メインメニューをとばして、このページの本文エリアへ

朝日新聞出版、毎日新聞の「架空予約」報道は「悪質な妨害愉快犯」なのか?

自衛隊に無茶なシステム開発・運営を押し付けたために生じた失態

米山隆一 衆議院議員・弁護士・医学博士

 菅義偉総理が4月27日にワクチン接種加速の目玉として自衛隊・防衛省が運営する東京・大阪の「大規模接種センター(参照)」を打ち出してから1月足らずの5月17日、実際に予約が始まると、大手マスコミの朝日新聞出版のニュースサイト「Aera.dot」と毎日新聞、さらに技術誌である日経xTechが、それぞれ「『誰でも何度でも予約可能』ワクチン大規模接種東京センターの予約システムに重大欠陥(参照)」、「大規模接種ウェブ予約 架空の数字で登録可 券番号も、年齢も(参照)」、「大規模接種予約サイトが架空番号でも予約可能に、対象期間外に予約できる不具合も(参照)」と報じ、あまりの杜撰(ずさん)さに多くの人があっけにとられる事態となりました。

大規模接種センターでの予行演習で、受付に並ぶ民間のエキストラ=2021年5月21日、東京都千代田区の大手町合同庁舎3号館、代表撮影

朝日新聞出版、毎日新聞の報道を批判する政府・自民党

 ところが、これに対して岸信夫防衛大臣は、ツイッターで、
「自衛隊大規模接種センター予約の報道について。
今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。」(参照
と最大限の非難を加えたうえで(日経xTechには何故か言及されていません)、
「他方、今回ご指摘の点は真摯に受け止め、市区町村コードが真正な情報である事が確認できるようにする等、対応可能な範囲で改修を検討してまいります。」(参照
と、指摘された点は真摯(しんし)に受け止めるという、反応を見せています。

 また、河野太郎ワクチン接種担当大臣も記者会見で、
「一部の報道で、65歳以上でない方が面白半分に予約を取って65歳以上の方の予約を邪魔し、それを誇っているかのような行動があったので、自衛隊から抗議が出されたと承知している」
と語り(参照)、安倍元総理もツイッターで、
「朝日、毎日は極めて悪質な妨害愉快犯と言える。
防衛省の抗議に両社がどう答えるか注目。」(参照
とつぶやくなど、政府・自民党は押しなべて朝日(Aera.dot)、毎日への非難一辺倒で、両社に対して、芹澤清・防衛省官房長名の「貴社報道に対する申し入れ」を行ったと報じられています(ここでも、何故か日経xTechには言及されず、申し入れ書も来ていないとの事です(参照)。

賛否をめぐる議論がSNSで沸騰

 これに対して、朝日新聞出版(Aera.dot)は、
「今回の記事は、人の生命・安全に影響を及ぼす新型コロナウイルスのワクチン大規模接種に関する予約システムについて、架空の市区町村コードや接種券番号で誰でも予約ができてしまう脆弱性があり、このシステムを使って重大な不正行為が行われる恐れがあることを指摘したものです。この点について事前に防衛省とシステムの委託先の会社に見解を求めましたが、明確な回答は得られませんでした。取材過程における予約は情報に基づいて真偽を確かめるために必要不可欠な確認行為であり、記事にある通り、確認後にキャンセルしております。65歳以上の接種希望者の接種の機会を奪い、ワクチンを無駄にするものではありません。政府の施策を検証することは報道機関の使命であり、記事は極めて公益性の高いものと考えております」と反論(参照)。

 毎日新聞社も、
「毎日新聞は17日、予約システムについて『架空の数字を入力しても予約できる』との情報を得た。防衛省はシステムのそうした欠陥について事前に公表しておらず、事実であれば放置することで接種に影響が出る恐れもあり、公益性の高さから報道する必要があると判断。防衛省への取材を進めるとともに、記者が実際に入力して事実であることを確認した」と述べ(参照)、気骨のある所を見せていますが、SNSを中心に賛否をめぐって幅広い議論が起こっているので、本稿ではこの問題について論じたいと思います。

驚くべき原始的な仕様

 まず、この問題について、主にSNS上で「システムのセキュリティホールをマスコミが公表するのは適当ではない」という趣旨の議論(参照)がなされています。

 しかし、問題となった朝日、毎日の記事と、なぜか問題視されていない日経xTechの記事の内容を読み、当該「自衛隊東京 | 予約システム」(参照)を確認し(議論を避ける為私はこの画面以上には進んでいません)、接種券の見本(参照)を見る限り、「東京大規模接種センターの予約サイトは、架空番号、対象外地域、対象期間外で予約できる問題」はセキュリティホールでもなんでもなく、ただ単に「そういう仕様」、つまり、①「任意の市町村コードと、任意の接種券番号と、任意の生年月日を入力すれば、それ以上一切の確認はなくそのまま予約をとれるという仕様」の問題だと思われます(そういう意味で、幾らでも予約が取れるのは誤作動でもバクでもなく、むしろ当然の挙動です)。

 さらに実際にこの予約サイトから予約を取った人のツイートを読むと、予約サイトから無事予約ができても、マイページには自らが入力した「市町村コード」「接種券番号」「生年月日」は表示されない事も分かります(参照)。

 つまり東京大規模接種センターの予約サイトは、
①「市町村コード」「接種券番号」「生年月日」に桁だけあった任意の数字を入力さえすれば予約ができる。
②自分が入力した「市町村コード」「接種券番号」「生年月日」はマイページに表示されず後から確認できない。
という仕様なのです。

 率直に言ってこれは、驚くほど原始的な仕様と言わざるを得ません。

大規模接種の「編成完結式」に臨む自衛隊の医官、看護官と民間看護師ら=2021年5月17日、東京都千代田区

仕様から生じる問題とは

 こうした仕様は、少し考えただけで、以下の問題を生じえます。

(a) 報道されているとおり、架空予約が可能。また架空予約をされた場合、架空予約をした人を特定する手掛かりはIPアドレスしかなく、防衛省が打ち出している「法的手続き(参照)」は思いのほか困難。

(b) 悪意がなくても、「市町村コード」「接種券番号」「生年月日」の何れにおいても一定の誤入力が生じる。特に「接種券番号」を誤入力した場合、当該予約が自分のものであることを確認するすべはない。「末尾一桁だけ違う」の様ないかにもありそうな例で、現場で対応に苦慮することになる。

(c) 「市町村コード」については、順次接種対象地域を拡大するとされているなか、意図的・誤りの両方で対象地域外の人が予約を取る事態が生じ得る。この時、接種会場で「対象地域ではない」と言われる事になり、特に意図的でない誤りの場合、接種する、しないで現場で対応に苦慮することになる。

(d) 会場で接種した人の履歴がシステム上で正確に管理され、接種者の自治体の記録に正確に反映される保証はなく、今後の接種歴の把握に混乱が生じかねない。

簡便な修正で対応は可能

 これに対して、岸信夫防衛大臣が言うように、「不正な手段による虚偽予約を『完全に』防止する」(参照)のは確かに容易ではありませんし、それに要するコストと時間を考えたら『完全に』防止すること自体は「適切でない」のはその通りだと思います。しかし、これも少し考えただけで、
)少なくとも「市町村コード」を確認し、接種対象外の地域の番号を排除する、
)少なくとも市町村が発行している「接種券番号」を共有し、「市町村コード」との整合性を含め、無効な番号は排除する、
)少なくとも生年月日を確認し、接種対象でない生年月日を排除する、
)少なくとも自分が入力した「市町村コード」「接種券番号」「生年月日」をマイページに表示し確認できるようにする、
という、極めて簡便で、どうしてやっていないのか理解できない修正で、「完全」ではないにせよ、相当程度に対応可能です。

 これだけで、それこそ「愉快犯」的な架空予約のハードルは相当に上がり、「『完全に』防止する」ことはできませんが、実行する人はかなり減るでしょうし、誤入力や、接種対象地域外の誤予約も激減するでしょう。

 住所、氏名、電話番号、メールアドレスの個人情報はどこまで入力して貰い、どこまで管理するのか、システム構築・管理のコストや時間ともからんで問題になりますが、
)接種券に記載されている住所と氏名を記載し、連絡先のメールアドレスを入力して貰らって、そこで再度予約を確認して貰う仕様にすれば、例えフリーメールのアドレスであってもアドレス取得時に入力した個人情報を用いて、後から捜査機関が個人を特定することが大幅に容易になり、「愉快犯」のみならず「確信犯」も、ほとんど消滅する、

)住所と氏名を記載して貰えれば、接種券番号等の誤入力があっても、現場で接種券と個人のIDを見せる事で本人確認をして接種することが可能になる、
)その後、自治体の接種履歴管理システム(恐らく予防接種台帳だが、現在厚労省のV-SYSと、官邸が今後構築を打ち出した新システムが併存しておりそれ自体混乱している)に情報を統合することが容易になる、

というメリットがあります。

 接種券に記載されている住所と氏名とメールアドレス(インターネットから予約している以上、メールアドレスがないという事態はほとんど想定できません)は、最低限、入力して貰う方がよいと私は思います。

「架空予約」報道は犯罪に該当するか?

 もちろん、これはこれで仕様の追加ではあるので、当然のことながら工数は増えるでしょうが、そもそも菅総理の発表からわずか1カ月弱でシステム全体が完成しており、追加仕様もどう見てもたいした工数とも思えないので、完成までの期間が1、2週間伸びる事があっても、3カ月も4カ月も伸びるという事ではないと思われます。

 システムの運用をスムーズにし、現場の混乱や悪用を防ぐためにこの程度の仕様を入れておくのが、IT技術というものなのであって、そういった工夫(というほどでもないですが)をほとんど一切していないのは、防衛省の失態と言うほかはなく、これを報道するのは当然であると私は思います。

 ところがこれに対して、それこそ安倍元総理の「朝日、毎日は極めて悪質な妨害愉快犯」に始まって、主にSNS上で「犯罪に該当するのではないか」という意見も出ていますので、この点について検討します。

 まず条文上、今回の「報道目的の検証ログイン」が該当しそうな犯罪は、不正アクセス禁止法、電磁的記録不正作出罪、偽計業務妨害罪の三つだと思われます。以下、詳しく見ていきます。

(A)不正アクセス禁止法
不正アクセス行為の禁止等に関する法律(通称「不正アクセス禁止法」)
第2条
第2項 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
第4項 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
①アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
第3条 何人も、不正アクセス行為をしてはならない。
第11条 第3条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
(B)電磁的記録不正作出罪
刑法
第161条の2
人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。
(C)偽計業務妨害罪
刑法
第233条
第1項 虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、三年以下の懲役又は五十万円以下の罰金に処する。

不正アクセス禁止法違反には該当せず 

 まず(A)不正アクセス禁止法ですが、これは、「不正アクセス行為」すなわち、「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号(ID・パスワードなど)を入力」する事などが要件なのですが、上述の通りワクチン大規模接種東京センターの予約システムは、最初から「アクセス制御機能」をまったく有しておらず、識別符号(ID・パスワードなど)の入力を要しませんので、該当しません。

電磁的記録不正作出罪・偽計業務妨害罪には該当せず、が常識的解釈

 次に(B)電磁的記録不正作出罪で、こちらは一見すれば条文に該当しうるようにも見えます。

 しかし、例えば、
「窃盗罪・刑法第235条 他人の財物を窃取した者は、窃盗の罪とし、十年以下の懲役又は五十万円以下の罰金に処する」
において、条文を見る限り、友人の部屋に行ってティッシュ1枚を黙って使うことは形式的には窃盗罪に該当しうるけれど、事情(そもそも友人はティッシュの無断使用を暗黙の裡に許諾しており「窃取」といえない)や、程度(ティッシュ1枚は財物の価値としてあまりに低く「財物」と言い難い)に鑑み違法行為とされる事はないように、あらゆる犯罪は、「事情」や「程度」などを考慮した「事実認定」の解釈次第で成否が異なります。

 判例があるわけではないので断定はできませんが、今回の様に検証目的で架空の予約をし、ただちにキャンセルした場合、「人の事務処理を誤らせる目的」があったと認定することは困難でしょう。

 また、検証目的で一時的にできた(そしてすぐキャンセルして消された)予約情報を「権利、義務又は事実証明に関する電磁的記録を不正に作った」というのも困難で、電磁的記録不正作出罪にも該当しないとするのが、常識的解釈だと考えられます。

 最後の(C)偽計業務妨害罪は条文が漠然としているので、実は最も該当しうる可能性が高いと思われ、SNS上の議論でも比較的多く取り上げられています。しかし、架空の接種券番号の入力を「偽計」と言えるとしても、検証目的で一時的に予約をして直ちにキャンセルしたことをもって「その業務を妨害した」とは言い難く、こちらも該当しないとするのが常識的解釈でしょう。

 このように、(A)不正アクセス禁止法についてはまったく該当性はなく、(B)不正電磁的記録作出罪(C)偽計業務妨害罪については、形式的には該当しうる余地はあるものの、常識的条文解釈では、いずれも該当しないと思われます。

西山事件の最高裁判決の趣旨を当てはめると

 また、仮に(B)不正電磁的記録作出罪や(C)偽計業務妨害罪に、軽微とはいえ該当する余地がありうるとしても、有名な西山事件における、最高裁判決(昭和44年(し)第68号同年11月26日大法廷決定・刑集23巻11号1490頁)「報道機関の国政に関する取材行為は、国家秘密の探知という点で公務員の守秘義務と対立拮抗するものであり、時としては誘導・唆誘的性質を伴うものであるから、報道機関が取材の目的で公務員に対し秘密を漏示するようにそそのかしたからといつて、そのことだけで、直ちに当該行為の違法性が推定されるものと解するのは相当ではなく、報道機関が公務員に対し根気強く執拗に説得ないし要請を続けることは、それが真に報道の目的からでたものであり、その手段・方法が法秩序全体の精神に照らし相当なものとして社会観念上是認されるものである限りは、実質的に違法性を欠き正当な業務行為というべきである」の趣旨を当てはめると、今回の朝日、毎日、そしてなぜか問題視されていない日経xTechの報道は、「真に報道の目的から出た」「手段・方法が社会通念上是認されるもの」であり、「実質的に違法性を欠く(違法性が阻却される)」「正当な業務行為」あるとするのが、民主主義社会として当然の解釈であると、私は思います。

 以上、「東京大規模接種センターの予約サイトは、架空番号、対象外地域、対象期間外で予約できる問題」はセキュリティホールでもなんでもなく、ただ単に「そういう(ぼろぼろの)仕様」であり、これを報じた朝日、毎日、そしてなぜか問題視されていない日経xTechの報道はなんら違法ではないというのが私の結論です。

報道公開された大規模接種センターでの予行演習=2021年5月21日、東京都千代田区の大手町合同庁舎3号館、代表撮影

県をまたいで移動する大規模接種会場は疑問

 ところで、そもそも、一体全体今回なぜこの様な「大騒ぎ」の事態が生じたかというと、その根本的原因は、①どこからどう考えても本業ではない防衛省が、②極めて短期間で、③県をまたぐ広域での大規模接種センターの運営ばかりか、予約システムの開発・運営まで命じられたこと、にあると思われます。

・・・ログインして読む
(残り:約1448文字/本文:約8559文字)