分析: 1980年代後半から1990年代初頭にかけて制定されたコンピュータ関連法規には、深刻な問題が浮上しています。これらの法律は、PCが個人で広く利用され始めた時期に制定されたものですが、間もなく電子機器が主にインターネット経由で情報にアクセスするという用途を想定していませんでした。
月曜日に米国最高裁判所で審理されたこの事件ほど、それが明確に示されているところはない。この事件は、元警察巡査部長のネイサン・ヴァン・ビューレン警官が、現金支払いのために特定の車の所有者を調べるために警察のナンバープレート番号のデータベースにアクセスしたことで、2017年にコンピューター詐欺および濫用防止法違反の罪で有罪判決を受けた事件である。
ヴァン・ビューレン氏はその有罪判決に異議を申し立て、控訴裁判所は同氏に対する2件の刑事告訴のうち1件を覆し(新たな裁判を命じた)、2件目のコンピューター詐欺については「CFAAのあいまいな文言」にもかかわらず支持した。
そして、この「曖昧な言葉」こそが、この事件を最高裁まで持ち込み、最高裁は「特定の目的のためにコンピューター上の情報にアクセスする権限を与えられた者が、不正な目的で同じ情報にアクセスした場合に、コンピューター詐欺および濫用防止法第1030条(a)(2)に違反するかどうか」を審理することを選択したのである。
ヴァン・ビューレン氏の弁護士、ジェフリー・フィッシャー氏は、例えば警察官がナンバープレートデータベースの使用を許可されているなど、データベースへのアクセス権限が与えられれば、事実上、CFAA(カナダ警察法)の下で詐欺罪で有罪となることはないと主張した。同法はハッキングに対処することのみを目的としており、依頼人はコンピューターをハッキングしたわけではないと彼は主張した。
企業秘密
彼はまた、アクセスできる情報を使って不正行為を行った者に対して適用できる法律は他にもたくさんあると指摘した。例えば、ストーカー行為防止法や企業秘密の不正使用などだ。しかし、現金を得るために人々のナンバープレートを調べた警官が有罪判決を受けるような法律は、どうやら見当たらないようだ。
フィッシャー氏は、政府が今回の事件で行ったようなCFAAの解釈の危険性を特に強く主張した。それは、法的な厄介事のパンドラの箱を開けるようなものだと彼は警告した。突然、誰もが、そしてほぼ全員が犯罪行為で有罪になる可能性があるのだ。
CFAA最新情報:最高裁は、アメリカにおけるコンピューターの「許可された使用」が実際に何を意味するかという古くからある問題に取り組む予定
前回のレポート
サービス契約や会社の利用規約、従業員ハンドブックに違反した場合、あるいは口頭の指示を無視して間違ったタイミングでコンピューターへの許可されたアクセス権を使用した場合でも、有罪判決を受ける可能性があると彼は主張した。
彼は、職場でインスタグラムにアクセスすることは刑法に違反すると主張した。「文字通りインスタグラムから言葉や写真を取得する行為なので、情報取得に該当し、政府の規則に違反する」と、判事たちの質問に答えて主張した。
幸いなことに、最高裁判所は、会計担当のジャニスが誰かの猫の写真を見ただけで独房に連行されるといった、極めて空想的な悪夢のような状況には乗り気ではなかった。少なくとも4人の判事は、フィッシャー判事が挙げた問題点を「恐ろしいことの連続」と呼び、現実を掘り下げた。
そして現実には、CFAAは――誰もが既に知っていたように――非常に不適切な文言で書かれている。この法律はもともと1984年にコンピュータデータベースへの不正アクセスに対処するために制定されたもので、当初は連邦職員のみに適用されていた。1986年には対象が拡大され、全職員が対象となったが、その際にいくつかの重要な文言が変更された。趣旨は同じだが、法律の文言はより曖昧になった。
もちろん、政府側の弁護士である司法省副法務長官エリック・フェイギン氏は、この法律は全く問題ないと考えている。法律の意図は明確であり、文言は悪夢のような事態を回避できる具体的な解釈が可能であり、司法制度は判例を通じてこの問題を解決してくれるだろう。何も問題ない。警官は自分が間違っていたことを知っていたし、逮捕され、起訴されたのだ。
雪崩
「内部関係者によるこのような重大な背信行為こそが、まさにこの法文が対象としているものだ」とフェイギン氏は主張した。また、ヴァン・ビューレン氏の事件についても厳しい言葉を投げかけた。
「彼がここで頼りにしているのは、我々の立場を乱暴に戯画化したものであり、一見無実の行為に対する、現実世界では実際には特定できない架空の仮説的訴追の雪崩の下に、彼自身の中心地における法令違反を埋もれさせようとしている」と彼は怒鳴った。
しかしフェイギン氏は、現実世界でのコンピュータの仕組みについても無知であることを露呈した。FacebookのようなサービスへのアクセスがCFAAの対象に含まれない理由を問われると、彼はこう反論した。「公開ウェブサイトでは、認証を必要とするシステムではありません。特定の個別的な配慮を反映した認証情報を必要とするシステムではないのです。」
内部関係者によるこのような重大な信頼の侵害は、まさにこの法定文言がカバーするように設計されているものである。
もちろん、それは可能です。特に、セキュリティ強化のために二要素認証を使用している場合はなおさらです。
政府の「心配しないでください。私たちはやり過ぎません」という主張に対し、警官の弁護士は「これは刑事事件なので、曖昧さを解決するために立法履歴に頼るのは不適切、少なくとも非常に危険だと考えています」と、不当ではない警告をした。
そして彼は、「政府が文字通り正しいとすれば、検察の裁量権はおそらく最高裁がこれまで目にしてきたどの法律よりも広範囲に及ぶだろう」と主張した。言い換えれば、この法律は、誤った理由で誰かを攻撃し、強大な圧力をかけるために利用される可能性がある。
これは単なる仮説ではありません。アーロン・シュワルツ氏に実際に起こったことです。彼は何百万もの研究論文をダウンロードしたとして起訴されました。彼はCFAA(消費者信用情報機関)の下で厳しく追及され、その行為に対して100万ドルの罰金と最長35年の懲役刑に処せられる可能性があると告げられました。
シュワーツはプレッシャーに耐えかねて自殺した。そして、テクノロジー業界は、不正行為があったと感じた政府がとった行動に恐怖を覚えた。
立法の失敗
シュワーツ氏の事件をきっかけに、利用規約がCFAAの適用対象から明確に除外されることを明確にするためのCFAAの見直しに向けた取り組みが繰り返し行われました。しかし、議会の機能不全と、議員たちの技術・コンピューター関連の問題に対する関心と知識の不足により、これらの取り組みは十分な進展を見せていません。
その点において、今日最高裁判所に持ち込まれたこの訴訟は完全に回避可能でした。5年前の立法手続きを通じて解決されるべきだったのです。実際、ヴァン・ビューレン氏の弁護士は、この問題、つまり危険な曖昧さは、議会が法令を改正することで解決すべき問題だと繰り返し主張していました。
驚き!コンピューター専門家からセキュリティの低さを批判された投票アプリ開発会社が、今度は米国の裁判所に欠陥発見の制限を訴えている
続きを読む
しかし、現状はそうではなく、最高裁判所は、ある目的のために制定され、別の目的に合わせられ、そして今では全く想定されていなかった第三の目的に適用されている法律をどう扱うか決定しなければならない。
解決策はそれほど難しくありません。特定の個人ログインを通じて特権データへのアクセスを与えられた者と、公開サービスへの単純なログインを与えられた者との違いを、法律で明確にする必要があります。そして、その情報の不正使用は犯罪となることを明確にする必要があります。
判事たちは次々と提案を行った。ソトマイヨール判事は、情報を「金銭的利益のために」利用することが共通の差別化要因であると指摘し、バレット判事は権限の「範囲」という考え方について言及した。
実際、裁判所にいる全員、つまり最高裁判所のズームチャンネルにいる全員がほぼ同意していた。CFAA には誰もが同意する明確な目的があるが、その文言が大きな法的頭痛の種となっている。
先ほども申し上げたように、1980 年代のコンピュータ法は混乱を極めています。®
