迷惑メールは、ISPや受信者にとって大きな問題であり、現在はさまざまな技術が導入されてきているが、送信者が送ったメールを、ISPが排除することに対する法律的な整合性はどうなっているのだろうか。

インターネット協会が開催した「第3回迷惑メール対策カンファレンス」で、ニフティの木村孝氏と、電気通信事業者を所管する総務省消費者行政課の今泉宣親氏が、特に送信ドメイン認証の導入に焦点を当てて法的な留意点をまとめた。

送信ドメイン認証は、送信者のメールアドレスのドメイン部分を偽装していないか技術的にチェック、認証に失敗した場合はそれを受信拒否するなどの手段を行うものだ。

技術的にはSPF、DKIMが代表的であり、業界団体のJEAG(Japan E-mail Anti-Abuse Group)では技術的な導入手順などについてまとめている。一般的には送信者側のISPがチェックして送信元を明確化、それに対して受信側のISPがチェックを行う。

たとえば送信側では@nifty、Yahoo! Japan、BIGLOBE、IIJ、DTIらに加え、携帯3社(NTTドコモ、KDDI、ボーダフォン)やウィルコムと導入が進んでおり、受信側もYahoo! Japanが認証結果をヘッダーに記述したり、KDDIやBIGLOBEも同様の仕組みの導入を発表したりしているなど、導入が加速しているところだ。

さて、ISPには電気通信事業法により「通信の秘密」「検閲の禁止」といった義務が課せられており、機械的に処理されるとしても、これらを侵害することは許されない。

送信ドメイン認証については、広い意味でフィルタリングに分類されると木村氏。今泉氏によれば、送信ドメインを機械的に認証し、認証成功/失敗といったヘッダーを埋め込むことも「通信当事者(送信者と受信者)の同意なしにラベリングする行為」として通信の秘密を侵害する。このため、ISP側は法的な整合性を確保する必要がある。

これについては、(1)利用者の同意がある(2)業務上必要な「正当業務行為」(3)緊急避難に該当する――という3点のいずれかの条件を満たせばいい。ただし、常時適用されるフィルタリングには「緊急避難」が適用されない、急迫性が必要な「正当防衛」にも当たらないと考えられることから、通常は(1)か(2)に該当する必要が出てくる。

送信ドメイン認証は、送られてきたメールに対して受信側のISPが認証を行い、正当なドメインからのメールかどうかをチェックし、その結果に対してラベリングを行い、迷惑メールであると判断されれば破棄などのフィルタリングが行われる。この行為の法的整合性を見てみよう。

まず、「送信されたメールの認証を行い、ラベリングを行う行為」である。今泉氏は、

• 送信元を偽装した電子メールのほとんどが迷惑メールであること
• 迷惑メールのほとんどが送信元を偽装して送られていること
• 広告宣伝の手段として送信される迷惑メールは、特段の事情がない限り、一時に多数に送信されていると合理的に推定できる

という3段論法から、「送信ドメインを偽装しているメールは、一時に多数に送信されている」と推定。その結果、大量送信される迷惑メールによってサービスの遅延など、業務に支障が生じるおそれがあり、送信ドメイン認証によるラベリングは、そのおそれを減少させることから、(1)「目的の必要性と行為の正当性が認められる」とした。

また「送信ドメイン認証で侵害される通信の秘密は送信ドメインという通信の経路情報」であり、フィルタリングのためにラベリングを行うという送信ドメイン認証の目的が、その目的を達するために「必要な限度を超えていない」点、Outbound Port 25 Blocking(OP25B)や送信数制限といったほかの対策を行っても対応できない迷惑メールがあるという点を考えると、(2)「目的達成のために必要かつ相当な方法と認められる」と指摘。

この(1)と(2)を満たすことで、法で言う「正当業務行為」と解釈できることから、利用者の同意なく送信ドメイン認証を導入しても違法にはならない、ということになる。なお、「送信ドメイン認証が正当業務行為である」と解釈されたことで、電気通信事業法第6条で定められた、不当な差別的取り扱いを禁じる条項にも該当しない、という。

ここまで、ISPは送信ドメイン認証でラベリングを行うことの法的整合性は確認できた。最終的には、迷惑メール(ドメイン偽装メール)とラベリングされたメールを破棄などのフィルタリングすることが可能なのか、という点。

結論から言うと、これは「利用者の同意が必要」となる。これは、ラベリングが「正当業務行為」で違法性がなくても、当事者(利用者)の意志に反して処理する行為が、「通信の秘密の窃用(侵害)」に当たる、という判断だからだ。

送信ドメイン認証の導入に際してISP側は、(1)オプションサービス利用者全員に提供する(2)会員全員に提供するが、デフォルトはオフ(3)全員にデフォルトオンで提供するが、利用者が個別に解除可能(4)全員に提供し、設定が解除できない――という提供形態が考えられる。(4)に関しては法的に利用者から同意が得られたとは認められない。ユーザーが選択して選べる(1)と(2)については同意が得られたと判断されるが、(3)については、利用者が変更可能、設定を解除することで料金が高くなるなどの不利益を被らない、事前に十分な説明があることなどの条件が必要だ。

これらのことから、ISP側は送信ドメイン認証によるラベリングまでは、利用者の同意なく導入を進めてよく、最終的なフィルタリングをするかどうかは利用者に任せることができる。

なお、メールは送信者と受信者の双方が当事者(利用者)であり、「利用者の同意」というと、双方が同意しなければならないように思われるが、送信ドメイン認証は、基本的に受信側の同意のみで提供でき、送信側の同意は不要、というのが総務省の考え方である。

これは、送信者が「送信行為を完了した時点」、つまりメールソフトなどでの送信が終了した時点で、メールは送信者の手を離れると解釈されているためで、送信者が送信を完了して以降の対策である送信ドメイン認証は、送信側の同意が必要ない、というわけだ。

木村氏は、「送信ドメイン認証は論理的に誤判定の問題は生じない」「一部の問題が生じるケースは、後別に対応可能」「送信ドメイン認証を導入しても、正当なメールの送受信には支障がない」「送信ドメインを詐称したメールを、受信者が受信したいケースは、通常あり得ない」といった特徴があるとし、このことを踏まえると、送信ドメイン認証による詐称メールの破棄を全利用者(受信者)に対して適用してもいいのではないか、と主張している。