パスワードを忘れた? アカウント作成
5345 story

バグ入りソフトで懲役三年?法務省公開諮問資料のバグ 76

ストーリー by yourCat
疑心暗偽の応酬 部門より

Anonymous Cowboy曰く、"法務省は24日、『ハイテク犯罪に対処するための刑事法の整備に関する諮問』と題する法制審議会資料を公開した。骨子第一条の一は「人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。」とあってたぶんウィルスやトロイの木馬をどうにかしたい、ってことなのだろうけど、この条文のままだとバグやセキュリティーホールのあるソフトを作ったら逮捕っていうふうにも解釈できちゃうんですが。ガクガクブルブル。"

3月4日の記事にも、多くの指摘が寄せられた。パブリック・コメントにはなっていないが、ちゃんと線を引いてくれるのか不安になる。技術革新の早いハイテク関係だけに、線が明確である程、法の網の目を潜られやすくなるのも確かだが……。これ以外にも、差し押さえ関係がいろいろ追加されている。所謂プロバイダー責任法との兼ね合いもあるだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いい事探し (スコア:3, 参考になる)

    by Anonymous Coward on 2003年03月26日 6時32分 (#286459)
    とりあえず、
    第三  電磁的記録に係る記録媒体の差押えの執行方法
     一  差し押さえるべき物が電磁的記録に係る記録媒体であるときは、差押状の執行をする者又は差押許可状により差押えをする捜査機関は、その差押えに代えて次の処分をすることができるものとすること。公判廷で差押えをする場合も、同様とすること。
      1  差し押さえるべき記録媒体に記録された電磁的記録を他の記録媒体に複写し、印刷し、又は移転した上、当該他の記録媒体を差し押さえること。
      2  差押状の執行を受ける者又は差押許可状による差押えを受ける者に当該記録媒体に記録された電磁的記録を他の記録媒体に複写させ、印刷させ、又は移転させた上、当該他の記録媒体を差し押さえること。
    この辺だけは評価しておこう。
    法律文でさっぱりわからない書き方だが、要するにこれまでは差し押さえは有体物であるHDDを差し押さえなくてはいけなかったのを、コピーでもOKにするという事。
    いちいちHDD差し押さえで持って行かれたんじゃたまらんからねぇ...
    • by Anonymous Coward on 2003年03月26日 12時41分 (#286633)
      >するにこれまでは差し押さえは有体物であるHDDを
      >差し押さえなくてはいけなかったのを、コピーでも
      >OKにするという事。
      >いちいちHDD差し押さえで持って行かれたんじゃ
      >たまらんからねぇ...

      ふと思った。
      ドライブ隠しの手法なら幾らでもあるし、
      (物理コピーとか可能なのかな?)
      1TBレベルのストレージを沢山保有してある所は
      その全てを複写したりするんだろうかと。
      (その設備を捜査機関で用意するものかと)(苦笑)

      >他の記録媒体に複写し、印刷し、又は移転した上、
      >当該他の記録媒体を差し押さえること。

      紛らわしい書き方だけれど、「当該」って使われてると
      結局現物も押さえますよ?
      って言われてるような・・・。

      #「」で括って分かり易くして欲しい。
      親コメント
    •  差し押さえ対象のデータが入った装置から、他の装置に対してデータのバックアップコピーを行なったり、そ印字した記録文書を所持することを認める。

       ・・・という事ではないかと。
       物をそのまま差し押さえられると業務に支障がある場合、その物に入ったデータをコピーして使用することを法的に認めるという内容ですね。
       要するに、どうあっても本体は押収しますが、業務に支障があるならデータのコピーをしても良いです。ただし物は自分持ちで・・・と。

       結局、バックアップサーバ&データが差し押さえを逃れられる機会を与えてくれただけにすぎないと思われます。
      --
      --- どちらなりとご自由に --- --
      親コメント
  • バグは関係ないのでは (スコア:3, すばらしい洞察)

    by hirata (3986) on 2003年03月26日 6時47分 (#286462)

    法律はよく知らないのですが、

    刑法第三八条 罪を犯す意思がない行為は、罰しない。 ただし、法律に特別の規定がある場合は、この限りでない。

    となっているので、バグは罰せられないのではないでしょうか。

    でも、意思を証明しなきゃならないとするなら 内密チャンネル [iij4u.or.jp]のような仕掛になってると大変かも知れないですね。

    • by megalith (4791) on 2003年03月26日 10時58分 (#286572)
      バグがあるのが分かってて黙ってた場合はどーなるんですかね。
      例えば、これ [srad.jp]とか。
      親コメント
    • by RX-178 (2626) on 2003年03月26日 11時47分 (#286601)
      この間の航空管制ダウン [srad.jp]はどうなんでしょう?
      NECはバグがあるのを知っていた
      でも、そのバグによって別に不具合が起きる状態にはならないであろうとたかをくくってほっておいていた
      しかし実際はとんでもない状態を引き起こしてしまった

      悪意があってバグを入れたわけではないが、そのバグによって引き起こされた
      自体はご存じの通りの状態です。

      まあ、この法律で罰してほしいわけではないのですが
      親コメント
      • > この間の航空管制ダウン [slashdot.jp]はどうなんでしょう?
        > NECはバグがあるのを知っていた
        > でも、そのバグによって別に不具合が起きる状態にはならないであろうとたかをくくってほっておいていた
        > しかし実際はとんでもない状態を引き起こしてしまった

        それは、人命に関わらない限り民事で解決してほしいな、と思います。もちろん、バグを放置していたら飛行機が落ちた、とかそういう事態だったら業務上過失致死になるんじゃないかと思いますが。
        --
        ちどりの「ち」きっての「き」…
        親コメント
      • by hirata (3986) on 2003年03月26日 14時04分 (#286691)

        確かに、こういう場合どうなるんでしょう。 私ではどうにもわからないです。

        詳しい人いたらフォローしてくれると助かります。

        民事で裁くべきってのは同意です。

        親コメント
    • by Anonymous Coward on 2003年03月26日 17時53分 (#286870)

      よくありがちな安全上問題に関わるバグは、 設計や実装などそれが作り上げられる段階で 「んー?やばいかな?まーいいや」 という、およそ分かっていながら楽をするために *故意に安易な手段を選んだ* など、 開発時に発生した何等かの意図が原因となっております。

      安全上問題に関わるバグが発生したとき、 そこに未必の故意が *含まれていない* ことを立証するのは、 多くの場合困難だと思われます。

      そして、まだバグの発生していないソフトウェアの場合でも、 そこにバグが存在していないことを立証するための証拠資料を揃えることは困難です。 完全な証拠資料を揃えるどころかわずかな資料すら存在しないような開発現場まであります。

      基本的にコンピューターはプログラムの指示通り動作、 すなわち *プログラマーの指示通り* 動作します。 指示しておきながらその指示が故意ではないと主張すること自体不自然です。

      「ミスだった」という言い訳も存在しますが、 そのミスを検出するシステムをあらかじめ用意せず、 ミスの存在を前提としたバックアップシステムも用意せず、 ミスによって誤った動作があった場合でも被害を最小限に食い止める用意を していないという重過失が重なった場合のみ、重大なバグが露見します。 それら対策を何もしないという意図があるなら、 その結果が未必の故意ないし故意と看做されて当然だと思います。

      ということで、 「そのバグには一切意図が含まれていない」ということを証明するのは ほぼ不可能というのが持論であります。

      どこかのOSはユーザーの個人情報をユーザーが知らないうちに (ユーザーが望んでもいないのに) 盗み出すようなことをしていたそうですが、 これは完全に故意であり、 現法案であればこの手のプログラムは今後有罪になることでしょうし、 これで悪質なメーカーが次々と潰れてくれると社会に良い影響を与えそうです。

      というメリットもあるかもしれないと思えますが、 しかし、定義が曖昧すぎる現法案のままでは 当局の匙加減ひとつで全てが決定し、別件逮捕や生贄逮捕に最適という カンペキな悪法です。

      現法案の条文にはこのように書かれています

      一  人の電子計算機における実行の用に供する目的で、人の使用する電子計算機について その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係 る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円 以下の罰金に処するものとすること。

      これによると対象は「コンピューターに対する指令」であり、 ワームやウィルスである必要すらなく、また一般的なプログラムである必要すらありません。 またネットも必要ありません。 他人が所有しているコンピューターが その所有者の「意図に反する動作をする」もしくは「意図通りの動作をしない」 ということになったら、それだけでその原因となる指令の作者が違法となるわけですから、 単純な1行スクリプトでも、ダイアログボックスに入力したちょっとした設定データでも、 何でも対象になってしまいます。

      X-BOXの所有者が「任意のOSを動作させたい」という意図を持ったとき 「その意図に動作をさせない」という機能を実現するための指令を作成した人は 三年以下の懲役又は五十万円以下の罰金に処するものとされます。 携帯電話の所有者が「オフィシャルサイトからダウンロードした画像や音声を PCにコピーしたい」という意図を持ったときも同様に妨害するような指令も違法となります。 DVDのコピー防止機能も、ゲームCDのコピープロテクトなども同様で違法となります。 高額なソフトウェアは違法コピーを防止するため、ユーザーの知らぬ間に、 インストール情報をネット経由でメーカーのサーバーに送り込むこともあるそうです。 こういった「知的所有権を守るためにユーザーの望みを叶えない機能」も 高度になればワームとの境界がなくなりますし、 既に述べた悪質なバグもまたワームとの境界があやしいものとなります。

      そもそもこのような法律にて日本産のウィルスの発生を抑止しようとしたところで、 現状見ると日本産ウィルスは極めて少数ですので、 日本国内で発生する被害にはほとんど影響がありません。 じゃあ何のための法律かというと、結局のところ、 著作権団体の圧力に屈した警察がP2P少年を別件逮捕をするなど 悪質な使い道が主たるものになるわけですから、 こんな法律できたとしても国が腐るだけといっても過言ではないでしょう。 いや過言です?

      親コメント
      • by G7 (3009) on 2003年03月27日 3時38分 (#287229)
        >基本的にコンピューターはプログラムの指示通り動作、すなわち *プログラマーの指示通り* 動作します。指示しておきながらその指示が故意ではないと主張すること自体不自然です。

        細かい話…つーかスラドにモノを書く人なら知らんこと無いと思いたい…ですが、
        プログラムという形で計算機に与える「指示」は、もともと作る人が自分の意志で「狙ったこと」と
        ぴったり同じである保証が無い、同じかどうか完璧に調べることも出来ない、
        ということは計算機の父たちがとうに証明しているのでしたよね。

        だから、バグはなくならない。正確にいえば「無くなったと言い切るための手段は存在しない」。

        ま、平たくいえば「ミス」って奴だよね。

        ええとええと、書物書物。
        「あなたはコンピュータを理解していますか?」 [os-omicron.org]の第6章の1が、「チューリングの置き土産■なくなりません、バグだけは」というもののようです。
        解けない(ことが証明されとる)問題の1つに「2つのチューリングマシンが同じかどうか」ってのが有るそうですね。
        で、するってーと、「プログラマの意思」と「実際書いちゃったコード」とが同じであることも、はっきり確認できないってこと…ですよね?

        >「ミスだった」という言い訳も存在しますが、そのミスを検出するシステムをあらかじめ用意せず、ミスの存在を前提としたバックアップシステムも

        というわけで、全てのミスを検出するシステムは作れないようです。
        バックアップだって同じことで、ある種のミスはカバーしてくれますが、別のミスには無力というだけのこと。
        どの手段でも同じことだし多重化しても同じ。「全て」をカバーできた保証は何処にも無い。

        結局我々は常に、予算などに見合った「半端なカバー」で妥協せざるを得ない、ということですね。
        まあゼロは無理でも少なくすることはしばしば可能なようなので、それを精進することは無駄とは限りませんが。

        >「そのバグには一切意図が含まれていない」ということを証明するのはほぼ不可能というのが持論であります。

        それはそうですが、「意図が含まれてる」ことも(プログラム読んだだけじゃ)証明出来ない、のでは?

        #そうでなきゃ「フリー」ソフトなんて怖くて作れないのでG7

        で、このかたはさておきなんですが、もし立法サイドもが、こんな既知の物理(?)原理すら無視して立法しようとしてるなら、
        マヂで危険どころの騒ぎじゃない(なにせ回避不能な事柄を違法と見なすのだから、誰もがひっかかってしまう!!)のですが、
        実際どうなんでしょうか?よく読んでないんですが…>読んだ人
        親コメント
      • by Wypha (14685) on 2003年03月27日 14時46分 (#287585)
        > 「そのバグには一切意図が含まれていない」ということを証明するのは ほぼ不可能というのが持論であります。

         ことは刑法がらみなので、意図があったことは原告(検察)側に立証責任があると思います。
         「そのバグに意図が含まれて *いる* 」ことを明確に立証できなければ、故意ではなく、過失扱いになると思われます。

         したがって、検察側も、よほどの証拠がなければ立件しないでしょうし、裁判所も常識に照らし合わせて「疑わしきは罰せず」で推定無罪とするのではないでしょうか。
         (もちろん、業務上過失うんぬんは、当然ありえます)

         もっとも、こういうことは、司法判断に任せずに、立法側でキチンと整理しておいてほしいものですね。
        親コメント
  • by Anonymous Coward on 2003年03月26日 7時43分 (#286479)
    よくWeb関連の開発案件で仕様書を見て、
    「これはセキュリティホールをついた攻撃でもしなきゃ作れないっすよ」
    とか言ってるような気がするんですが、
    こういうのの場合、今までだと仕事としては作るしかなかったんですけど、
    これからは、こういう設計したSEはもちろん、
    分かっててもSEがヤレといったから作った人も捕まるんでしょうねぇ…
    つーことは、ボクとかは確実にしょっ引かれますな。

    しょっ引かれたくないからAC
    • by Anonymous Coward on 2003年03月26日 9時31分 (#286526)
      >「これはセキュリティホールをついた攻撃でもしなきゃ作れないっすよ」

      そういう答えをしてはいけません。
      将来セキュリティーホールが塞がれて、自分の首を締める事になります。
      素直に「仕様上できません」と言うのが吉

      # 何とかすればとりあえず動くと言う事を知ったら「やれ」って言うバカが必ずいる

      親コメント
      • > # 何とかすればとりあえず動くと言う事を知ったら「やれ」って言うバカ

        が顧客の場合まだかわいげがあるのですが、
        自分の部署のマネージャーだったりするとかなり切ない。

        # マネージャーが捕まってもいいのでID。
        親コメント
      • by Anonymous Coward on 2003年03月26日 15時59分 (#286781)
        日本の携帯電話事業者に普通にいますよ;

        Javaアプリからメモリデータを自由にアクセス出来たりメール送れたり出来る追加仕様を作っておきながら、
        ユーザーがJavaアプリを作ってネットに公開したりメールで送ったりできるようにしようとした…。

        仕様案を見たときは呆れを通り越して笑いが出たものです。 ( - -)…→トオイメ

        #最終的には事業者のチェックを通ったアプリだけがDLできる仕組みに落ち着きましたが。

        ヤバすぎAC
        親コメント
    • 状況が今ひとつ想定できないのですが、、、外部サイトのデータベースから相手側の許諾無しに情報を引っ張って来いとかですか、?

      # ↑でもツッコミどころ満載ですけど、、
      • by Anonymous Coward on 2003年03月26日 8時42分 (#286501)
        有りがちなのは、

        ・本来扱えないはずのサイト間でクッキーを扱いたい。
        ・IEのオートコンプリートの候補を自動で設定したい。
        ・PCのローカルファイルを、自動でHTTP転送したい。

        、、、とか?

        #すべて言われた事が有るのでAC
        親コメント
  •  メール本文の傍受を可能とする、第七条1項の

    「第七  保全要請等
     一  捜査については、電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対して、その業務上記録し、又は記録すべき電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、九十日を超えない期間を定めて、これを消去しないよう求めることができるものとすること。」

    には、原案となった欧州評議会「サイバー犯罪条約案」 [meiji.ac.jp]の21条1項にある、

    「第21条 コンテント・データの傍受
    1. 締約国は,国内法によって規定される重大犯罪の範囲内で,自国の権限ある機関に対し,自国の領土内においてコンピュータ・システムという手段によって伝送される特定の通信と関連するコンテント・データを,リアルタイムで,(以下略)」

    ・・・という部分が、全く盛り込まれていないのですね。
     さらに、

    「 二  捜査関係事項照会及び一の保全要請を行う場合において、必要があるときは、みだりにこれらの要請に関する事項を漏らさないよう求めることができるものとすること。」

    ・・・と、操作が行なわれた事実を口封じする事ができるという項目まで盛り込まれています。
     案の定というか・・・確信犯ですかね?

     もう、ネットでも議会でも祭りは必至かと思われます。(w
    --
    --- どちらなりとご自由に --- --
  • 思惑通り? (スコア:1, 興味深い)

    by Anonymous Coward on 2003年03月26日 5時31分 (#286454)
    解釈の余地が残るように最初から狙っているのでは?
    汎用性高かったら取り合えずしょっぴくのに使えるし。

    # しかしここ数年で法律が増殖して、それも決して良い網のかけ方とは言えず、どんどん面倒&潜在リスクが増える&窮屈になってきているような、、気のせいですか。勉強が足りないだけかな。
    • by gedo (7079) on 2003年03月26日 10時02分 (#286537) 日記
      汎用性高かったら取り合えずしょっぴくのに使えるし。
      ついでにチート対策にも応用されそうな気がします。
      これまで、チート対策というと、著作権の同一性保持権とかでこじつけに近い解釈をして無理矢理違法化していましたが、この法律ができればチートツールを作ったり配布した段階で、「ゲームソフトに意図しない動作をさせるものを作った」として問答無用でしょっぴけるわけですから。
      親コメント
      • by Anonymous Coward on 2003年03月26日 10時25分 (#286552)
        あれは「利用者が明確に利用する意思をもって実行され、利用者の意図どおりの挙動をするプログラム」だ。
        その解釈がまかり通るなら、web掲示板のオフラインリーダーも掲示板設置者の意図しない挙動を引き起こす違法プログラムになるぜ。
        ウィルスやトロイとは話が違う。
        親コメント
    • Re:思惑通り? (スコア:0, 余計なもの)

      by Anonymous Coward
      >どんどん面倒&潜在リスクが増える&窮屈になってきているような

      それをメリットととらえる層がいるんだな。
      専業主婦と役人。

      #専業主夫ならまだこれらを「潜在リスク」ととらえる
      #メンタリティに理解があるような気が。
      #偏見ですか?
  • 「マイクロソフトとかガンホー方面は一度逮捕してくれ」と
    思ってるユーザーは回りにも多数居る様な気が(苦笑)


    それはさて置き,「不正指令電磁的記録等作成等の罪」が
    「懲役又は罰金」でその最高額も 50万円なのに対して
    「わいせつ物頒布等の罪(改正)」は懲役及び罰金を併科出来
    更に罰金・科料額が最高 250万円って随分と差をつけてるなぁと。

    まぁ「わいせつ物頒布」は商売と見て罪状を重くしてるのだとは思うが
    迷惑を被るという点ではウィルスやセキュリティホールの方が・・・
    • by Anonymous Coward on 2003年03月26日 10時39分 (#286564)
      あの会社は住基ネット握っちゃってるんで大丈夫だと思います。
      親コメント
    • マイクロソフトやガンホーは50万ぐらい屁でもないだろうからどうでもいい。
      とりあえず「研究用」と言えば何しても構わんと思ってexploitバラ撒いてるバカ者共を何とかしてくれ。
      それだけでScript Kiddyがやる悪ふざけぐらいは防止できる。
      • セキュリティホールの指摘にexplot例をつけるのはフツーだとおもうが
        もちろん先に開発元に報告して修正されて/修正されるだけの期間をおいてから一般公開されるのがフツーだろうが

        それともそーゆーのを攻撃用スクリプトに仕立てる(侵入した後なんか悪さする)ことか?
        そっち方面は知らんので具体的にどんなんがあるかしらんのだが
        親コメント
      • 別に擁護するつもりはないし、まったくもって同意見なんですが、
        彼らなりに目的があるんじゃない?一概にバカと決め付けるのはどうかと。
        // 馬鹿って言う奴が馬鹿なんだ、ってね ;-)
        • 悪い事を企むヤツがいるって判ってる所に、「私達は良い目的のために提供しています。悪い事に使うのはそいつが悪いんです」という屁理屈こねてるのはどう見てもバカでしょ
  • by marl (12874) on 2003年03月26日 9時41分 (#286530)
    > その意図に反する動作をさせる不正な指令に係る電磁的記録
    > その他の記録を作成し、又は提供した者は、

    提供した者っていうのには、ウイルスに感染して
    他者に提供してくれる人間も含まれるのでしょうか。
    昔の話ですが、政府が掲載したExcelデータがウイルスに感染してて [impress.co.jp]...とかは提供?
  • >バグやセキュリティーホールのあるソフトを作ったら逮捕

    これまでバグのあるソフトをたくさん作ってきました。

    あ、施行前ならいいのかな。


    みっともないけどIDで。
    --

    ----------------------------------------
    You can't always get what you want...
  • by Wypha (14685) on 2003年03月26日 16時19分 (#286791)
    >バグやセキュリティーホールのあるソフトを作ったら逮捕

     この要綱には、【過失】についての記述がないので、【故意】にバグったりしなければ、たぶんセーフですよね。
     でも、「オレが作るプログラムには、ある程度の確率でセキュリティー・ホールがあるに違いない」と信じていて、実際に発見されたら、【未必の故意】でアウトですね!!

     ・・・だったら、いやだなぁ(泣
  • 何か狙っているのでしょうか?だとすると意図が判りません。

  • 第一、一の
    >人の使用する電子計算機についてその意図に沿うべき動作をさせず
    における、"その意図"が使用者の意図として、使用者があるコマンド
    の意味をマニュアルでは理解できずに間違えて使用した場合、
    "意図に沿うべき動作"はしないと思います。
    また、"その意図"の持ち主が"電磁的記録"の作成者ならどのような
    プログラムでもかまわないということになると思います.
    # 前者なら、実はオープンソースを薦めてるとか(^o^)/
    # テレパシーで動くコンピュータとかも合法ですね。
    かなり妄想入ってますm(._.)m が、このような読み方ってできませんか?
    このような文章で、ウィルスやワームを縛れるのかなぁ?と思います。
    せめて"不正指令"の定義ぐらいちゃんすればいいのに。
    "骨子"だとそういうもんなんですかね?

    ところで、"電磁的記録"って、かなり逸般的な用語だと思うのですが、
    どこかに定義してあるもんなのでしょうか?
    分かりにくい外来語を日本語に言い換える [srad.jp]より先に
    分かりにくい日本語を分かりやすくした方が良いのでは?とか思います.

    # 「ハイテク犯罪に対処するための刑事法の整備に関する諮問」
    # から始まる文字列は人の読むものではないとしか思えません。
  • sl [u-tokyo.ac.jp]とか微妙なことになったりするのか?
  • by Anonymous Coward on 2003年03月26日 8時10分 (#286485)
    >二  一の不正な指令を与える電磁的記録を人の電子計算機において実行の用に供した者も、一と同様とすること。

    と言う事はCD-Rで渡したら罪にならない
    CD-Rは「光学的記録」であって「電磁的記録」ではない:-D

    ちなみに、他の部分では「電磁的記録その他の記録」となっているけど、ここだけ「電磁的記録」になっている。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...