コンピュータ詐欺と濫用に関する法律(CFAA)

コンピュータ詐欺と濫用に関する法律とは

コンピュータ詐欺と濫用に関する法律(CFAA, Computer Fraud and Abuse Act)とは、政府や金融機関などコンピュータに対して意図的な損害を禁止する法律です。

CFAAの前進としては、1984年の連邦包括的犯罪防止法(CCCA)の一部としてコンピュータ犯罪法を制定されていました。当時は、州の権利が侵害される可能性があったために、州の境界を越えたコンピュータ犯罪のみを対象とするように慎重に作成された。

後に連邦議会がCFAAを可決した際、損害額の基準を1,000ドルから5,000ドルへと引き上げられ、かつ機密情報を処理する連邦政府のコンピュータを対象とするだけでなく、すべての「連邦政府の利益」であるコンピュータを対象とするように変更されています。つまりは、「連邦政府の利害関係者」であるすべてのコンピュータを対象となります。

この範囲の拡大と罰則の強化により、コンピュータ関連の多くのコミュニティから、過剰な法律であると批判されています。

サンドビッグ対バー裁判(Sandvig v. Barr)

サンドビッグ対バー裁判では、ノースイースタン大学のクリスト・ウィルソン教授とアラン・ミスラブ教授をはじめとする研究者代表チームからの憲法上の異議申し立てに対し、連邦判事がウェブサイトの利用規約違反はCFAAの連邦犯罪にはあたらないという判決を下しました。

話を戻して、サンドビッグ対バー裁判ですが、これは、ウェブサイトの利用規約違反はCFAAの連邦犯罪にはあたらないという判決です。「ウェブサイトの利用規約違反なんかしねぇよ」と思うかもしれませんが、それは目的によるでしょう。この訴訟のケースでは、監査テストが発端になっています。監査テストというのは、市民権の侵害、特に住宅や雇用における人種差別を摘発するために、通知なくテスターとしてサービスを使うことで不適切な扱いをあぶりだす、米国では長い間実践されてきた方法です。今回のケースでは、求人広告や求人者のアカウントを装い、いわゆる就職サイトで偏見や差別的な行為があるかどうかを確認しておりました。これが「利用規約に何の関係があるの?ということですが、自分ではない誰かになりすまし、許可されたアクセスを超える方法でWEBサイトを利用したためです。これは、CFAAの「アクセス条項」とも呼ばれる、「意図的に無許可でコンピュータにアクセスしたり、許可されたアクセスを超えてアクセスした」という解釈ができるとして言ったわけですね。

訴訟では、「研究者が監査テストの際にウェブサイトに虚偽の情報を提供する自由を認めておりこれは憲法修正第1条で保護されるべきである、そのような行為を禁止するCFAAのアクセス条項は違憲である」との判決を求めています。さらに、「許可されたアクセスを超えてアクセスした」というCFAAの規定は曖昧すぎて適正な法的手続きを備えていないとして、これは修正第5条の国家が個人に対し刑罰などの処分を与えるに際しては、「法律に基づいて適正な手続を保障しなければならないという法の原則を侵害している」と主張しました。そして、そもそも就職サイトのような民間企業がCFAAのような刑事訴追できることは、「刑罰を伴う法律制定権を民間団体に委任している」とし、こちらも不当な手続きをしていると主張しました。

これに対して、政府側は「そもそも実害を受けておらず、そもそも訴訟を起こす権利がない」と主張しました。つまり政府側からは、「実害が出てないし、困ってもいないから、訴える権利ないでしょ?」と言っているわけですね。続けて政府は、「憲法修正第1条は特段民間のウェブサイトが誰をサーバーから排除するかというモノから守るものではない」とも主張しました。

結論裁判所は、CFAAの条項は違憲ではないものの、利用規約違反はCFAAの違反ではなく、研究者は刑事訴追されないという判決を選択しました。さらに、利用規約は 「長いし、専門用語も多いし、変更される可能性がある」といい、これを「いつも確認してないのですか?変更したものに、違反しました。刑事罰はやりすぎ」と結論づけています。最後に、民間団体が刑事責任の範囲を決定できるようにすることは、憲法上の意味合い以外でも懸念されているとし、過度になりすぎることについての懸念もうかがえます。この判決は、CFAAを否定するものではないにせよ、企業は、サービス利用規約やユーザー契約によって、CFAAの下で刑事責任を決定するべきかどうかということに関して指針を与えています。