(執筆途上)Last Updated:April 28,2019
今回は、ドイツである。
7月20日付けのドイツのメディア「Spiegel Online」はドイツの連邦情報局(Bundesnachrichtendienst :BND)や連邦憲法擁護庁(Bundesamt für Verfassungsschutz :BfV)(注1)と米国NSA等との監視システムの共同化の実態につきメルケル首相や政府首脳の不明確な態度の背景に関し、新たなスパイ・諜報システム(XKeyscore)の存在を前提とした詳しい解析、解説を行っている。
また、筆者はBNDやBfVやドイツの6国防機関の機能・法的根拠など解析とりわけ英国と同様に行政、議会、司法等による監査・統制システムにつき法的枠組み(注2) (注3)の解析作業を一部行った。あくまで建前の説明内容ではあるが(注4)、わが国ではほとんど説明されていない、EU主要国の情報・諜報機関活動の法的根拠などの理解が可能となった。英国と同様に取りまとめ作業に取組んでいる。
さらに7月24日付けの「Spiegel Online」記事は「ドイツ政府は24日、米国が慎重にとりはからった巨大なインターネット監視システムに着目した国連の情報保護規則の強化・改定やセーフハーバー合意の見直しへの取組みを開始:ドイツやEU委員会や主要メンバー、高官の一部は米国とEU関係国間の個人情報交換にかかる条約の見直しの検討開始を希望している」といった記事も引き続き出始めている。
その他、時期は以前になるが2011年5月25日付けの「Spiegel Online」は、ドイツ軍事防諜局(Militärischen Abschirmdienst :MAD)は、ドイツ連邦軍内において連邦憲法擁護庁(BfV)や連邦情報局(BND)と同じ役割を担う情報機関で、BNDや BfVに続く第三番目の連邦レベルの情報機関である)(注5) の存在意義につき、BND等との任務の境界線の不透明化問題をめぐる国防大臣カール・エルンスト・トーマス・デメジエール(Karl Ernst Thomas de Maizière)の発言等を取り上げている。
以上述べたとおり、ドイツはフランスと同様、諜報活動の国民や世界に向けた情報統治の透明性は決して満足が行く内容とは思えない。すなわち、英米的な法統治制度を制度的には保証しながら、その実態は決して民主国家としてのアカウンタビリティを充足しているとは思えない点が、今回あえて取り上げた理由である。
専門家によるより深化したレポートを期待する。
1.連邦情報局(Bundesnachrichtendienst :BND)や連邦憲法擁護庁(Bundesamt für Verfassungsschutz :BfV)の法的任務の根拠
(1)BND の法的根拠と議会、司法等による監査・監督体制
(2)BfV
2.第3の連邦情報機関MADの法的任務
(1)
(2)MADに対する議会等の監視・監督体制の法的問題
3.
*****************************************************
(注1) 筆者は、連邦憲法擁護庁(BfV)から直接2つの情報を得ている。“BfV-Newsletter”と“経済的防衛ニュース(Wirtschaftsschutz-Newsletter)である。特に後者は産業スパイ問題を専門的に取り上げている。
(注2)連邦情報局に関する連邦憲法擁護庁の“Supervision and Control” の英文解説は、(1)Administrative Control、(2)Parliamentary Control、(3)Judicial Control (4)Public Controlという4つの側面から説明している。このようなまとめ方はBNDの場合も同様である。
また、1999年8月22日公表のBNDトップによる英文解説“Bundesnachrichtendienst(Federal Intelligence Service)”を読んだ。機能、組織、司法、議会、行政機関等による監視体制、さらには約6千人以上といわれる専門家集団の実態についても説明を加えている。
(注3) ドイツ連邦情報局法(Gesetz über den Bundesnachrichtendienst :BND法)につき連邦法務省の「連邦法検索サイト」でも英訳はなされていないし、米国連邦議会ライブラリー、大学(ニューヨーク大学ロースクール、ジョージタウン大学法律図書館ほか)のドイツ法の解説サイトでも英訳版は皆無である。
したがって時間の制約はあるが、筆者が仮訳を試みた。(一部のみ訳)
§ 1 Organisation und Aufgaben
§ 1 連邦情報局の組織と任務
(1) Der Bundesnachrichtendienst ist eine Bundesoberbehörde im Geschäftsbereich des Bundeskanzleramtes. Einer polizeilichen Dienststelle darf er nicht angegliedert werden.
(1)連邦情報局は、連邦首相府の職務管轄部門の中の連邦上部機関である。警察の情報部門を組み入れてはならない。
(2) Der Bundesnachrichtendienst sammelt zur Gewinnung von Erkenntnissen über das Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind, die erforderlichen Informationen und wertet sie aus. Werden dafür im Geltungsbereich dieses Gesetzes Informationen einschließlich personenbezogener Daten erhoben, so richtet sich ihre Erhebung, Verarbeitung und Nutzung nach den §§ 2 bis 6 und 8 bis 11.
(2) 連邦情報局は、ドイツ連邦共和国の外交•安全保障政策上の外国についての知識を得るために必要な情報を収集し、それを分析・評価する。これら情報は、本法律の範囲内で個人情報を含め、収集することができるが、それらの収集、処理および使用については、本法第2条から第6条および第8条から第11条に定める。
§ 2 Befugnisse
§ 2 連邦情報局の権限
(1) Der Bundesnachrichtendienst darf die erforderlichen Informationen einschließlich personenbezogener Daten erheben, verarbeiten und nutzen, soweit nicht die anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes oder besondere Regelungen in diesem Gesetz entgegenstehen,
(1) 連邦情報局は、本法律との競合する連邦データ保護法や特別な規則の適用条項がある場合を除き、次の場合に個人データの収集、処理および使用を含む必要な情報を取り扱う。
1)zum Schutz seiner Mitarbeiter, Einrichtungen, Gegenstände und Quellen gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten,
1) 安全保障や諜報活動等を危険にさらされるとき、または従業員、施設、財産や資源を保護するため
2)für die Sicherheitsüberprüfung von Personen, die für ihn tätig sind oder tätig werden sollen,
2)ある人の安全性チェックのために任務したり、任務すべき人々を検査するため、
.
3)für die Überprüfung der für die Aufgabenerfüllung notwendigen Nachrichtenzugänge und
3)任務の遂行あるいはメッセージを理解するために必要なチェックのため、および
4)über Vorgänge im Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind, wenn sie nur auf diese Weise zu erlangen sind und für ihre Erhebung keine andere Behörde zuständig ist.
4)ドイツ連邦共和国の外交•安全保障政策の一環である海外での催しついて、もし連邦情報局が唯一収集できまたは他の権限ある機関がないため収集責任を負うとき
(1a) (weggefallen)
(1a)、(廃止)
(2) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck anzugeben. Der Betroffene ist auf die Freiwilligkeit seiner Angaben und bei einer Sicherheitsüberprüfung nach Absatz 1 Nr. 2 auf eine dienst- und arbeitsrechtliche oder sonstige vertragliche Mitwirkungspflicht hinzuweisen. Bei Sicherheitsüberprüfungen ist das Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867) anzuwenden.
(2)個人情報は、データ主体のもつ知識に基づき収集するときは、その調査目的を示さねばならない。データ主体の声明内容は任意性をもち、サービスや労働に関する法律や協力に関する他の契約上の義務に関する本法第1項第2号に基づき、セキュリティ・チェックを受けねばならない。そのセキュリティ・チェックについては1994年4月20日公布「連邦安全検査法(Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz)7/25(21)(邦連邦官報I、P.867以下)が適用される。
(3) Polizeiliche Befugnisse oder Weisungsbefugnisse stehen dem Bundesnachrichtendienst nicht zu. Er darf die Polizei auch nicht im Wege der Amtshilfe um Maßnahmen ersuchen, zu denen er selbst nicht befugt ist.
(3) 警察の権限または指令発行権限は、連邦情報局は利用できない。連邦情報局には警察権限がないため行政措置の方法を援用することは出来ない。
(4) Von mehreren geeigneten Maßnahmen hat der Bundesnachrichtendienst diejenige zu wählen, die den Betroffenen voraussichtlich am wenigsten beeinträchtigt. Eine Maßnahme darf keinen Nachteil herbeiführen, der erkennbar außer Verhältnis zu dem beabsichtigten Erfolg steht.
(4)連邦情報局は、取りうる措置のうち影響を受ける可能性がある利害関係者を選択する必要がある。意図した結果に比べ明らかに不釣り合いな問題を引き起こす行動を取ってはならない。
*************************************************
(以下、後日、追加する)
(注4) 国会図書館「外国の立法 230(2006年11月)」の「ドイツにおける議会による情報機関の統制」が3つのドイツ連邦情報機関につき解説しているので一部抜粋、引用する。(各機関へのリンクは筆者の責任で行った)
なお、議会等による統制の実態解析がこのレポートの主題であるが、本文で述べた行政、議会、司法等による監査・統制システムの全体像には言及していない。筆者がドイツにつき独自にまとめたいと考えた背景はそこにある。
・ 連邦情報局(Bundesnachrichtendienst:BND):連邦首相府に属し、外国情報を中心とした安全保障上重要な情報の収集にあたる。
・ 連邦憲法擁護庁 (Bundesamt für Verfassungsschutz: BfV):連邦内務省の下部組織であり、自由で民主主義的な憲法秩序に反する組織の監視を任務とし、州の憲法擁護機関と協力しながらドイツ国内の過激組織に関する情報収集を行う。
・ 軍事防諜局(Militärischer Abschirmdienst:MAD):連邦軍の一部局で、軍隊内での防諜活動(カウンター・インテリジェンス)に従事する。
(注5) “MAD”の正式名は“”Amt für den Militärischen Abschirmdienstで、「1990年軍事情報保護法(Gesetz über den militärischen Abschirmdienst(MAD-Gesetz - MADG))」に基づく主要任務は、スパイ情報や破壊工作情報、またテロリストや過激主義者情報の収集およびその解析活動である。
**************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
筆者は過去において多くの機会を割いてカード犯罪とりわけ詐欺社会への警告と対応問題をサイバー犯罪の中核問題の1つとして取り上げてきた。
7月18日、IC3は匿名性を持つプリペイド・カード(ギフトカード)のバーコード情報の偽造、商品窃盗・返金請求詐欺(注1)、ソーシャル・エンジニアリング(注2)および広告サイト・リンク・ソフト(Adware-Chitka )(注3)の変種ウイルスにつき新たな警告を行った。
IC3が指摘する問題の中心は、米国のギフトカードは複数の様式があり、アマゾンなど小売サイトが発行するプラスチック・ギフトカード(physical gift card)、e-mail 発行型、モバイル発行型や店頭やオンラインで購入する方式等が上げられる。この複数の利用方式がゆえに、詐欺師による複数のポイントの不正操作を可能とさせる点にある。
今回のブログは、IC3が取り上げるこれらのギフトカード詐欺等の犯罪手口について、その概要を整理するものである。
1.ギフトカードの不正加工やその利用(Gift Card Tampering)
〔手口1〕
・詐欺師は店舗内にある生ギフトカードをいったん盗む。
・次に、同カードにギフトカード番号とアクセス・コードを入力・記録する。
・詐欺師は入力済のカードを店舗の元の場所に戻す。
・正当な顧客は、同ギフトカードを購入する。
・詐欺師は繰り返しすでに内容を盗み取ったギフトカード番号に基づき、残高ポイントをチェックする。
・いったん保有者に利用可能残高につき注意喚起がなされると、詐欺師は直ちにオンラインで残高ポイントの消費を開始する。 (注4)
〔手口2〕
・詐欺師は小売業者が発行したギフトカードのバーコード情報を不正に取得する。
・次に、UPSジェネレーター(米国商品流通コード作成)・ソフトウェアを使ってコピー版のUPSステッカーを作成する。(このコピー版ステッカーは詐欺師のオリジナル・ギフトカードの内容と合致する)
・詐欺師はそのコピーカードを店舗の未使用カードに貼り付ける。これら情報盗取詐欺師は、アクセスコードやPINの不正操作に習熟するとともに未使用カードの封印を壊さずにギフトカードの不正加工技術を習熟してきている。
・正規の顧客はそのギフトカードを購入し、そこでの新たなポイント残高情報はオリジナルギフトカードの残高に移行する。
・詐欺師は繰り返しアクセスコードやPINを用いてポイント残高をチェックする。
・いったん保有者に利用可能残高につき注意喚起がなされると、詐欺師は直ちにオンラインで残高ポイントの消費を開始する。
〔手口3〕
・詐欺師は店舗内でギフトカードのバーコードの写真を撮る。
・詐欺師は、フリーウェアーのオンラインプログラムを使って一次元バーコード(左)を2次元バーコード(右)に変換する。 
・詐欺師は、店舗内で使用する偽のモバイルギフトカードを作り出すため発行者のモバイル・アプリの動画作動画面と二次元バーコード内容を結びつける。
・正規の顧客は偽造されたギフトカードを購入する。その購入残高(マスターカードの残高)はクローン・バーコードに記録され、ギフトカードの裏面に表示される。買物するたびに正規カード残高は書き換えられない。マスターカードと同じ情報を記録するクローンカードのステッカーが書き換えられる。
・詐欺師は繰り返し発行者のウェブサイトのカード残高のチェックするか、または呼び出し手に対し照会番号ガイダンスを行う発行者の双方向音声システム(Interactive Voice Response)を使って連絡する。
・いったんロードされた残高につき注意喚起がなされると、詐欺師は直ちにクローン・カードを換金してしまう。
2.商品窃盗(Merchandise Theft)と返金詐欺(Return Fraud)
・まず詐欺師は店の商品を盗む。
・詐欺師は返金手続き(注5)のため店の顧客サービスカウンターに持ち込む。その際、「領収書なしの返金(No receipt return)」(注6)手続きを申し入れる。
・不正使用回避のため本人確認のため「運転免許証」のコピーが行われるが、多くは偽の免許証である。
・詐欺師は返品した商品と同額のギフトカードを店から受け取る。
この手口はマネーロンダリングのマネーミュールに似た物といえる。(つまり、複数の窃盗犯や返金詐欺犯が関与している点である)。
・詐欺師は無料広告サイト(classified advertisement websites)を使って再販業者に転売する。その再販業者は小切手の現金化店舗(check cashing stores)など二次市場でカードを販売したり、麻薬取引に使用する。
・ギフトカードは他のカードを購入するための洗浄機能のために購入される。
3.ソーシャル・エンジニアリング
・ギフトカード所有者は無料広告サイトを通じてオンライン販売を試みる。
・詐欺師はギフトカードの所有者を“buy”と呼ぶ。
・詐欺師は売り手に対し、カード残高確認と詐欺師・カード所有者と商人の3者間の双方向音声システム(Interactive Voice Response)を活用する点を強調する。
・売り手はギフトカード換金番号を電話して残高を確認するためカード番号とアクセスコードを入力する。
・詐欺師はギフトカードとアクセスコードの入力時にソフトウェアを利用する。
・詐欺師はオンラインでカードの残高を使用する。
4.アドウェア・ウィルス
IC3は“Chitka”という広くいきわたっているアドウェアウィルスの変種に対する注意を向けている。このウィルスの被害はこの数ヶ月前から確認されているが、最近IC3は“Chitka”の作動内容につき情報を受け取った。
このウィルスは、バナー広告を利用し、閲覧者がクリックすると収入が発生させるよう感染させるよう設計している。この変種ウィルスはブラウザの設定、レジストリー・キー、ウィンドウズのホストファイルを編集する機能を持つ。
・さらに、この変種ウィルスは追加的ウィルス、事前認証やユーザーがブラウジング中のクッキー検索機能等をダウンロードさせることが判明した。
******************************************************************************************************************
(注1) 店頭販売で購入した場合にもクーリング・オフ制度の活用をと思われがちであるが、クーリング・オフが適用される場合は、「電話勧誘」や「訪問販売」などにより、始めは購入者側の意思ではなく、販売者側からの突然の働きかけにより商品を購入した場合に限られる。
購入者側の意思で販売者側に働きかけ、商品を購入した場合(購入契約を結んだ場合)は、不良品だった場合や誤出荷の場合を除き、返品・交換はその店のサービスとなり、あくまで店側は返品に応じる義務はない。
なお、参考までに「通信販売の返品ルール」につき補足する。(国民生活センター「2009年特定商取引法改正のポイント」から一部抜粋。法律、省令は筆者が正式名に変えた)
通信販売業者が返品特約を広告に表示していない場合は、商品到着後8日以内であれば、送料消費者負担で返品が可能になりました。返品特約を表示する場合は、消費者が見落とすことがないように、広告の目立つ場所にはっきり記載しなければなりません。返品の可否、条件、返送料の負担の有無を分かりやすく表示することとされている。(特定商取引に関する法律第11条第4号、同法第15条の2、省令(特定商取引に関する法律施行規則)第8条第1項)
これはクーリング・オフとはまったく別の制度です。通信販売にクーリング・オフはありません。返品に関して表示がない場合には返品できますが、「返品不可」との表示がある場合は返品できません。また、返品の条件について記載があれば、その内容に拘束されます。
(以上のほか、特定商取引法の解釈や各種サービスに係るガイドラインにつき、詳しくは消費者庁「消費生活安心ガイド」サイトで確認されたい)
(注2)“Social Engineering ” とは、ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの「社会的」な手段によって、パスワードなどのセキュリティ上重要な情報を入手すること。パスワードを入力するところを後ろから盗み見たり、オフィスから出る書類のごみをあさってパスワードや手がかりとなる個人情報の記されたメモを探し出したり、ネットワークの利用者や顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す、などの手法がある。個人確認が不十分だったり、組織内部での機密情報の管理ルールが不完全だと、この手法によって容易に機密が漏洩してしまう。(IT用語辞典e-Words から抜粋)
なお、より専門的な説明としては“CSO Online”の解説サイトを参照されたい。
(注3)“Adware-Chitka” とは、Webコンテンツの作成者が訪問者に広告を見せる際に参照するJavaScriptファイルをいう。なお、マカフィーは「さらなる分析の結果、このスクリプトは現在、McAfeeの有害な可能性のあるプログラムの基準を満たしていないと判断されました」と安全性価判断しているが、筆者はこの判断につき疑問を持つ。
また、マイクロソフトは、ユーザー向けコミュニティサイト“Microsoft Community”において「How to remove “chitka”popups」に関する手順解説を行っている。
(注4) ここの部分の正確な理解は難しい。筆者なりに米国金融機関による“alert”を顧客に送信する場合とはいかなる場合を指すのかにつき利用規約等にもとづき調べてみた。結論を言うと、要するにカードホルダーに対する利用可能残高通知兼利用開始通知と考えるべきであろう。
参考までにTCF Bankの貸越警告通知文を見ておく。
Be aware of your available funds
-
What is my “available balance?”
Your available balance is the amount that is available for withdrawal from your account. Generally, your available balance is deposits minus withdrawals, transfers, debit card authorizations, and fees.
Checks you deposit are not immediately available for withdrawal. Therefore, part of any check you deposit may not be included in your available balance for several days. See TCF’s funds availability schedule for more information.
When you use your debit card and TCF authorizes the transaction, TCF temporarily reduces your available balance by the amount of the authorization, even though the money does not come out of your account at that time. This reduction generally lasts for 3 business days unless the transaction reaches TCF for payment sooner.
When TCF reduces your available balance because of a debit card authorization, there is less money available to pay other transactions. This could cause your account to be overdrawn when it otherwise might not be.
Please note that debit card transactions can reach TCF for payment sooner than, or later than, 3 business days. They can also be for an amount different from the amount we authorized. Therefore, you should keep careful track of your debit card transactions, as they may not all be reflected in your online account balance
(注5) 米国の通販ビジネスにおける「返金・交換システム」利用規約(policy)文言例。
米国大手通販「ThinkGeek.com」は、Geekと呼ばれるほどのコンピュータやITテクノロジ、エレクトロニクス好きな人々をターゲットにしたガジェット、コンピュータ周辺機器、衣料品、菓子類、雑貨等の商品を企画・販売している米国最大手の通販サイトである。
その“Return Policy & Procedure”の解説文言部分を一部抜粋する。
Can I just exchange my items for new ones?
At this time, we do not process even exchanges. If you need a different size or color of an item you ordered, when your return is received, you will be issued a gift certificate (store credit) for the amount of the item.
(注6) 日本のギフトカード換金・未使用残高の返金に関する規約文言例
「ギフトカードの換金・返品・未使用残高の返金はできません。ギフトカードは有効期間中、カード残高の範囲内で何度でもご利用いただけます。ギフトカードの利用可能ポイントよりも安い商品と交換された場合は、有効期間中に、未使用残高で交換可能な商品との交換をお願いいたします。」
しかし、このような規約文言の法的に見た適法性に関しては、なお多くの疑問が残る。時間の関係で今回のブログでは詳しく論じないが、英国メディア“Guardian”の2008年12月20日付け記事「No receipt? No problem, you can still get a refund」の要点を紹介しておく。
・販売店はしばしば「領収書がなければ返金や返品は出来ない」という規約文言を試みる。単に購入者が色が好きでないという理由である場合、いかなる店も、商品の交換や返金に応じる必要はない。しかし、商品に欠陥があった場合には、販売店は領収書を要求する権利を持たない。クレジットカード利用控えやカード請求書―そのように製品を購入したとき立ち会っている人が証明するのみで法的には十分である。
・「特売品については返品は出来ません」という通知文言も不適切である。
買い手が単に気が変わったのであれば、店は特売品を交換する必要はないが、購入した商品が不完全品であるなら、消費者はいつも返金や完全な商品を要求する完全な請求権を持つ。それらが販売された価格の金額の高い低いは重要な問題ではない。
・また、不完全でない商品の返品にかかる返品費用請求(返品送料とは別に請求)も違法である。
**************************************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.