T.情報セキュリティに対する政府の政策
1.遅れていたサイバー犯罪への対応
ここ30年の間、コンピュータ犯罪は一貫して増加傾向にあるのに対し、それを取り締まる法規の整備は常に遅れがちであった。ようやくコンピュータ・セキュリティ保護を目指した最初の連邦法ができたのが1986年で、その名称が「1986年コンピュータ詐偽・悪用法(1986
Computer Fraud and Abuse Act)」である 。この法律は、コンピュータを使った窃盗や盗んだパスワードの悪用を罰するもので、1000ドルを超える損害を与えたコンピュータ・ネットワークへの非合法アクセスや、医療機関での治療行為を妨害するケースに適用される。しかし、法制定直後、問題になったのは、法執行機関にコンピュータ犯罪を取り締まる能力も捜査のためのノウハウも欠如していたことであり、80年代末まではコンピュータ・セキュリティに対する刑事告発をしても、連邦当局が本格的な捜査に乗り出さないことがほとんどだったようである。その後のいくつかの捜査の失敗などを経て、92年初め、司法省は専門の部署としてコンピュータ犯罪班(Computer
Crimes Unit)を結成した。コンピュータ犯罪班の活動目標は次の5つである。
◆ |
コンピュータ関連犯罪の性質や影響を見極める。 |
◆ |
司法省関係機関など、コンピュータと通信のコーディネーターに指定されている機関などに対する訓練とアウトリーチ活動を展開する。 |
◆ |
FBIとシークレットサービスの双方と協力し、各省庁の連絡役となり、コンピュータ犯罪対策を進める。 |
◆ |
コンピュータ犯罪と戦うための国際協力を行う。 |
◆ |
コンピュータ犯罪防止の法案草稿を起草するほか、ペンディングになっている法案について、意見を提供する。 |
この目標に従い、コンピュータ犯罪班は「1986年コンピュータ詐偽・悪用法」の改正法案を起草し、この法案は「1994年凶悪犯防止と法執行法(Violent
Crime Control and Law Enforcement Act of 1994)」の一部になっている。「コンピュータ詐偽・悪用法」は、コンピュータ・ネットワークへの非合法アクセスに適用されることになっていたが、94年の改正で、企業の内部関係者のセキュリティ破壊など、非合法以外の合法アクセスに関しても処罰の対象にするよう強化された。但し、改正法では、特定の損害が認められない限り、コンピュータ・セキュリティ侵害を行った者を起訴できないとなっている。
しかし、「1986年コンピュータ詐偽・悪用法」成立以来で見ても、連邦刑罰委員会(Sentencing
Commission)が96年に行った分析によると、コンピュータ犯罪で有罪判決を受けたのはわずか174件で、そのうちの大半が、内部関係者のセキュリティ違反であり、外部から侵入したハッカーを摘発したものは少なかった。
このように、セキュリティ保護政策は、ますます複雑になるコンピュータ犯罪に後手に回りがちであった。また、コンピュータ・セキュリティ保護を狙った「1996年全米情報基盤保護法」は下院を通過することができなかった。それでも、連邦政府のコンピュータ・セキュリティ政策は徐々に強化されている。例えば、96年には司法省のコンピュータ犯罪班は「コンピュータ犯罪・知的所有権部(Computer
Crimes and Intellectual Property Section)」に格上げされ、捜査能力も格段に向上した。
また、同時期にFBIは「全米コンピュータ犯罪担当班(National Computer
Crimes Squad)」を拡大し、地方事務所の特別コンピュータ犯罪捜査活動をまとめる「コンピュータ犯罪・情報基盤脅威分析センター(Computer
Investigation and Infrastructure Threat Assessment Center = CITAC)」を立ち上げ、総合的なコンピュータ犯罪防止に力を入れている。このようにコンピュータ犯罪の対応に連邦政府が本腰で乗り出したのが、やっと96年になってからのことである。
|