本記事は Security Advent Calendar 2018 の1日目の記事です。
インターネットサービスプロバイダー(以下、ISP)は、日本では(届出・登録)電気通信事業者と位置付けられます。そのため、ISP や従事するエンジニアは以下に挙げる、いわゆる 通信の秘密(通秘) を意識する必要があります。ISPが提供するメールサービスについても同様であり、安定的なサービス運営やセキュリティ対策を講じる際にも、この通信の秘密を意識して運用しています。
ここでは、特にISPが提供するメールサービスでどのような形で通信の秘密が関係し、解釈されているかをまとめてみます。
関連する法律
- 日本国憲法
- 21条2項:「検閲の禁止、通信の秘密」
- 電気通信事業法
- 4条:「通信の保護、利用の公平」
- 特電法
- 特商法
- 刑法
- 35条:「法令・正当行為」
- 36条:「正当防衛」
- 37条:「緊急避難」
関連するガイドライン
- 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン
- 送信ドメイン認証及び25番ポートブロックに関する法的留意点の概要
- 受信側における送信ドメイン認証技術導入に関する法的な留意点
- DMARC導入に関する法的な留意点
- 電気通信事業者による迷惑メールの踏み台送信対策の状況(概要)
用語の整理
「通信内容」とは
一般的に思い浮かべる「通信内容」といえば、手紙でいう便箋に書かれたコンテンツを指しますが、電気通信の世界では、以下のような情報を「通信内容」とされています。
- メールの本文
- メールのヘッダー(From ヘッダー情報や経路情報を含む)
- Envelope 情報(EHLO、MAIL コマンド、RCPT コマンドで指定される情報を含む)
- 通信の有無(通信の回数情報を含む)
- 発信場所(発信元 IP アドレス情報を含む)
- 通信当事者の情報(氏名や住所など)
郵便配達員は、「A さんの家に誰かの手紙が届いたかどうか」という情報を知りうる職業ですが、この情報は手紙の中身ではありませんが、メールの世界に例えれば、こういった情報は「通信内容」であり、通信の秘密に関わる情報といえます。
「通信当事者」とは
本来の意味では、「送る」「受ける」の両者を通信当事者と言いますが、受信メールの場合は受信者が「通信当事者」と考えるのが一般的で、送信メールの場合は送信者が「通信当事者」と考えるのが一般的、だと思います。ちょっと、ここに関しては間違っているかもしれませんので、明確に理解されている方がいらっしゃればご教示ください。
一方で、ISP は会員のメールのやり取りに関しては、通信当事者にはなりえないです。メールセキュリティ対策を改善するために、ウイルスやスパムの検体を入手したい場合、
- 会員が提供を同意したメールの検体
- ISP が保有するメールアドレスに着信したメールの検体
- ISP が保有するメールアドレスから送信されたメールの検体
のような方法をとります。
「通信当事者の同意」とは
メールのやり取りで通信当事者となる会員から得られる同意には、以下の2種類があります。
- 個別同意
- 包括同意(包括的合意)
個別同意とは、非常に強い同意であり、一人一人から明確に同意を得ていることを指します。ISP が提供するメールサービスでウイルス対策を設定する場合は、おそらくこの「個別同意」をしていると思います。
包括同意とは、約款や規約の中に一つの項目として記載されていて、それらに対して同意していることを指します。個別同意と比較した場合は、弱い同意とみなされ、通信の秘密という重大な事項についての同意であるから、約款に記載しただけでは通常は有効な同意があったとは言えないと考えられる、のです。
「通信の秘密の侵害」とは
通信当事者の個別同意が得られていない場合、
- 通信内容を知得する(=積極的に知る行為)
- 通信内容を窃用する(=通信当事者の意思に反した利用)
- 通信内容を漏洩する(=他人が知りうる状態に置く)
の3つのいずれも「通信の秘密の侵害」とみなされます。
例えば、通信当事者ではない ISP の運用者が、「A さんが 2018年12月1日 9:00:00 にメールを受け取るために、メールサーバへ接続したかどうか」を、調査すると、通信の秘密を侵害した、ということになります。なお、人間ではなく機械(コンピューター)が実行する場合でも同様に通信の秘密を侵害したことになります。
「違法性阻却事由」とは
しかし、このままではメールを会員に届けたり、会員から要求されたメールを外部に送信する行為が、通信の秘密の侵害であることになります。そこで、「通信の秘密の侵害だけど、違法性はない」という考え方が必要になってきます。この考え方を「違法性阻却事由」といいます。
違法性阻却事由としては次に紹介する3つがあげられます。一つ目は、「正当行為」、二つ目は「正当防衛」、そして三つ目は「緊急避難」です。
「正当行為」とは
刑法第35条では、「法令又は正当な業務による行為は、罰しない。」と定められています。これらを正当行為と称しますが、前者を「法令行為」、後者を「正当業務行為」と呼びます。
法令行為は、令状がともなう行為と捉えています。ISP でも警察からの要請があった場合は、通信内容を調査することになります。
正当業務行為は、電気通信役務(ここではメールサービスの提供と同義)として必要な行為と捉えています。例えば、ISP の運用者が会員から要求されたメールのエンベロープ情報を見たりする行為は、後述する「正当業務行為」に該当するため、「違法阻却事由」です。
ここで、正当業務行為かどうかを判断する場合に、3つの確認をします。
- 目的に必要性があるかどうか
- 行為に正当性があるかどうか
- 手段に相当性があるかどうか
この3つが全て確認できれば、正当業務行為となり、通信の秘密を侵害するが、違法性はないと解釈されます。
ISP は、安定的なメールサービス運営やセキュリティ対策を講じる際、この正当業務行為に当たると解釈されるかどうかを監督官庁である総務省と議論します。
「正当防衛」とは
刑法第36条第1項では、「急迫不正の侵害に対して、自己又は他人の権利を防衛するため、やむを得ずにした行為は、罰しない。」と定められています。
正当防衛とは、急迫でやむを得ずした行為をさしますが、通信の秘密の侵害に対する正当防衛というのはあまり事例を見かけません。
「緊急避難」とは
刑法第37条第1項では、「自己又は他人の生命、身体、自由又は財産に対する現在の危難を避けるため、やむを得ずにした行為は、これによって生じた害が避けようとした害の程度を超えなかった場合に限り、罰しない。」と定められています。
緊急避難とは、現在の危難を避けるためにした行為であり、生じた害が避けようとした害を超えなかった、というものです。
ISP は、安定的なメールサービス運営や設備に支障が生じることを避ける際、この緊急避難に当たると解釈されるかどうかを監督官庁である総務省と議論します。
また、正当業務行為とは異なり、「現在の危難を避けるため」の行為であり、緊急時に期間限定でしてもよい行為です。危難が去った状態であれば、実施ができません。永続的に実施もできません。
以上が、ISP、特にメールサービスに従事する際に関連する通信の秘密の考え方・解釈です。
Security Advent Calendar 2018 どこかで、実際の事例を示しながら、どのような解釈がなされているかを紹介する予定です。
(終わり)