クラウド上のデータの差押え (リモートアクセスによる複写の処分)
IT・情報セキュリティ会社の従業員が犯した事件に関して、警察官が、家宅捜索を行うため、パソコンに対する令状の発付を受けて、現場に赴いたところ、被疑者である従業員のパソコンがインターネットにつながっている状態で、会社が利用しているクラウド型のメールサービスと接続していることがわかりました。そのメールの本文をそのままダウンロードして差し押さえられたのですが、これは、法的に問題はないのでしょうか。
刑事訴訟法218条2項はリモートアクセスによる複写の処分が規定され、同法219条2項はこの処分を行う場合は、差押許可状に、差し押さえるべきパソコンからインターネットに接続されたクラウド上に存在するダウンロードすべきデータの範囲が記載されていなければならないことが規定されています。本件において、警察官は、パソコンの差押許可状の発付を受けていますが、この令状にクラウド上に存在するダウンロードすべきデータの範囲が記載されていなければ、本件処分は違法になります。
解説
接続サーバ保管の自己作成データ等の差押え(リモートアクセスによる複写の処分)(刑訴法218条2項)とは
(1)リモートアクセスによる複写の処分について 1
リモートアクセスによる複写の処分(刑訴法218条2項、裁判所が行う場合は同法99条2項)は、「サイバー犯罪に関する条約」(平成16年7月発効)に伴う国内法整備の一環として行われた平成23年刑事訴訟法改正によって新設された新しい捜査手法です。
リモートアクセスによる複写の処分とは、差し押さえるべき物がパソコンや携帯電話、スマートフォン、タブレット端末等(条文上は「電子計算機」のことをいい、以下「差押え対象パソコン等」といいます。)である場合において、①差押え対象パソコン等にネットワークで接続されているデータストレージ(記録媒体)であって、②このパソコン等で作成、変更したデータ(電磁的記録)又はこの差押え対象パソコン等で変更若しくは消去する権限が認められているデータを保管するために使用されていると認めるに足りる状況にあるものから、③そのデータをこの差押え対象パソコン等や他の記録媒体にコピー(複写・ダウンロード)し、差押え対象パソコン等やコピーして保存した他の記録媒体を差し押さえることができます。
以下、①、②、③の各要件について説明します。
ア リモートアクセスによる複写の処分の要件 ①
差押え対象パソコン等にネットワークで接続されているデータストレージ(以下「リモートサーバ」といいます。)には、ファイルサーバ、メールサーバ、Google Drive 2 やDropbox 3、Evernote 4、One-Drive 5 等のクラウド型ストレージサーバ、FTPやSFTP、SSH等の接続によってアクセスできるサーバ等が対象になると考えられます。なお、ネットワークである「電気通信回線」は有線、無線を問いません。
イ リモートアクセスによる複写の処分の要件 ②
差押え対象パソコン等と接続されているリモートサーバ内に保存されている全てのデータが差押え対象になるのではなく、㋐差押え対象パソコン等を用いて作成や変更をしたデータ、あるいは、㋑他のパソコン等で作成されたが差押え対象パソコン等で変更や消去ができる権限が認められているデータに限定され、㋒このデータを保管するためにリモートサーバが使用されていると認めるに足りる状況にあるものが該当します。
㋑の「変更」や「消去」をする権限は、事実上のものも含まれますが、単に技術的にデータの変更や削除ができるに過ぎない場合は含まれません。条文上「変更若しくは消去をすることができる」という文言ではなく、「変更若しくは消去をすることができることとされている」と規定されているのはこれらの権限が認められているという趣旨が含まれているからです。このような権限が認められているリモートサーバ上のデータは、複数の者が管理・利用している場合のデータも該当します。また、このデータは電磁的記録 6 であるため、ExcelやWordファイルが該当することはもちろんのこと、メールサーバに保管されているメールデータやデータベース内に格納されたデータ、複数のサーバに分割して保管され結合することによって一つのファイルになるような形状のファイルも含まれると考えられます。
なお、「変更」や「消去」ができる権限には、閲覧のみの権限は含まれず、閲覧のみの権限しか認められていないデータは対象外です。
㋒については、差押え対象パソコン等の使用状況等を考慮し、リモートサーバ上のデータが差押え対象パソコン等で作成・変更したデータ等を保管するために使用されている蓋然性が認められることをいいます。
また、リモートアクセスによる複写の処分の対象データは被疑事実と関連性があるデータに限られます。もっとも、ファイルごとに被疑事実との関連性の有無を常に判断しなければならないわけではありません 7。ただし、関連性の有無の判断が容易であり、関連性のないことが明らかな場合には、当該データをリモートアクセスによる複写の処分の対象データとすることはできないと考えられます。
ウ リモートアクセスによる複写の処分の要件 ③
リモートサーバ上のデータを㋐差押え対象パソコン等や他の記録媒体(USBメモリや外付けハードディスク、CD-R、DVD-R等)にコピー(複写・ダウンロード)して、㋑差押え対象パソコン等や他の記録媒体を差し押さえることができます。
㋐はリモートサーバ上のデータはコピーすることしかできず、リモートサーバ上のデータを消去してしまう「移転」をすることはできません。これは、リモートサーバ上に保存されているデータを複数の者が管理・利用している場合、データの移転により他の利用者(保管者)の利益に影響を与えるおそれがあることに配慮したことにあります 8。ただし、差押え対象パソコン等のメーラの設定によりメールサーバからダウンロードすると自動的にメールサーバから消去されるようになっていた場合は、結果的に消去されてしまいますが、処分者が積極的に消去したものではないことから、移転ではなく、コピーに該当すると考えられます 9。
㋑はリモートサーバ上のデータをコピーして保存した差押え対象パソコン等や差押え対象パソコン等に接続された他の記録媒体を差し押さえることができます。これは、差押え対象パソコン等のHDDやSSD等の記録容量が足りない場合や差押え対象パソコン等を後で解析する必要がある場合に削除領域等が上書きされてしまうことを防ぐために他の記録媒体にコピーして差し押さえることが認められています。ただし、リモートサーバ上のデータを捜査機関が用意した別のリモートサーバ上にコピーすること(クラウド間のコピー)は、差押え対象パソコン等にコピーしているわけではないため、認められないと考えられます。
なお、後述のように、リモートサーバ上のデータを差押え対象パソコン等や他の記録媒体にコピーした後に当該差押え対象パソコン等を差し押さえなければならず、差押え対象パソコン等を差し押さえた後に同パソコン等を用いてリモートサーバ上のデータをコピーすることはできないことに注意する必要があります。
(2)リモートアクセスによる複写の処分の令状
リモートアクセスによる複写の処分は、強制処分の一つとして実施され、無令状の例外を認めていないため、常に差押許可状が必要になります 9。また、刑訴法219条2項は、「差し押さえるべき電子計算機に電気通信回線で接続している記録媒体であつて、その電磁的記録を複写すべきものの範囲を記載しなければならない。」と規定されており、捜索差押許可状にコピーすべきデータの範囲が記載されていなければなりません(裁判官が行う場合は刑訴法107条2項)。コピーすべきデータの範囲は、例えば、被疑者が使用するメールクライアントに保存されたアカウントに対応するメールサーバのメールボックス内のメールデータや、被疑者のパソコン等に記録されたIDによってアクセス可能なリモートサーバのデータ領域等によって範囲を特定することができます。
ただし、リモートサーバの物理的な所在場所までを特定することは不要です。もっとも、リモートサーバが日本国外に所在することが判明している場合には、技術的にはリモートアクセスによる複写の処分を行うことができたとしても、後述のように、他国の主権が及ぶ場所に所在するリモートサーバに対し、日本の捜査権限を行使することになりますので、差し控えるべきとされています。
設問について
設問は、被疑者のパソコンを差し押さえるための捜索差押許可状を取得していますが、刑訴法219条2項に規定する事項を記載した差押許可状ではない場合には、リモートサーバ上のデータを差し押さえることができません。にもかかわらず、クラウド型のメールサービスからメールを差押え対象パソコン等にダウンロードして差し押さえているのであれば設問は違法です。
問題点
(1)差押え後のリモートアクセスによる複写の処分
リモートアクセスによる複写の処分は、リモートストレージ上のデータを差押え対象パソコン等や他の記録媒体にコピーし、差押え対象パソコン等や他の記録媒体を差し押さえる強制処分であり、差押え対象パソコン等を差し押さえた後に、事後的に警察署から同パソコン等を使用してリモートサーバにアクセスし、データをコピーすることは認められません。前述のリモートアクセスによる複写の処分の要件を満たしたリモートサーバ上のデータは、差押え対象パソコン等と一体的に利用されているものと認められるために、差押え時にその状態を保全することを認め、リモートサーバ上のデータへのアクセスを例外的に認めたものですので、事後的な検証等によるリモートアクセスによる複写の処分をすることは法が予定していない捜査方法であるため、認められません。
(2)リモートサーバが他国にある場合
リモートサーバが他国に所在した場合、捜査権限を及ぼすことは他国の主権を侵害する可能性があります。サイバー犯罪に関する条約32条本文は、「締約国は、他の締約国の許可なしに、次のことを行うことができる」と規定され、同条「a 公に利用可能な蔵置されたコンピュータ・データにアクセスすること」、及び「b 自国の領域内にあるコンピュータ・システムを通じて、他の締約国に所在する蔵置されたコンピュータ・データにアクセスし又はこれを受領すること。ただし、コンピュータ・システムを通じて当該データを自国に開示する正当な権限を有する者の合法的なかつ任意の同意が得られる場合に限る。」と規定されており、捜査機関によるアクセスが許されるかどうかは明示されておらず、国際的な統一見解も存在しません。そのため、リモートサーバが他国に所在することが判明した場合には、リモートアクセスによる複写の処分は差し控え、他国の同意を得るか、国際捜査共助を要請する方法によることが望ましいと考えられ、裁判例でも同内容を判示しています。もっとも、日本国内に所在せず、他国に所在することは判明しているが、クラウド上に分散配置されているようなデータの場合は、どの国にデータが存在するかが不明であり、このような場合に、どの国の同意を得るのか、国際捜査共助をどの国に要請するのかが判明しないという「場所の喪失」という問題が生じます。
- 参考文献
- デジタル法務の実務 Q&A
- 著者:高橋郁夫・鈴木誠・梶谷篤・荒木哲郎・北川祥一・斎藤綾・北條孝佳/編集
- 定価:本体 4,400円+税
- 出版社:日本加除出版
- 発売年月:2018年11月
※上記テキストリンクは、BUSINESS LAWYERS LIBRARYの当該書籍ページへ遷移いたします。
-
刑訴法218条2項「差し押さえるべき物が電子計算機であるときは、当該電子計算機に電気通信回線で接続している記録媒体であつて、当該電子計算機で作成若しくは変更をした電磁的記録又は当該電子計算機で変更若しくは消去をすることができることとされている電磁的記録を保管するために使用されていると認めるに足りる状況にあるものから、その電磁的記録を当該電子計算機又は他の記録媒体に複写した上、当該電子計算機又は当該他の記録媒体を差し押さえることができる。」 ↩︎
-
米Google社が提供しているサービス。 ↩︎
-
米Dropbox社が提供しているサービス。 ↩︎
-
米Evernote社が提供しているサービス。 ↩︎
-
米Microsoft社が提供しているサービス。 ↩︎
-
刑法7条の2「この法律において『電磁的記録』とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。」 ↩︎
-
この点について、大阪高判平成30年9月11日(上告中)では、「リモートアクセスにより複写することができる電磁的記録は,被疑事実との関連性が認められ差押対象物とされた当該電子計算機で,作成若しくは変更をした電磁的記録又は変更若しくは消去することができることとされている電磁的記録であるから,通常,被疑事実との関連性があると思料されるものと考えられる上,差押えの現場において,これらの電磁的記録について,関連性の有無を逐一確認するよう求めることは,捜査における迅速性の要請に反するばかりか,捜査機関に現実的でない過大な負担を課す結果となるから,個々の電磁的記録について,個別に関連性の有無を判断しなければならないわけではないというべきである」と判示している。 ↩︎
-
法制審議会刑事法(ハイテク犯罪関係)部会議事録(第4回)参照 ↩︎
-
刑訴法222条1項は、220条1項2号による差押えについて99条2項を準用していないため、逮捕に伴う無令状の捜索・差押えとして、差押え対象パソコン等を差し押さえることはできるが、リモートアクセスによる複写の処分をすることはできません。 ↩︎ ↩︎
西村あさひ法律事務所 東京事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 危機管理・内部統制
- 競争法・独占禁止法