IT & Information security Journal

  1. UNITIS
  2. セキュリティと法律
  3. サイバー犯罪における米国の証拠開示制度(ディスカバリー)の活用

サイバー犯罪における米国の証拠開示制度(ディスカバリー)の活用

企業が巻き込まれたサイバー犯罪において、米国企業のウェブサービスが利用されていました。米国の証拠開示制度(ディスカバリー)を利用して、当該ウェブサービスのアカウント情報を取得することができますか。

日本での訴訟の証拠収集のために、米国の証拠開示制度(ディスカバリー)を利用することができます。これにより、短ければ数か月で、米国企業からサイバー犯罪に利用されたアカウントに関する登録者情報の証拠開示を受けることができます。

1 サイバー犯罪で利用される米国サービスの類型

サイバー犯罪においては、その過程において以下のような米国企業のサービスが利用された例が見られます。

  1. 脅迫行為やビジネスメール詐欺行為に利用されるGoogle社などのmailサービス
  2. 海賊版サイトとして利用されるCloudflare社などのCDNサービス
  3. 決済手段として利用されるPayPal社などの決済サービス
  4. 業務妨害・名誉毀損で利用されるSNSサービス
  5. 不正アクセスにより窃取した仮想通貨を資金洗浄する取引所・交換所サービス

サイバー犯罪に関与する者がこうしたサービスを利用するためには、アカウントを作成しなければならず、アカウント作成時おいて、氏名・住所・電話番号・クレジットカード情報を登録することがあります。また、アカウント登録時およびサービスの利用時に利用者のIPアドレスが記録されます。
そこで、こうしたアカウントに関連する情報(以下「アカウント情報」といいます)を証拠として開示を受けることができれば、その後の責任追及において非常に有用です。

2 刑事手続の利用に関する問題点

サイバー犯罪が刑法犯であれば、もちろん捜査機関に被害届を提出して捜査を進めてもらうことが最善の方策と言えますが、大きな問題として、アカウント情報が国内ではなく米国にある点です。
証拠が海外にある場合には、一般的には、刑事共助条約(Mutual Legal Assistance Treaty)に基づいて、米国の捜査機関に捜査共助を要請することになります。しかしながら、調査によると 1、米国が受けた共助要請については、共助完了までに平均して約10か月かかるとされており、一定期間の経過をもって消去されるIPアドレスなどの証拠については捜査が間に合わない可能性があります。

3 米国の証拠開示制度(ディスカバリー)

そこで、有効なのが米国の証拠開示制度(以下「ディスカバリー」といいます)です。
一般的に、ディスカバリーは、米国で民事訴訟を提起した後に、公判審理(Trial)の前に実施される証拠開示手続です。
ところが、民事手続合衆国連邦法典第28編1782(a)(標題「外国及び国際法廷並びにその当事者のための援助」)を利用することで、日本において訴訟提起を予定する者は、米国で別途訴訟提起を予定していなくても、ディスカバリーを活用して、簡易迅速に米国企業からアカウント情報の開示を受けることが可能です。
サイバー犯罪に該当する行為の多くは、民事上の不法行為に該当することがほとんどですので、日本において民事訴訟の提起を予定する者としてディスカバリーを利用することができます。

3-1 実体的要件

合衆国連邦法典第28編1782(a)は、裁判所が開示命令の要件として、以下の3つを規定しています。

  1. 申立人が利害関係人であること(it is an “interested person” in a foreign proceeding,)
  2. ディスカバリーが外国裁判所での手続のために用いられること(the proceeding is before a foreign “tribunal,” and)
  3. 証拠開示を求められている者(以下「開示対象者」といいます)が裁判所の管轄内にいること(the person from whom evidence is sought is in the district of the court before which the application has been filed.

以上の法律上の3要件を満たした場合であっても、開示命令を出すか否かは裁判所の裁量となっています(The district court… may order)。

そこで、いかなる場合に開示命令が出されるについては、連邦最高裁 2 が以下の4つの考慮要素を示しているため、実務上、これらの要素を考慮して開示命令を出すか否かを判断されます。

  1. 開示対象者が当該外国裁判の参加者か
  2. 外国裁判所が連邦裁判所の司法援助を受け入れるか
  3. 外国の証拠収集制限等を潜脱する意図があるか
  4. 開示対象の「範囲」が開示対象者にとって不当に侵害的または煩雑なものか

3-2 一般的な手続の流れ

一般的な、ディスカバリーの申し立てからアカウント情報開示までの流れは下記のとおりです。

  1. 連邦裁判所に対して開示命令を求める申立書(Ex Parte (当事者一方だけ) Application)の提出
  2. 裁判所からの命令(Order Re Ex Parte Application For Discover)
  3. 当事者から開示対象者へ召喚状(Subpoena)と命令の送付
  4. 開示対象者が、アカウント保有者へ開示に同意するかの照会
  5. 開示対象者から異議がなければ、開示対象者からアカウント情報の開示
ディスカバリーの申し立てからアカウント情報開示までの流れ

4 米国の証拠開示制度(ディスカバリー)を活用する利点

プロバイダ責任制限法4条1項により開示請求権が規定されていますが、米国企業を相手とする場合には海外送達の必要となるため時間がかかること、また、その開示対象となる情報の範囲も限定的です。
他方で、米国の証拠開示制度(ディスカバリー)は、筆者の実務経験上、現在のところ、1~3か月で証拠開示を受けることができています。また、その開示対象となる情報の範囲も、裁判官次第ではありますが、電話番号やクレジットカード情報も含まれる点でプロバイダ責任制限法4条1項の開示請求よりもその範囲は広いといえます。そして、電話番号は認証情報として、クレジットカード情報は決済情報として登録されているため、虚偽の情報である可能性が低く、これらの情報がサイバー犯罪の関与者の特定にあたってきわめて有用であることは言うまでもありません。

本記事は企業法務ポータルサイトBUSINESS LAWYERS掲載記事を転載したものです。
  • 1 PRESIDENT’S REVIEW GRP. ON INTELLIGENCE & COMMC’NS TECHS., LIBERTY AND SECURITY IN A CHANGING WORLD: REPORT AND RECOMMENDATIONS 227(2013)↩︎
  • 2 Intel Corp. v. Advanced Micro Devices, Inc., 542 U.S.241(2004)↩︎
山岡 裕明

山岡 裕明

八雲法律事務所 弁護士

情報処理安全確保支援士。University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。内閣サイバーセキュリティセンター タスクフォース 構成員(2019~2020年、2021~2022年)。サイバーセキュリティ協議会運営委員会「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」検討委員(2022年~)。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

この記事をシェアする

TOP