NICTの調査が憲法に抵触しているかどうかの行政による解釈
国立研究開発法人情報通信研究機構法(以下、NICT法)の改正法案が先の国会で成立した。情報通信研究機構は通称NICTと呼ばれ、当該法によると「情報の電磁的流通及び電波の利用に関する技術の研究及び開発、高度通信・放送研究開発を行う者に対する支援、通信・放送事業分野に属する事業の振興等を総合的に行うことにより、情報の電磁的方式による適正かつ円滑な流通の確保及び増進並びに電波の公平かつ能率的な利用の確保及び増進に資すること」を目的にする機関である。
電磁波やネットワークに関する研究、サイバーセキュリティやデータ駆動知能システム、新しいところではBeyond 5Gの研究開発推進の役割も担っている。日本の標準時を電波で発しているのもNICTである。太陽の地磁気の乱れを観測又は予測してデータを公開する宇宙天気予報も行っている。2022年の国からの交付金は282億円、補正予算での補助金は502億円となっている。独自の収入は約170億円である。従業員は1295名で全国8カ所に研究拠点を持つ。1896年に設立された通信総合研究所と1979年に設立された通信・放送機構が2004年に統合された研究機関で日本の情報通信技術の開発や事業支援を先導する役割を担って来た。企業や学術機関との共同研究、企業からの研究の受託、オープンイノベーションとしてのデータや設備の使用、研究の国際連携の窓口にもなっている。
サイバー攻撃はIoT機器に向かっている
さて、今回の改正法案はNICTが23年度末迄に限り行う事とされているID・パスワードに脆弱性が有るIoT機器の調査(特定アクセス行為)を24年度以降も継続的に実施する事を可能にする法案である。これ迄も同様に法案が出され、その都度に期間が延長されて来た。
サイバー攻撃はこの10年間、WindowsではなくIoT機器に向けられる様になっている。NICTは19年から脆弱なIDやパスワードの設定等サイバー攻撃に悪用される恐れの有るIoT機器を調査し、同機器の利用者に対してISP経由で注意喚起する取り組みを行っている。家庭に有るブロードバンドルーターに関してだが、最近の機種はそもそも外部からIDやパスワード等を打ち込める様な仕様になっていないが、旧タイプのルーターにはそれが出来るものが有る。パスワードがデフォルトのままになっていたりすると、NICTによる調査によって判明し、その情報がユーザーが契約しているISPに伝えられ、IPSから「端末が脆弱な状況に有るので対策をして下さい」という案内文が該当するIoT機器の使用者にメールで届くという仕組みである。この仕組みを「NOTICE」と名付けている。日本に有る数億のIPアドレスに対してスキャンを掛け、応答が有った機器に対してIDとパスワードの入力を行う。ログイン出来た場合はその情報をISPへ提供する役割をNICTが担っている。IPアドレスにスキャンを掛けてIDやパスワード迄入力する行為は、本来ならば不正アクセス防止法に抵触する。不正アクセス防止法を犯さない様にNICT法を改正する事でそれを可能としている。NICT法は特別法であり一般法である不正アクセス防止法よりも優先する。よって、IDやパスワード迄入力する事はかなり踏み込んだ行為ではあるが違法ではない。参議院調査室が発行する「立法と調査 402号」では不正アクセス防止法の規制から除外されるという認識が明記されている。今回の法改正でも不正アクセス禁止法の除外規定が継続される。
NICTの発表によると、19年第2四半期迄の実施状況は、NOTICEは調査対象となった約1億のIPアドレスの内、IDとパスワードが入力出来たものが約9万8000件、その内ログインに成功して注意喚起の対象となったものが延べ505件だった。マルウェアの感染が検知された機器利用者への注意喚起としてのISPへの通知件数が1日当たり80〜559件発生した。20年以降の通知件数は公開されていない。NICT法を改正して従前の調査を継続するのであれば直近の調査状況を示すデータを公開するべきではないだろうか。
危惧される通信の自由やプライバシー権侵害
NICTによるIoT機器の脆弱調査は憲法の定める「通信の自由」を侵しているのではないかという意見も有る。先の「立法と調査 402号」によると政府参考人は「通信当事者の同意がない場合であっても、法令行為、正当業務行為、正当防衛又は緊急避難に該当する場合は違法性が阻却される」という解釈を示したとされる。又、正当業務行為については「電気通信事業者が電気通信役務の提供等の業務を行うために必要であって、目的の正当性、行為の必要性等を満たす行為」だとした。
「通信の秘密」に関してはどうか。
総務省は電気通信事業に於けるサイバー攻撃への適正な対処の在り方に関する研究会(第三次)で「ユーザーが、どの時間に、どのIPアドレスを使っているか、という情報それ自体が通信の秘密の対象になる。」とした上で、「IoT端末への注意喚起について約款に包括同意として定める場合、仮に同意が無い場合であっても、その脆弱性が放置されることにより、感染する端末が多数出ることとなり、ISPの電気通信サービスの提供に支障が生じる蓋然性が具体的に有る場合に限って、正当業務行為として許容される」という方針を纏めている。
「プライバシー権」ついてはどうか。
衆議院の基本的人権の保障に関する調査小委員会の資料によるとプライバシー権を「プライバシーおよび人格に関する権利」と呼び、それが侵されるケースを①公権力が思想の中身や手順を決めてしまうことによって人格を侵害する場合、②公権力が身体に立ち入ったり身体をコントロールすることによって人格を侵害する場合、③公権力が生活のプラン・型ないしスタイルの選択を指図することによって人格を侵害する場合、④個人の印象やイメージなど人が他者に与えかつそれを通じて自己のアイデンティティが明らかにされる生活上の情報について、誰が何を知っているかを十分にコントロールできなくなってしまう危険性のある公権力による情報の収集・保有およびその伝播のシステムが整っている場合︱︱としている。NICTの調査によってWEBカメラやマイクが付いた機器に侵入された場合は確かに生活上の情報の収集が可能となってしまう。よってプライバシー権が侵害される可能性については、その可能性が有ると理解する。
個人情報保護の観点についてはどうか。
独立行政法人等の保有する個人情報の保護に関する法律によるとIPアドレスは個人情報には当たらない。IPアドレスだけだと個人の特定には繋がらないが名前や住所など他の情報と関連付ける事で個人を特定する事が可能になる場合は個人情報として保護される。そうでない場合、IPアドレスは単なる個人関連情報でしかなく個人情報保護法で保護される情報ではない。NICTの調査に於いて個人情報保護法は抵触しないものと思われるが、プロバイダーへ情報が提供される場合は別である。プロバイダーはIPアドレスと個人情報を結び付ける事が可能だ。
前述を纏めると、憲法上の「通信の自由」の侵害には当たらない。「通信の秘密」に於いては正当行為である。但し、プライバシー権を侵している可能性は否定出来ない。IPアドレスは個人情報の保護には当たらない。
さて、NICT法はプライバシーや個人情報の保護の問題ばかりが取り沙汰されるが、当該法の本来の目的は他に有る。Beyond 5Gの社会実装に向けた支援状況や国際標準規格に於ける知的財産権の取得状況、又、本法では電波利用料の活用が規定されているがその活用使途の開示はどうなっているのか。光ファイバー、5G、データセンター等の情報通信インフラ整備について地方のニーズはどの様に反映させているのか。政治家として大切な事は事案の継続よりも進展である筈だ。
LEAVE A REPLY