デジタルデータの窃盗罪というのは、各国の刑法にも存在していない。デジタルデータは「無形財物」なので、形あるものに関する法律は適用されない。また無体財物の窃盗に関する罪は、電力を盗む以外は法整備されていない。
今回、デジタル法制とフォレンジックに詳しい弁護士と意見交換する機会があった。彼のところには「データを盗まれました」との訴えが多く寄せられる。先週紹介した「LockBit3.0」のようなハッカー相手では一企業では対処できないが、増えているのは内部犯行の被害。整理をしたうえで警察に届け出るのだが、警察でも被害連絡が多くなって「確実に立件できそうなもの以外は、対応が難しい」と言われることもあるそうだ。
これは上記のように、デジタル窃盗罪がないゆえの問題ではない。内部犯行でデータの不当な持ち出しのケースなら、内規の違反はもちろん不正アクセス禁止法・不正競争防止法・個人情報保護法などで裁けることがほとんど。
ただ立件のためには、ちゃんとした証拠が無くてはいけない。犯罪を立証するには犯罪があったことを示すものが必要で、これを罪体(Corpus Delicti*1)という。殺人事件なら死体、傷害事件なら傷、誘拐事件なら誘拐された人、窃盗事件なら盗まれた物である。
ここでの罪体は、盗まれたデータにあたる。かの弁護士によると、立件のためには、
・盗まれたデータが、バージョンなど含めて特定できること
・盗んだ人物が、デバイス等に持っているデータと上記が一致すること
・盗むプロセスのログが正しく保持されていること
が必要だという。元データがバージョンアップなどで上書きされてしまうと、証拠にならないのだ。実際にデータ窃取の犯罪は、多くな内部犯行。外部からのサイバー攻撃だけではなく、内部犯行にも目を光らせ、万一の場合は証拠保持を確実にすること・・・システムの管理者のやるべきことは実に広範である。
*1:ラテン語