経済産業省委託事業

ドイツにおけるコンピュータへの不正アクセスドイツにおけるコンピュータへの不正アクセスドイツにおけるコンピュータへの不正アクセスドイツにおけるコンピュータへの不正アクセス

（クラッキング）とサイバーテロ対策の（クラッキング）とサイバーテロ対策の（クラッキング）とサイバーテロ対策の（クラッキング）とサイバーテロ対策の

実態調査実態調査実態調査実態調査

平成１３年３月平成１３年３月平成１３年３月平成１３年３月

情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会

2

目　次目　次目　次目　次

はじめに ................................................................ 3

1.　不正アクセス、情報セキュリティの状況 ................................ 4１．１．警察の犯罪統計 .................................................. 4１．２．ネットワーク利用犯罪 ............................................ 7１．３．ドイツ企業の被害状況 ............................................ 8１．４．コンピュータ・ウイルス被害の分布 ............................... 11１．５．ブラウザの不具合 ............................................... 13　１．５．１．Internet Explorer ........................................ 13　１．５．２．Netscape Navigator ....................................... 16１．６．クラッキング技術市場の動向 ..................................... 17１．７．情報セキュリティにおける保険サービス ........................... 19

２．情報セキュリティ関連法規・訴訟の動向 ............................... 21２．１．連邦政府の対策機関、支援策 ..................................... 21２．２．不正アクセス行為に対する取締法規 ............................... 24２．３．スパム ......................................................... 25２．４．訴訟事例 ....................................................... 26

３．情報セキュリティ強化とサイバーテロ対策等の状況 ..................... 27３．１．ドイツのサイバーテロ対策 ....................................... 27３．２．情報セキュリティとサイバーテロ対策における国際協力 ............. 27３．３．G8 での提言とそれに対する各国の取り組み、反響................... 30

参考資料） ............................................................. 32

3

はじめに

　９９年のコンピュータ犯罪は、ドイツ連邦刑事警察庁の犯罪統計がコンピュータによる犯罪行為を把握するようになってからはじめて前年より減少した。しかし、刑事警察庁の犯罪統計がコンピュータ犯罪の現状をどの程度反映しているのか、この疑問は常に付きまとう。コンピュータ犯罪を防止して監督する立場にある連邦内務省1は以前として、クラッカー攻撃2などコンピュータ不正アクセスに関するデータはないといい続けている。刑事警察庁のコンピュータ犯罪統計は氷山の一角に過ぎない、とする専門家も多い。　ドイツではコンピュータ犯罪に対する対抗措置が遅れを取っているほか、経済界はコンピュータ犯罪の実態が公開されるのを企業イメージの観点から極端に恐れている。このような現状を打開するため、連邦内務省内では現在クラッカー攻撃やコンピュータ・ウイルスなどのコンピュータ犯罪による被害の届け出を義務化することが議論されている。　このような事情から、本年度もコンピュータ犯罪の実態は連邦刑事警察庁の犯罪統計をベースに分析せざるを得なかった。　レポートの作成に当っては、たくさんの方々から情報を提供していただいた。心から感謝申し上げたい。

1 ドイツ連邦刑事警察庁の上級省庁で、連邦刑事警察庁を監督する立場にある。2 レポートでは本来の意味によって、ハッカーとせずクラッカーとした。

4

1.1.1.1.　不正アクセス、情報セキュリティの状況　不正アクセス、情報セキュリティの状況　不正アクセス、情報セキュリティの状況　不正アクセス、情報セキュリティの状況

１．１．警察の犯罪統計１．１．警察の犯罪統計１．１．警察の犯罪統計１．１．警察の犯罪統計

　現在入手できる最新の連邦刑事警察庁の犯罪統計は９９年の統計である。犯罪統計はコンピュータ犯罪を刑法典に準じた犯罪の種類別でしか集計していない。９８年になってはじめて「通信サービスへの不正アクセス」の項が追加された。　「はじめに」でも述べたように、９９年のコンピュータ犯罪はコンピュータ犯罪行為が把握されるようになってからはじめて前年より減少した。前年比で１．６％減である。しかし以下の図１ー１でわかるように、キャッシュカードやクレジットカードによる電子決済に関わるトラブルがわずかだが増加した。著しく増加したのはソフトウェアの不正コピーである。　８７年から９９年に把握されたコンピュータ犯罪件数の推移を追うと、以下の図１ー１のようになる。

1987 年から 1990 年まで：旧西独1991 年から 1992 年まで：ベルリンを含む旧西独1993 年以降：ドイツ全域1998 年：　　通信サービスへの不正アクセスの項が追加された。そのため、それ以前との比較は制限　　　　　　される。

図１ー１　コンピュータ犯罪の推移（出所：連邦刑事警察庁犯罪統計）

　表１ー１はコンピュータ犯罪統計を犯罪種類毎に分類したものである。表を見る

5

限り、通信サービスへの不正アクセス、証拠データの偽造／法的往来におけるデータ処理の欺罔、データの改竄／コンピュータに対する破壊妨害行為、データの盗みの犯罪件数が減少している。キャッシュカードやクレジットカードによる電子決済に関わるトラブルが多く、犯罪全体の５分の４を占める。

表１ー１　ドイツのコンピュータ犯罪種類別件数（単位：件数）

犯罪の種類把握件数 前年比 犯罪解決率（％）

1999 年 1998 年 絶対数 ％ 1999 年 1998 年不正取得したキャッシュカードやクレジットカードによる犯罪

36613 35909 704 2.0 42.2 39.4

コンピュータ詐欺3

（刑法典２６３条ａ）4474 6465 -1991 -

30.854.9 60.7

通信サービスへの不正アクセス 1412 2109 -697 -33.0

88.1 31.5

証拠データの偽造4（刑法典２６９条）、法的往来におけるデータ処理の欺罔5（刑法典２７０条）

124 349 -225 -64.5

79.0 89.7

データの改竄6（刑法典３０３条ａ）、コンピュータに対する破壊妨害行為7（刑法典３０３条ｂ）

302 326 -24 -7.4 57.6 40.2

データの盗み8（刑法典２０２条ａ） 210 267 -57 -21.3

65.2 80.1

ソフトウエアの不正コピー（コンピュータゲームなどの個人使用）

972 362 610 168.5

98.9 96.4

営利を目的としたソフトウエアの不正コピー

1252 289 963 333.2

99.2 98.3

合計 45359 46076 -717 -1.6 47.9 43.4

（出所：連邦刑事警察庁犯罪統計）

　次の表１ー２はコンピュータ犯罪が起こった場所を都市の規模別に分類したもの

3 第三者に財産上の不正な利益をもたらす目的で、不正プログラムや不正ないし不完全データの利用、不正利用などによって他者の財産に被害を与える行為のこと。4 法的往来において証拠データを欺罔する目的でこれを保存ないし変造して、当該データの認知に際して不真正ないし変造された証書が提出されるようにするか、このようにして保存ないし変造されたデータを利用すること。5 法的往来におけるデータ処理の虚偽の影響は法的往来における欺罔と同意と見なされる。6 不正にデータを削除ないし使用不能、変造すること。7 企業や公共機関に対して不正にデータを削除ないし使用不能、変造すること。データ処理施設、あるいはデータ記録媒体を破壊、損傷、使用不能、除去、変造すること。8 自己用ではないデータや、不正アクセスに対して特別な安全措置を施されたデータを自己ないし他者用に不正に取得すること。

6

である。表から、大都市になるほどコンピュータ犯罪が多く発生している傾向が見てとれる。

表１ー２　ドイツのコンピュータ犯罪都市規模別割合（１９９９年）犯罪の種類 把握された犯罪 都市の規模別割合 （％）

件数 割合（％）

２万人以下(42.7)

２万ー１０万人(26.6)

１０万ー５０万人(16.3)

５０万人超(14.4)9

不正取得したキャッシュカードやクレジットカードによる犯罪

36613 80.7 13.4 20.8 29.3 30.0

コンピュータ詐欺（刑法典２６３条ａ）

4474 9.9 21.8 31.6 24.9 19.2

通信サービスへの不正アクセス 1412 3.1 35.1 26.9 19.8 17.4証拠データの偽造（刑法典２６９条）、法的往来におけるデータ処理の欺罔（刑法典２７０条）

124 0.3 16.9 25.8 25.8 26.6

データの改竄（刑法典３０３条ａ）、コンピュータに対する破壊妨害行為（刑法典３０３条ｂ）

302 0.7 23.2 22.2 15.6 38.7

データの盗み（刑法典２０２条ａ） 210 0.5 20.5 39.0 21.0 16.7ソフトウエアの不正コピー（コンピュータゲームなどの個人使用）

972 2.1 17.4 14.3 9.9 58.4

営利を目的としたソフトウエアの不正コピー

1252 2.8 71.2 7.1 9.7 11.7

全体 45359 100.0 16.7 21.7 27.4 28.6

（出所：連邦刑事警察庁犯罪統計）

　コンピュータ犯罪を男女別、年齢別に見ると、表１ー３ようになる。犯罪容疑者の多くが男性、２１歳超の大人であることがわかる。

9 カッコ内の数字はドイツにおける都市の規模別割合。

7

表１ー３　ドイツのコンピュータ犯罪男女別、年齢別割合（１９９９年）犯罪の種類 容疑者の割合（％）

男 女 １４歳以下

１４ー１８歳

１８ー２１歳

２１歳超

不正取得したキャッシュカードやクレジットカードによる犯罪

74.4 25.6 3.4 15.5 18.6 62.6

コンピュータ詐欺（刑法典２６３条ａ）

78.0 22.0 0.3 13.9 17.7 68.1

通信サービスへの不正アクセス 82.4 17.6 0.2 5.3 11.2 83.4証拠データの偽造（刑法典２６９条）、法的往来におけるデータ処理の欺罔（刑法典２７０条）

77.1 22.9 1.8 4.6 11.9 81.7

データの改竄（刑法典３０３条ａ）、コンピュータに対する破壊妨害行為（刑法典３０３条ｂ）

85.8 14.2 2.5 8.8 7.8 80.9

データの盗み（刑法典２０２条ａ） 81.6 18.4 0.7 6.4 5.0 87.9ソフトウエアの不正コピー（コンピュータゲームなどの個人使用）

93.9 6.1 1.7 16.1 14.4 67.9

営利を目的としたソフトウエアの不正コピー

91.7 8.3 0.0 5.0 10.4 84.6

全体 77.1 22.9 2.5 14.1 17.1 66.3

（出所：連邦刑事警察庁犯罪統計）

　なお、ドイツでは CATV 網はまだ通信用に利用されていない。いくつかの試験プロジェクトがあるだけである。そのため、被害状況は把握されていない。

１．２．ネットワーク利用犯罪１．２．ネットワーク利用犯罪１．２．ネットワーク利用犯罪１．２．ネットワーク利用犯罪

　上記の犯罪は大なり小なりコンピュータ電磁的記録対象犯罪に関連している。これらの犯罪以外にも、連邦刑事警察庁はインターネット上で発生した犯罪について把握している。わいせつ情報の販売や知的財産権上の問題などネットワークを利用した犯罪である。９９年のネットワーク利用犯罪は２８００件弱であった。そのうち、児童ポルノに関連する犯罪だけで２２４５件あった。その他、詐欺行為が１２０件、国家保護規定違反が５７件、知的財産権の侵害が３７件である。　連邦刑事警察庁は電子商取引の普及に伴い、今後電子商取引における詐欺行為が増加すると予想している。

8

１．３．ドイツ企業の被害状況１．３．ドイツ企業の被害状況１．３．ドイツ企業の被害状況１．３．ドイツ企業の被害状況

　情報セキュリティの専門雑誌「通信情報処理セキュリティ（KES）」はソフトウェア会社 UTIMACO ソフトウェアや専門家、関連管轄当局と共同で２年毎に情報セキュリティに関するアンケート調査を行なっている。対象は民間企業と公共機関である。アンケート調査の回答企業がＮ＝１７６と、ここでもセキュリティ問題情報の開示に対するドイツ企業の慎重な態度が伺える。　最新の調査は２０００年に行なわれている。以下で、２０００年の調査結果からいくつかの質問とその回答結果を紹介する。

・被害が増えると思いますか。

　　　２年前に比べ、すべての被害分野で被害が増加すると予想されている。特に、データの盗み、スパイ行為が増加すると予想する企業が増加している。

9

・過去２年間で大きな被害があった原因は何ですか。

　セキュリティに関連する被害では、９８年と２０００年で大きな変化が見られない。

・不正アクセスがありましたか。

　企業／公共機関の４０％以上がこれまでに不正アクセスを体験している。　次にホームページでの被害状況を見ておこう。

10

　アンケート調査の対象となった企業／公共機関の４８％が社内のシステムにホームページを所有していた。ホームページをアウトソーシングで利用している企業／公共機関は４１％、ホームページを所有していないのはわずかに１１％であった。

・ホームページへの不正アクセスがありましたか。

　全体の１２％がホームページへの不正アクセスを経験している。ただ、具体的な手口に関しては統計や解析結果はない。　次にコンピュータ・ウイルスによる被害状況を見ておこう。

・９９年にコンピュータ・ウイルスによる被害がありましたか。

11

　８１％がコンピュータ・ウイルスによる被害を経験している。９８年より被害が増加した企業／公共機関のほうが被害が減少したとする企業／公共機関より多くなっている。コンピュータ・ウイルスの感染経路としてはフロッピーと電子メールが多い。　次に、コンピュータ・ウイルスの種類による被害状況（９９年）を見ておこう。

・コンピュータ・ウイルスの種類は何ですか。

　　特にマクロ・ウイルスが増加している状況が伺える。

１．４．コンピュータ１．４．コンピュータ１．４．コンピュータ１．４．コンピュータ・ウイルス被害の分布・ウイルス被害の分布・ウイルス被害の分布・ウイルス被害の分布

　連邦内務省の下級官庁である連邦情報技術安全庁（BSI）は９８年から２０００年に届け出られたコンピュータ・ウイルスによる被害をウイルスの種類別に分類している。その結果をグラフにしたのが、図１ー２から図１ー４である。

12

図１ー２　コンピュータ・ウイルスの種類（１９９８年）

図１ー３　コンピュータ・ウイルスの種類（１９９９年）

13

図１ー４　コンピュータ・ウイルスの種類（２０００年）

　９９年にマクロ・ウイルス10が急増したのに対し、２０００年はマクロ・ウイルスの比率が下がり、寄生虫型ウイルスが急増した。たとえば、ドイツでも２０００年はじめに「I LOVE YOU」ウイルスによって数百万台のコンピュータが被害を受けた。

１．５．ブラウザの不具合１．５．ブラウザの不具合１．５．ブラウザの不具合１．５．ブラウザの不具合

　以下で、ドイツで発覚したマイクロソフトの Internet Explorer とネットスケープ・コミュニケーションズの Netscape Navigator のセキュリティ上の欠点について紹介する。

１．５．１．１．５．１．１．５．１．１．５．１．Internet ExplorerInternet ExplorerInternet ExplorerInternet Explorer

１）Internet Explorer／Media Player 7　Internet Explorer で Windows Media Player7 にアクセスすると、ローカル・ハードディスク上のファイルを読むことができる。これによって、プログラムを自由に実行できるようになる。最悪の場合、侵入者がコンピュータを完全にコントロール

10 メリッサ・ウイルスなど。

14

できる場合もある。このセキュリティ・ホールは Windows Media Player 7 をインストールしている Windows 98/ME/2000 ベースのコンピュータに見られる。　Active スクリプティングを無効にすると、セキュリティ・ホールはなくなる。

２）Internet Explorer 5.5、Outlook／Java　ここでは、セキュリティ・ホールが Internet Explorer 5.5 ばかりでなく、Outlookにも見られる。セキュリティ・ホールは Java アプレットを介して制御され、ローカル・ファイルやランダム URL、ローカル・ディレクトリィー構造を読み出すことができるようになる。Web サイトないし HTML ニュースが読まれている間、この問題が発生する。　セキュリティ・ホールはオブジェクト・タグを介してアプレットを結び付け、ランダム・コードを実行させることによって発生する。アプレットはその Java コードから URL を読み出し、ホストと通信できるようになる。　Java を無効にすると、セキュリティ・ホールはなくなる。

３）Internet Explorer 5.x と Outlook 中の chm ファイル　Internet Explorer 5.x と Outlook によって Internet Explorer 5.x 内に大きなセキュリティ・ホールが発生する。ランダム・プログラムの実行が可能になるのである。問題の出発点は chm ファイルであり、テンポラリーInternet Explorer ファイル用ディレクトリーを見つけ出すことにある。悪質な侵入者はこれによってコンピュータを完全にコントロールできるようになる。このセキュリティ・ホールはすでに知られており、マイクロソフトはすぐに問題を処理した。chm ファイルをフィックス後にローカル・コンピュータ以外ではスタートできなくしたのだ。Internet Explorerのテンポラリー・フォルダーを見つけ出してフォルダー内に chm ファイルを隠すこともできる。しかし、chm ファイルは windows.showHelp()機能で見付つけ出すことも可能だ。　したがって、これまでのところこのセキュリティ・ホールを回避する方法は見つかっていない。

４）Java VM アプレット　マイクロソフトの Java 仮想マシンはマイクロソフトのすべての Windows OS で作動する。Java 仮想マシンは Internet Explorer4.x と 5.x の一部となっている。Java仮想マシン・アプレットのセキュリティ・ホールでは、悪質な Web サイト・オペレータは Java アプレットでサイト・ビジターの識別符号を取得し、取得した識別符号を使って他の Web サイトを訪問してサイト内情報を呼び出すことができるようになる｡Java アプレットはサブルーチンの呼び出し時に任意の Web サイトへのアクセスを確立する。たとえば、悪質な侵入者はイントラネット名さえ知っておれば、セキュリ

15

ティ・ホールを利用してファイア・ウォールを通ってイントラネット・サイトを訪問し、取得した識別符号を利用してサイト内の情報を呼び出すことができる。　Jview ツールでマイクロソフトの Java 仮想マシンとマシンの ID を指定し、Java仮想マシンの最新版をインストールすれば、セキュリティ・ホールを排除することができる。

５）Windows 98/2000 でのプログラム・スタート　Windows 98 用 Internet Explorer 5.x を使えば、マイクロソフト・ネットワークを介して任意のファイルを実行させることができる。これは、Windows 2000 を利用するローカル・データ管理者にも起こる問題である。セキュリティ・ホールはブラウザを介してフォルダーを呼び出す時（ローカルないし遠隔アクセス）に発生する。ここでは、フォルダーが Web サイトのように取り扱われなければならない。 Windows98/2000 では、これが標準設定となっているから問題となる。Windows 98/2000 では、フォルダー構造によってサーフが可能となっており、フォルダー構造を Web サイトのように表示するからだ。このフォルダー表示方法は、Active スクリプティングやActiveX オブジェクトを含む特殊 HTML ファイル、folder.htt ファイルを指定する。ここで、ActiveX コントロール ShellDefView によってフォルダー・ファイルの表示が可能となる。ActiveX コントロールの特別方法である InvokeVerb が利用されて、たとえばフォルダー特性が表示される。あるいは、ファイルを開けて実行すれば、全体がダイナミックとなる。つまり、コンピュータ／サーバーの攻撃的な乗っ取りが可能となる。　フォルダーをブラウザで呼びだし、Web サイトのように表示させるのを止めれば、このセキュリティ・ホールはなくなる。

６）無許可 Cookie アクセス11

　自分のブラウザがいくつかの抽出したネットサービスのCookieをアクセプトするように構成しているサーファーがたくさんいる。ある Web サイト上で偽造 Link がクリックされると、他のサーバーからの Cookie を読み出し、変更することができるようになる。さらに、侵入者はこのセキュリティ・ホールを利用して名目上他のインターネット・サイトからの Cookie をセットすることができる。それによって被害があるかどうかは、Cookie 内の情報次第である。最悪の場合、 Cookie 内に住所や電子メール・アドレス、クレジットカード番号とそのパスワードが入っている場合がある。　すぐにできる対抗措置は、ユーザーが Active スクリプティングを切ればいい。マイクロソフトは、Service Pack2 付 Internet Explorer4.01 と Internet Explorer5.01用にパッチを提供している｡nternet Explorer5.0 のユーザーはまず 5.5 にアプデー

11 Unauthorized Cookie Acces。

16

トしなければならない。パッチは同時に Cookie への無許可アクセスばかりでなく、奇形コンポーネント属性12のセキュリティ・ホールも排除する。さらに、パッチは WPADスポーフィングの新しい代案となるものだ。5.5 へのアプデートが推薦される。

１．５．２．１．５．２．１．５．２．１．５．２．Netscape NavigatorNetscape NavigatorNetscape NavigatorNetscape Navigator

１）Cookie 中の JavaScript　4.72 版までの Netscape Navigator にはセキュリティ・ホールがあり、悪質な Webサイト・オペレータは HTML ファイルをユーザーのコンピュータから読み出すことができる。特に、ブックマーク・ファイルやブラウザ・ヒストリーが読み出される。これらのファイルから、たとえばユーザーのサーフ時の慣習などを簡単に取得することができる。これらのデータにアクセスするには、Web サイトがコンピュータ上にJavaScript コードのある Cookie をひとつ保存しておけばよい。ただし、Netscapeプロファイル名が分かっており13、Cookie と JavaScript がオンになっていなければならない。

２）URL の読み出し　Netscape の Java インプリメンテーションにある不具合によって、アプレットはURL で到達できるコンピュータ上のリソースを読み出すことができるようになる。アプレットはnetscape.net.URLConnectionと netscape.netURLInputSteamのクラスを利用するものであればいい。アプレットはローカル・データを読み出し、ファイア・ウォールを通り抜けてインターネットにデータを伝送することもできる。ファイルにアクセスできるクラスは通常、クラスがローカルなのか離れたコンピュータからのものかチェックされる。しかし、上述したクラスではこのチックは行なわれない。それによって、URL（file://）を介してローカル・データにアクセスできるわけだ。イントラネット上のデータも安全ではない。　この不具合は、Netscape Communicator 4.75 から見られなくなった。

３）JavaScript ブックマーク・バグ　HTML サイトのタイトル・タグにある JavaScript コードによって、２つの異なるセキュリティ・ホールが現われる。　ひとつは、サイト情報が呼び出されると14、Communictor が当該コードを実行するという問題だ。JavaScript は安全とランクされている about 環境から他の about

12 Malformed Component Attribute。13 多くの場合、デフォルト値となっている。14 （about:document）

17

呼び出し15へアクセスできるようになる。ここでは、メール・アドレスやパスワードなどのデータが盗まれる危険がある。　もうひとつのバグは、読み出し記号の安全環境に現われる。ここでも、タイトルにあるコードが利用される。セキュリティ制限をかいくぐってハードディスク上のデータが読み出される。外部呼び出しが可能となるには、読み出し記号ファイルのバスが分かっていなければならない。ほとんどすべてのユーザーがデフォルト値設定を利用しているので、これは難しい問題ではない。　JavaScript を無効にするか、最新の Communicator をインストールすれば、このセキュリティ・ホールはなくなる。

１．６．クラッキング技術市場の動向１．６．クラッキング技術市場の動向１．６．クラッキング技術市場の動向１．６．クラッキング技術市場の動向

　ドイツにおいては、２０００年も情報セキュリティ関連製品やサービスで大きな変化や動きは見られなかった。製品としては昨年度までのレポートで報告した通りである。そのため、以下ではドイツのセキュリティ市場動向について簡単にまとめておくことにする。　ドイツは現在、セキュリティ分野では欧州最大の市場である。また、イギリスに次ぐ欧州最大級のクラッキング技術産業を有している。９８年の業界全体の売上は約６億マルク、２０００人から３０００人の雇用があると予想されている。国内でのビジネスばかりでなく、国外でのビジネスも年間３５ー６０％成長していると推測される。ドイツの関連企業は製品の品質が高く、世界での評判もいいことから、ドイツ企業の市場チャンスは平均以上だと自己評価している。輸出率は５０％を超える。重要な輸出先は米国、EU 加盟国、南米諸国、日本などのアジア諸国である。　クラッキング技術製品をメインとしてビジネスを展開している企業は約２１社16、クラッキング技術製品よりはセキュリティ製品・サービスを主体としている企業が４０ー５０社ある。さらに、外資系企業が１４社ある。　ドイツ企業は国内全体で約５０％の市場シェアを持っているものと予想され、次いで米国系企業の２０ー２５％と続く。ただ、ドイツ市場でドイツ企業が優位を保っている要因として、米国がクラッキング技術を厳しく輸出規制している面を忘れてはならない。ドイツ企業側もこの点の利点を認めており、ドイツ企業はこの点を利用して米国製品よりドイツ製品のほうが安全性があるとしてドイツ製品の利点をアピールしている。クラッキング技術以外の分野では、米国製のソフトウエアはドイツでも高い評判を得ている。欧州外では、米国のほかカナダ、オーストラリア、イスラエルがクラッキング技術製品を提供している。

15 （about:cache）や（about:config）など。16 資料２７参照。

18

　ドイツは他の国に比べると、特にセキュリティ指向の強い国として知られる。情報セキュリティ関連法規が厳しい点からしても、国外でもドイツのクラッキング技術市場は将来大きく成長する市場のひとつと見られている。　ただ、ドイツのクラッキング技術市場のセグメントは透明性がなく、非常に断片的な様相を呈している。現在、ドイツ企業が提供している製品は１０４品超に及んでいる。セキュリティ製品といっても、専門化された一部の技術分野の製品しか提供していない企業が多い。ドイツ企業が提供している製品の分野を分類すると以下のようになる。・認証システム・データバンク・クラッキング技術・侵入探知・ファイア・ウォール・クラッキング・ボックス・PKI（Public Key Infrastructure）・スマート・カード・暗号化ソフトウェア　（PC ホスト通信、クライアント／サーバー・アプリケーション）・ウイルス感染防止・VPN（Virtual Private Network）　（トンネリング）

　連邦情報技術安全庁（BSI）の証明書はセキュリティ製品の品質保証基準として一般的に認められるようになってきた。検査費用や検査期間に対する批判は以前としてあるものの、BSI 証明書はセキュリティ製品の販売戦略上重要と見なされている。もちろん、BSI が行政機関のセキュリティを管轄していることから行政機関向けの販売では BSI 証明書が重要になっているということもあるが、そればかりでなく BSI証明書は民間市場戦略上も重要な要素となってきた。　企業がセキュリティ製品市場で大きな問題としている問題に、安全認証にかかる費用や期間の問題以外に人材不足の問題がある。業界の推定では、セキュリティの分野で現在約８０００人の専門技術者が不足している。あるトップ企業の管理職は業務の大半が人材の維持と確保に費やされると嘆いていた。さらに、情報セキュリティ問題に対する感受性不足、国際標準の不十分さ、輸出許可取得にかかる莫大な時間などが今後改善していかなければならない問題と捕えられている。

19

１．７．情報セキュリティにおける保険サービス１．７．情報セキュリティにおける保険サービス１．７．情報セキュリティにおける保険サービス１．７．情報セキュリティにおける保険サービス

　ここでは、関連団体や関連公共機関に問い合わせて見た。その結果、・Gerinng 社・TELA 保険会社の２社が情報セキュリティで保険サービスを展開しているとの情報を得た。　Gerinng 社は生命保険から物保険までほとんどすべての保険サービスを提供する保険会社である。同社は中小企業向けにコンピュータ・ウイルスやクラッカー、外部ネットの停止によって発生する利益減保険を提供している。保険によってカバーされるのは、データを再生させるための費用と利益減である。以下でいくつかの保険加入事例を紹介する。

・年商３０００万マルクの電子商取引提供者はデータとソフトウェアの保護のために、保険金額１００万マルク、事故自己負担額１０００マルクの保険に加入している。年間保険料は１万７１００マルクである。

・年商５００万マルクのソフトウェア・ベンダーはデータとソフトウェアの保護のために、保険金額５０万マルク、事故自己負担額１０００マルクの保険に加入している。年間保険料は４５５０マルクである。さらに、外部ネット停止保険（保険金額５０万マルク）に５６０マルクの保険料を支払っている。

　利益減は実際の業務中断期間を対象とするばかりでなく、その後に発生する可能性のあるクライアントの損失と市場シェアの損失による利益減も対象とされる。同社からの情報によると、情報セキュリティ分野での保険サービスはまだごく小さい範囲でしか行なわれておらず、同分野での業績を個別に示すことができるほどまでは進展していない。そのため、クライアント数や総保険料、補償額等は提示してもらうことができなかった。　TELA 保険会社は電子関連新規保険・再保険を専門とする保険会社で、ドイツではこの分野でトップ保険会社となっている。９９年の決算額は約９億マルクで、総保険料は１億２０００万ユーロを超える。同社は前述した Gering 社と同種の保険を業務停止保険の枠内で提供している。業務停止保険はウイルス感染やクラッカー攻撃などの結果発生する損害ばかりでなく、従業員の操作ミスなどいろいろな要素による停止も保険対象となっている。同社における情報セキュリティ分野のビジネス規模については情報を入手することができなかった。　これまで、TELA 保険会社株はジーメンス社（５０％）、アリアンツ保険会社とミュンヒナー・リュック保険会社17がそれぞれ２５％を保有していた｡しかし、ジー

17 アリアンツ保険会社とミュンヒナー・リュック保険会社はドイツ保険会社の最大手に属する。

20

メンス社は持ち株全部をアリアンツ保険会社に売却した。ジーメンス社が数年前に、業務を本来の基幹ビジネスだけに集中させるためのリストラを実施したからだ。　ドイツ保険業界団体にも問い合わせたが、ドイツにおける情報セキュリティ分野の保険サービス規模に関する情報はないということであった。

21

２．情報セキュリティ関連法規２．情報セキュリティ関連法規２．情報セキュリティ関連法規２．情報セキュリティ関連法規・訴訟の動向・訴訟の動向・訴訟の動向・訴訟の動向

２．１．連邦政府の対策機関、支援策２．１．連邦政府の対策機関、支援策２．１．連邦政府の対策機関、支援策２．１．連邦政府の対策機関、支援策

　ドイツ政府は一連の施策、イニシアチブで情報セキュリティの分野で消費者や企業、行政機関をより一層保護しようとしている。以下にその具体策を列挙しておく。

１）www.sicherheit-im-internet.de18

　連邦経済省と連邦内務省は連邦内務省の下級機関である連邦情報技術安全庁（BSI）と共同で Web サーバーを設置した。サーバーはネット上での脅威や防御策、法的、政策的な面についてできるだけ広範囲に情報を提供しようとするものである。ドイツでは情報セキュリティをテーマとした最大ポータルとなっている。

２）ドイツ暗号政策の基幹　ドイツ政府は、安全な暗号方式によって国際情報ネット上でドイツ・ユーザーを保護することも重要な課題と考えている。そのため、政府は９９年６月２日付けの「ドイツ暗号政策の基幹」と題する文書で、ドイツにおいて将来も暗号方式とクラッキング技術製品が制限なく開発、製造、販売、利用できることを明確にした。

３）連邦情報技術安全庁（BSI）の認証　ドイツ政府は、ドイツで安全な暗号技術に対して信頼性が確立される条件作りに努力している。ここでは、セキュリティ技術検査、技術評価、暗号機構と暗号方式の認証などがその重要課題となる。特に暗号機構と暗号方式の認証はすでに連邦情報技術安全庁（BSI）によって行なわれており、市場でも認知されるようになってきた19。

４）OSS（Open Souce Software）の促進　ドイツ政府はいくつかの施策で、Linux などライセンスフリーのオープン・ソース・ソフトウェア（OSS）を促進しようとしている。たとえば、連邦情報技術安全庁（BSI）は OSS 製品の利用性とセキュリティを検査している。連邦経済省は行政機関の情報技術担当者向けに OSS ワークショップを開催している。OSS 製品の開発を支援する公的補助も用意されている。　この問題に関連して、連邦内務省内に設置された連邦政府情報技術調整顧問機関（KBSt）は２０００年はじめに、OSS の利用を推薦する以下のような文書を公表し

18 sicherheit-im-internet はインターネットでの安全の意。19 １．６．項参照。

22

た20。

「OS として Linux や FreeBSD など OSS を使用して OSS 上で商用ソフトウェアを利用すれば、電算機システムは専門的な事務環境において安価で、安定し、リソースを削減した、安全なシステムになる」

とした。連邦政府はオープン・ソース・ソフトウェアを支援する理由として以下を挙げている。

・ソフトウェアのソース・コードがマイクロソフトなどの製品と違ってオープンにアクセスできるので、セキュリティ・ホールを早く把握しやすい。Linux の場合、IT技術者が世界中でソフトウェアを改良する作業を行なっており、その作業状況や通信状況、問題解決策などがインターネット上でフォローすることができる。

・意図的にバック・ドアがプログラムに組み込まれていたとしても、OSS の場合はそれが発見される可能性が高い。たとえばドイツではマイクロソフトの製品に関して、名目上国家情報機関の監視目的でバック・ドアが組み込まれているとか21、米国の宗教団体サイエントロジーに加入するマイクロソフトの主任プログラマーが Windows内にサイエントロジー用に同様なバック・ドアを組み込んだなどの噂が氾濫して、一次混乱したことがある。

・そのため、ドイツ政府はマイクロソフト製品に依存する状況から脱却したい意向だといわれる。さらに、OSS を支援する理由としてコスト上の問題やシステムの安全性や信頼性の問題が挙げられている。

５）KRITIS　連邦内務省のイニシアチブで９８年はじめ、連邦情報技術安全庁（BSI）内に危険インフラストラクチャ作業部会（AG KRITIS）が設置された。KRITIS の活動については、これまで秘密保持されており、ほとんど公表されていない。最近の情報では、２００１年春に KRITIS が「危険インフラストラクチャに対する情報技術の脅威」と題する報告書を連邦政府に提出する予定だという。報告書は、問題分析のほか危険インフラストラクチャを支援するための具体的な活動を勧告するものと予想されている。　シリー連邦内務相は報告書が戦争など軍事面に関するものではないとして、

20 KBSt 文書２／２０００号、「連邦行政機関におけるオープン・ソース・ソフトウェア」。21 本来は国家情報機関による産業スパイの目的だともされる。

23

KRITIS が軍事関係の問題に携わっていることを否定した22。しかし、KRITIS の９９年１２月３日付け中間報告書23にはサイバー戦に関する記述が見られる。中間報告書は、テロ・グループや敵対行動を取りがちな組織／国家によるサイバー戦の危険は米国に比べると、当初から過小評価しすぎていたとする。東ヨーロッパ南部における危機的な状況とそれに伴って発生している IT 攻撃は、新たな危険がすぐにも発生する危険があること、ドイツにおいても重大な脅威となる可能性があると認識しなければならないことをはっきりと示している、とした。　KRITIS はこの分野で現実の状況をベースとして脅威の可能性を分析したものはないとする。そのため、犯罪グループや組織を体系的に分析して、犯罪グループや組織名を挙げている情報はない。　これらのことから、KRITIS の中間報告書はまず以下の６つの分野で活動が必要だと指摘した。・情報セキュリティを考慮してドイツにおける危険インフラストラクチャに関する　脅威分析を行なう・ドイツにとって重要なインフラストラクチャである電気通信、エネルギー、交通　の各分野で情報技術に関する被害の受けやすさを解析する・危険インフラストラクチャ防御を目的とした情報技術基本防御措置を拡大する・状況・情報システム KRITIS の構想作りを行なって、その技術・組織上の構成要　素を構想する・KRITIS をベースとして官民の協力を拡大、促進する・連邦情報技術安全庁（BSI）内における KRITIS の事務を継続、拡大する

　KRITIS の中間報告書は一部公衆でセンセーショナルに受け止められた。サイバー戦では攻撃者が物理的な国境を超えることなく、国家を大混乱させることができると判明したからだ。ただ同時に、国家がセンシブルなデータを収集するために脅威のシナリオを描いているにすぎないのではないかという懸念も生まれたのも事実である。

６）AKSIS　ミュンヒェンの産業施設経営協会（IABG）のイニシアチブで危険インフラストラクチャ防御部会（AKSIS）が設置された。部会は秘密裏に会談を行なっている。会談には、電力・ガスや金融、保険、電気通信、交通の各業界代表、連邦省庁や連邦情報技術安全庁（BSI）、欧州委員会、航空管制機関の担当官が参加している。経済界の代表には、ドイツ銀行、ルフトハンザ航空、ジーメンスの代表が含まれている。

22 軍事上の問題では、連邦国防省がすでに数年前から NATO 加盟国と密接に技術協力している。もちろん、詳細は公開されていない。23 資料１１。

24

AKISIS に関するこれ以上の情報は開示されていない。

７）タスクフォース「安全なインターネット」　シリー連邦内務相は２０００年２月、タスクフォース「安全なインターネット」を設置した。タスクフォースの任務は、ドイツにおける脅威の可能性を検討してクラッカー攻撃などに対する防御措置の改善策を提案したり、防御措置の調整を行なうことである。タスクフォースには、連邦内務省、連邦経済省、連邦法務省、連邦情報技術安全庁（BSI）、連邦刑事警察庁から派遣された担当官が参加している。タスクフォースの核となるのは１２名からなる常任担当官である。タスクフォースはこれまで、次の２つの施策カタログを公開した。・インターネット上での分散型サービス否定攻撃防御勧告・インターネットからのコンピュータウイルス防御勧告

　なお、タスクフォースを連邦情報技術安全庁（BSI）内の緊急対策部隊に再編することも考えられている。

２．２．不正アクセス行為に対する２．２．不正アクセス行為に対する２．２．不正アクセス行為に対する２．２．不正アクセス行為に対する取締法規取締法規取締法規取締法規

　不正アクセスの行為を取り締まる法律として、９７年８月に施行した「情報通信サービスの大網条件を規制するための法律24（情報通信サービス法）」がある。同法は箇条法で、データ保護、デジタル署名、情報化社会到来に伴う刑典法の改正などを規定している。　情報通信分野における不法行為を規定しているのは、１．１．項からもわかるように、第２経済犯罪対策法と刑法典である。これらの法律は、コンピュ－タによる侵入やデ－タの盗み、デ－タ改竄、ビ－ルス攻撃などの事実の可罰性を規定している。また、コンピュ－タの使用によって可能となった特殊犯罪行為（特に、貸借対照表の詐欺、電子支払いシステムの悪用による詐欺行為など）も規定されている。　ただ、現在情報通信分野における不正行為の取り締まりはすでに欧州連合の政策が主導となっている。そのため、国内での法制化は関連の EU 指令やガイドラインが成立した場合だけに必要となっている状況だ。　以下で、EU 指令とガイドラインの関連で改正ないし制定された法規を挙げておく。

１）電子署名法　連邦議会（下院）は２００１年２月１５日、「電子署名の大網条件に関する法律25

（電子署名法）」を可決した。同法は９９年１２月１３日付けの EU 署名ガイドライ

24 Gesetz zur Regelung der Rahmenbedingungen für Informationsß- und Kommunikationsdienste25 Gesetz zu Rahmenbedingungen für elektronische Signaturen。資料１９。

25

ン（1999/93/EC）26を国内で法制化するもので、現状では２００１年中頃に施行することになると思われる27。　同法が施行すれば、上記情報通信サービス法の第３条であるデジタル署名法は失効する。新しい法律は電子署名に必要な安全上のインフラストラクチャを規定するものである。法律は手書きの署名と同等に取り扱われるデジタル署名を「資格のある電子署名」と称している。さらに、EU ガイドラインに準じて国家の許可がなくてもデジタル署名認証機関を設置できるとしている。これに伴い、法的行為における形式の規定も調整、改正される予定で、現在民法における法的行為形式規定案が連邦議会で審議されている。

２）電子署名令28

　電子署名法と平行して、新しい電子署名令が準備されている。現在、同政令案に対する関係者のコメントが評価されているところである。政令成立後、政令は欧州委員会へ通知される。政令は EU 通知４ヵ月後に施行することになるので29、現状では２００１年８月頃に施行するものと思われる。

３）電子商取引法　ドイツ連邦政府は２００１年２月１４日、「電子商取引の法的大網条件に関する法律30案（電子商取引法、EGG）」を閣議決定した。法案は電子商取引を規制する新しい法的基盤となるものだ。これは、昨年６月に成立した EU 電子商取引ガイドライン（2000/31/EC）31を法制化するものだである。ドイツは加盟国の中でも同ガイドラインを国内法制化する最初の加盟国に属する。

２．３．スパム２．３．スパム２．３．スパム２．３．スパム

　遠隔販売契約における消費者保護に関する EU ガイドライン（９７年）によれば、インターネットを利用してダイレクト・メールを送り付けることは、消費者が電子メールをダイレクト・メールとして利用することを拒否しない限り、原則的には認められる32。しかしガイドラインは同時に、加盟国自身に適切な消費者保護措置を講

26 資料２５。27 州の代表で構成される連邦参議院（上院）の同意が必要。28 資料２０。29 EU 通知義務ガイドライン 98/34/EC による。30 Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr。資料２１。31 資料２８。32 EU 委員会は現在、電子メールによるダイレクトメールを禁止したい意向ともいわれる。

26

じるよう勧告している。　ドイツは同ガイドラインを２０００年４月１３日に成立した遠隔販売法で法制化した。ガイドラインの原則に基づいてスパムに関する規制を緩和することもできたが、ドイツ側はこの可能性を利用しなかった。遠隔販売法２条１項３文は不正競争防止法33１条の条文をほぼそのまま流用して、スパムを原則的に禁止した。

２．４．２．４．２．４．２．４．訴訟事例訴訟事例訴訟事例訴訟事例

　連邦内務省に問い合わせた限り、不正アクセスに直接関連する問題では２０００年中これといった訴訟判決はなかった。ただ、スイスであるひとつの判決が言い渡されている。ウイルス・ソフトウェアやクラッキング・ソフトウェアの所持、販売を罰するとしている EU のサイバー犯罪協定案34が実現すれば、ドイツでも将来スイスと同様な形で判決が言い渡される可能性がある。　２０００年２月２２日、第２審となるスイス連邦州裁判所は３０歳のコンピュータ技術者にデータ破壊の罪で懲役２ヵ月、罰金５０００フランの有罪判決を言い渡した。コンピュータ技術者はウイルス作成のための手引き書とソース・コードをCD-ROM で販売していた。第１審では、チューリヒ県裁判所が３００フランの罰金判決を言い渡していた。

33 １９０９年成立。34 ３．２．項１）参照。

27

３．情報セキュリティ強化とサイバーテロ対策等の状況３．情報セキュリティ強化とサイバーテロ対策等の状況３．情報セキュリティ強化とサイバーテロ対策等の状況３．情報セキュリティ強化とサイバーテロ対策等の状況

　サイバーテロ対策等については、ドイツの一部の動きを２．１．項で簡単に触れている。この問題は欧州では現在欧州連合ベースで議論されており、欧州連合レベルで決定されない限り、各加盟国が動けない状況となっている。　そこで、本項ではまずドイツの状況について簡単に述べ、次に欧州連合を中心とした国際協力について触れる。最後に、G8 に関連した動きについて述べることにした。

３．１．ドイツのサイバーテロ対策３．１．ドイツのサイバーテロ対策３．１．ドイツのサイバーテロ対策３．１．ドイツのサイバーテロ対策

　ドイツでは、現在まだサイバーテロ対策に取り組む組織、機関は存在しない。この種の組織造りの第１歩として、２．１．項で述べた KRITIS や AKSIS、タスクフォースを挙げることができよう。サイバーテロ対策の組織造りの遅れは、一般公衆がY2K 問題や２０００年春に起こった Yahoo と Amazon への不正アクセスによってはじめてこの問題に敏感になったことと無関係ではあるまい。　国家側でサイバーテロ対策問題に真剣に取り組んでいるのは連邦内務省下の連邦情報技術安全庁（BSI）である。しかし、同庁の主な事務は以前として情報セキュリティ問題で行政機関をサポートすることである35。BSI をセキュリティ分野の総合サービス機関に拡大することも計画されているが、予算の増額や増員など具体的な計画はまだ存在しない。

３．２．情報セキュリティとサイバーテロ対策における国際協力３．２．情報セキュリティとサイバーテロ対策における国際協力３．２．情報セキュリティとサイバーテロ対策における国際協力３．２．情報セキュリティとサイバーテロ対策における国際協力

　情報セキュリティやサイバーテロ対策における国際協力に関しては、欧州連合レベルの動向について述べておかねばならない。最近の動きで中心となるのは、すでに２．２．項で一部触れているが、以下の EU ガイドライン等である。・電子署名に関するガイドライン36

・電子商取引に関するガイドライン37

・情報インフラストラクチャのセキュリティ強化とコンピュータ犯罪対策による安　全な情報化社会の構築に関する欧州委員会提案38

35 一部大企業もサポートしている。36 資料２５。37 資料２８。38 資料２６。

28

・欧州理事会で作成されたサイバー犯罪協定案39

　これらは調印ないし国内法制化されると、今後の情報セキュリティ上大きな影響を持ってくると思われる。そのため、以下でそれぞれについて簡単に説明しておくことにする。

１）サイバー犯罪協定案　サイバー犯罪に対してEU加盟国が共同の統一態度を取るのはかなり難しい問題となっている。そのため、サイバー犯罪協定案はすでに２０００年１２月２９日付けの草案で第２５版目となっている。今回の草案文が調印されるようになるためにはどの程度変更される必要があるのか、まだ明らかになっていない。そこで、草案の具体的な内容よりは、サイバー犯罪協定案に関してこれまで公衆で議論されてきたいくつかの点について述べておくことにする。　ひとつは、エチェロン（Echelon）とデータ保護に対する要求の間に相互作用上の問題があるということだ。協定がコード表示エチェロンで世界中のデータ往来をシステム的に評価する行為を犯罪行為と見なすとなると、米国とイギリスは協定案を調印することは考えられない。しかし、協定案は秘密通信を許可なく傍受する行為を罰することを予定している。　ただ第２５版草案では、この矛盾が解決されたと見られている。草案３条は調印国に違法な傍受とコンピュータ・データの記録を罰するよう勧告している。しかし同時に、調印国にエチェロンなどによるデータ往来評価の意図で犯罪が犯されるのを認めるよう勧告している。　もうひとつは、クラッカー・ツールの所持を犯罪とするという点だ。これに対しては、システムのセキュリティを試験して遠隔メンテナンスするためにこの種のツールも必要とするシステム管理者が反対している。

２）情報インフラストラクチャのセキュリティ強化とコンピュータ犯罪対策による　　安全な情報化社会の構築　欧州委員会が作成した２００１年１月２６日付けの同文書は具体的な立法化の提案をしていない。欧州委員会がサイバー犯罪対策で考えていることを大まかにスケッチしたものにすぎない。文書は、刑事訴追当局と電気通信サービス・プロバイダー、消費者団体、データ保護専門家で構成される欧州フォーラムを設置して、欧州レベルでの協力を強化すべきだとしている。　さらに、ハイテク犯罪対策に効果的に取り組むには国内、国際レベルでの協力が必要だともする。国境のないサイバースペース上で展開されるハイテク犯罪は国境で防御することができないからだ。国内法ではクラッカーに対する刑や秘密保持、

39 資料２４。

29

違法の定義など、その内容は各国で異なっている。さらに、暗号データや国際ネットワーク上での捜査では各国捜査当局の能力に大きな差がある。そのため欧州委員会は、欧州連合が欧州理事会によってまとめられたサイバー犯罪協定案の内容以上の提携関係を目指すよう要求している。　欧州委員会は２００１年に児童ポルノ対策に関して新しい提案を行なった。この問題で国内法を調和する第１歩を開始させたいとしている。また、欧州委員会は長期的な観点からクラッキング行為やサービス否定攻撃に関する法律が各国で作成されるようにしたいともしている。クラッキング行為やサービス否定攻撃がすべての加盟国で罰せられる可能性を確立する必要があるともしている。さらに、欧州委員会はインターネット上での外国人排斥行為や人種差別的行為を防止する対策を講じる必要があるとする。特に、インターネット上での麻薬販売に対しては対策を強化したい意向だ。

３）電子署名ガイドライン　電子署名に関する EU の新しいガイドライン（1999/93/EC）は２０００年１月１９日に施行した。ガイドラインは欧州連合における電子署名の法的な大網条件を規定する。電子署名が手書きの署名と同等に扱われる条件や証明書を発行する認証サービス機関に対する法的な要件、電子署名の安全性を検査するための勧告など、欧州域内における電子署名に関する条件を調和することを目的としている。　２００１年７月１９日までにガイドラインを国内法制化するため、EU 加盟国は現在必要な国内法規の整備をしているところだ40。欧州委員会はガイドラインの実施状況を調査して、２００３年７月１９日までに欧州議会と欧州理事会に報告書を提出することになっている。

４）電子商取引ガイドライン　２０００年６月８日、電子商取引に関する EU のガイドライン（2000/31/EC）が成立した。これによって、欧州域内での電子商取引に法的基盤が確立されたことになる。ガイドラインはドットコム・サミットといわれたリスボン首脳会談での最優先事項とされた。　加盟国はガイドラインを２００２年１月１７日までに国内法制化しなければならない。ガイドラインによって、欧州連合全体でサービスと支店開設の自由を認める原則が情報通信サービスとその関連サービスに適用されることになる。これによって、電子商取引における自由競争が強化されるとともに、欧州の知識社会化が加速されると見られている。　ガイドラインが対象とするのは企業間商取引と企業・消費者間商取引、無償サービスで、ガイドラインは欧州の企業、消費者が欧州域内全体で国境を感じることな

40 ドイツの状況はすでに２．２．項で述べた。

30

くサービスを提供ないし享受する基盤を提供する。　ガイドラインはサービス提供者の支店所在地の定義やサービス提供者の輸送義務、商用通信の透明化、電子契約の締結と有効性、サービス仲介者の責任、争いが発生した場合のオンライン調停方法、国内当局の役割等を規定している。その他の分野では、既存機構をベースとして国内法規を調和ないし相互承認する方法を取っている。　ガイドラインはサービス提供者では欧州域内に所在するサービス提供者だけを対象としている。しかし、できるだけ国際電子商取引の障害が発生しないように他国の法規制動向との非両立性や矛盾を避けるよう考慮している。　ガイドラインに含まれている案によって、たとえば支店に関する問題の不明点が明確にされた。ガイドラインはサービス提供者の支店所在地をサービス提供者が固定施設によって毎日経済活動を実施している場所と定義する。ここでは、Web サイトやサーバー、メイル・ボックスがどこにインストールされているかは関係ない。ガイドラインの成立とともに、加盟国は情報通信サービスに応用できる限り、他の加盟国の国内法を相互承認するよう義務つけられる。さらに、電子契約利用の禁止や制限を廃止するよう要求される。　クライアントを助け、技術上のエラーを避けるため、ガイドラインは電子契約締結時に特定の情報を提供しなければならないと規定している。これによって、同規定は電子署名のガイドラインを補足することにもなる。

３．３．３．３．３．３．３．３．G8G8G8G8 での提言とそれに対する各国の取り組み、反響での提言とそれに対する各国の取り組み、反響での提言とそれに対する各国の取り組み、反響での提言とそれに対する各国の取り組み、反響

　ドイツでは、２０００年５月１５日から１７日に G8 パリ会議が開催された際、はじめてサイバー犯罪に対して共同の対策を講じるとするG8の提言に比較的大きな反響が見られた。しかしパリ会議では、新聞等で期待された内容ほどの成果が上がらなかったとする見方が強い。パリ会議で不正アクセス問題を取り扱ったのは、どちからというとまず第１に政界と財界の意見のすり合せ的な意義しかなかったのではないかと捕えられている。実際、パリ会議の共同声明では意志表明があったにすぎない。　２０００年７月に行なわれた G8 沖縄サミットでは、サイバー犯罪対策においてこれといった成果は見られたかった。２００１年２月２７日に開催された G8 内務・法務閣僚会議では、サイバー犯罪容疑者と児童ポルノ・ネットのデータバンクの設置が決定されている。　ただドイツ連邦内務省によると、G8 のレベルでは前述した EU のサイバー犯罪協定案41の行方を見守っているところだという。同協定が調印されない限り、G8 でも

41 ３．２．項１）参照。

31

サイバー犯罪対策問題が進展することはないとする。　ドイツのメディアは、G8 のレベルでサイバー犯罪対策問題が進展しないのは米国と欧州、産業界の利害関係が衝突しているからだ、と論評している。たとえばパリ会議で、フランスは国際サイバー警察を設置するとする米国提案を拒否、サイバー犯罪対策はユーロポール42の管轄だと主張した。サイバー犯罪対策が米国主導で行なわれていくのは、フランスばかりでなくドイツでも危惧されている。サイバー犯罪協定案におけるエチェロンの問題も同様である43。　パリ会議に出席した産業界代表はサイバー犯罪対策で協力する用意はあるとしながらも、経済界が補助警察機能になる可能性が高いとしてネットを介して共同コントロールすること（フランス提案の Coregulation）には反対した。AOL、IBM、ドイツ・テレコム、MCI WorldCom/UUNET、マイクロソフトなどが参加するインターネット連合の文書も、サイバー犯罪対策では政府や関連当局に信頼性がないとしている。というのは、政府や関連当局が対応できるだけの十分な技術を持っていないからだ。インターネット犯罪対策に関して政府・関連当局専門家に知識不足が見られることから、警察や法務当局が産業界の協力を得て犯罪を解明して犯人を捕えようとしている、と文書は批判する。企業側が任意にサイバー犯罪の追跡で警察官を教育することがあるとしても、産業界と管轄当局の任務に変化があってはならないとする。　さらに、産業界は性急な関連法規の制定も警告している。産業界は関連法規を新たに制定するよりは、既存法規をより一層有効に利用すべきだとの考えだ。ソニーや富士通、ドイツ銀行などによって設立されたグローバル・インターネット・プロジェクトは各国政府に、政府としての責任を負い、インターネット犯罪の追跡に専念するようアピールした。同プロジェクトはこの問題で国家規制が強化されるべきではないともしている。経済界は基本的に、情報セキュリティ分野で関連管轄当局と協力することはあっても、企業側はセキュリティ技術標準を開発するだけとする。一方、国家側はその任務をサイバー犯罪の防止対策に制限すべきだと考えている。

42 ９２年のマーストリヒト条約に基づき、設置された。テロリズム、麻薬取締、国際犯罪の防止などにおいて加盟国間で協力することを目的とする。本部はオランダのハーグ。43 ３．２．項１）参照。

32

参考資料）参考資料）参考資料）参考資料）

　レポート作成に当って主に参考とした資料は以下の通りである。参考にした新聞記事等では列挙していないものも多数ある。

1. Polizeiliche Kriminalstatistik 1999, BKA

2. Kriminalität im Internet nimmt zu, Meldung des ZDF vom 202.2000

3. Attentäter im Netz, Spiegel 20/2000

4. Kampf gegen Kriminelle verloren?, Meldung des ZDF vom 9.10.2000

5. Ergebnisse der KES/Utimaco Sicherheitsstudie 2000

6. Grafiken zu 5

7. Position und Chancen der deutschen IT-Sicherheitsindustrie im globalen Wettbewerb,

　Studie des Wissenschaftlichen Instituts fur Kommunikationsdienste WIK im Auftrag des　BMWi, 20008. Presseinformation der Gerlin AG

9. Presseinformation der Allianz AG

10. Geschäftsbericht 1999 der TELA AG

11. Kurzbericht der Ressortarbeitsgruppe KRITIS (Entwurfsversion 7.95), vom 3.12.1999

12. Aufgaben und Mitglieder der Task-Force "Sicheres Internet", BSI 2001

13. Interview mit Bundesinnenminister Schily vom November 2000

14. KBSt-Brief Nr. 2/2000 "Open Source Software in der Bundesverwaltung"

15. Warnsystem für Hacker gefordert, Meldung des ZDF vom 17.5.2000

16. Der Krieg der Mäuse, Spiegel 14/2000

17. Cyberwar - Bundesregierung pusht neues Bedrohungsszenario, ak - analyse & kritik vom

13.4.2000

18. Angriffe auf Informationstechnik und Infrastrukturen - Realität oder Science Fiction?,

Aus Politik und Zeitgeschichte, B41-42/2000

19. Signaturgesetz mit Begründung

20. Entwurf für eine neue Signaturverordnung, Stand 30.11.2000

21. Entwurf für Elektronischer Geschäftsverkehr Gesetz, Stand 14.2.2001

22. Was tun gegen Müll in der Mailbox, FAZ vom 12.7.2000

23. Schweiz: Zwei Monate Gefängnis fur Virentools, Meldung von Heise-Online vom

23.2.2001

24. Draft Convention on Cybercrime, Draft No. 25 REV., Stand 29.12.2000

25. Signaturrichtlinie

33

26. Mitteilung der Kommission: "Schaffung einer sicheren Informationsgesellschaft durch

Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der

Computerkriminalität, Stand 26.1.2001

27. Unternehmen der deutschen Kryptowirtschaft

28. E-Commerce-Richtlinie