908
回編集
差分
ナビゲーションに移動
検索に移動
595行目:
595行目: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
→ブロックチェーン技術の最前線
==第9回(R3-04-27)==
==第9回(R3-04-27)==
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/agenda.html
===概略===
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/gijiroku0427.pdf#pgae=1
<blockquote>
○河野大臣 おはようございます。お忙しい中ありがとうございます。
デジタル時代の刑事政策の在り方について、今まであまり政府内でも議論がなされてい なかったようなことを聞いております。経済政策の観点から刑事法が議論されたことがあ まりなかったようでございます。
しかし、そういうわけにもいきませんので、熱心に御議論をいただいて、今後、経済、 産業そして刑事政策をどのように連携させていったらいいのか、問題提起をしっかりして いただきたいと思っております。
今日は、本人認証、それから、デジタル通貨を取り上げていただくということでござい ます。
今まではIDとパスワードで本人認証をやっておりましたけれども、今回のワクチンの接 種でもシステムが乱立して、IDとパスワードがいっぱいあってよく分からないということ になったので、IDとパスワードを共通化して医療機関に使いやすくできないかということ をやりましたけれども、新しいIDとパスワードに代わる認証方法が続々と誕生しておりま す。
シンガポールに行きますと、日本のマイナポータルに当たるものに入るのは、携帯番号 の登録と本人の顔認証だけで、懐から携帯電話を取り出すや否や、もう日本のマイナポー タルに当たるところに入れる状況になっております。
しかしその一方で、顔認証などを誤認させるなりすましも開発されているという話がご ざいますので、こうしたものを規制の観点からも対応を検討する必要があるのだろうと思 います。
また、デジタル通貨の議論が大変に白熱をしております。日銀もデジタル通貨に関する 議論をスタートすることのようでございます。
既に、カンボジアとかバハマでデジタル通貨をもう導入しているという話があります。 今日は、カンボジアのデジタル通貨を共同開発した事業者からも御説明があると聞いてお りますが、もう既にカンボジアの1600万人が送金や店舗での支払いに利用されていると聞 いております。
また、これまでミャンマーとかマーシャル諸島、マン島、ラオス、カリブの様々な島々 でもいろいろ動きがあると聞いております。
日銀のみならず世界の中央銀行の9割近くが、デジタル通貨に関する研究を何らかの形 でやっているということですので、そうなると通貨偽造罪などを含めた刑事法の在り方が 必要になってくると思います。
それ以外にもいろいろな観点があると思いますので、技術と刑事法の両面からしっかり 御議論をいただく必要があると思いますので、どうぞよろしくお願いを申し上げます。
今日はありがとうございます。
</blockquote>
===近年の個人認証の傾向===
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/gijiroku0427.pdf#page=5
<blockquote>
○東京大学(山口特任准教授) 東京大学の山口でございます。
「近年の個人認証の傾向」ということで、私からお話をさせていただきます。 そもそも、個人認証は何だっけと考えてみますと、実は登録した人とインターネットで端末を通じて連絡をしてくる人が同一人物であろうかということを確認する手段を言いま す。
ですので、当たり前の話ですけれども、登録の時点で本人が違っていた場合は、ずっと 継続がされることになりますし、ここが何らかのはずみで利用のときに違う人にすり替わ ってしまったらそれを見出すための努力をすることになります。
個人認証の3要素というのは、古くから3要素と呼ばれている手法がございまして、そ れは知識、所持、身体的特徴という要素がありました。IDとかパスワードと言われている 世界とか、マイナンバーカードに代表されるようなICカード、顔認証とか指紋認証で出て くるような身体的特徴を見出したようなバイオメトリクスの認証手法がございますが、最 近は行動を活用した認証が広く利用されるようになってきました。これは後から御説明し ますが、皆さん既に御経験があることかと思います。
ただ、行動の場合は、人間の行動は全く一貫性を持って同じ行動を取ることはほぼなく て、私たちの言葉では揺らぎと呼んでいますけれども、行動には揺らぎがあるのでその揺 らぎをどう是正するかということで、ある程度、認証のスコアを下げてあげて、その代わ り複数の要素で多要素認証をするのが割と一般的になってきています。
法律的には、識別符号と書かれていると最近勉強しました。まだ私も勉強不足なので、 今日もし議論があったら教えていただきたいぐらいなのですけれども、一般的に2つに認 証は分かれると整理ができるかと思っています。
例えば記憶とか所持の絶対的な情報は左側に当たるようなところにありまして、計算量 とか情報量によって表現されていて、ムーアの法則と呼ばれているCPUの進化とスピード というのが大体計算量によって表現されているものがありますけれども、それによって安 全なビット数を決めて、例えばパスワードは10文字以上入れましょうとか記号を入れまし ょうとかいろいろありますけれども、その長さもムーアの法則に沿って出てきた計算量で 表現されています。
また、ICカード、マイナンバーカードもそうですしクレジットカードとか一番身近で使 われていると思いますけれども、そこに内蔵されている暗号の種類であるとか、チップの 安全性もこういった絶対的な指標よって表現をされています。
ただ、計算量で評価をされる場合は人間のパスワードの漏えいとか、人のミスみたいな ことがセキュリティーのモデルの外として整理をして安定性を評価しています。数学的に 表現できないことを外に出すことで100%安全ですというものをつくっています。
一方、最近はやってきている生体認証とか行動の情報というのは実験的とか、統計的に 他者と区別がついたことによって評価されます。
典型例が生体認証、指紋認証は指紋がほかの人と絶対に一致しませんと皆様思い込んで いると思いますけれども、それは誰かが示してくれたわけではなくて、実験的、経験的に 一致する人がたまたまいなかったから、生体情報は一人一つしか持っていないのですとい うことを示しています。
ですからもしかして、バースデーパラドックスとか言われますけれども、たまたま全く 同じような指紋を持つ人が世の中にいるのかもしれない。けれども、世界中の人の全部の 指紋をつくったデータベースは存在しないので、多分大丈夫でしょうということでやって います。
行動データは、最近IPアドレスとか位置情報とかそういったもので区別する情報でやっ てきていまして、それを多要素でやることが多いですけれども、これも経験的に安全性を 表現しています。
ですので、逆に言うと生体情報も行動データも100%になることはありません。
行動データを活用したと昨今言われていますけれども、例えばこんなメールを皆様お受 け取りになったことはありませんか。このアクティビティに心当たりがありますかとかと いうメールが来たり最近はいろいろなサービスでやるようになってきました。
これはリスクベース認証と、とある会社が名づけていましてそう言われることが増えて きています。端末のOSの種類であるとか、例えば機種変したときのスマホの情報、ブラウ ザのIPなどからも位置情報の情報からふだんのアクセスと違うかで判断しています。最近 は減ってきましたけれども、海外出張に行くとあなたは本物ですかと聞かれることが多い ですよね。そういったことになります。
あと最近は、周辺のWi-Fiの情報とかBluetoothの情報を活用してやるような認証も出て きていますし、研究としても最近はセキュリティーのトップカンファレンスでも行動デー タを活用した認証の研究が盛んに行われるようになってきました。実用化が先だったかな という印象でもあります。
今日は、この中でも私たちがやっている実験の具体的な例をお見せします。 先ほど申しました行動の電波の情報を活用した事例についてお話させていただきます。 では、再生させていただきます。
(動画再生開始)
○東京大学(山口特任准教授) これは、行動認証によって本人が認証されていた場合は、本人が近づくとドアが自動的に開いて物を買えるという一つのデモンストレーションです。 このように周りの電波情報を利用して、本人が本人と確認されたときのみ物を買って、 これは実験的にお見せしていますけれども、実は一つ一つの商品にICチップが乗っていま してそのチップによって決済をして、実際のクレジットカードで決済をするようなデモン ストレーションもしておりまして、これは本当に普通にクレジットカードで決済をしてお金を引き落とすところまでつくり込んでいます。 ここは今、マルと出しているのでドアが開きましたけれども、本人と認められないような行動パターンを取った場合は、今日はデモンストレーション的に簡単な一番短いものを お見せしているのですけれども、バツと上に出てきてパスワードを入力してくださいと出 るようになっていて、そこが多要素認証なのですけれども、パスワードでもログインして 本人が買物できたりすることがあります。
(動画再生終了)
○東京大学(山口特任准教授) リスクのことを考えてしまうと、いろいろ切りがないの で、あんまりくどくど言っても仕方がないという気分になったりするのですけれども、もちろん登録の時点とか生体認証の登録が不完全な場合はリスクが生じることもありますし、 IDとパスワードの問題だけ言いますと、やはりユーザーはたくさんのパスワードは覚えら れないからほかのところでも同じパスワードを使っていてそこが漏えいしてみたいな、パ スワードリスト攻撃と呼ばれている攻撃、偽造の生体情報がつくられたり、単純に言うと カードを落としてしまったときにほかの人がカードをつくったりとかカードのコピーがあ ったり、いろいろな問題が起きてきます。
安全性評価の場合は、リスクをうちに含めるか外とするかによって表現をしているわけ ですけれども、経験的に言うと絶対100%にはならないので、どの辺りで妥協するかという 議論になります。
個人認証の問題は決して新しい問題ではなくて、私が学生のときの20年以上前からIDと パスワードは問題だといろいろな人が言っていますけれども、利用は全く減っていません。 ICカードなどはセキュリティー上安全だと言われていますけれども、利便性の観点から利 用が進んでいない現状もあります。
一方で、例えばクレジットカードの事例を皆様思い出してみてください。クレジットカ ードはお店で決済をするとき、例えばコンビニでやるときはPINを聞かれないですけれど も、大きなレストランに行くとPINを聞かれたりとかサインになったりということを表現 しています。
これは、そこの店舗で買物をされる平均の金額というものが計算されていて、安全性を お金で表現をしていて、便利なほうを取っているのですね。例えば限度額が高いゴールド カードというのはチップが高額なのです。有効期限も3年ぐらいで短くなっていてころこ ろカードが来るようにできています。
一方で、デパートで使うようなデパートカードというのは限度額が10万円だったりする ような安いカードがありますけれども、その場合は、有効期限は実は10年ぐらいになって いるのです。
ここら辺が費用対効果の観点から、どういった辺りで安全性を重視するか。ゴールドカ ードとかプラチナカードとかクレジットカードの高いカードは、一度の買物で車が買えた りするほど高い物が買えたりしますので、その辺りがどの辺りに攻めてくるかというのが クレジットカードはすごくよくできていて、こういった考え方をふだんの事例にどういう ふうに進めていくかというのが難しいところかと思います。
経験的なリスク評価をする時代になったのかとも思っていまして、現実的な手法を取る ことがどんどん増えていくかと思っています。
一方で、行政のIDとパスワードの問題は、無謬性と言われている行政はミスしてはなら ないみたいな昔から言われている流れと、現実的にクレジットカードのようにお金で払ってしまえばいいという解と、どの辺りでプラスにするかマイナスにするかみたいなところ を取っていくのかがとても難しいなと最近は感じています。
私からは以上でございます。
</blockquote>
===ブロックチェーン技術の最前線===
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/gijiroku0427.pdf#page=9
<blockquote>
○ソラミツ株式会社(宮沢代表取締役社長) ソラミツ株式会社代表の宮沢でございます。
それでは、御説明いたします。
最初に簡単に自己紹介ですが、私は東京工業大学の特任教授、それから、ISOのブロック チェーン国際標準化の日本代表委員、日本銀行の委員、内閣官房の委員等を務めておりま す。
経歴としましては、交通カードのSuicaの開発、それから、電子マネーEdyの創業、金融 庁の金融審議会の委員も務めまして、資金決済法の第一次の立法もお手伝いをさせていた だきました。
その後、カンボジア中央銀行のデジタル通貨の開発の総責任者として、デジタル通貨の 開発をしてまいりました。最近、世界初の中銀デジタル通貨バコンという本を出版いたし ました。
私どもの会社が開発しましたブロックチェーン技術でございますけれども、実は我々の 開発した成果物は全てThe Linux Foundationという組織に無償で譲渡をしまして、世界の 資産として世界中のエンジニアが皆さんで開発をするというオープンソースになっており ます。全世界260社の中から3社が選ばれまして、IBM、インテル、ソラミツの3社を世界 標準として育てていこうということで進めております。
様々な監査・安定性・耐久性をテストしまして、世界中の政府、自治体、金融機関が安 心して使えるようなものになっております。
また、オープンソースですので、我々の企業がたとえ消滅しても、技術は存続するとい う継続性がございます。
その結果、様々な世界中の企業、政府から採用されておりまして、カンボジアの国立銀 行、モスクワの証券取引所、インドネシアの銀行、スイス等で採用されております。国内 におきましても、会津若松等でブロックチェーンを使ったデジタル地域通貨、日本初の正 式運用をしておりますし、保険会社、証券会社等、またインターオペラビリティというこ とで世界中のブロックチェーンをつないでいくプロジェクトのPolkadotというところの役 員をやっております。
非常に高速大量処理ができて、1秒から2秒で決済が終わったり、1秒間に5,000件程度の処理ができる、また電力を使わないということで地球資源にも優しい。このようなブロ ックチェーンでございます。
昨年の10月28日にカンボジアの中央銀行で、世界初の中央銀行デジタル通貨正式運用に 成功しました。現在、1600万人の国民が使用を始めておりまして、実はほとんどの国民が 銀行口座を持っておりませんので電話番号で送金したりQRコードで支払ったりしておりま す。
この仕組みなのですけれども、実は非常に強固な本人認証をしておりまして、なりすま しを完全に防ぐ。ID、パスワード等は一切使っておりません。二要素認証というPKIの秘密 鍵と指紋等の二要素認証で行っております。
なぜ中銀デジタル通貨をカンボジアが早く導入したかという背景なのですが、現在、日 本のように既に5年以上前にキャッシュレス決済手段が乱立しまして、相互運用性がない、 決済手数料が高い、それから、加盟店の資金繰りが悪化する、決済事業者の倒産・不正な どのリスクがあるという問題が起きました。
そこで、カンボジア政府は2つの案をつくりまして、1つは既存の銀行ネットワークに キャッシュレス利用者をつなげるという案ですが、これにつきましてはコンプライアンス・ システム対応コストが非常に決済事業者にとって重荷になるということで反対がありまし た。
B案につきましては、中銀デジタル通貨を整備しまして、そこに銀行やキャッシュレス 決済手段が使用する方式でございます。この場合には、コンプライアンス・システム対応 コストは低くて済む。当然、リスクも起きないということでございます。
実はカンボジアの官僚の方々を非常に私も感心したのですが、シリコンバレー等に留学 をしておりまして、技術に非常に明るい。世界中の技術の勉強をし、5年前ですけれども ブロックチェーンの技術が最も適正ということでB案を選択しております。
今までのキャッシュレスとの違いですが、特に日本のキャッシュレスの仕組みとクレジ ットカードの仕組みは、店舗に対して支払い指図をする場合、実際にお金の価値が店舗に 行っているわけではなくて、その電文を集めて1か月に1回、銀行口座に振り込む形にな っております。いわゆる支払いがファイナリティがない。後から、銀行口座にお金が流れ 込むというふうに、2つの金流と実際の商流が完全に分断している仕組みでございます。 そのため、店舗の資金繰りが苦しくなる。それから、非常に複雑でございまして、複数の 銀行を経由するために高コスト。
それに対しまして新しい流れ、世界的に今回のカンボジア、それから、中国のデジタル 人民元、あるいはフェイスブックのリブラ等は、デジタルデータそのものにお金の価値が ございまして、これが利用者から店舗に移る。現金と同じように、その時点で中央銀行フ ァイナリティがあるということで、決済に基本的に銀行が介在しないやり方でございます。
そのため、受け取った店舗はすぐに利用ができる。資金繰りが改善され、大幅に簡素化 されまして、決済コストが10分の1から20分の1ぐらいに下がっております。
また、台帳の持ち方で比較しますと、現在の決済システムは中央銀行を中心としたピラ ミッドになっておりまして、複数の台帳をそれぞれ銀行、決済事業者が持っている。これ は、つじつまを合わせながらクリアリングしていくということで、非常に複雑な仕組みに なっておりますが、新しい考え方は基本的に国で1つの台帳を持っている。ブロックチェ ーンで複数に分散されておりますが、1つの台帳に対して中央銀行、銀行、決済事業者あ るいは利用者がアクセスをするやり方でございます。したがって、非常にシンプルでクリ アリングが不要になり、コストが大幅に下がる。中国のデジタル人民元もこれと同じ考え でございます。
キャッシュレスとデジタル通貨と比較しますと、今までのキャッシュレスは主にお店で の支払いというB2C、あるいは今、厚労省で審議をされております給与のデジタル支払いが 解禁になりますと、デジタルの支払いができるようになりますけれども、企業間のデジタ ル決済等には対応ができないということになります。
それに対しまして、デジタル通貨はB2C、B2E、B2Bといった幅広い現金の市場を全てクリ アできるものでございます。
また、転々流通で地域内の経済循環によって、30倍から40倍の経済効果がある。あるい は、そのお金自体にプログラムを書くことによって、減価するマネーによる経済活性化等 ができるというものでございます。
特に法人決済にこのデジタル通貨を使いますと金流と商流が一体化し、例えば入金の消 しこみがいらないなどの非常に業務の効率化が図れるということが言われております。
もう一つ、本人認証のところでございますけれども、内閣官房のIT総合戦略室で官民推 進会合が過去6回開かれておりまして、その中でマイナンバーとひもづけをする分散型ID の議論がされております。
これはスマートフォンにデジタルIDを入れまして、それを健康、交通、購買様々なもの に使っていこう。あるいは、法人IDという形で企業を結びつけていこうということで、ID の共通化という議論がされております。
この分散型IDですが、いわゆるマイナンバーカードとの位置づけは、マイナンバーカー ドは一種の実印であろう。それに対しまして、分散型IDはスマホに格納しまして認印・銀 行印的に様々な用途に使う。このような扱い方を想定しております。
分散型IDは中立的で特定の企業に依存しないW3Cの世界標準技術でございまして、地域 ごとに分散して発行しても重複はしない。中央認証局が不要である。一応、登録すれば自 分の個人情報は自分の意志で企業に提供ができるワンスオンリーを実現しております。
私の説明は以上でございます。ありがとうございました。
</blockquote>
===データを犯罪捜査の証拠として収集することを巡る混乱===
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/gijiroku0427.pdf#page=12
<blockquote>
○国士舘大学(吉開教授) よろしくお願いいたします。国士舘大学の吉開と申します。
最初に私のバックグラウンドを簡単に御説明させていただきますと、平成9年に検事に なりまして、17年間検事をやっておりました。うち10年ぐらいは捜査に関わっておりまし て、東京地検と大阪地検の特捜部に通算して7年間ぐらい在席しておりますので、それな りに捜査のことは分かっているつもりではあるのですが、ただ平成26年に現職に転職しま して、それからは現場を離れておりますのでそういった限界があることは御理解いただけ ればと思っております。
本日、お話しさせていただきたいと思っているのは、私が考えているところでございま すが、電磁的記録、データを犯罪捜査の証拠として収集することを巡る混乱についてのお 話でございます。
まず最初に、犯罪捜査における客観証拠の重要性ということで、客観証拠というのは例 えば殺人事件の凶器でありますとか、あるいは粉飾決算の事件であれば契約書とか会計帳 簿などということになりますけれども、そういったいわゆる物証と言われるものが非常に 重要である。
その理由として、「供述証拠は不安定」と書きましたが、いわゆる証人の証言とか、被 疑者、被告人の自白が供述証拠になるわけですけれども、人の話というのは見間違いや聞 き間違い、記憶違い、あるいはうそが入りますので、非常に不安定で確実な証拠ではない ところがある。ですので、犯罪捜査の現場では人に聞くよりものを見よと言われたりしま すが、客観証拠をまずは見ましょうと。
ただ、客観証拠だけで捜査ができるかというとそうでもありませんので、当然、取調べ をして話を聞かなければいけないのですが、捜査機関に十分な客観証拠の収集手段を与え ることは、昨今海外からも若干批判がございますけれども、取調べというものに対してい ろいろ厳しい見方もございますので、こういった証言とか自白を取るための取調べの比重 を相対的に減らすことができる。完全になくすことは無理だと思いますが、客観証拠の収 集手段を与えることはそういった取調べの比重を減らすことにもつながることがあると思 います。
そうなってきますと、客観証拠を集めなければいけないわけですが、現在の法律で客観 証拠を集める中心的な手段は捜索差押えになっておりまして、ある場所に行って証拠物な どがあるかどうか探すのが捜索であり、見つけると差押えということで取り上げて証拠に することになるわけなのですが、これはいわゆる強制処分ということで裁判官が発した令 状に基づいて実行するのが原則になっております。
捜査は本来任意です。相手方の同意とか承諾を得て、協力を得てやるのが原則なのです けれども、御案内のとおり犯罪をする人たちの中には必ずしも協力的ではない人が多いのも事実でございますので、強制手段というものがないと真相解明は難しくなってくるとこ ろがございます。
こういった捜査機関の権限強化の話をしますと、弁護人とのバランスで被疑者、被告人 の人権保障との関係で問題はないのかという御指摘もあろうかと思うのですが、現在は平 成16年に法律が改正になりまして、証拠開示制度が整備されております。ですので、それ 以降はいわゆる客観証拠であれば、今言ったような物証であれば弁護人も捜査機関が集め た証拠を見ることができるようになっております。
それからしますと、最終的に弁護人のほうでそういった証拠を見てチェックができる点 からしても、客観証拠をより広く集められるようにする権限を捜査機関に付与することは、 真相解明にとっても重要なのではないかと私的には考えております。
(2)に参りまして、「デジタル時代の影響」なのですが、今日のお話でお分かりのと おり客観証拠はもう物証ではなくてデータになってきている。もう契約書とか帳簿なども ほとんどデジタル化している状況で、こういったデータになってまいりますとパソコンの 中に入っておりますので、パソコンを開いて中を確認しないと確認ができない。昔の紙媒 体であればすぐわかったわけですけれども、今は紙媒体ではなくなっている問題がありま す。
また、データは御案内のとおり改変消去が大変容易で、すぐにディレートできます。さ らに、非常に大量に存在している。消さない場合も多いので、紙の場合は整理したりもす るかもしれませんが、データは非常にコンパクトに収納ができますので、あまり消されず に残っているということで非常に大量にあるといった特徴がございます。これは、犯罪捜 査にとっては非常に困難な問題を引き起こしていると言えます。
さらにもう一つの問題が記録媒体、これはデータの保存先と私のほうで説明をつけまし たが、このデータを保存する先がかつてはパソコン本体のハードディスクに大体皆さん保 存されていた、あるいはフロッピーディスクとかUSBメモリなどというものに保存されて いたと思いますが、現在はクラウド化している。
このクラウドというものが引き起こした問題としましては、日本国憲法は、先ほど申し 上げた捜索差押えのための令状には場所を明示しなければいけないということを要求して おります。例えば私の研究室に捜索差押えに入るのであれば、私の研究室と特定しなけれ ばいけない。その令状を使ってほかの先生の研究室に入ってはいけないことになります。
ところがクラウドは、御案内のとおり私の研究室にはございませんので、クラウドのサ ーバはほかの場所にございます。そういったほかの場所にあるデータを、私の研究室とい う場所を明示した令状で差押えていいのかという問題が出てきた。
こういったデジタル時代の影響を踏まえて最近、混乱しているのではないかと考えると ころが、AとBとCという3パターンに分けて御説明申し上げますと、かつてのようなパ ソコン本体、例えばCドライブに保存されたデータということであれば、これは今までど おりの捜索差押えの令状で対応ができます。
ところが、クラウドの発達に伴いまして、データが場所の外にあるサーバに保存されて いる場合で、サーバが国内にあるということであれば平成23年に法改正が実施されまして リモートアクセスという方法が導入されました。
このリモートアクセスは、例えば私の研究室に対する捜索差押え令状があれば、そこの パソコンを使ってそのクラウドのサーバに保存されたデータを捜索差押えしてよいという 制度になります。
これでクラウドができたことによる問題点はかなり解消されたと思われたのですが、た だリモートアクセスできるのは差押え前に限ると。要するに、私の研究室のパソコンから クラウドのサーバにリモートアクセスをして、データを私のパソコンにダウンロードする。 そのダウンロードしたデータを差し押さえてくださいという仕組みになっているのですが、 差し押さえる前にリモートアクセスしなければいけないということが法文上もそうなって おりますし、裁判所の裁判例でもそのように示されております。
その結果、問題として出てくるのが、例えば捜索差押えの現場で、私のパソコンにIDと パスワードがかかっている。それはロックを外さなければ見られないわけなのですが、例 えばそれを私が捜査機関に対して拒否すると、捜査機関はどうしようもなくなってしまう。 中が見られないということになってしまいます。
例えばID、パスワードのロックを外す方法というのは、捜査機関から専門機関に依頼す れば可能かと思いますけれども、では一旦そこで差し押さえてしまって、例えば警察でロ ックを解除して、それから、リモートアクセスしましょうというのは違法になってしまう という問題がございます。
また実際問題、捜索の現場でいろいろなものを差押えするわけなのですが、実際に時間 がたくさんあるわけではなくて、かなり短い時間に証拠になる物を確認して捜索差押えは 終了しないと、何日もかかってしまうことも場合によってはございます。ですので、その 場で確認できる限りで確認して差押えをしてきて、パソコン本体のデータを確認していた ら、どうもこれはクラウドにデータがあるようだ。では、そのクラウドのデータについて も確認しないと捜査が十分できませんというときに、差押え後にリモートアクセスするこ とができるかという論点も生じています。
これについては、いろいろな考え方がございますが、まだ確定した判例などは出ていな いところで、この辺でも若干問題が出ていると言えるかと思います。
さらに問題がCの場合で、クラウド上のデータでサーバが国外にある場合に、主権侵害 の問題がある。国外の捜査は、基本的にそれぞれの国の主権がございますので、国際捜査 共助によらなければいけないので、それによらずリモートアクセスをするのは違法だとい う裁判例が出ました。
この裁判例についてはいろいろ意見もあるところですが、最近、最高裁で判断が出まし て、サイバー犯罪に関する条約の32条に基づき、データが同条約の締約国に所在し、正当 な権限を有する者の合法的かつ任意の同意があればリモートアクセス可能だという解釈が出されております。 ただ、これは合法的かつ任意の同意ですので、正当な権限を有する者が同意しなかった場合には国外サーバにアクセスできないことになってしまいますし、もう一つ指摘されて いるのが、サーバの所在国が必ずしも確認できる場合ばかりではない。そうすると、そも そも国際捜査共助によりなさいと言われても、どこの国に共助をかければいいのかという 問題も出てきていると聞いております。
若干のコメントということで、エンフォースメントの実効性を維持するには、手段の検 討も非常に重要ではないかと現場にいた人間としては考えます。
意見書などを拝見しますと、やや規制をする法律をつくる方向の議論に寄っているよう な印象を受けますが、やはりそこは実際に実現する手段を考えていく必要があるのではな いかというところと、現状論を踏まえてあるべき論を議論されたほうがいいのではないか と思います。
とりわけ、私は現場におりましたので、結局、法律をつくってもそれを使うユーザーに なるのは現場の人間でございますから、現場の声というものもできる限り組み上げていた だきたいということ。
あとは現実問題として、日本では刑事罰は最終的手段という認識が強い。また、取引と か偽計といった手段は、私もより日本でも入れていくべきだとは考えておりますが、国民 全体に非常に嫌悪感が強い。捜査機関は清く正しくなければいけなくて、そういった取引 とか偽計を使うことはいけないことなのだという認識がなかなか変わってこない。少しず つ変えていかなければいけないと思いますが、そういったところも踏まえて議論をしてい かないと、いきなりあるべき論でぽんといっても、ついてこないのではないかという印象 がございます。
あとは、今回ご紹介したサイバー犯罪条約は、国際的な解決方法として条約の見直しと いうか、追加議定書の作成について話が進んでいるとも聞いておりますが、そういったも ののみならず、国内的な解決方法として、立法や解釈、できる限り現行法の解釈で対応で きる方法を考えることと、それがどうしても駄目な場合に立法での対応を考えるところを 模索していく必要があるのではなかろうか。
刑事法の業界は、とにかく刑罰は最終的手段ということで、先手を打つのがなかなか難 しくて、どうしても後手に回りがちであるところは現状論として御理解いただいたほうが よろしいのではないかと思っております。
私のほうからは、以上でございます。
</blockquote>
===胡散臭さと言うか微妙なニュアンス===
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20210427/gijiroku0427.pdf#page=21
<blockquote>
○東京大学(山口特任准教授) はい。
御質問の、実際の実印サービスと今のマイナンバーカードのサービスがどのくらいセキ ュリティー上、違いがあるかという御質問と取りました。そういった研究は現実としては ないというよりは、とても難しいのだと思います。それは、対面のやり取りでのセキュリ ティー評価ということの言葉での表現がとても難しいからだと思います。
人間の場合は、直感的にこの人はちょっとうさんくさいみたいなことを感じる能力があって、それを電子的になった途端に微妙なニュアンスというものが急にできなくなってし まうと思っていまして、そこの表現をどうやって示していくかということが現状はできて いないので、なるべく先ほど申しました登録とか認証のときに一致するような努力を表現 としてしながらも、現実としてできていないのかと思います。
ただ一方で、感覚的な、今度は利便性とセキュリティーの話だけ申しますと、実印の話 の利用する頻度とセキュリティーのバランスから考えると、今のマイナンバーカードのや り取りみたいなものは少しセキュリティー上は重過ぎるのかなと思います。実印はもっと 手軽に、登録にしても何にしても使っていらっしゃいますよね。バランスが今はどっちに しても悪いので、どうしたらいいのかというのは研究としては何もなくて、感覚的なお答 えになってしまって恐縮です。
</blockquote>
{{:特別:リンク元/成長戦略ワーキング・グループ}}
{{:特別:リンク元/成長戦略ワーキング・グループ}}