コインハイブ事件意見書 - 2020年4月最終版

コインハイブ事件意見書の公開にあたって

コインハイブ事件では無事に最高裁で無罪判決が確定したのだが、途中、地裁では無罪、高裁ではまさかの有罪判決であった。
高裁判決の判決文は、IT専門職にとっては理解に苦しむような内容であった。

これを受けて、日本ハッカー協会から、意見書の公募があった。
日本ハッカー協会からのコインハイブ事件　意見書ご協力のお願い

上記のページには、呼びかけに応じてハッカー協会に送付された意見書を多数見ることができる。
僕が投稿した意見書も載っている。
のだが、これは初期の締め切りに向けて書いた少々雑なものだった。

ということで、電羊法律事務所に送付した最終版の意見書を、裁判も集結したこのタイミングで公開することにした。

ブラウザは、エクセルのようなローカルにあるファイルを扱うソフトウェアとは、そのセキュリティ思想・設計方針が大きくことなる。
ブラウザは、ウェブページ制作者がどのような機能のコンテンツを提供しようとしているのかを事前に知らないままで使うことが前提となっている。

そのため、ブラウザの機能は、エクセルのようなローカルにあるファイルを扱うソフトウェアと比べ、事前にある程度制約されている。
具体的には、OSを経由してローカルのファイルやフォルダにアクセスすることはできないし、消費できるCPUリソースにも限界がある。
この制約のことを、技術者は、「サンドボックス」と呼ぶことが多い。
「サンドボックス」という言葉が登場する意見書も案の定多かった。

ただ、「ブラウザはサンドボックスなのだから、当然問題ない(自ずとCPUリソース消費は軽微なものとなる)」というような表現は技術者にとっては自明なのだが、非技術者である最高裁判所の裁判官にいきなり理解させることは難しいと考えた。
そこで、最終版の意見書を作るにあたっては、以下のことを特に意識した。

• 一般人が技術について理解しやすいように平易で単純な構成の文章になるようにさらに工夫する
• 「サンドボックス」という言葉で示されているものが何なのかということが伝わるようにし、他の意見書を読む際の助けとなるように工夫する

文章だけで技術について述べるのは、至難だったが、前職で知的財産担当だったということもあり、概念を文章で説明する経験はかなり積んでいたことが助けになった。

あと、以下の本は、文章で物ごとを説明するための方法について述べた良書なので、未読の方にはぜひ読んでほしい。
ライティングは知的スタミナを消耗する作業だが、本書で示された作法で行えば、少なくとも労力は大きく減らせるし、また、同じ労力でもかなり分かりやすい文章を書けるようになるだろう。
『論理が伝わる 世界標準の「書く技術」』

以下の意見書も、上述の書籍で学んだ「パラグラフ・ライティング」を意識して書いている。
分量が多いので気合を入れないと読みきれないだろうと思うが、興味を持たれた方には、細かい部分は良いので、以下の意見書の全体の構成がどのようなパターンを為しているかだけでも掴んでいただければと思う。

コインハイブ事件意見書本文

意見書
令和２年３月３１日
最高裁判所　御中
ガラパゴスタディー有限会社 取締役

ガラパゴスタディー有限会社の小川と申します。
日本IBMでの社内講師等を経て、現在は、自己の利益のために、ウェブページ等で集客し、オンラインのパソコンスクールを経営しております。

この文書は、Coinhive事件(以後「本件」と呼びます)の高裁判決に対する意見書です。

この意見書で、「提供物」とは、ウェブサーバから提供される静的コンテンツ（文字や画像等）および動的コンテンツ（利用者のコンピュータ上で実行されることにより文字や画像等を生成し利用者に供与する、利用者のコンピュータにかかる情報を取得する、あるいは、当該動的コンテンツの提供元やそれ以外のウェブサーバと通信し、通信先ウェブサーバ内の状態を変化させたり、通信先その他のウェブサーバからさらに提供物を提供させたりする、JavaScript等のプログラミング言語で書かれたプログラム）を総称したものです。
「提供者」とは、自身の管理するウェブサーバを経由して提供物を提供する者のことを言います。
「利用者」とは、ブラウザ(ホームページ閲覧ソフト)等を用いて提供物を利用する者のことを言います。

本件の高裁判決について、判決文から、提供物の授受にかかる提供者と利用者での合意形成の状況、技術の仕様とその背景思想についての理解が判事に足りなかったのではないかという心証を抱きました。
そこで、これらの件について整理しつつ意見を述べたく、筆をとりました。

まず、高裁判決文の以下の部分についてです。
判決文では、「一般的に、ウェブサイト閲覧者は、ウェブサイトを閲覧する際に、閲覧のために必要なプログラムを実行することは承認していると考えられるが、本件プログラムコードで実施されるマイニングは、ウェブサイトの閲覧のために必要なものではなく、このような観点から反意図性を否定できる事案ではない」とされています。

これについて、提供者と利用者との間で行われる合意形成の状況について判事に誤認があったのではないかという心証を抱きました。

この件について、整理しつつ意見を述べます。以下の2つの点が関係します。
[1] 一般的に、ウェブサービスでの提供物の授受にあたっては、その範囲について、提供者と利用者とは、事前に特段の合意を交わしません。
[2] 憲法で保証されているとおり、私たちには、自由に表現を行う権利があります。

以下、[1]および[2]の各項目について補足します。

[1] 一般的に、ウェブサービスでの提供物の授受にあたっては、その範囲について、提供者と利用者とは、事前に特段の合意を交わしません。
この点は、見逃されがちですが、特に重要なことです。

たとえば、検索エンジンが検索結果としてブラウザ表示領域に表示する複数のウェブページへのリンクを元にして任意のページに画面遷移するとき、一般的に、利用者は、たとえ遷移先ウェブページが利用者にとって未知のものであったとしても、当該ウェブページを管理する提供者に対して「どのような提供物は受け入れ、どのような提供物は受け入れない」と明示的に意思表示し合意を迫るようなことはしません。

そして、提供物の範囲について特段の合意がないこの状況下で、提供者は、自ら選択した提供物（静的コンテンツ、動的コンテンツ）を利用者のブラウザに送信します。そして、利用者のブラウザは、提供物を取得すると、その表示領域で、静的コンテンツを表示し、また、動的コンテンツを実行します。

本件でも、提供者たる被告人は、利用者から提供物の範囲について事前に制限を受けていません。したがって、「事前に制限を受けたにも関わらずそれを超えて提供物を提供した」という状況ではありません。

比較のために記せば、「Microsoft Office」に代表されるような事前に利用許諾を交わしたうえでパソコンにインストールされるタイプのソフトウェアであれば、「特段の合意を交わしている」のですから、許諾を受けた以上のことをそのソフトウェアが故意に行った場合に、そのソフトウェアの所有者が不正指令電磁的記録に関する罪に問われる可能性もあるかとは考えます。

しかし、本件は、事前許諾のある場合とは合意形成にかかる状況が異なります。
事前の特段の合意がない以上、「ウェブサイト閲覧者が提供物の範囲についてなんらかの事前の制限（承認）をしているのだから、提供者はその範囲を超えた提供を行ってはならない」という趣旨の高裁判決文にある見解は、合意形成状況を見誤ったことから生じた、不適切なものと考えます。

[2] 憲法で保証されているとおり、私たちには、自由に表現を行う権利があります。
この高裁の判断は、表現の自由への制約という点から見ても不適切と考えます。
事前に合意された制約がない以上、提供物に何を含め、利用者のブラウザの表示領域でどのように静的コンテンツを表示し、動的コンテンツを実行させるかといったことは、提供者の自由な表現ですので、制約されてはならないと考えます。
たとえその提供者が行う表現が利用者に知覚できないものであっても、それを理由として、制約されてはならないと考えます。

以上のとおりですので、提供物の範囲について利用者から事前に制約をされていないという点、表現の自由の保護という点から、高裁判決での上に引用した見解は不適当と考えます。

次に、高裁判決文の以下の部分についてです。
判決文では、「不正指令電磁的記録が、電子計算機の破壊や情報の窃用を伴うプログラムに限定されると解すべき理由はないし、本件は意図に反し電子計算機の機能が使用されるプログラムであることが主な問題であるから、消費電力や処理速度の低下等が、使用者の気づかない程度のものであったとしても、反意図性や不正性を左右するものではない」とされています。

これについて、提供者と利用者での合意形成の状況だけでなく、技術の仕様とその背景思想について判事に理解が足りなかったのではないかという心証を抱きました。

この件について、整理しつつ意見を述べます。前記[1]、[2]に加え、以下の[6]までの点が関係します。
[3] 一般に提供物の提供が提供者と利用者との間で特段の合意なく行われるものである以上、事前の合意がなくとも利用者が安全に提供物を利用できる仕組みが必要です。
[4] この安全担保のため、標準的なブラウザでは、動的コンテンツが実行できる機能は技術的に制限されています。
[5] 利用者は、提供物の利用に供するブラウザを自ら選択するということを通じ、提供者が動的コンテンツで実行できることの範囲を暗黙に制限しています。
[6] 提供された動的コンテンツがどのような機能を実現するかに関わらず、この暗黙の制限を不正に超えない限りは、提供者に反意図性、不正性があるとみなすことはできないと考えます。

以下、[3]から[6]までの各項目について補足します。

[3] 一般に提供物の提供が提供者と利用者との間で特段の合意なく行われるものである以上、事前の合意がなくとも利用者が安全に提供物を利用できる仕組みが必要です。
この点については、特に理解が難しいということはないかと思います。
もしも、「ブラウザで提供物を閲覧しただけで、コンピュータ内にあるファイルを盗み見られたり書き換えられたり、あるいは提供者に自由にコンピュータを操作されたりする危険がある」となれば、誰も、提供者から提供物を積極的に取得したいとは思わないでしょう。
ついては、提供物の授受にあたって、利用者の安全を担保する仕組みが必要です。

[4] この安全担保のため、標準的なブラウザでは、動的コンテンツが実行できる機能は技術的に制限されています。
前述の安全担保等の目的でブラウザの標準規格(技術仕様の標準)を決めている団体があります。World Wide Web Consortium (W3C)という非営利の国際団体で、営利企業、非営利団体、大学、政府機関など、450を超える数の法人が参加しています。

W3Cが定める規格(W3C勧告)に沿って作られた標準的なブラウザでは、動的コンテンツ(JavaScript等のプログラム) が実行できる機能は技術的に制限されています。
たとえば、W3Cの勧告に準拠した標準的なブラウザ上では、動的コンテンツを実行しても、以下に挙げるようなコンピュータ内の情報へのアクセス、リソースの消費は不可能です。
・コンピュータ内にあるファイルを見たり書き換えたりすること
・他のドメインのサイトでの利用者の行動履歴を監視すること、たとえば、検索エンジンでの検索履歴を閲覧すること。
・著しく電力を消耗する等、コンピュータのリソースを過剰に消費させること。

標準的なブラウザを使う場合の利用者が安全は、このようにして確保されています。

比較のために記せば、「不可能なこと」として挙げた情報へのアクセスやリソース消費等は、「Microsoft Office」のようなコンピュータにインストールされるタイプのソフトウェアであれば、法的な関係はさておき、技術的には容易に実現可能です。

しかし、ブラウザは事前合意のない、さらに言えば多くの場合は未知の提供者から提供物を受けこれを利用するためのソフトウェアなので、利用者を守る必要から、提供物に含まれるJavaScriptのような動的コンテンツをブラウザで実行したときにできることに前述のような技術的制約があります。

Internet Explorer, Microsoft Edge, Google Chrome, Safari等、数多のブラウザがありますが、これらを含めた一般的な利用者が選択できるブラウザのほとんどはここでいう標準的なブラウザですので、これらを利用する限り、前記の方法で利用者の安全は技術的に確保されています。

ところで、他の方の意見書に「サンドボックス」という言葉がときおり見られます。
「サンドボックス」という言葉は、この制約のことを指して技術者や技術団体が一般的に使う比喩です。
技術の仕様やその背景思想への理解につながるので、ここで、「サンドボックス」という言葉が何をどのように喩えたものなのかということについて述べます。

「サンドボックス」とは、日本語に翻訳すると、子供の遊び場の「砂場」のことです。
大人が、子供に対し、領域を囲われ機能の制約された砂場を供与します。この供与には同時に、「この領域内であればどのような表現 (遊び)をしてもよい(それにより大人の活動に重要な影響を与えるような情報へのアクセスやリソース消費は行われないようになっているから)」という子供への暗黙の意思表示が含まれています。

「サンドボックス」とは、この砂場の供与の様子を元にした、ブラウザに対する比喩です。
利用者が、提供者に対し、領域を囲われ機能の制約されたブラウザの表示領域を供与します。この供与には同時に、「この領域内であればどのような表現をしてもよい(それにより利用者の活動に重要な影響を与えるような情報へのアクセスやリソース消費は行われないようになっているから)」という提供者への暗黙の意思表示が含まれています。

提供者は、自由な表現として、種々の目的のために提供物を利用者に提供します。
たとえば、通信量やコンピュータ上での処理量が比較的多い「動画広告再生プログラム」や、利用者の識別情報を取得して広告配信サーバに通知し、当該情報を基にして広告配信サーバから送信される広告内容を動的に変更させる「ターゲティング広告表示プログラム」、利用者が提供物を利用している間継続的にその利用状況を監視し、専用サーバに情報提供をしつづける「アクセス解析プログラム」等が提供物に含まれていることは今日のウェブサービスでは一般的です。
これらのプログラムの動作の様態は、その実行の様子が即座に利用者に知覚可能なもの、知覚可能になった段階では主要なリソース消費を終えているもの、提供物の利用中は知覚不可能なままリソースを消費しつづけるもの等、様々です。
しかし、くりかえし述べますが、いずれの場合も、ブラウザの持つ「サンドボックス」の制約を超えた情報へのアクセス、リソース消費は、(ブラウザのバグを故意につく等しなければ)その目的や手法の如何によらず技術的に不可能です。

[5] 利用者は、提供物の利用に供するブラウザを自ら選択するということを通じ、提供者が動的コンテンツで実行できることの範囲を暗黙に制限しています。
提供者は、利用者が使うブラウザを選択できる立場にありません。利用者が使うブラウザは、利用者が自ら選択したものです。
利用者がブラウザを自ら選択しているということは、言い換えると、提供者から提供された動的コンテンツを実行してできることの範囲をブラウザの機能的な制約という形で指定しているということです。

ところで、本件で、弁護人は、「ウェブサイトの閲覧の際に随伴されるJavaScriptで記載されたプログラムについては、その実行について使用者の推定的同意がある」と述べています。
ここで弁護人の言う「使用者の推定的同意」とは、本意見書内の表現を用いて言いかえれば、「サンドボックスたるブラウザ内であればどのような表現をしてもよい」という利用者から提供者への暗黙の意思表示内にJavaScriptの実行も含まれるという趣旨かと思われるので、弁護人の主張内容はこの点留意のうえ十分検討いただけますよう、よろしくお願い申し上げます。

なお、利用者のブラウザから提供者のウェブサーバへの通信では、通常、所望する提供物の識別子だけでなく、そのブラウザの種類やバージョン等についての情報も送信されます。
この情報提供は、「どのような技術的制約の範囲で提供物の提供を受けるつもりか」という利用者による暗黙の意思表示の一形態です。(ただし、念の為に述べますが、これは利用者からの意思表示ではありますが、この一方的な意思表示をもって提供物の範囲について提供者との合意が成立したということではありません)

[6] 提供された動的コンテンツがどのような機能を実現するかに関わらず、この暗黙の制限を不正に超えない限りは、提供者に反意図性、不正性があるとみなすことはできないと考えます。
ここまでに述べてきたとおりの暗黙の意思表示をうけ、提供者は、利用者が準備したブラウザが規定する技術的制約の範囲内で自由な表現を行うべく、提供物の提供を行います。

比較のために記せば、「提供された動的コンテンツが、ブラウザのバグを故意につき、ブラウザの機能的制限を超えた動作をした。その結果、本来利用可能なはずのファイルを閲覧されたり書き換えられたり、本来実行不可能なはずのプログラムを実行されたりした」というような事件については、不正指令電磁的記録に関する罪に問われる可能性もあるかとは考えます。

しかし、本件で被告人がCoinhiveによって行ったことは、[1] もとより提供物の範囲について事前に特段の合意がない中で、[5] ここまでに述べてきたとおりの利用者からの暗黙の意思表示をうけ、[2] 利用者が準備したブラウザが規定する技術的制約の範囲内で自由な表現を行うべく、提供物の提供を行ったというだけのことです。
ブラウザのバグをついて利用者の情報を取得しようとしたという類のものではありません。
利用者のコンピュータのリソース消費はありましたが、その程度は軽微であり、前述のような動画広告再生プログラム、ターゲティング広告表示プログラム、アクセス解析プログラム等が実行されたりしたとき、あるいはこれらを除外して考慮したとしても、動画や音声が不用意に再生されたり、あるいは複数の静的コンテンツや動的コンテンツを組み合わせて複雑な表現をブラウザ表示領域上で行おうとする提供物を不用意に提供され、実行されたりした際にも生じる、しかし利用者が自ら選択して利用するブラウザによって影響範囲が技術的に限定されたものです。

以上から、前記判決文後段の「本件は意図に反し電子計算機の機能が使用されるプログラムであることが主な問題である」という法的関係への解釈は不適当と考えます。
正しくは、「利用者が示した意図の範囲内で電子計算機の機能が使用された」というだけにしかすぎません。
ついては、これに反意図性、不正性を見いだせるとする高裁の見解は不適当と考えます。
したがって、同前段にある「不正指令電磁的記録が、電子計算機の破壊や情報の窃用を伴うプログラムに限定されるかどうか」という件にかかる議論を待たずとも、本件で争点になっているプログラムを不正指令電磁的記録とみなすという高裁判決での見解は不適当と考えます。

以上のとおりですので、最高裁判所におかれては、提供物の授受にかかる提供者と利用者との間での合意形成の状況、技術の仕様とその背景思想についても十分に検討のうえで判断を下していただけますよう、よろしくお願い申し上げます。