------------------------------------------------------------------------
重要インフラ保護について
------------------------------------------------------------------------
JCIC主任研究員
青木優美
本稿では、重要インフラの保護・防護を考える材料として、操業妨害に対する処罰規定を取り上げます。
日本では重要インフラ分野として14の産業分野(情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油)が指定されています。インフラ産業の健全運営や安全基準達成には、事業者と事業者らの団体のほか監督機関、学術研究機関、対策支援とアセスメントなどを提供する専門サービス、内閣サイバーセキュリティセンター(以下「NISC」)などが関係しています。施策分野は多岐にわたり、各主体が個々の問題分野に対応する諸施策を実施しています。
重要インフラの保護・防護への政府機関のかかわり方
重要インフラの保護・防護への国1のかかわり方について、サイバーセキュリティ分野に関してとりうる施策を現時点では下図のように整理できるのではないでしょうか。
図 重要インフラのサイバーセキュリティ対策に関する施策分野
(複数国の公知情報を基に筆者作成)
図に示した事項のいくつかは民間事業者によって担われうるものです。他方、法整備や事業者の負担への配慮、犯罪者処罰などは国や州などに固有の機能です。国が重要インフラのセキュリティ水準維持・向上施策として法律や規則、ガイドラインなどで定める方針に沿って対策基準を設けます。それと並行して、(実効性は別として)犯意を遠ざける施策としての刑事罰を設定することは、施策のひとつであるとともに、重要インフラの役割に対するその国の考え方を反映するものです。
罰則
重要インフラの重要性が罰則にどのように反映されているのか、ここでは米国と欧州連合(以下「EU」)に例をとります。
米国
米国では、連邦量刑ガイドラインに重要インフラなどの施設、設備に対する犯罪行為に対し量刑加算を可能とする規定が存在します。加算はサイバー犯罪に限らず、国と重要インフラ産業の操業を妨げる犯罪に対して、被害先役務・施設などの重要度に応じて刑を加重する趣旨です。
一例を挙げると、侵入の基本量刑レベル4(4か月間の服役刑を意味する)に対し、重要インフラの維持、運用に使用されるコンピュータシステムに対する侵入(不正アクセス)に対しては、2段階までの加算が可能なほか、保護されたコンピュータに対する侵入に対して、被害額に応じた刑の加算が可能とされています
2。実際の刑罰算出には、基本量刑と被害先の属性に加え、犯罪者自身の犯罪歴が考慮され、併合罪の場合は刑が単純加算されます。
EU
EUは2013年8月、情報システムに対する攻撃に対する処罰規定を加盟国間で同水準のものにする趣旨の指定を発出しました(DIRECTIVE 2013/40/EU)。この指令の主な目的は以下の2点です。
1. 重要インフラの操業を妨害するサイバー攻撃に対し、従来以上の厳罰適用を可能とする
2. 加盟国のサイバー攻撃に対する刑事犯罪としての定義と制裁規定を協調させ、国境を超える捜査活動などの円滑化を図る
指令では、加盟各国が「効果的かつ被害に相応する、行為を思いとどまらせる犯罪処罰規定を設けなければならない」
3とされ、各国は2015年9月4日までに国内法の対応を終えました。この種の取り組み自体は2005年の合意決定にもみられます
4が、2013年の指令は、サイバー犯罪の組織化と列度の上昇を考慮し、さらなる取り組みを要するとの認識に基づいた防護強化施策ととらえることができます。
EU加盟国の制度改定について、最も厳しい処罰規定を設けたとされる英国では、Serious Crime Act 2015が同年3月成立しました
5。同法は複数の法律の改定からなり、サイバー犯罪に関する処罰規定はComputer Misuse Act 1990を修正したものです。起訴時点の最高刑が終身刑(人間福祉または国家安全保障に対する重大なリスクや深刻な損害を引き起こした場合)あるいは禁固刑14年(その他の場合)へと厳罰化されました。Computer Misuse Actの下では、禁固10年が求刑しうる罰の上限でした。
日本
日本では、刑法のほか水道法、電気事業法などの各事業に関する法律で操業妨害にあたる行為に対する罰則が定められています。電気通信回線を介した行為については、不正アクセス行為の禁止などに関する法律などで処罰が定められています。不正アクセス行為の禁止などに関する法律では、特定の施設を対象としたサイバー犯罪に対する刑の軽重は規定されていません。
まとめ
重要インフラに対するサイバー攻撃については、NISCがサービス障害の程度を評価する枠組の案を開発する
6など、起こりうる被害に日本政府が関心を寄せていることがみてとれます。社会基盤の重要性を考慮すると、インフラサービスや施設、業務従事者などの重要性に対する国の認識を制度で明らかにすることにも一定の価値があるのではないでしょうか。
1 便宜上「国」と総称しますが、機関としてはサイバーセキュリティ専任機関のほかインフラ事業者の監督官庁、法執行機関、安全保障(外交、防衛)機関など当然に細分化されており、「国」により特定の省・機関を指すものではありません。
2 United States Sentencing Commission, Guidelines Manual 2018,§2B2.3 TRESPASS. https://www.ussc.gov/sites/default/files/pdf/guidelines-manual/2018/GLMFull.pdf
3 DIRECTIVE 2013/40/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA, August 2013, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:218:0008:0014:EN:PDF
4 Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems, February 2005, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2005.069.01.0067.01.ENG&toc=OJ:L:2005:069:TOC
5 Serious Crime Act 2015, legislation.gov.uk, http://www.legislation.gov.uk/ukpga/2015/9/contents/enacted
6 サイバーセキュリティ戦略本部第19回会合(平成30年7月25日)。
