ウイルス作成の罪

────
このエントリには，修正すべき内容が含まれており，修正版として，以下の2つのエントリが執筆されています。
コンピュータウイルスを作成することがどのような犯罪となり得るのかについては，「コンピュータウイルスと犯罪」を，
法案提出段階にある，ウイルス作成そのものを処罰する法律と，それに対する批判・反批判については，「「ウイルス作成の罪」はプログラマの敵か？──具体例をまじえて」を，それぞれ参照して下さい。
────

今日は，コンピュータウィルスの作成と刑罰について，現行法上，ウイルス作成者はどのような罪で処罰される可能性があるのか，そして，現在検討されている，ウイルス作成そのものを処罰する法律の内容はどのようなものなのか，考えてみたいと思います。

ウイルス作成と電子計算機損壊等業務妨害罪
著作権法違反事件も（哀しいかな）珍しいものではなくなりましたが，以下に引用する事件は，コンピュータウィルスの作成者を被疑者とする点で，興味深いものです。

コンピューターウイルス：作成者逮捕…適用罪検討に半年

　インターネット利用者に多大な被害を及ぼしてきたコンピューターウイルスの作成者が２４日、京都府警に著作権法違反容疑で逮捕された。法の網にかかりそうで、かからなかった作成者を追いつめたのは、ファイル交換ソフト「ウィニー」の開発者も立件した実績のある府警の執念の捜査だった。

　今回逮捕された男が捜査線上に浮上したのは昨年秋。府警は０４年、ウィニー開発者の事件後も関連の捜査を続け、ハイテク犯罪のノウハウを蓄積。今回は、ウィニー上にウイルスを流出させた男を特定することに成功した。

　府警は当初、ウイルス感染でパソコンが作動できなくなる点に着目し、器物損壊罪の適用を検討した。だが「インストールし直せば使える」として断念するなど、難航。刑法ではなく特別法を俎上（そじょう）に載せ、ようやく立件に向けて動き出した。捜査員の間には「ウイルス罪があればこんな苦労をしなくて済む」との声が強い。

　園田寿・甲南大法科大学院教授（刑法・情報法）は「著作権法違反容疑での逮捕は苦肉の策だろう。本来は電子計算機損壊等業務妨害罪だが未遂規定がなく、ウイルスの作成や配布だけでは処罰されない」と指摘する。

　また、佐々木良一・東京電機大教授（情報セキュリティー）は「作成者に悪意があり、ウイルスによって被害が出ていると立証されれば処罰されるべきだ。これまでは、ウィニー利用者のみが悪いという理論が横行していたが、ウイルス作成者の方が罪は重いはずだ」と話している。

　さて，園田教授が指摘されているように，ウィルス作成者について，まず成立が検討される犯罪としては，電子計算機損壊等業務妨害罪（刑法234条の2）があります。

（電子計算機損壊等業務妨害）
第二百三十四条の二 　人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。

　典型的には，嫌がらせのため，取引先会社のコンピュータ（「人の業務に使用する電子計算機」）へ，メールの添付ファイルでウイルスを送付し，これに感染させて（「虚偽の情報若しくは不正な指令を与え，又はその他の方法により」），そのコンピュータ内にあるデータを削除し（「使用目的に沿うべき動作をさせず，又は使用目的に反する動作をさせて」），取引先の業務を停滞させた（「人の業務を妨害した」），という場合に，ウイルスによる電子計算機損壊等業務妨害罪が成立します。

しかし，京都府警は，電子計算機損壊等業務妨害罪ではなく，器物損壊罪（刑法261条）の適用を検討したとされています。

（器物損壊等）
第二百六十一条 　前三条に規定するもののほか、他人の物を損壊し、又は傷害した者は、三年以下の懲役又は三十万円以下の罰金若しくは科料に処する。

電子計算機損壊等業務妨害罪の成立を認めるためには，「妨害」があったことを立証せねばならず，器物損壊罪についても，「損壊」があったことが立証出来なければ，有罪判決を得ることはできません。

「インストールし直せば使える」として断念したという言い方は，器物損壊罪の「損壊」要件について検討たことを意味しているように思いますが，「損壊」があったかどうか，事実ではなく評価の問題としてこれを検討しているということは，被害者と被害は特定されているものとも考えられます（注）。

注：奥村徹弁護士は，ブログ・『奥村徹弁護士の見解』のエントリ「「電子計算機損壊等業務妨害罪」は断念？CommentsAdd Star」にて，警察は被害者を特定出来なかったのではないかと推測されていますが，私は，異なる「予想」の下に，本エントリを執筆しています。

被害者と被害が特定されているにも関わらず，電子計算機損壊等業務妨害罪での立件が断念されたのだとすれば，妨害されたものが「業務」といえるものではなかったからなのではないかと，推測します（注）。偽計業務妨害罪（刑法233条）について触れられていないのも，同様の理由ではないでしょうか。

注：電子計算機損壊等業務妨害罪を含む，業務を妨害する罪（刑法233条，234条，234条の2）における「業務」は，判例によると，職業その他社会生活上の地位に基づき継続して行う事務又は事業を言います（大判大正10年10月24日刑録27揖643頁）。業務上過失致死傷罪における「業務」とは異なり，娯楽として行われる行為は含まれないとされています。

ウィルス作成と器物損壊罪
しかし，京都府警は，器物損壊罪での立件を断言しました。その理由となった『インストールしなおせば使えるから，器物損壊罪は成立しない』との解釈は，一応，納得出来ます。

器物損壊罪における「損壊」とは，物の効用を害する一切の行為を意味し，物理的な破壊に限られないとされています。

例えば，食器におしっこをひっかけた行為が器物損壊罪にあたる（つまり，『洗えばいい』『直せばいい』という理屈で器物損壊罪の成立が必ずしも否定されない），とした判例もあります（大判明治42年4月16日刑録15揖452頁）。たとえおしっこをかけられた皿でも，しっかり洗って熱湯消毒でもすれば十分使えるはずなのですが，事実上・感情上の問題として，その皿を使うことができない，という場合も，効用が害された，「損壊」された，と認められる場合があるわけです。

このことだけからすると，ウイルスによってコンピュータの動作が不能又は困難となった以上，ウイルス駆除や再インストールによってまたコンピュータが使えるようになったからといって，「損壊」を否定する必要はないようにも思えます。

しかしながら，これまでの裁判例を見ても，上記判例のように，物理的に壊れていない場合にも「損壊」を認めた例は多くあるのですが，外形的・物理的な作用がないところに「損壊」を認めるものは見られません（私が知らないだけかも知れません）。そこに躊躇があったのではないかと思います。

なお，ウイルスの感染を「損壊」と解釈したとしても，感染したという事実がなければ，やはり器物損壊罪は成立しません。どんなに迷惑なウイルスを作ってネットワーク上に送信したとしても，誰かが被害を被らない限り，処罰されないわけです。

「ウイルス作成の罪」
そこで期待されるのが，「ウイルス作成の罪」なのですが，2008年1月現在，日本にそのような犯罪を規定した法律はありません。

ただ，サイバー犯罪に関する条約を批准するために，そのような犯罪を規定することが検討はされており，その成果が，「法制審議会刑事法（ハイテク犯罪関係）部会の発表した要綱（骨子）」として発表されています。この要綱（骨子）のうち，コンピュータウィルス作成に関するものが含まれるのは，その第一です。

第一 　不正指令電磁的記録等作成等の罪の新設等
　一 　人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。
　二 　一の不正な指令を与える電磁的記録を人の電子計算機において実行の用に供した者も、一と同様とすること。
　三 　二の未遂は、罰するものとすること。
　四 　一の目的で、一の不正な指令に係る電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処するものとすること。
　五 　電子計算機損壊等業務妨害の罪（刑法第二百三十四条の二）の未遂は、罰するものとすること。

　コンピュータウイルスは，不正な指令に係る電磁的記録に含まれます。その他の記録という文言がくっついているので，ウイルスのコードを書き留めたメモを作成した場合にも，処罰されることになります。この要綱に関する解説のうちウェブ上で参照できるものとして，岡村久道「コンピュータ・ウイルスの作成や所持などが新たに処罰対象に」（『IT弁護士の眼』）があります。

「ウイルス作成の罪」に対する批判
さて，このウイルス作成の罪に関するスラッシュドットの記事を見ると，批判的なコメントが大勢を占めます。

しかし，誤解に基づくものも多いようです。

(1)　踏み台にされた人も罰する悪法ではないか
　典型的なコンピュータウイルスは，自らをコピーし，メールなどを通じ，ネットワークを介して，更に他のコンピュータへと侵入していきます。

その場合，意図せずウイルスに感染してしまい，他の人への感染を媒介してしまった，いわばウイルスに「踏み台」とされた人も，本罪によって処罰されるのではないか，という批判が見られました。

しかし，このような人については，「故意がない」ので，犯罪は成立し得ません（注）。過失犯処罰の規定が盛り込まれていない以上，過失しかないにも関わらず処罰するということは，絶対にできないことです（刑法38条1項参照）。

注：もっとも，不法行為に基づく損害賠償責任（民法709条）については，過失しかない場合であっても，生じる可能性があります。

(2)　セキュリティテストのためにウイルスを作成しても罰せられるのではないか
ウイルスとして機能するプログラムを所持・作成する理由は，ウイルスをバラまくことばかりではなく，ウイルスへの対抗手段を探るためであるとか，純粋に勉強・研究のために，ということもあるかと思いますが，このような場合にまで本罪で処罰されてはたまらない，という批判が，見られます。

しかしながら，この場合，人の電子計算機における実行の用に供する目的を欠くため，そのような行為は処罰されないと考えられます。

コンピュータウイルスの作成・提供・所持は，人の電子計算機における実行の用に供する目的の下に行われた場合だけ処罰されるとするのが上記要綱の立場ですが，この人の電子計算機における実行の用に供する目的というときの人の電子計算機とは，「他人のコンピュータなど」の意味であり，そこでいう「他人」には，コンピュータウイルスが実行されることについて同意のある人は含まれない，と解釈されるからです（山口厚『刑法各論（補訂版）』628頁）。

例えば，セキュリティチェックのためのプログラムを作成して提供する場合には，チェックを受ける人が同意しているので，この「目的」が欠けることになります。依頼を受けてその手のプログラムを組んでいた場合はもちろん，セキュリティチェックのためのプログラムを予め作成し，それを売り込む場合であっても，「目的」を欠くため，本罪は成立しないということになります（後者につき，事実認定上の困難が伴うように思いますが）。

また，勉強のためにウイルスのソースを所持している場合には，他人のコンピュータで実行させる目的がないことは明白であって，本罪は成立しません。人の電子計算機における実行の用に供する目的で作成・提供・所持が行われていないため，処罰されないとされています。

ただし，1点，補足しておきます。

「他人」という言葉にここまでの意味を読み込む解釈は，サイバー犯罪条約5条2項に基づくものであって，正当であるとしても，立法の段階なのだから，そうした場合を条文上も明示すればいいのではないか，という意見もありうるところで，これについて，私は有効な反論を持ち合わせてはいません（注）。住居侵入罪のように，「正当な理由なく」という文言を付け加えれば，多少は良くなるかも知れませんが…。

注：会社の吸収分割における，分割契約締結時に判明していなかった不法行為債権の承継会社への承継と債権者保護手続について，会社法789条を素直に（形式的に）読んでいけば，契約時に判明していなかった不法行為債権者は「知れている債権者」ではない以上，個別催告なしに免責的債務引受が可能となり，あるいは，公告のみで債務引受がなされることになるはずなのですが，立法担当者が執筆する解説書『新・会社法　千問の道標』693頁は，789条4項，759条2項・3項の法意に照らせばとして，みなし承認（789条4項）の規定は適用がないと説明しました。このような問題に予め気がついていたのであれば，立法段階で修正しておくべきです（立法過誤が看過されてしまった場合でも，「過誤でした」と認めるわけにはいかないので，このような奇抜な解釈を導きだした手腕と責任感は，賞賛されるべきと考えます。）。ウイルス作成の罪についても，同じことが言えましょう。

(3)　海外からの攻撃については，処罰出来ないから実効性がないのではないか。
日本以外の国で作成されたコンピュータウイルスが，日本国内のコンピュータに感染するということは，日常茶飯事です。

その場合，日本国外にいるウイルス作成者（しかも，外国人である可能性が高い）について，日本の刑法を適用することができるのか，できないとすれば，そのように実効的でない刑罰法規を設けるべきではない，という批判があります。

これに対しては，2つの反論が可能です。

一つは，日本人が日本国内でウイルスを作成した場合についても，十分処罰に値し，それについては処罰するにあたって主権の問題も生じないのだから，立法する価値がある，というものです。

もう一つは，サイバー犯罪条約の締約国を増やしていくことにより、問題は解消される，というものです。

刑法2条（保護主義）や刑法3条の2（消極的属人主義）で対処するという方法もありそうですが，サイバー犯罪条約自体は，国外犯処罰規定の設置を義務付けていない事からして（この部分，読み違えがあるかも知れません。），後者の解決方法を採ることが企図されているように思われます。