ウェブサービス・アプリをつくるエンジニアが知っておきたいこと
実際に起きた事件の事例や、サービスを開発・運営するうえで関わってくる制度をまとめました。 「こんな落とし穴があるんだ」くらいの気持ちで気軽に読んでみてください。
本サイトは教育目的の情報提供を目的としており、法的助言ではありません。 掲載内容の正確性・完全性を保証するものではなく、最新の判例や法改正を反映していない場合があります。 詳しくは 免責事項 をご確認ください。
刑事・民事事件
「これで逮捕されるの?」と思うような事件が実際に起きています。最終的に無罪になったケースでも、逮捕・勾留・長期の裁判を経験することになりました。どんな行為が問題になったのか、読んでおくと「気をつけよう」が見つかるかもしれません。
大学研究員が、コンピュータソフトウェア著作権協会(ACCS)のWebサイト「ASKACCS」の脆弱性を発見。ACCSへの事前通知なしに、2003年11月のセキュリティイベント「A.D.2003」で脆弱性と攻撃手法を公開した。公開された手法を模倣した第三者による不正アクセスが発生し、2004年2月に不正アクセス禁止法違反と威力業務妨害の容疑で逮捕。不正アクセス禁止法違反で起訴され、一審で懲役8ヶ月・執行猶予3年の有罪判決が下され、控訴取り下げにより確定した。
罪状
- 不正アクセス禁止法違反
注意点・教訓
脆弱性を発見しても事前通知なしに公開・実行すると不正アクセス禁止法違反で検挙される可能性がある
セキュリティ脆弱性を発見した場合、まず運営者に非公開で通知する「責任ある開示(Responsible Disclosure)」の手順を踏むべき。事前通知なしに脆弱性や攻撃手法を公開したり、実際にアクセスして検証することは、不正アクセス禁止法違反に問われる可能性がある。
「検証のため」のアクセスでも不正アクセスとなる
脆弱性の存在を確認するためだけであっても、権限なしに他者のシステムにアクセスすることは不正アクセス禁止法違反となる。善意であっても「触らない」ことが重要。
攻撃手法の公開は模倣犯の責任も問われる可能性がある
攻撃手法を公開したことで第三者が同様の行為を行った場合、公開者も責任を問われる可能性がある。セキュリティ情報の公開には細心の注意が必要。
参考情報
P2Pファイル共有ソフト「Winny」の開発者が、著作権法違反の幇助罪で逮捕・起訴された事件。2002年に開発・公開されたWinnyは匿名性が高く、映画や音楽などの著作物が違法に流通する温床となった。2003年にWinny利用者2名が逮捕され、2004年5月に開発者も逮捕された。一審有罪(罰金150万円)、二審で逆転無罪となり、2011年に最高裁が無罪を確定した。
罪状
- 著作権法違反幇助罪
注意点・教訓
P2Pソフトウェアの開発・公開リスク
ファイル共有機能を持つソフトウェアを開発・公開する場合、それが違法な著作物の流通に使われる可能性を認識していると、著作権法違反の幇助罪に問われるリスクがある。最終的に無罪となったが、逮捕から無罪確定まで7年以上の裁判を強いられた。
開発の意図・発言が証拠として使われる
開発の動機や公開時の発言が「違法利用を意図していた」と解釈されうる場合、刑事責任を問われる可能性がある。本事件では掲示板(2ちゃんねる)への投稿が重要な証拠として使われた。SNSや掲示板での発言には注意が必要。
技術的に有用なソフトでも開発者が検挙される可能性がある
ソフトウェア自体が合法的な用途を持ち技術的に優れていても、悪用される可能性があれば開発者が刑事責任を問われうる。本事件は技術者コミュニティに大きな萎縮効果をもたらした前例となっている。
携帯向け音楽ストレージサービス「MYUTA」について、日本音楽著作権協会(JASRAC)から中止要求を受けた運営会社が、差止請求権不存在の確認を求めて提訴した民事事件。ユーザーが自分で取り込んだ音楽ファイルをサーバーにアップロードし、自分の携帯電話からダウンロードして聴けるようにするサービスだったが、東京地裁(2007年5月25日)は複製・公衆送信の主体をユーザーではなくサービス事業者と判断し、著作権侵害を認定。運営会社の請求は棄却されサービスは終了した。クラウド型音楽サービスの先駆けだったが、著作権法の壁に阻まれた事例。
罪状
- 著作権法違反(複製権・自動公衆送信権侵害)
注意点・教訓
クラウドサービスでユーザーのコンテンツを複製・配信する場合は著作権者の許諾が必要
ユーザーが合法的に取得したコンテンツであっても、サービス事業者がサーバー上で複製・配信する構造は著作権侵害となりうる。「ユーザーのための複製」であっても、技術的にサービス事業者が複製行為を担う場合は著作権者の許諾が必要。
著作権法上の私的複製はユーザー自身が行う場合のみ適用される
著作権法第30条の私的複製の例外は、ユーザー自身が複製する場合にのみ適用される。サービス事業者が複製を代行する形態には適用されないため、ストレージサービス・変換サービス等を提供する際は著作権者との許諾が不可欠。
新技術サービス開始前に著作権を含む法的リスクを専門家と確認する
革新的な技術サービスを開始する前に、著作権を含む既存の法制度との整合性を弁護士・弁理士と確認することが不可欠。サービス開始後の差止めはユーザーへの損害も大きく、事業上のリスクも高い。
エンジニアが、岡崎市立中央図書館の新着図書情報を自動収集するクローラを作成・実行したところ、図書館のシステムに障害が発生。偽計業務妨害容疑で逮捕・20日間勾留されたが、最終的に起訴猶予処分となった。アクセス頻度は毎秒1回程度と技術的に常識的な範囲であり、障害の原因は図書館システム側の欠陥(ソフトウェアのバグ)であったことが後に判明した。
罪状
- 偽計業務妨害罪
注意点・教訓
スクレイピング・クローラを含むサービスは偽計業務妨害で検挙される可能性がある
自動的にWebサイトへアクセスするクローラやスクレイピング処理を実装する場合、たとえ技術的に常識的なアクセス頻度であっても、相手側システムに障害が発生すれば偽計業務妨害として逮捕・勾留される可能性がある。本事件では無罪に等しい起訴猶予だったが、20日間勾留された。
robots.txtや利用規約の確認が必須
Webサイトへの自動アクセスを行う前に、対象サイトのrobots.txtや利用規約を必ず確認し、自動アクセスが禁止されていないか確認すること。また、アクセス間隔(クールダウン)を設けてサーバー負荷を抑えることが重要。
アクセスログを保存しておく
自身のアクセスが適切であることを証明するため、クローラのアクセスログを保存しておくことが重要。本事件では技術者コミュニティによる詳細な検証が無罪立証に貢献した。
IT関連会社社員(当時30歳)が遠隔操作ウイルス「iesys.exe」を作成し、感染させた他人のパソコンから2ちゃんねるなどに無差別殺人予告や航空機爆破予告などを書き込んだ事件。警察・検察が誤った人物を逮捕し、4人が誤認逮捕された。うち一部は虚偽の自白を強いられた。2012年10月に「真犯人」を名乗るメールが届き誤認逮捕が発覚、2013年2月に真犯人が逮捕された。保釈中に「真犯人メール」の自作自演が発覚して再逮捕となり、東京地裁で懲役8年の判決を受け2015年に確定した。
罪状
- 威力業務妨害罪
- ハイジャック防止法違反
- 不正指令電磁的記録作成・保管・供用罪
- 不正アクセス禁止法違反
注意点・教訓
マルウェア作成・使用は複数の刑事罪の対象となる重大な犯罪
遠隔操作ウイルスの作成・使用は、不正指令電磁的記録罪・不正アクセス禁止法違反・威力業務妨害罪など複数の刑事罰の対象となる。高度なITスキルを犯罪に用いた場合、厳しい刑事責任を問われる。
マルウェア感染により無関係の人物が犯人と疑われるリスクがある
IPアドレスや端末情報だけでは犯人特定に不十分であることを示した事件。マルウェアに感染したPCが犯行端末として使われた場合、PC所有者が誤認逮捕される可能性がある。自身のPCのセキュリティ管理が重要。
デジタル証拠の解釈誤りが冤罪を招く
捜査機関がマルウェアによる遠隔操作を見抜けず4人が誤認逮捕された。IPアドレスのみを根拠とした逮捕の危うさを示した事件として、日本の刑事手続きにおけるデジタル証拠の技術的検証の重要性を広く知らしめた。
Webデザイナーが運営する音楽サイトに、閲覧者のCPUを使って暗号通貨Moneroをマイニングするスクリプト「Coinhive」を設置。閲覧者の同意なくマイニングを行わせたとして不正指令電磁的記録保管罪で起訴された。約1ヶ月の設置で収益は約800〜900円程度。警察は全国で計21人を検挙。一審無罪・二審有罪(罰金10万円)を経て、2022年1月に最高裁が「広告表示と比較してPCへの影響に有意な差はなく社会的に許容し得る範囲」として無罪を確定した。
罪状
- 不正指令電磁的記録保管罪(刑法168条の2)
注意点・教訓
ユーザーの同意なしにブラウザで処理を実行するスクリプトは不正指令電磁的記録罪で検挙される可能性がある
閲覧者に通知・同意なくブラウザ上でリソースを消費する処理(マイニング、重い計算処理など)を実行するスクリプトは、「不正指令電磁的記録」として検挙される可能性がある。最高裁で無罪となったが、4年以上の裁判を強いられた。
新技術へのグレーゾーンには法的リスクが伴う
技術的には広告表示と同程度の負荷であっても、「仮想通貨」「マイニング」といった社会的注目度の高いキーワードに関連する技術は、法執行機関から過剰に注目される可能性がある。新しい収益化手法を採用する際は法的リスクを考慮すること。
ユーザーのリソースを使用する場合は明示的な同意が必要
サイト閲覧者のCPU・メモリなどのリソースを使用する場合は、プライバシーポリシーや利用規約での明示、もしくはオプトイン方式の同意取得を行うことで法的リスクを低減できる。
参考情報
セキュリティ情報サイト「Wizard Bible」に読者が投稿した技術解説記事が不正指令電磁的記録提供罪に該当するとして、サイト管理者が2018年3月に略式起訴された。問題とされたのは当時高校生の読者が投稿した「トロイの木馬型マルウェアについて」という解説記事に掲載されたサンプルプログラム。複数の研究者による検証では「単なるsocket通信プログラムに実行機能を付けただけ」で、入門書にも掲載される一般的な内容だったが、罰金50万円の略式命令を受け、サイトは閉鎖された。
罪状
- 不正指令電磁的記録提供罪
注意点・教訓
セキュリティ技術の解説記事・サンプルコードを公開すると不正指令電磁的記録提供罪で検挙される可能性がある
セキュリティに関する技術解説記事にサンプルコードを掲載する場合、教育目的であっても「不正指令電磁的記録の提供」として検挙される可能性がある。マルウェアの仕組みを説明する記事は特に注意が必要。
投稿型サイトの管理者はコンテンツの責任を問われる
技術系の投稿サイトや掲示板を運営している場合、投稿者のコンテンツについて管理者も責任を問われる可能性がある。ユーザー投稿のモデレーション体制を整えることが重要。
「不正指令電磁的記録」の範囲は曖昧で予測困難
何が「不正指令電磁的記録」に該当するかの判断基準が不明確であり、専門家も意見が分かれるケースがある。セキュリティ分野の情報発信を行う際は、法的リスクについて弁護士に相談することを検討する。
電子掲示板に「無限アラート」を表示するJavaScriptへのリンクを投稿した5人が、兵庫県警に不正指令電磁的記録供用未遂の疑いで摘発された事件。プログラムはクリックすると「何回閉じても無駄ですよ〜ww」というメッセージを繰り返し表示するジョークプログラムで、PCブラウザではタブを閉じるだけで終了できる。実際の被害者は存在せず、2019年5月に兵庫地検が起訴猶予処分とした。
罪状
- 不正指令電磁的記録供用未遂
注意点・教訓
ジョークプログラムへのリンクを掲示板に投稿するだけでも不正指令電磁的記録供用未遂で検挙される可能性がある
技術的に無害なジョークプログラムであっても、「不正指令電磁的記録」として家宅捜索・補導・書類送検されうる。プログラムの作成者でなく、リンクを投稿しただけの人物も摘発されている。
ブラウザに予期しない動作をさせるコードの公開は法的リスクを伴う
ユーザーが意図しない動作(閉じられないポップアップ、リダイレクトループ、過負荷など)をブラウザに引き起こすコードを公開・共有する行為は、たとえジョーク目的でも検挙される可能性がある。
「不正指令電磁的記録」罪の適用範囲は広く予測困難
兵庫県警による摘発はセキュリティ専門家からも強い批判を受けたが、逮捕・補導・家宅捜索は実行された。悪意や実害の有無に関わらず、捜査機関の判断で摘発される可能性がある点に注意が必要。
知的財産(知財)
ソフトウェア開発において、特許・商標・著作権などの知的財産権は避けて通れない。自分の成果を守るためにも、他者の権利を侵害しないためにも、基礎知識が必要。
ソフトウェアやビジネスモデルも特許の対象となりうる。特許権は出願・審査を経て登録されると、20年間独占的に使用できる権利が与えられる。
知らずに他社の特許を侵害すると、差止請求や損害賠償請求を受ける可能性がある。新規サービス開発時には、特許情報プラットフォーム(J-PlatPat)で関連する特許の先行技術調査を行うことが推奨される。特許番号や技術キーワードで無料検索でき、出願中・登録済みの特許を確認できる。
特許侵害は「知らなかった」では済まない
故意でなくても特許侵害は成立する。オープンソースを使用していても、特許の問題は別途発生しうる。重要な案件では弁理士に相談することを推奨。
サービス名やロゴは商標として保護できる。商標登録することで、同一・類似の名称を他者が使用することを防げる。
一方、既に登録されている商標と同一・類似の名称でサービスを公開すると、商標権侵害となる。サービス名を決める前に、特許情報プラットフォーム(J-PlatPat)で商標調査を行うべき。
サービス名を決める前に必ず商標調査を行う
ドメイン名が取れても商標権の問題は別。商標登録は区分(業種)ごとに必要なため、自分のサービスに関連する区分を確認する。
ソースコード、デザイン、画像、文章などは著作物として保護される。著作権は登録不要で、創作した時点で自動的に発生する。
OSSを利用する場合はライセンス条件の遵守が必須。MIT、Apache、GPLなどライセンスによって条件が異なる。特にGPL系はコピーレフト条項があり、派生物にも同じライセンスを適用する必要がある。
他者のコードをコピーする場合はライセンスを確認
画像素材の無断使用は著作権侵害。フリー素材でもライセンス条件を確認すること。AIが生成したコードの著作権の扱いはまだ不明確な部分があり、学習データに含まれるコードの権利関係にも注意が必要。
関連資格
知的財産教育協会
国家資格。3級は入門レベルで、知財の基礎知識を体系的に学べる。エンジニアでも取得者が増えており、特許・商標・著作権の実務知識を身につけるのに適している。
公式サイトを見る出会い系サイト規制法
正式名称は「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」。マッチングアプリや婚活サービスなど、異性との出会いを目的とするサービスを運営する場合、この法律の規制を受ける。
以下の要件をすべて満たすサービスが「インターネット異性紹介事業」に該当する:
1. 面識のない異性との交際を希望する者が利用する 2. インターネットを通じて情報を提供する 3. 異性交際に関する情報を受信・閲覧できる 4. 電子メール等で連絡を取り合えるようにする
マッチングアプリ、出会い系サイト、婚活サービス、合コンセッティングサービスなどが該当しうる。結婚相談所型(対面でのマッチング)やSNS(異性交際が主目的でない)は対象外となる場合がある。
「恋愛目的」「出会い目的」のサービスは該当する可能性が高い
グレーゾーンのサービス(友達作りアプリ等)も、実態によっては該当しうる。判断に迷う場合は、所轄の警察署に事前相談を。
インターネット異性紹介事業を行う場合、事業開始前に都道府県公安委員会への届出が必要。届出をせずに事業を行うと、6月以下の懲役または100万円以下の罰金。
届出には、事業者情報、サービス内容、年齢確認方法などを記載する。届出は事業所所在地を管轄する警察署を通じて行う。
無届での事業開始は刑事罰の対象
事業開始前に必ず届出を行うこと。サービスの内容に変更があった場合も変更届出が必要。
18歳未満の者が利用することを防止するため、事業者には年齢確認義務がある。確認方法は以下のいずれか:
- 運転免許証 - 健康保険証 - パスポート - クレジットカードによる決済 - その他公安委員会規則で定める方法
単なる自己申告(生年月日入力のみ)では不十分。確認書類は、書類の一部(生年月日・氏名など必要部分)のみの画像でも可。確認記録は2年間保存が必要。
年齢確認義務を怠ると100万円以下の罰金
生年月日の自己入力だけでは年齢確認の義務を果たしたことにならない。公的証明書や決済情報による確認が必要。
特定商取引法
消費者を保護するための法律。BtoCでサービスや商品を販売する場合、特定商取引法に基づく表記(特商法表記)が必要。記載漏れや虚偽記載は行政処分の対象となる。
以下の取引形態が特商法の対象:
- 通信販売: ウェブサイトやアプリでの商品・サービス販売 - 電話勧誘販売: 電話をかけて勧誘し、契約する取引 - 特定継続的役務提供: エステ、語学教室、学習塾など
ウェブサービスで最も関係するのは「通信販売」。サブスクリプション、デジタルコンテンツ販売、SaaSなどが該当。
個人開発でも通信販売を行う場合は特商法表記が必要
個人事業主でも住所・氏名の記載が必要。一定条件下で省略できる場合もあるが、消費者庁のガイドラインを確認すること。
通信販売を行う場合、以下の情報をサイトに明示する必要がある:
1. 事業者の氏名または名称 2. 住所 3. 電話番号 4. メールアドレス(電子メール広告を送信する場合) 5. 代表者または責任者の氏名 6. 販売価格(税込) 7. 代金の支払時期・方法 8. 商品・サービスの提供時期 9. 返品・キャンセルに関する事項 10. 追加費用(ある場合)
サービスのフッターやヘルプページなど、容易にアクセスできる場所に掲載する。
定期購入サービスの表示に特に注意
「初回無料」「お試し価格」の表示と実際の契約条件に齟齬がないようにする。消費者庁の指導事例が多数あり、特に定期縛りの表示は明確に。
電気通信事業法
電気通信事業を規制する法律。チャット・メッセージ機能など他人の通信を媒介するサービスを提供する場合に届出が必要な場合がある。2023年の改正でCookie等の外部送信に関する規制(外部送信規律)が追加された。
電気通信事業とは、他人の通信を媒介するサービスを指す。以下のようなサービスが該当しうる:
- チャット・メッセージ機能 - メール転送サービス - VoIP(音声通話) - 掲示板・SNS(通信媒介機能がある場合)
ただし、自社サービス内でのみ使用される通知機能などは対象外となることが多い。電気通信事業を行う場合、総務省への届出(または登録)が必要。
SaaSでチャット機能を提供する場合は届出が必要になる可能性がある
無届で電気通信事業を行うと行政指導や罰則の対象となりうる。判断に迷う場合は総務省の相談窓口または専門家に相談を。
2023年6月施行の改正電気通信事業法により、ユーザーの端末から外部にデータを送信する場合(Cookie、広告ID、アクセス解析タグ等)、通知または同意取得が必要となった。
対応方法(いずれかを選択): 1. 公表: プライバシーポリシー等で外部送信の内容を公表 2. 通知: ユーザーに個別に通知 3. 同意取得: ユーザーから事前に同意を得る 4. オプトアウト: 拒否の機会を提供
Google Analytics・広告タグ・SNSシェアボタンも対象
「外部送信ポリシー」を新たに作成・掲載するケースが増えている。自社の規模やサービス内容に応じて対応要否を判断すること。プライバシーポリシーの更新も合わせて行う。
1. 自社サービスが電気通信事業に該当するか確認 - 通信媒介機能の有無を確認 - 「電気通信事業参入マニュアル」で該当性を確認
2. 外部送信規律への対応 - 使用しているサードパーティタグ・SDKを棚卸し - 外部送信ポリシーを作成・掲載 - 必要に応じてCMP(同意管理プラットフォーム)を導入
3. プライバシーポリシーの更新 - 外部送信に関する記載を追加 - 送信先・送信データ・目的を明記