東京高等裁判所 平成15年(う)401号 判決 2003年6月25日
主文
本件控訴を棄却する。
理由
本件控訴の趣意は、事実誤認、法令適用の誤り及び量刑不当の主張である。
第一事実誤認の論旨について
所論は、(1)被告人には不正アクセスの故意がなく、(2)被告人の行為には、刑罰をもって対処すべき法益侵害も存せず、また、業務行為としての目的の正当性及び目的達成の社会的相当性もあり違法性がないのに、被告人を有罪とした原判決には事実の認誤がある、というのである。
しかしながら、原判決の挙示する関係証拠によれば、原判決の認定判断は、「争点に関する判断」の項の説示も含め、概ね正当として是認することができるから、原判決に所論の事実誤認は認められない。
以下、所論にかんがみ、若干補説する。
(1) 不正アクセスの故意について
関係証拠によれば、被告人は、勤務先の株式会社A野(以下「A野社」という。)において親会社の株式会社B山(以下「B山社」という。)が開発する「着ボイス」と呼ばれる携帯電話の受信を知らせる音声のプログラムの開発担当者であったが、業務上使用していたサーバ内に、従前の着ボイスプログラムの開発担当者Bが使用していたと思われるサーバからのアクセス履歴が残っているのを発見し、その解析したログにあったドメイン名、ユーザー名を利用してBが利用権者となっている本件サーバへのアクセスを試み、パスワードを適当に入力し、ユーザー名と同一のパスワードを入力した際にログインすることができたものの、インターネット上からのアクセスには失敗し、自宅に戻ってから再びパソコンでインターネット上からアクセスを試みたところ、これに成功したことから、表示されたディレクトリのファイルの中身も確かめずに、これらを全てダウンロードする設定にして再び出勤し、着ボイスに関するファイルやBがプライベートに収集したファイルを含め、多数のファイルを自分のパソコンのハードディスクにダウンロードしたことが認められ、被告人が、勤務先や親会社の上司、担当者から、本件サーバへアクセスすることの許可を予め得たとかIDやパスワードを教示してもらったという事実はなかったことも認められる。
被告人は、前任者の作成したソースコードが会社に残っていなかったために、そのソースコードを入手するためにアクセスした旨供述するが、前記経緯からすれば、被告人が本件サーバにアクセスする権限をその管理者から付与されていたと誤解する積極的な根拠は何ら存在せず、アクセスが制限されていることを知りながら、管理者の承諾を得ずに入手したIDと勝手に推測したパスワードを使用してアクセスしているのであるから、被告人の不正アクセスの故意に欠けるところはない。
所論は、次のように主張する。すなわち、着ボイスの著作権はB山社に帰属するものであり、開発担当者のBがそのソースコードを会社に残さずに退社したことは許容されないことである。当時A野社やB山社には統括的ネットワーク管理者は置かれておらず、着ボイスのプログラムのリニューアル作業は全面的にA野社が引き受け、コンテンツサーバ及びそれに関連づけられたB山社所有のサーバのアクセス管理も全面的にA野社が受け継ぎ、リニューアル作業の担当責任者である被告人がこのサーバのほぼ唯一の利用者であったから、前任者が業務の引継ぎをせずに退社した以上は、その者の承諾を得なくても使用していた業務資料やネットワークシステムに関し、しかるべき処置をとることが社会的に許容されなければならない。したがって、被告人が、B山社及びA野社の許可の下に、業務の引継ぎを行う目的又は業務遂行という正当な目的のために、Bの承諾を得ず、Bが在職当時に事実上管理していた(コンテンツサーバに関連した)B山社所有のサーバに、Bが利用している識別符号を利用してアクセスしたとしても、その方法が社会的に相当と認められる限り、その行為は法的に禁じられるものではない。本件では、そのサーバは個人宅に設置されていたサーバであったが、被告人は、本件サーバからのコマンド履歴がコンテンツサーバに残っていたこと等から、本件サーバがB山社が所有しアクセス管理をしていたサーバであると誤認したもので、被告人には不正アクセスの認識がなかった、などというのである。
しかしながら、まず、着ボイスのプログラムの著作権については、Bが退職する際に、そのプログラムを個人的に持ち出して会社内に残さないことをB山社の代表者が容認し、Bにメンテナンスをさせることも約束していたことや、着ボイスのプログラムの更新に当たっては、Bの作ったプログラムに変更を加えるのではなく、最初から新たなプログラムを作成する予定であったことなどに照らすと、Bの言い分を十分聞かずに、その帰属を認定することはできない上、被告人の不正アクセスの故意がそのことによって左右されるものでもない。すなわち、不正アクセス行為の禁止等に関する法律により禁止されている不正アクセス行為に必要な故意は、本件でいえば、同法三条二項一号に係る「他人の識別符号を入力して当該特定電子計算機を作動させ」ることを認識、認容していれば足りるのであって、当該アクセス管理者又は当該識別符号に係る利用者の承諾があると認識している場合には、その故意が阻却されるにすぎないのである。そこで、本件サーバがA野社又はB山社の管理するサーバであり、外部のサーバでないと認識しているというような事情が認められる場合には、当該故意を欠く余地があるのである。これに対し、当該サーバに保管されている本件ソースコードの著作権が、仮にその利用権者になく、行為者においてそのことを認識していたとしても、不正アクセスの故意に欠けるところはない。不正アクセスの構成要件は、前記の同法三条二項一号に規定する記述的な要素に尽きるのであって、それに付加して、不正であることの認識・認容を要するものではなく、当該ソフトの著作権の帰属の問題、さらにはその権利の行使問題と関連する余地はないのである。
次に、外部サーバの認識の点については、前記の不正アクセスの経緯に加え、①被告人は、前任者が着ボイスのソースコードやソーステキストを残さずに退職していたことを知っていたことが認められ、会社が管理するサーバにはソースコードが保存されていないことを認識していたこと(乙五、九。なお、原判決が「争点に関する判断」の三で説示するとおり、これに反する被告人の原審公判供述は信用できない。)、②B山社の代表者の供述によれば、通常はプロジェクトの担当者には上司が担当者にそのプロジェクトに使用するサーバにアクセスするためのIDやパスワードを渡してサーバを使用させており、原則として他のプロジェクトで使用しているサーバへはアクセスできないこと、③本件サーバのドメイン名は、本件以前に被告人がA野社において使用していたサーバのドメイン名と異なり、末尾が「.cx」という珍しいものである上、被告人は、Bが退職後に送ってきたメールのアドレスとコマンド履歴に記されているサーバのドメイン名の共通性から、本件サーバがBに関係するサーバであると判断しているのであって、Bが退職後にも利用していることからすれば、それは外部のサーバであると考えるのが普通であること、④Bによるコンテンツサーバのアクセス履歴についても、それが不正アクセスではないかと疑って、本件犯行の四日後に上司に報告しており(当審弁三)、Bが外部のサーバから無断でアクセスした疑いを抱いていたことがうかがわれること、⑤被告人は、人気の少ない休日明けの未明に勤務先のコンピュータからアクセスをした上、自宅に帰ってから、自分のパソコンを使って加入するプロバイダのサーバを介してインターネットに接続して、再び本件サーバにアクセスし、サーバ内のファイルを一括ダウンロードしていること(被告人は、会社のサーバに負担をかけるおそれがあったなどと供述するが、ダウンロードするファイルを選別すれば、そのようなおそれがあるとは考えられない。)、⑥被告人はダウンロードしたファイルの中に着ボイスに関するファイルも含まれていることを認識しながら、これを勤務先のコンピュータに保存したりせず、入手したことを他の開発担当者らに伝えた形跡もなく、却ってその後もソースコードを入手していないように振る舞っていたこと等に照らせば、被告人が、本件サーバが、A野社又はB山社の管理する関連サーバではないことを知っていたことは優に認定できる。
所論は、そのサーバが個人宅に設置されたものであることは予想できないというが、サーバの設置場所の詳細は認識していなくても、前述のとおり、本件サーバがA野社又はB山社の管理するサーバではなく、外部のサーバであることの認識があったことは否定できない。また、所論は、被告人は、顧客情報のディレクトリを探る作業をしており、推測しながら作業を進めざるを得ない状況であったともいうが、そのことと、アクセスが制限されているサーバへの侵入を試みることは到底同一視できるものではない。また、前記②の事実に照らすと、被告人が着ボイスのリニューアル作業のためにはA野社又はB山社の管理するネットワーク内に自由にアクセスすることが許されていたなどという事実も認め難い。所論はまた、コマンド履歴の再現を試みることは携帯電話の発信履歴を見て再発信するようなもので、パスワードを入力する点に差異があるにすぎないともいうが、通常は接続コマンドの履歴を解析する必要はないはずであり、その解析によりアクセス制御機能のあるサーバのIDを探り出していることからすれば、携帯電話の発信履歴を利用した通信と同視できるような行為でないことは明らかである。
さらに、所論は、被告人がA野社のコンピュータや自宅のパソコンから直接本件サーバにアクセスしているのは、不正アクセスの認識がなかった証拠であるともいうが、被告人は、当審において、当時はIPアドレスの検索が容易にできるとは知らなかったと供述している上、自宅からは、プロバイダのサーバを介してアクセスしているため、Bが独力でその発信元を突き止めるのは困難であったから、所論のようにいうことはできない。
その他、所論を逐一検討しても、被告人が、アクセス制御がされている外部のサーバにその管理者の承諾を得ずにアクセスすることの認識があったことは疑いを入れる余地がなく、原判決に所論のような事実誤認があるとは認められない。
(2) 正当業務行為の主張について
所論は、本件サーバに被告人が不正アクセスしたことによって具体的・実質的な被害は生じておらず、目的やその手段の正当性も認められ、本件アクセスは正当業務行為であり、犯罪は成立しないというのである。
しかしながら、ネットワーク社会において、ネットワークを通じてコンピュータを利用する者を正しく識別できなければ、侵害行為に対する抑止力が失われ、アクセス制御機能により保護を図ることとしている業務の円滑な遂行や関係者の権利・利益に対し具体的な侵害の危険が生じるからこそ、法により不正アクセス行為に対する罰則が定められているのであって、具体的、現実的に権利・利益が侵害される前の段階において処罰しようとするのが法の趣旨である。そこからさらに進んで、アクセス制御により保護されている情報を勝手に利用したり、業務を妨害したりすれば、それは業務妨害罪等の別罪を構成する可能性が高く、現実的損害があったとの立証がない限りは不可罰であるなどとはいえない。本件においても、ファイルの改変等が行われた形跡はないが、ダウンロードしたファイルを利用していないというのは被告人の供述にすぎず、目的のソースコード以外のファイルも被告人のパソコンに保存されていたのであるから、そのファイルを閲覧されたことによるノウハウや著作権の侵害や、プライベートな情報を見られた可能性があることによる精神的な損害がなかったとも断じ難い。さらに、前述したように、当該ソースコードの著作権が仮にB山社にあったとしても、そのことは、本件不正アクセス行為を正当化するものではない。
また、被告人が着ボイスのプログラム作成作業を命じられたのは平成一四年二月末ころであり、それから一か月も経たないうちに不正アクセスをしているのであって、ソースコードを入手するために相当な努力を尽くしたともいえず、着ボイスのソースコードを不正な手段を使って入手しようとしたことに、業務としての正当性は何ら認められない。本件不正アクセス行為が正当業務の範囲外の行為であることは明白であって、所論は採用できない。
事実誤認をいう論旨は理由がない。
第二法令適用の誤りの論旨について
所論は、原判決は、原判示第一の罪と同第二の罪を併合罪としているが、両者の行為は客観的に行為態様及び侵害した法益の点で共通性を有し、時間的にも接着し、主観的にみても「着ボイス」のソースコードファイルを探すという共通した目的が継続した状態で行われており、侵害法益の個数は実質的に一個といえるから包括一罪と評価すべきであるという。
しかしながら、原判示第一の行為は勤務先のコンピュータから不正アクセスをしたもので、同第二の行為は自宅のパソコンから同一サーバへのアクセスをしたもので、時間的接着性や犯意の継続性はあるとしても、犯行場所やアクセスの経路が異なり、自宅での不正アクセスは、自宅のパソコンにファイルをダウンロードする目的で行われており、不正アクセスによる法益侵害の程度、態様が同一とはいえず、これを併合罪と評価した原判決の判断に誤りはない。
法令適用の誤りをいう論旨も理由がない。
第三量刑不当の論旨について
被告人の行為は、コンピュータ・ネットワークが社会の基盤としての役割を果たすようになった高度に発達したネットワーク社会において、いわば鍵の掛かった他人の家を勝手に開けて入り込む行為であり、ネットワークの秩序を乱し、ひいては高度情報通信社会の健全な発展を阻害しかねない悪質な行為である。被告人は、コンピュータのソフトウェア開発というコンピュータネットワークと密接に関連する業務に従事しながら、接続ログを解析し、パスワードを推理してアクセス制御がされているサーバに不正アクセスをしたものである。その業務の性質から、他の企業の機密情報に触れたり、コンピュータに保存されている各種の情報に接する機会もあるはずであり、情報管理やアクセス制御に最も注意を払わなければならない立場の被告人が、敢えて不正アクセスを行ったのであるから、これを一般的なパソコンマニアがいたずら半分で行った行為などと同視することはできず、被告人には、プログラマーとしての倫理感が欠けていたといっても過言ではなく、被告人の刑事責任を軽くみることは許されない。前記のとおり、不正アクセスによりファイルが改変されるなどの被害はないが、被告人はダウンロードしたファイルを全て自分のパソコンに保存していたのであり、サーバ内に侵入された方の立場から見れば、不正アクセスによって、プライバシーを侵害されたり、プログラムのノウハウ等を盗まれたのではないかとの危惧を抱くのは当然であって、結果が軽微であるとはいい切れない。
もっとも、被告人の勤務先企業やその親会社は、大手企業からプログラムの開発等を受託し、企業秘密、情報の不正流出に最も神経を使わなければならない立場にあるはずであるのに、従来から社内の情報管理がルーズで、開発したプログラムの権利関係の明確化も図られておらず、従業員らに対する教育が行き届いていない面が見られ、情報社会を担う企業としての安易な姿勢が顕著である。また、著作権の帰属の問題を別としても、B山社の一従業員であるBが自己が開発を担当した「着ボイス」のソースコードを退職する際に会社に残さなかったこと自体、社長の事実上の承諾があったとしても、問題があったといわざるを得ない。B山社の前記の情報管理のルーズさともあいまって、これらの背景事情が被告人の犯行を誘発したという側面も否定できない。また、被告人は二度不正アクセスしただけで、他に同様の行為を繰り返していたような形跡はなく、その手口も不正アクセスの経路が捜査官に容易に判明する程度の比較的単純なものである。被告人は、逮捕、勾留され、事件がマスコミに広く報道されたため、それなりの社会的制裁も被っている。このように被告人にとって酌むべき点も少なくないが、これらの点を考慮してみても、本件は罰金を相当とする事案とは認められず、被告人を懲役六月に処し、二年間その刑の執行を猶予した原判決の量刑は、まことに相当であり、これが重過ぎて不当であるとは認められない。
量刑不当の論旨も理由がない。
よって、刑訴法三九六条により本件控訴を棄却し、当審における訴訟費用については、刑訴法一八一条一項ただし書を適用して被告人に負担させないこととし、主文のとおり判決する。
(裁判長裁判官 原田國男 裁判官 池本壽美子 大島隆明)
<以下省略>