The objectivity requirement in crimes related to electronic or magnetic records containing unauthorized commands

1. 事案の概要²　

本章においては、前述のコインハイブ事件における事案の概要及び、各裁判経過の内容について述べる。事案の概要は次の通りである。

ウェブサイト「Ｘ」を運営していた被告人は、Ｘ閲覧を通じて利益を得るため、平成 29 年 9 月 21 日、マイニングプログラムコードを提供しているサービスであるコインハイブ³に登録し、提供されたプログラムコードに、被告人に割り当てられたサイトキーを記述したもの（本件プログラムコード）を、サーバコンピュータ上のＸ内に設置し、本件公訴事実の期間中、Ｘを構成するファイル内に蔵置して保管した。本件当時、一般の使用者に、ウェブサイトの収益方法として閲覧者の電子計算機にマイニングを行わせるという仕組みは認知されていなかったが、被告人は、Ｘに、閲覧中にマイニングが行われることについて同意を得る仕様を設けたり、マイニングに関する説明やマイニングが行われていることの表示をしたりすることなく、本件プログラムコードを保管していた。なお被告人は、本件プログラムコードにおいて、閲覧者の電子計算機の CPU 使用率を調整する値を 0.5⁴と設定していた。

2. 裁判経過

・第一審（横浜地判平成 31 年 3 月 27 日判時 2446 号 78 頁）⁵: 無罪

本件第一審は、反意図性を認定したものの、不正性を否定して無罪としている。

反意図性は、「個別具体的な使用者の実際の認識を基準とするのではなく，当該プログラムの機能の内容や機能に関する説明内容，想定される利用方法等を総合的に考慮して，当該プログラムの機能につき一般的に認識すべきと考えられるところ」を判断基準とする。

その上で、Ｘには本件マイニングプログラムについての一般的な認知や、マイニングについての同意を得る仕組みがないといった、上述の事実から、一般的に認知されず点から、「一般的なユーザーが認識すべきと考えられるものということはできない」として反意図性を認定する。

不正性については、「ウェブサイトを運営するような特定のユーザー及びウェブサイト閲覧者等の一般的なユーザーにとっての有益性や必要性の程度，当該プログラムのユーザーへの影響や弊害の度合い，事件当時における当該プログラムに対するユーザー等関係者の評価や動向等の事情を総合的に考慮し，当該プログラムの機能の内容が社会的に許容し得るものであるか否か」を判断基準とした上で、①「（運営者が得た利益が）ウェブサイトのサービスの質を維持・向上させるための資金源になり得るのであるから，現在のみならず将来的にも閲覧需要のある閲覧者にとっては利益とな」り、②「消費電力の増加，処理速度の低下等の影響が生じるが，その程度は広告表示プログラム等の場合と大きく変わることがな」く、「サイト閲覧中に限定され」ることを基礎に、本件プログラムコードが社会的に許容されていなかったとはいえないとして、不正性を否定した。

・原審（東京高判令和 2 年 2 月 7 日判時 2446 号 78 頁）⁶: 破棄自判・有罪

反意図性について、「当該プログラムの機能について一般的に認識すべきと考えられるところを基準とした上で，一般的なプログラム使用者の意思に反しないものと評価できるかという観点から規範的に判断されるべき」とし、第一審の検討については、規範的検討を行っていない点で判断手法には問題があるとする。その上で、本件プログラムコードについては、「プログラム使用者に利益をもたらさないものである上，プログラム使用者に無断で電子計算機の機能を提供させて利益を得ようとするものであり，このようなプログラムの使用を一般的なプログラム使用者として想定される者が許容しないことは明らか」として、反意図性を認定した結論においては第一審を支持している。

不正性については、「一般的なプログラム使用者の意に反するプログラムであっても，使用者として想定される者における当該プログラムを使用すること自体に関する利害得失や，プログラム使用者に生じ得る不利益に対する注意喚起の有無などを考慮した場合，プログラムに対する信頼保護という観点や，電子計算機による適正な情報処理という観点から見て，当該プログラムが社会的に許容されることがある」ことから、反意図性のある場合に処罰範囲を限定するための要件であるとする。

その上で、本件プログラムコードは、「その使用によって，プログラム使用者（閲覧者）に利益を生じさせない一方で，知らないうちに電子計算機の機能を提供させるものであって，一定の不利益を与える類型のプログラムといえる上，その生じる不利益に関する表示等もされていない」から、「プログラムに対する信頼保護という観点から」、社会的に許容できないする。

加えて、第一審が挙げた閲覧者の利益 (①) については、「意に反するプログラムの実行を，使用者が気づかないような方法で受忍させた上で，実現されるべきものでない」上、広告表示プログラムとの類似性(②) については、「広使用者のウェブサイトの閲覧に付随して実行され，また，実行結果も表示されるものが一般的であり，その点で，閲覧者の電子計算機の機能を閲覧者に知らせないで提供させる機能のある本件プログラムコードとは，大きな相違があ」るとして、不正性を否定する要素にはならないことを認めている。第一審は、コインハイブについての賛否があることを社会的許容性を肯定する評価に用いているが、この点についても否定をしている。

以上により、不正性を認定し、第一審を破棄し有罪とした。これを受けて弁護人が上告したのが本件である。

・最（一）判令和 4 年 1 月 20 日（裁判所ウェブサイト掲載）⁷ : 破棄自判・無罪

不正指令電磁的記録に関する罪の保護法益および反意図性と不正性要件を設けた目的について「電子計算機において使用者の意図に反して実行される不正プログラムが社会に被害を与え深刻な問題」であり、「電子計算機において使用者の意図に反して実行される不正プログラムが社会に被害を与え深刻な問題となっていることを受け、電子計算機による情報処理のためのプログラムが、『意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令』を与えるものではないという社会一般の信頼を保護し、ひいては電子計算機の社会的機能を保護するために、反意図性があり、社会的に許容し得ない不正性のある指令を与えるプログラムの作成、提供、保管等を、一定の要件の下に処罰するものである」ことであるとする。

反意図性については、「当該プログラムについて一般の使用者が認識すべき動作と実際の動作が異なる場合に肯定される」のであり、「一般の使用者が認識すべき」か否かは、「当該プログラムの動作の内容」、「プログラムに付された名称」、「動作に関する説明の内容」、「想定される当該プログラムの利用方法」などを判断の基底におくとする。

　不正性については、「電子計算機による情報処理に対する社会一般の信頼を保護し、電子計算機の社会的機能を保護するという観点から、社会的に許容し得ないプログラムについて肯定される」か否かを判断するのであり、「当該プログラムの動作の内容」、「その動作が電子計算機の機能や電子計算機による情報処理に与える影響の有無・程度」、「当該プログラムの利用方法」などが考慮要素となるとする。

以上の点から、「閲覧中にマイニングが行われることについて同意を得る仕様になっておらず、マイニングに関する説明やマイニングが行われていることの表示もなかった」のであり、「ウェブサイトの収益方法として閲覧者の電子計算機にマイニングを行わせるという仕組みは一般の使用者に認知されていなかった」といった事情から、本件プログラムコードを一般の閲覧者の「認識すべき」ものではなく、反意図性を肯定している。

一方で不正性については、「本件プログラムコードによるマイニングは、閲覧者の同意を得ることなくその電子計算機に一定の負荷を与え、これに関する報酬を閲覧者が取得することができないものであるのに、閲覧者にマイニングの実行を知る機会やこれを拒絶する機会が保障されていないなど、プログラムに対する信頼という観点から、より適切な利用方法等が採り得た」としつつも、「（上記の）保護法益に照らして重要な事情である電子計算機の機能や電子計算機による情報処理に与える影響は、Ｘ閲覧中に閲覧者の電子計算機の中央処理装置を一定程度使用することにとどまり、その使用の程度も、閲覧者の電子計算機の消費電力が若干増加したり中央処理装置の処理速度が遅くなったりするが、閲覧者がその変化に気付くほどのものではなかった」こと、「ウェブサイトの運営者が閲覧を通じて利益を得る仕組みは、ウェブサイトによる情報の流通にとって重要であるところ、被告人は、本件プログラムコードをそのような収益の仕組みとして利用したものである上、本件プログラムコードは、そのような仕組みとして社会的に受容されている広告表示プログラムと比較しても、閲覧者の電子計算機の機能や電子計算機による情報処理に与える影響において有意な差異は認められ」ないものとし、「事前の同意を得ることなく実行され、閲覧中に閲覧者の電子計算機を一定程度使用するという利用方法等も同様であって、これらの点は社会的に許容し得る範囲内といえる」として、本罪の保護法益に照らし、社会的許容性を認定する。またマイニング自体の社会的許容性も認めている。

以上の点から、「本件プログラムコードの動作の内容、その動作が電子計算機の機能や電子計算機による情報処理に与える影響、その利用方法」などを考慮しても、不正性は認定できないとして、無罪とした。

3. 判決の整理

コインハイブ事件をめぐる一連の判決において、論点となるのは反意図性および不正性についての判断基準である。不正指令電磁的記録に関する罪においては、その客体性要件である反意図性と不正性の認定基準が不明確であり、従前の裁判例においてもこの点を詳細に検討判断したものは見受けられない。上記3判決においては、次の点が注目できる。

・保護法益:規範的判断の基礎となる保護法益の理解

・反意図性:反意図性の判断における規範的評価

・不正性:考慮要素と判断の妥当性

以上、3 点において、コインハイブ最高裁判決を検討したい。その前提として、次章において、従来の議論を整理する。

1. 概要

不正指令電磁的記録に関する罪⁸は前述の通り、2011 年刑法改正により新設されたものであり、マルウェアやコンピュータ・ウイルスにかかる犯罪に対応するための犯罪類型である。本罪の新設以前においては、不正なプログラムである電磁的記録によってコンピュータが破壊あるいはそれにより業務が妨害された際に、器物損壊罪（刑法第 261 条）や公電磁的記録損壊罪（刑法第 258 条）、電子計算機損壊等業務妨害罪（刑法第 234 条の 2）が成立する場合を除けば、不正プログラムの作成、提供、供用、取得、保管の各段階は規制対象ではなかった。本罪成立より前では、例えば、ファイル共有ソフトを通じてウイルスファイルを送付し、他者のハードディスク内のファイルを使用できない状態にした事案につき、器物損壊罪で起訴したものがある⁹。

本罪の保護法益は、「コンピュータ・プログラムがコンピュータに意図せざる不正な動作をさせるものではないことに対する信用・信頼」であり¹⁰、社会的法益であると理解されてきた。法務省作成の解説においても、「「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」を与えるものではないという、電子計算機のプログラムに対する社会一般の者の信頼」¹¹とされ、通説的には社会的法益として分類されるとともに、個人的法益に対する罪である電子計算機損壊等業務妨害罪あるいは公電磁的記録損壊罪の予備罪としての構成も否定されている¹²。

個人的法益に対する罪の予備罪として構成することが否定された理由は、立案担当者の「個人情報を流出させるウイルスや電子メールを勝手に送信するウイルス、画像データなど権利・義務に関するものでない私電磁的記録を勝手に消去・改変するウイルスを作成、供用する行為が処罰対象に含まれないことになり、相当性を欠く」¹³との指摘にあるように、マルウェアやコンピュータ・ウイルスにかかる構成要件を不当に狭めることを避けるためであったと考えられる。マルウェアやコンピュータ・ウイルスは、「個々の電子計算機被害を与えるにとどまらず、それを超えて社会一般に重大な損害を与える」¹⁴のであって、例えば、これらプログラムの設置・送信が継続する間、国境を越えた被害の拡散の危険性も継続し、プログラムが発信元から削除されても、すでにかかるプログラムに感染した受信者から他のユーザーへの被害の拡散もあるなど、インターネットが普及した状況下における危険なプログラムの被害発生可能性等に鑑みれば、本罪の保護法益を社会的法益とする考え方は妥当である¹⁵。また、かかる理解は本罪が 19 章の 2 として、文書等に対する「社会一般の信頼」を保護法益とする 16 章以下の偽造罪類型の後に位置している関係からも自然である。

なお、本罪は、「正当な理由がないのに」（正当な理由の不存在）、「人の電子計算機における実行の用に供する目的で」（目的犯）、客体となる電磁的記録を作成、提供 （168 条の 2 第 1 項）、供用（同第 2 項）、取得または保管 (168 条の 3) する行為が構成要件に該当する。本罪の客体は、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」（168 条の 2 第 1 項 1 号）および「（1 号の）不正な指令を記述した電磁的記録その他の記録」（同 2 号)¹⁶ であり、反意図性および不正性は、当該電磁的記録が不正指令電磁的記録に関する罪における客体性の要件である。情報セキュリティの検査や情報漏洩防止のための技術が同時に犯罪にも利用可能なもの¹⁷については、当該プログラムがコンピュータや電磁的記録を毀損しうるものであったとしても、不正指令電磁的記録に該当するかについては確定せず¹⁸、主観的構成要件としての「不正な目的」とならび、適法に使用される当該プログラムを除外する要件となる。

2. 反意図性および不正性

　「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」すなわち反意図性は、立法立案者解説¹⁹ や大コンメンタール²⁰ の記述によれば、社会一般の信頼を保護法益とする以上、その「意図」についても、そのような信頼を害するものであるか否かという点から規範的に判断されるべきであるとされる。この点、および法務省解説²¹ に「規範的」という文言は用いられておらず、「反意図」である場合の具体例が示されているのみである。

この点、大コンメンタールの記述と法務省解説の齟齬について、198 回国会において質問主意書²² が提出されている。本質問主意書への回答において、「意図」についても「そのような信頼を害するものであるか否かという観点から、すなわち、個別具体的な使用者の実際の認識を基準とするのではなく、当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として、規範的に判断されるべきもの」²³ であるとされ、「一般に認識すべき」ところを基準とした「規範的」判断が法務省の見解であることが示されている。かかる見解は、「一般に認識すべき」か否、すなわち一般人の認識可能性の有無を、単なる事実判断ではなく、法益侵害性を有するものか否かという価値判断を含ものである²⁴。

反意図性が認められない場合として、立法立案者解説においては、電子計算機の利用者が、「そのプログラムの指令によって電子計算機が行う基本的な動作については当然に認識している上、それ以外の詳細な機能についても、使用説明書に記載されるなどして、通常、使用者が認識しうる」市販のソフトウェアや、説明書が付与されていない場合であっても「当該ソフトウェアの機能は、その名称や公開されているサイト上での説明等により、通常、使用者が認識しうる」ようなフリーソフトの場合が挙げられ、ポップアップ広告についても「通常、インターネットの利用に随伴するものであることに鑑みると、そのようなものとして一般的に認識すべき」場合であるとする²⁵。いずれの場合も一般人の認識可能性が判断基準である。ただし、かかる文言だけでは、一般人が特に知ることができるか、広く周知されているかというある意味事実的判断のみで判断可能であるようにも読める。

情報リテラシーについては利用者において差があり、当該プログラムについて個々人としてみた場合、例えばエンジニアにおいて一般的に知りうる情報を、情報機器に疎い者はもちろん通常のユーザーですら知りえないことは当然にあることである。この点、日々開発されるプログラムについて通常人においては知りえず、常に「一般的に認識すべき」場合ではなく、反意図性が認められうるのであり²⁶、一般人の認識可能性のみを基礎とするのであれば、反意図性の範囲は規範的判断によって限定した意味を失してしまうであろう。仮に「一般人に認識すべき」プログラムであったとしても、当該プログラムが多大な負担を強いるのであれば、一般人がこれを望まないことは当然にありうる。かかる判断においては、実質的な負担の存否・軽重などに鑑み、どの程度の負担であれば一般に許容できるのか、つまりは、社会的許容性を観念せざるを得ないと思われる²⁷。

立法立案者の解説によれば、「「意図に反するか」否かの判断と「不正」か否かの判断は、別個の観点からなされるものであり、両者は必ずしも完全に重複するものではな」いとされ、前者が利用者にとって「一般に認識すべき」か、後者が「社会的に許容しうる」かが判断の際の観点となるとされるが²⁸、両者は重なりあうものであり、形式的な分類はともかくとして、実質的な判断においては区別困難となろう²⁹。

なお、コインハイブ事件については、全ての裁判経過において反意図性と不正性を認定する判断枠組みは維持されている。反意図性が認められる場合においては、多くの事例で当該プログラムが社会の信頼を害するといえるが、不正性の要件によって社会的に例外的に許容しうるものを除外することが、かかる要件の目的である³⁰ともいえる。

不正性判断において、社会的許容性を考慮するに際して、単に「有害性」のみを基準として判断することは立法段階で否定されており³¹、「プログラムの客観的な性質だけで「不正」か否かを決することは難しく、理論的には、プログラムの客観的な性質に加えて、犯罪を行うために使用する意図の有無により処罰の対象となるか否かを判断する」³²との言及に見られる通り、不正性判断においても「意図」あるいはそれを支える認識可能性の要素は排除されるものではない。「一般に認識すべき」動作や機能でないことは、本件最高裁の様に一般に認識できないほどの軽微な損害という観点からは、社会的許容性を認定する要素となる一方で、ユーザーの認識の外でマルウェア等が起動することは、ユーザーやネットワークへの潜在的なリスクという意味で不正性の認定要素³³ともなりうる。

3. クリプトジャッキング

不正性判断において、国際的動向についても言及しておきたい。クリプトジャッキング (Cryptojacking) とは、他人のコンピュータを密かに利用して、暗号通貨をマイニングする行為である³⁴。本件最高裁判決に関する「WLJ 判例コラム第 254 号」においても、「その後、種々の態様のサイバー攻撃が登場し、「不正な指令」の範囲が拡張していく。膨大な数の他人のパソコンを「ボット」として使うことにより、サイバーアタックが実行されている。スパムメールやフィッシングメールが蔓延し、他人のパソコンを乗っ取りマイニングを行って利益を得る行為が世界中で問題視されている」との指摘がある³⁵。

ドイツ連邦刑事庁 (BKA) の報告書によれば、計算上、2017 年 10 月上旬時点で、TOP10 万サイトのうち約 220 サイトがコインハイブのスクリプトを搭載し、これらのサイトを合計すると、1 ヶ月に約 5 億人のユーザーの利用があるとされる³⁶。セキュリティウェア企業などの定義によればクリプトジャッキングに該当するとするものがみられる。なお、クリプトジャッキングについては、インストール型とウェブサイト閲覧型があり、コインハイブは後者である。前者はいわゆるマルウェアに分類されうる³⁷。コインハイブが 2019 年にサービスを停止した後、すでに多くのウェブサイトが、ウェブサイト閲覧型のクリプトジャッキングから撤退したもののなおも、複数のサイトにクリプトジャッキングのスクリプトを搭載しているとされる³⁸。

先のドイツの例でいえば、コインハイブのように javascript を用いて、データ自体の変更を伴わないようなプログラムの場合には、データの変更に関する規定（ドイツ刑法 303a 条）の適用はない。また、他者のコンピュータへの介入について、DDoS はコンピュータの妨害（ドイツ刑法 303b 条）の対象となるが、ウェブサイト閲覧型のクリプトジャッキングは処理の中断を伴わないため対象とはならない³⁹。

なお、諸外国の動向を見るに、現在のところ、ウェブサイト閲覧型クリプトジャッキングについてのコインハイブ事件と同様の事案は見受けられず⁴⁰、マルウェアを用いたクリプトジャッキングについては複数の検挙事案がみられるところである⁴¹。ウェブサイト閲覧型のクリプトジャッキングサービスのプライバシーリスクあるいは、暗号通貨自体が犯罪利用リスクの存在については問題となりうるが、かかるサービスを契約し利用する者に可罰的な違法性まで存するのかについては、議論が成熟していないのが現状であろう。

とはいえ、クリプトジャッキングが許容しえない損害を利用者あるいは社会全体に与えうるのだとすれば、これを国家として容認するには当然に問題がある。当該国家の住民対象のウェブサイトであれば、合法的に他者の CPU を利用することができるとの誤ったメッセージを与え、サイバー攻撃の誘引につながる危険性もあり得る。コインハイブにかかるプログラムコードが不正指令電磁的記録に該当するかどうかとは別論、クリプトジャッキング自体を明確に「適法」であるということは困難である。