開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/02/21

「IT暗黒時代」の到来か コインハイブ有罪判決のインパクト

コインハイブ事件の控訴審は、2019年3月の地裁による無罪判決から、一転して有罪判決となった。判決に対して、IT業界、セキュリティ業界、法曹界からも異論が噴出している。プログラム開発者、セキュリティ研究者、ホワイトハッカーと呼ばれる人たちは、刑法168条の2、3「不正指令電磁的記録に関する罪」による訴追というリスクを抱え込むことになり、その影響は長期的に考えると決して過小評価できない。その理由を考えてみたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
コインハイブ有罪判決のインパクトは無視できない
(Photo/Getty Images)

一審は法の設立主旨を汲んだものだった

 コインハイブについて改めて説明する必要はないかもしれないが、簡単におさらいしておこう。

 コインハイブはWebサイトにJavaScriptを埋め込み、閲覧者のWebブラウザを利用して(ページ上のJavaScriptは閲覧者のWebブラウザで実行される)仮想通貨のマイニングを行うというもの。サイトにマイニングの告知なしに行うのは、当初から「行儀が悪い」とされていたが、広告に依存しないサイト運営の新しいスキームとしても注目されていた。

 被告は、自分のWebサイトに試しに導入して様子を見ていたところ、刑法168条の2、3「不正指令電磁的記録に関する罪」(俗称「ウイルス罪」)に当たるとして神奈川県警によって検挙された。

 第一審の地裁判決は、当時の状況や技術的要件を踏まえ無罪とした。ウイルス罪は、正当な理由がなく、利用者の意図に反する動作をするプログラムを作成または保管、利用可能な状態で誰かに使わせた場合に成立する。第一審の横浜地方裁判所は、コインハイブに対する当時の評価、一般的なWebサービスや広告ページの実態から、犯罪を構成するとまで言えないと判断した。

 ウイルス罪が作られるときに議論された点が、十分に考慮された判決とも言える。安易に適用範囲を広げると、通常のバグや不具合でも恣意的な検挙、犯罪化が可能になってしまい、正常な経済活動、技術開発を委縮させてしまう。これは、本来この法律の主旨ではない。

 コインハイブには、仕様上、利用者に無断でマイニングをすることが可能だったのは事実だ。サイトに告知や利用者の同意がなければ、「利用者の意図に反する動作」の要件は満たすが、地裁判決では、コインハイブが消費する電力やCPUパワー、さらにマイニングによって得られる金銭も小さいものであること。利用者が意図していない機能や操作で情報や金銭を得たりするのは、広告や商用サイトと同じであり、社会的通念に照らしても犯罪とするほど、重大な信用不信を広げるものではないと判断した形だ。



不正性より反意図性を重く評価した控訴審

画像
しかし、高裁の判断は…
(Photo/Getty Images)

 しかし、控訴審の高等裁判所の判断は、「この手の事案では、プログラムの反意図性は不正性より優先される」として、不正の意図の有無より、プログラムが「利用者の意図に反した動きをするかどうか」を重視して考えるべきとしている。また、正当な目的の有無の判断は「社会通念や一般的な合意」を基準にしている。つまり、広告が本人の関知しない動作をしているのは誰もが認識しているが、マイニングを勝手に行う動作は社会的な合意が成立していないと判断している。

 控訴審の判決は、本人や開発者の悪意の有無は重要ではなく、プログラムが「利用者の思っているような動きをするか否か」で犯罪かどうかを決めると言っている。たとえば、プログラムのバグなど本人が認知していない不具合で、ユーザーが望まないデータ破壊が起きたとする。誰も想定していないようなこの状況(通常のバグで普通に発生する事象)を、社会的な合意の形成だけで判断するのは問題がないだろうか。マイニング機能が明示されたコインハイブと違い、バグは「意図しない動作をするという社会的合意が成立しているので区別できる」とするなら、悪意のある者、とくにマルウェアを供用だけする者の「知りませんでした」という主張を許しかねない。

 これは、ウイルス罪の主旨に反するものと解釈できる。法の主旨は条文には明記されていないが、拡大解釈や恣意的な解釈で法の適用範囲が広げられないようにあえて追加した「正当な目的がなく」という記述を無視していると言っていいだろう。

【次ページ】広告ビジネスの一部はウイルス罪に当たらないのか?

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!