際、1月に催された第4回目の協議でも、そのような事態が起きたという報告もある。

「極めて複雑かつ専門性の高い問題にもかかわらず、網羅的に議論するための時間がとにかく不足しているというのが実情です」と、グティエレスは顔を曇らせる。「だから見落としによってではなく、とにかく時間が足りないせいで、問題ある文言が条文に盛り込まれるのが避けられないのです」

（WIRED/Translation by Eiji Iijima, LIBER/Edit by Michiaki Matsushima）