高木浩光先生@HiromitsuTakagiの「スマホアプリでの情報流出、処分保留で5人釈放 東京地検」

自白が得られなくとも、「○○ the Movie」がどういうものだったか、なぜそういう造りにする必然性があったのか等から、立証することはできるのではないか。 Permission機構が何であるかという技術的理解と、Androidの利用実態がどうなっているか(ほとんどのアプリがPermissionを要求していることの意味)の理解が必要であろう。東京地検は、専門家に聴取するなどして、誤解を排して捜査を尽くす必要があると思う。by 高木浩光
法律 hiromitsutakagi permission 不正指令電磁的記録 高木浩光
28
Hiromitsu Takagi @HiromitsuTakagi
毎日新聞 流出アプリ:警視庁逮捕の5人を処分保留で釈放…東京地検 http://t.co/MLRwvzTr 「東京地検は…5人全員を処分保留で釈放した。理由は明らかにしていない。」
Hiromitsu Takagi @HiromitsuTakagi
読売新聞 スマホアプリでの情報流出、処分保留で5人釈放 http://t.co/ly3vGuUC 「地検は「現時点で起訴するだけの証拠がなく、在宅のまま捜査を続ける」としている。」
Hiromitsu Takagi @HiromitsuTakagi
日テレNews24 ウイルスアプリで情報抜き取り 5人釈放 http://t.co/9vPmhCeg 「ダウンロードする際、情報の収集について、あらかじめ同意を求めていたとも取れる画面が表示されていたことから、現時点では、起訴できるだけの証拠がないと判断したもよう。…捜査を継続」
Hiromitsu Takagi @HiromitsuTakagi
朝日新聞 ウイルスアプリ提供容疑、逮捕の5人を釈放 東京地検 http://t.co/RkBpZDKj 「「連絡先のデータの読み取り」の許可を…電話帳まで対象になるとは明記されていなかったが、地検は、利用者の意図に反して読み取られたのか慎重に見極める必要があると判断したという。」
Hiromitsu Takagi @HiromitsuTakagi
産経新聞 スマホ情報流出で逮捕の5人を釈放、東京地検 http://t.co/dKMzloKa 「弁護側は、…ダウンロードする際の注意事項に個人情報などの読み取りについても記載があり、流出は利用者の自己責任だとして無罪を主張している。地検は意に反した流出と言えるのか慎重に捜査…」
Hiromitsu Takagi @HiromitsuTakagi
読売新聞 スマホアプリでの情報流出、処分保留で5人釈放 http://t.co/ly3vGuUC 「不正指令電磁的記録供用罪が成立するには、利用者の意思に反した流出だったことが必要となる。…「連絡先データの読み取り」などの表示が出た後で、利用者がダウンロードする形式…地検は、…」
Hiromitsu Takagi @HiromitsuTakagi
…利用者がこの文言を読んだだけで、個人情報が外部サーバーに送信されると認識できたかどうか、さらに詰める必要があると判断したとみられる。」
Hiromitsu Takagi @HiromitsuTakagi
意図に反する動作をさせるものか否かは、「個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として」(法務省)とされている。
Hiromitsu Takagi @HiromitsuTakagi
今回の事件で弁護人が「注意事項に個人情報などの読み取りについても記載があり、流出は利用者の自己責任だとして無罪を主張している」(産経新聞)とのことだが、これは単純に、AndroidのPermission機構についての技術的理解の誤りと言うことができる。
Hiromitsu Takagi @HiromitsuTakagi
JavaのPermission機構は、その仕組み上、APIの最下位層であるリソース(GPSや電話帳など)へのアクセスについての可否の制御しかすることができない。リソースにアクセスした結果をどうするのかは制御できない。
Hiromitsu Takagi @HiromitsuTakagi
Permissionの一つ「連絡先データの読み取り」は、電話帳をアプリが読むことを指しているが、それはサービス提供者(この場合は容疑者)が取得することを意味するものではない。そして現に「連絡先データの読み取り」を要求しかつアプリ内だけで電話帳を使う正当なアプリがたくさん存在する。
Hiromitsu Takagi @HiromitsuTakagi
スマホ登場以前から一般のパソコンにおいて、アプリソフトは、マイドキュメント内にアクセスしたり、メールにアクセスしたり、どんな処理でもするのが当然であって、そこにPermissionの画面が出たりはしなかった。(その代わり、通信機能を持つとスパイウェアかと疑われるものだった。)
Hiromitsu Takagi @HiromitsuTakagi
おそらく正当な用途で(かつ適正な方法で扱う)電話帳へのアクセスPermissionを要求するアプリの例。このように、電話帳にアクセスするというだけで電話帳を盗まれることを利用者が警戒しなければならないのなら、正当な事業の信頼まで害される。 http://t.co/x603JP22
Hiromitsu Takagi @HiromitsuTakagi
技術と利用実態に疎い法律家からすれば、「アプリ上での取得」と「サービス提供者の(サーバ上への)取得」の違いがわからないことが原因で、「連絡先データの読み取り」=「サービス提供者の(サーバ上への)取得」と勘違いしてしまうであろうことが容易に想像される。
Hiromitsu Takagi @HiromitsuTakagi
総務省の「スマートフォン・プライバシー・イニシアティブ」http://t.co/oGLerKMT では、そうした誤解を排し、Permission機構は「サービス提供者の(サーバ上への)取得」への利用者同意に当たらないとの見解を示し、それ故に必要となる施策を提言しているものである。
Hiromitsu Takagi @HiromitsuTakagi
刑事事件においてすら、Permission機構があれば「サービス提供者の(サーバ上への)取得」への利用者同意に当たるなどいうことになってしまえば、総務省の「スマートフォン・プライバシー・イニシアティブ」の活動は、無用のもの(Permissionで足りる)ということになりかねない。
Hiromitsu Takagi @HiromitsuTakagi
不正指令電磁的記録の罪は、客体が不正指令電磁的記録に該当するか否かは客観的要素だけでは決まらない(というのが私の説であり、法務省の解説もそう書かれていると思う)のであり、行為者が意図に反する動作をさせようとして供用、作成したという構成要件的故意を要する。これは主観的要件なので、…
Hiromitsu Takagi @HiromitsuTakagi
…主観的要件なので、どうやって立証するかが問題となる。(そういう趣旨の法でなければ、正当な事業者が電話帳を送信する場合まで罪ということになってしまう。)
Hiromitsu Takagi @HiromitsuTakagi
ここで自白に頼りすぎてきたのがこれまでの日本の捜査機関だったのではないか。自白が得られなくとも、「○○ the Movie」がどういうものだったか、なぜそういう造りにする必然性があったのか等から、立証することはできるのではないか。
Hiromitsu Takagi @HiromitsuTakagi
その際、Permission機構が何であるかという技術的理解と、Androidの利用実態がどうなっているか(ほとんどのアプリがPermissionを要求していることの意味)の理解が必要であろう。東京地検は、専門家に聴取するなどして、誤解を排して捜査を尽くす必要があると思う。
Hiromitsu Takagi @HiromitsuTakagi
このことは、Winny作者逮捕事件でも同様のことを思った。あのとき、検察はそうした努力を一切しなかったように見える。 特に不正指令電磁的記録の罪は、今後もそうした努力なしには適正な運用ができないのではないかと思える。
Hiromitsu Takagi @HiromitsuTakagi
加えて、不正指令電磁的記録の罪の保護法益は「コンピュータプログラムに対する社会一般の者の信頼」であり、いかに今回の事件がAndroidのアプリ一般に対する社会の信頼を害したかが重要。したがって、世論も重要かと思う。東京地検への抗議、要請、激励活動なども必要かもしれない。
Hiromitsu Takagi @HiromitsuTakagi
Permission機構について参考資料:「スマホアプリのプライバシー問題の解決に向けて」http://t.co/zlDNGh4b

コメント

ログインして広告を非表示にする
ログインして広告を非表示にする