既に公判が始まっているCoinhive事件について何かを書くのは遅すぎるような気がするが、出遅れたことは気にせずに思うところを書く。

CoinhiveとはJavaScriptで書かれた仮想通貨のマイニングプログラムのことだ。Webサイト内に埋め込んでおくと、ユーザーがブラウザで表示する時にブラウザ内で実行され、ユーザーのブラウザのサンドボックス内で実行されて、ユーザーのコンピューターリソースを使って仮想通貨を掘削する。掘削結果はWebサイトに返され、掘削に成功していた場合はその結果、Webサイト運営者が仮想通貨を手に入れることができる。これを設置したことが犯罪行為に当たるかどうかが、現在裁判で争われている。

この事件の被告になった方を擁護する見解の多くが、警察の主張を認めるとCoinhiveに限らずJavaScriptを使った広告の全てが犯罪ということになってしまうという視点にたっているように思える。この問題を理解する上で一番大事であろう高木先生の解説をリンクしておく。

懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2

あらかじめ言っておくと、高木先生の解説は筆者も同意するし、不正指令電磁的記録が拡大適用される危険性については指摘の通りだと思う。しかし、この高木先生の（いささか専門的で理解が難しい）解説を根拠に、CoinhiveとJavaScript広告は本質的に同一のものと言ってしまうのは、どうも大事な部分が抜け落ちているように思える。両者は部分的には全く同一の性質のものと言えるけれど、だからと言って全体が同一のものだと考えるのは短絡的である。

Coinhiveにおいて最も大事な点は、最終的にサンドボックス内で計算することによって得られた掘削結果をCoinhive設置者に送り返さないといけないということだ。でなければ、サンドボックス内にいくら成功した掘削結果があったところでCoinhive設置者はそれをマネタイズすることは出来ない。ここに単なる広告とCoinhiveの本質的違いがあると思うのである。

一つには、ユーザーの同意なくユーザーのコンピューター内にある情報を外部に送信すれば、それは直感的にはプライバシーの侵害に当たるのではないだろうか。一般的にこのようにユーザーの知らない間にコンピューターから情報を外部に送信するプログラムのことをスパイウェアと呼ぶ。Coinhiveもユーザーの同意なく掘削結果を送信した時点でスパイウェアと同等だと見なせるのではないだろうか。

しかし、この視点の理解を難しくするのがブラウザ内のサンドボックスの仕組みである。ブラウザで実行されるJavaScriptはサンドボックス外の情報にアクセスすることが出来ないので、もしサンドボックス内のJavaScript広告がサンドボックス外の情報を盗み出したとすれば、それは明らかな不正アクセスである。盗み出したデータがユーザーの個人的な情報であれば、それはまさしくプライバシー侵害である。

では、サンドボックス内でユーザーのコンピューター資源を利用して計算されたデータはどうだろう？これは非常に難しい問題である。サンドボックス内のあらゆるデータはユーザーのものであるとすれば、ユニークなIDを生成して外部に送信してトラッキングする広告もダメということになるし、サンドボックス内に外部から勝手にダウンロードされた児童ポルノがあればユーザーが不法所持に問われることになるかもしれない。しかし、逆にサンドボックス内はユーザーのものではないということになると、今度はサンドボックス内では何をしても構わないということになる。どこか中間に合理的な線引きを行う基準が必要であると思うが、設定の仕方によっては不正指令電磁的記録の解釈と同様にまずいことになると思われるだけに、高木先生におまかせしたい部分ではある。

もう一つの気になる点は、Coinhiveが掘削結果を送信する行為は窃盗には相当しないのか、という点である。もちろん、Coinhiveがユーザーの演算リソースを消費したことそのものが直接窃盗に問えないことは高木先生の指摘する通りであろう。また、掘削の結果が失敗であった場合、その時点でユーザーから拝借したものは演算リソースだけなので、なんら実質的な窃盗行為は生じていないと解釈できるだろう。しかし、掘削の結果が成功であった場合はその限りではない。成功した掘削結果は（他者に先を越されるまでの時間制限はあるものの）それ自体が仮想通貨と引き換える事が出来る資産である。億り人ブームで仮想通貨の資産価値が実際に課税対象として扱われることが確定した現時点では仮想通貨に引き換えることが可能なデータはまさしく資産価値を持っているデータと言えるだろう。ということは、これをユーザーの合意なく勝手に設置者が入手することはユーザーから実際の財物を窃盗したと見なされうるのではないだろうか。でなければ、Coincheckから仮想通貨を窃盗した犯人は不正アクセスの罪には問われても窃盗の罪には問えないということになりかねない。

ここでまた、サンドボックス問題である。この財物はサンドボックス内で生成されるわけであるから、サンドボックス内の情報の所有権がユーザーにあることが確定していなければユーザーからCoinhive設置者が盗んだと結論することは出来ないかもしれない。しかし、ユーザーの計算リソースを用いて生み出された情報がユーザーのものではないというのは直感的にはおかしい気がする。とはいえ、現状でサンドボックスだからという特別扱いが法律的に存在しない（と筆者は認識している。間違っていたらごめんなさい）以上、サンドボックス内であろうと資産価値のある情報を外部に送信する行為は窃盗に相当しうるのではないかと筆者は思う。

というわけで、筆者はCoinhiveは本質的にはJavaScript広告と変わらないという意見に賛同することは出来ない。不正指令電磁的記録に該当するかどうかだけを争うのであれば区別は出来ないかもしれないが、多分にプライバシー侵害と財物窃盗の要素が存在するJavaScriptである。もちろん、この行為が明白に違法であると言えるかどうかは法律の専門家の判断を仰ぐべきではあるが、JavaScript広告と同じだからなんら問題はないという暴論はどうかと思うのである。

あらためて言うけど、警察の不正指令電磁的記録だとして検挙したやり方は無理筋だと思う。この点で争うことに関しては、無罪という判断が出ることを切に願う。

2020.2.11追記

地裁で無罪となった本件が、高裁では一転、有罪となった。地裁ではCoinhiveは形式的には不正とは見なせないという判断であったが、高裁では形式的判断ではなく実態に基づいて不正かどうかを判断すべきという立場で不正とされた。この判例が拡大解釈されて取り締まりが拡がるのではないかという不安は確かに同意するが、高裁で不正と見なした理由について、ユーザーのリソースを用いて採掘した仮想通貨による利益がユーザーに一切知らされずにCoinhive設置者に独占されるという点を重く見たことは大事だと思う。この行為が窃盗という犯罪であるという判断ではないが、窃盗に類する動作を行うということが不正だと考える判決は、本ブログで提起した疑問点と同じ疑問を裁判官が持っていたということであり、その点については歓迎したい。