[文書名] サイバー行動に適用される国際法に関する日本政府の基本的な立場
1.位置づけと目的
2004年から2017年までの間、国連事務総長によって任命された政府専門家からなる「国際安全保障の文脈における情報通信分野の発展に関する政府専門家グループ」(以下GGE)が国連総会決議に基づき設置された。政府専門家のコンセンサスで作成された2013年及び2015年の報告書において、特に国連憲章全体を含む、既存の国際法がサイバー行動*1*にも適用されることが確認された。国連総会の場で両報告書がコンセンサスで承認されたことにより、この認識は、すべての国連加盟国の総意となった。2015年の報告書において、GGEは国際法がサイバー行動にどのように適用されるかにつき、様々な重要な見解を示し、同時に、この議論が継続されるべきである旨を勧告した。第5回GGEでは2017年に報告書を採択できなかったが、国際法の適用に関する議論が十分に収斂しなかったこともその一因である。その後、2019年から、第6回GGE*2*において、国際法がどのように適用されるかに関する議論が活発に行われた。本年5月28日に第6回GGEの報告書がコンセンサス採択された。
本文書は、サイバー行動に適用される国際法に関する日本政府の現時点での基本的な立場をまとめたものである。本文書は、事務総長に第6回GGEの設置を要請した決議73/266に明記されたマンデートに従って、事務総長によって総会に提出されるGGE報告書の付属文書に含まれることを想定して、GGE議長の求めに応じた各国による会合への寄与として作成された。本文書において、日本政府は、国連憲章全体を含む既存の国際法がサイバー行動にも適用されることを再確認した上で、既存の国際法がどのようにサイバー行動に適用されるかについて、最も重要かつ基本的な事項を示して現時点での立場を示すものである。本文書の内容は、現在行われているものを含む6回のGGE(現在のGGEを含め、日本政府から4回にわたり政府専門家が任命された)及び2019年に設置されたオープンエンド作業部会(OEWG)における議論、日本政府と各国政府との二国間・複数国間協議における議論の他、NATOサイバー防衛協力センターの支援による日本等のNATO以外の国籍を有する専門家が個人的資格で作成したタリン・マニュアル1.0及び2.0等の政府以外の研究成果や日本政府が主導したものを含むマルチステークホルダーの議論を踏まえたものである。
日本政府は、サイバー行動に適用される国際法に関して、多数の国の政府の基本的立場が公表され、国際裁判や国内裁判で国際法が援用されることによって、国際法がサイバー行動にどのように適用されるのかに関する国際的な共通認識が深まることを期待する。日本政府は、そのような共通認識が深まることによって、特に、サイバー空間におけるいかなる行動が国際法違反であるか、サイバー行動によって法益侵害を受けた被害国が、国際法上どのようなツールを用いることができるかに関する共通認識が形成されることによって、サイバー空間における悪質な行為が抑止されることを期待する*3*。日本政府は国連の場におけるものを含め、関連の議論に積極的に参加し続ける方針である。
なお、サイバー行動に適用される国際法はここで言及されているものにとどまらない。日本はサイバー犯罪に関する条約に参加しているが、サイバー犯罪に関する条約はサイバー行動に適用される重要な国際法である。また、日本がCPTPP、日米デジタル貿易協定、日英EPA等でルール化を進めているDFFTに関する条約上の規定も、サイバー行動の一側面に適用される、国際法の一部である。
2.サイバー行動に適用される国際法
(1)既存の国際法及び国連憲章
国連憲章全体を含む既存の国際法はサイバー行動にも適用される。
2015年GGE報告書は、国家による責任ある行動に関する拘束力のない自発的な規範を11項目記載している。これらは、政府専門家間で少なくとも規範として履行しなければならないものとして合意された項目であるが、その中にも、国際法上の権利義務を確認したもの及び国際法上の権利義務に関連するものが含まれている。11項目に記載があることを以て既存の国際法上の権利義務が消滅したり変更されたりすることはない。
(2)主権侵害と不干渉原則
国家は、サイバー行動によって他国の主権を侵害してはならない。また、国家は、サイバー行動によって他国の国内管轄事項に干渉してはならない。
不干渉原則については、サイバー行動が、威圧を含むニカラグア事件判決(1986年)*4*で明確化された要件を満たす場合には違法な干渉となり得る。
一方、このような不干渉原則とは必ずしも一致しない主権侵害について、常設国際司法裁判所は、ロチュース号事件判決において、他国領域内での権力行使は国際法上禁止されると判示し*5*、パルマス島事件仲裁判決において、仲裁裁判所は「国家間の関係においては、主権とは独立を意味する。地球の一部分に関する独立とは、他のいかなる国家をも排除して、そこにおいて国家の機能を行使する権利である。」と述べている*6*。これら及びその他の判決を考慮すれば、日本政府としては、不干渉原則により禁じられる違法な干渉とは必ずしも一致しない主権侵害が存在すると考えてきている。
また、主権侵害について、国際司法裁判所(ICJ)は、ニカラグア事件判決(1986年)において、米国による不干渉原則への違反を認定した上で、それらに加えて米国によるニカラグア領空の飛行の指示又は許可が他国の主権を侵害してはならないという慣習国際法に違反した旨を述べており*7*、また、コスタリカ・ニカラグア事件判決(2015年)は、コスタリカがニカラグアの領域において権威を行使した証拠がないことを、コスタリカが領土一体性及び主権を侵害したとのニカラグアの主張を退ける理由として挙げている*8*。これらを踏まえれば、主権侵害は違法な干渉に当たらなくとも国際法違反を構成する場合があると考えられる。
医療機関を含む重要インフラに対するサイバー行動によって物理的被害や機能喪失を生じさせる行為は、場合によっては違法な干渉等にも当たり得るが、いずれにせよ主権の侵害に該当し得ると考える*9*。主権侵害と違法な干渉の関係については、第6回GGEやOEWGでも様々な意見が表明されており、国家実行や今後の議論を通じて特定されることが望まれる。
(3)国家責任
サイバー空間における国家による国際違法行為は当該国家の国家責任を伴う。国際違法行為は、国家の作為又は不作為による国際法の一次規則の定める義務に対する違反によって生じ、サイバー行動の場合にも、国家が、主権、不干渉、武力行使の禁止等の原則、民用物への攻撃禁止等の国際人道法上の諸原則及び基本的人権の尊重等の一次規則に違反した場合は国際違法行為が生ずる。
なお、以下では参考として国際法委員会(ILC)が作成した国家責任条文に言及するが、同条文は条約として採択されておらず、個々の条文が慣習国際法を反映しているか否かについては個別に精査を要する。
(a)帰属
国家による国際違法行為は、その行為が国際法上当該国に帰属しかつその行為が当該国の国際法上の義務の違反を構成する場合に存在する。
サイバー行動における帰属の議論は、法的側面、政治的側面、技術的側面がある。
サイバー空間におけるいかなる行為についても、国際法上の国家責任を追及するためには、当該行動が特定の国家に帰属するか否かを検討する必要がある。この点については、ILC国家責任条文第4条から第11条が参考になる。一般に、サイバー行動が国家機関によって行われている場合等は、同行動は国家に帰属すると考えられる。その上で、非国家主体によるサイバー行動は原則として国家に帰属するものではないが、ILC国家責任条文第8条によれば、当該行為を行うに際して事実上国の指示に基づき、又は指揮若しくは統制の下で行動していた場合には当該国の行為と見なされると考えられる*10*。
(b)国際違法行為を行った国家の義務
サイバー行動についても、国際違法行為に関して責任を負う国家は、次のような義務を負う。まず、その行為が継続している場合には、当該違法行為を中止しなければならず、また、事情がそれを必要とする場合には、適当な再発防止の保証を与えなければならない。そして、責任を負う国は、国際違法行為により生じた被害に対して十分な回復を行わなければならない。
(c)対抗措置・緊急避難
国際違法行為に対し対抗措置をとることは、一定の条件の下で、国際法上認められている。
一般論としては、他国による国際違法行為により侵害を受けた国は、違法行為国に対し、①国際違法行為を中止する義務や②回復の義務等の履行を促すために対抗措置をとることは、一定の条件の下で、国際法上認められている。
一般国際法上、対抗措置が先行する国際違法行為と同様の手段に限定されなければならないとの制約はなく、このことは、サイバー空間における国際違法行為に対する対抗措置についても同様だと考えられる。
また、ILC国家責任条文25条に示された要件に合致する場合には緊急避難を援用することも国際法上認められていると考える。
(4)相当の注意
サイバー行動についても、国家は国際法上相当の注意義務を負う。2015年GGE報告書の規範13(c)、(f)及びパラ28(e)の後段はこの義務に関連したものである。
ICJは、コルフ海峡事件において「領域を他国の権利に反する行為にそれと知りつつ使わせてはならないすべての国の一般的義務( every State’s obligation not to allow knowingly its territory to be used for acts contrary to the rights of other States)」の存在に言及している(1949 年)*11*。サイバー行動との関連では、このような意味での相当の注意義務が重要である。
その上で、相当の注意義務の概念に関連して、アラバマ号事件仲裁判決(1872年)は、中立国の相当の注意は、中立義務の不履行によって交戦当事者の一方がさらされるおそれのあるリスクと厳格に比例すると述べ*12*、また、ジェノサイド条約適用事件ICJ判決において、ICJは、ジェノサイド条約上の防止義務の性質を相当の注意義務と解していると見られ、ジェノサイドを可能な限り防止するためにジェノサイドを行いそうな主体に対して影響を与える能力を行使することが締約国の義務であるとした*13*。
サイバー行動に関する相当の注意義務に基づく領域国の義務の内容の外縁は必ずしも明確ではないが、これらの相当の注意義務の概念に関連したICJ判決も参照すれば、サイバー行動の重大性や、領域国の攻撃主体に対する影響力等を考慮して、当該義務の範囲を個別具体的に検討する必要があると考えられる。
上記を踏まえれば、少なくとも、例えば、他国の重要インフラを害するといった重大で有害な結果をもたらすサイバー行動について、ある国が、同国が財政的その他の支援を行っている自国の領域に所在する者又は集団がそのようなサイバー行動に関与している可能性について信頼に足る情報を他国から知らされた際には、当該者又は集団がそのようなサイバー行動を行わないように、当該情報を知らされた国が保持している影響力を行使する義務等は、上記の考え方に鑑みると、相当の注意義務に基づく当該領域国の義務に含まれると解される。
また、サイバー行動の特徴の一つとして、国家への帰属の判断が困難なことが挙げられる。この点、相当の注意義務は、国家に帰属しないサイバー行動に対しても、同行動の発信源となる領域国に対して、国家責任を追及する根拠となり得ると考えられる。たとえ国家へのサイバー行動の帰属の証明が困難な場合でも、少なくとも、相当の注意義務への違反として同行動の発信源となる領域国の国家責任を追及できる。
(5)紛争の平和的解決・武力行使の禁止・自衛権
(a)紛争の平和的解決
サイバー行動が関わるいかなる国際紛争も、国連憲章第2条3に従って平和的手段によって解決されなければならない。また、国連憲章第33条に従って、サイバー行動が関わるいかなる紛争でもその継続が国際の平和及び安全の維持を危くする虞のあるものについては、その当事者は、まず第一に、交渉、審査、仲介、調停、仲裁裁判、司法的解決、地域的機関又は地域的取極の利用その他当事者が選ぶ平和的手段による解決を求めなければならない。また、紛争の平和的解決のため、国連憲章第6章及び第7章に基づく安全保障理事会の権限や同憲章第14章及び国際司法裁判所規程に基づく同裁判所を含む他の国連機関の任務はサイバー行動に伴う紛争においても活用されるべきである。
(b)武力行使の禁止
サイバー行動であっても、一定の場合には、国連憲章第2条4が禁ずる武力による威嚇又は武力の行使に当たり得る。同条に基づき、すべての国家は、その国際関係において、武力による威嚇又は武力の行使を慎まなければならない。日本政府は、武力による威嚇とは、一般に、現実にはまだ武力を行使しないが、自国の主張、要求を入れなければ武力を行使するとの意思、態度を示すことにより、相手国を威嚇することをいうと考えている。国際関係における武力による威嚇又は武力の行使を慎む義務はサイバー行動に関する重要な義務である。
(c)自衛権
サイバー行動が、国際連合憲章51条にいう武力攻撃に当たる場合には、国家は、国際連合憲章第51条において認められている個別的又は集団的自衛の固有の権利を行使することができると考えられる。
(6)国際人道法
サイバー行動にも国際人道法は適用される。
武力紛争下においては、紛争当事者の戦闘方法や手段等は規制されるが、紛争当事者によって実施されるサイバー行動も、国際人道法の規制を受ける。人道性原則、必要性原則、比例性原則、区別原則を含む国際人道法上の諸原則はサイバー空間における行為にも適用される。2015年GGE報告書パラ28(d)でこれらの原則が「確立された国際的な法的原則」であると記されているので、同報告書が既存の国際法の適用を確認していることと合わせて読めば、同報告書はこれらの原則の適用を確認していると解釈される。また、ジュネーヴ諸条約第1追加議定書第49条においては、「「攻撃」とは、攻勢としてであるか防御としてであるかを問わず、敵に対する暴力行為をいう」とされている*14* *15*。日本政府としては、サイバー行動についても、例えば軍事目標の破壊または機能停止を生じさせるものは、場合によっては国際人道法上の「攻撃」に該当し得ると考える。
国際人道法の適用に際しては、基本的に「武力紛争」の存在が前提とされている。ジュネーヴ諸条約には「武力紛争」について特段の定義は置かれておらず、ある事態が「武力紛争」と評価できるか否かについては、実際の戦闘行為の態様や各紛争当事国の意思等を総合的に検討して個別具体的に判断すべきものと考えられるが、サイバー行動の効果を考慮すれば、サイバー行動のみによって「武力紛争」が発生することはあり得ると考えられる。
サイバー行動に国際人道法が適用されることを確認することは戦闘方法や手段等の規制に資するのであり、サイバー空間の軍事化につながるとの主張は根拠がない。例えば、武力紛争下における医療機関に物理的被害や機能喪失を生じさせるサイバー行動は、国際人道法違反を構成し得る*16*と考えられ、適切に規制されるべきである。他方で、従来空間における戦闘様相と異なるサイバー空間において、戦闘員の範囲等については、国際人道法がどのように適用されるのか、今後議論していく必要がある。
(7)国際人権法
国際人権法は、サイバー行動にも適用される。個人は、サイバー行動に関して、他で享受するのと同じ人権を享受する。国際人権法に従い、国家は人権を尊重する義務がある。サイバー空間において尊重されるべき人権には市民的、政治的、経済的、社会的、文化的権利等、国際人権法上認められる全ての人権が含まれる。サイバーの文脈で特に関連するのは、プライバシー権、思想・良心の自由、表現の自由、適正手続の保障等である。2015年GGE報告書のパラ28(b)の最後の一文は以上を確認するものである。同報告書の規範13(e)は国際人権法上の義務を一部確認するものであるが、そこに記されていない義務を変更するものではない。
{*1* 本文書において、「サイバー行動」という用語は、情報通信設備及び技術を利用した行動を意味する。}
{*2* 第6回GGEの正式名称は「国際安全保障の文脈の中でサイバー空間における国家の責任ある行動を促進することに関する政府専門家グループ」である。}
{*3* 「サイバー空間」という用語は、現実の空間に属しない空間の存在を意味しない。}
{*4* Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America). Merits, Judgment. I. C. J. Reports 1986, p.97-98, paragraph 205}
{*5* TheLotuscase, PCIJ, Series A, No. 10, 1927, p.18-19.}
{*6* Island of Palmas Case, Award, RIAA, Vol.II, p. 838.}
{*7* Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. UnitedStates of America).Merits, Judgment. I. C. J. Reports 1986, p.136-139,paragraph292.}
{*8* Certain Activities Carried Out by Nicaragua in the Border Area (Costa Rica v. Nicaragua) and Construction of a Road in Costa Rica along the San Juan River (Nicaragua v. Costa Rica), Judgment, I.C.J. Reports 2015, p. 738, paragraph 223.}
{*9* タリン・マニュアル2.0は主権侵害となり得るケースとして、サイバーインフラの物理的損害が生じた場合や機能が喪失した場合にも言及している。}
{*10* Article 8 of the ILC’s Articles on State Responsibility}
{*11* Corfu Channel case, Judgment of April 9th, 1949: I.C.J. Reports 1949, P.22.}
{*12* Alabama claims of the United States of America against Great Britain, RIAA, Vol XXIX, p.129.}
{*13* Application of the Convention on the Prevention and Punishment of the Crime of Genocide (Bosnia and Herzegovina v. Serbia and Montenegro), Judgment, I.C.J. Reports 2007, p. 221, paragraph 430.}
{*14* 「攻撃」とは、攻勢としてであるか防御としてであるかを問わず、敵に対する暴力行為をいう(ジュネーヴ諸条約第1追加議定書第49条)。}
{*15* タリン・マニュアル2.0では、「サイバー攻撃とは、攻勢としてであるか防御としてであるかを問わず、人に対する傷害若しくは死、又は物に対する損害若しくは破壊を引き起こすことが合理的に予期されるサイバー行動である。」とされている。}
{*16* 例えばジュネーヴ諸条約第1追加議定書第12条}