新型ウィルスとコンピュータ・ウィルス
新型コロナ・ウィルスによる感染症が、世界中を不安にさせています。コンピュータ・ウィルスが主原因であるサイバーセキュリティ事案は、病原体としてのウィルスのアナロジーで語られることが多いのですが、果たして両者はどこが似ていて、どこが違うのでしょうか? 今回の騒動は未だ収束していませんが、渦中にあるからこそ自覚できる事柄もあるので、今後のための備忘録としてまとめておきましょう。
・メカニズムが分からず確率論の世界になる
今回の2019新型コロナ・ウイルス(Covid-19)は、感染力がかなり強い反面、発症率はさほど高くないといえます。しかし、検査体制が整っていない中で発生し、潜伏期間が数日から2週間程度あるので、その間に感染が拡大したと思われます。加えて、検査陽性者の80%は自覚症状のないまま、あるいは軽症のまま治癒するものの、一部はその間にも感染源となっているようです。
更に、死亡率は現在進行形で確定できませんが、約2%~3% 程度と言われ、2002年に発生した「重症急性呼吸器症候群(SARS)」(約10%)や2012年以降発生している「中東呼吸器症候群(MERS)」(約30%)に比べると1桁下で、一般的なインフルエンザ死亡率の1%未満に近いものですから、それほど心配すべきものではなさそうです(ただし、私のような高齢者は要注意です)。
それにもかかわらず、世界中が不安に包まれている現象は、航空輸送の発達で商用・観光を問わず人的交流が活発になった結果、中国を発生源とする病気が瞬く間に世界中に拡散するので、「他人事」とはいえないためでしょう。しかし、より根本的には、ウィルスが人の健康に及ぼす害悪のメカニズム(いったん罹患すれば抗体ができて安全なのか、免疫力が低下すれば再発するのかなど)が解明されていないためと思われます。
そのため、簡便な検査キットや安価で保険が適用される治療薬が未開発で、「医者にかかっても治るかどうか分からない」という不確実性が不安心理を助長しているのです。「予防手段はインフルエンザ対策と変わらない」と言われても、「人から移されるのは不運と諦めよ」という確率論的状況では、不安が募るばかりです。それがマスクの不足だけでなく、トイレット・ペーパー騒ぎなど一種の「パニック」に近い状況を生み出しています。
しかも、経済も政治も「心理」で動く要素がある以上、パニックが現実を動かしてしまう危険があります。株価の乱高下はその象徴でしょうし、外出しない・買い物をしない・イベントや旅行は回避する、といった行動が広まれば、それこそ実体経済が悪循環に陥ってしまいます。公衆衛生やリスク管理の専門家は「正しく恐れる」ことを推奨しますし、それはそれで正しいのですが、忠告通り実践するのは「言うは易く行なうは難し」の落とし穴にはまってしまいます。
・ベスト・エフォートからベスト・プラクティスへ
ここで大切なことは、「不可能を強いる」ことではなく、「出来ないことは認めて将来の改善に期待する」ことではないでしょうか? リスク管理の教科書で「後知恵」(hindsight)を戒めているのは、大事な点だと思います。「後知恵」は知恵として蓄積する必要がありますが、リスクに直面している現時点では「やるべき手を尽くす」ことと、その「正確かつ客観的な記録を取る」ことに、全力を集中すべきでしょう。
「やるべきことをすべてやる」「正確で客観的な記録を残す」を両立させることは、簡単なようでいて、意外なことにわが国ではほとんど実績がありません。そこには2つの課題があり、まず1つは、今風に言えば「インスタ映え」するか否かです。医療現場で治療に携わることは使命感に訴えるものだし、テレビで報道されるかもしれません。つまり「インスタ映え」の要素があります。これに対して現場で記録係を命ぜられたら、意気消沈するかもしれませんし、少なくともテレビ報道には向かない地味な仕事ですが、これも医療行為と同等の重要性があるのです。
この点を敷衍すると、連載の第52回で紹介した「失敗学の失敗」という第2の課題が浮かび上がります。わが国においては、チェック・アンド・バランスの重要性に対する認識が薄く、「監査役」を「閑散役」として遊ばせています。しかし、西欧先進諸国のコーポレート・ガバナンスでは、監査役会が最高意思決定機関であるドイツ型や、取締役が執行役と分離されて監査役と変わらないアメリカ型、などが主流です。つまり、これらの国々では「業務の執行」には不正や不当事項が含まれる危険を認識し、その最小化の仕組みを組み込もうとしているのです(それでも不正・不当は無くなりませんが)。
その際に大切なことは、何よりもまず「正確で客観的な記録を残す」ことです。そのような国々では、わが国で起きるような「記録係はやりたくない」といった風潮とは違った文化があると思われます。残念ながら、そのような文化的背景に欠けるわが国で、「失敗学」を導入しても、その証拠が集まらなかった、というのが連載52回の教えでした。
この点は、次のように言い換えることもできそうです。インターネットが普及する過程で、標語の1つとしてbest effortが流行しました。それ以前のguarantee型ネットワークは、端から端まで(end-to-end)電話会社が接続を保証する一方で、コンピュータを接続して良いか否かなどを一方的に決めるシステムでした。インターネットはそうしたお仕着せを改めて、利用者がエンドにコンピュータを置いて、誰と接続するかも含めて自由に接続できる(同じエンド・ツー・エンドをe2eと書きます)システムに変更し、同時に接続保証もbest effortで良いとしたのです。
しかし、ベスト・エフォートは、「保証システムではない」というだけで、それ自体から品質レベルが示されるものではありません。事実、「自律・分散・協調」を旨とするインターネットのアーキテクチャの脆弱性を突いて、次々とサイバー攻撃(ウィルスを含む)や有害情報の流布が繰り返されるようになってしまいました。そこで現在では、best effortという語は次第に使われなくなり、サイバー対策ではbest practiceという語が使われる頻度が高まっています。前者は静的ですが後者は動的な概念で、攻撃に対して良かれと思う施策をその都度実施し、その経験が有効ならマニュアルやガイドラインなどに収録して、その後の普及を図るというものです。
新型コロナ・ウィルスに対する、一見対症療法に過ぎないと思われる施策も、このような文脈で見ると、将来に向けての経験の蓄積と評価できる面があるのではないでしょうか。そのためには、「正確で客観的な記録を残す」ことが不可欠です。
・専門特化した学問は総合し実践しないと役に立たない
退職して「毎日が日曜日」になったので、暇に任せてテレビを見ていると、新型コロナ・ウィルスに関して専門家という肩書の人が多数登場し、興味を惹かれました。その数の多さにも驚きましたが、更にびっくりしたのは専門家の「専門」が細分化していることでした。研究者と臨床医の違いはもとより、同じ研究者でも疫学研究者とワクチン開発者の間、同じ臨床医でも呼吸器系の医師とその他の部門の医師との間、あるいは大病院の医師と診療所の医師の間、などの随所に「見えない壁」があるのを感じました。
これは批判すべきことではなく、学問や治療体制が進歩した結果の必然で、それほど専門分化していればこそ、最先端の治療や予防が可能になっていると、ポジティブに捉えるべきでしょう。しかし、このことは逆に「専門家とは誰のことか」という疑問を生み、特に「専門家会議」に緊急対策策定のかなりの権限を委ねざるを得ない現状では、「有識者として誰を選任すべきか」がカギになることを暗示しています。私も有識者の一人として、サイバーセキュリティ戦略本部員を務めた経験から、他人事とは思えませんでした。
今回の専門家会議の人選でも、政府はバランス論に十分配慮したことと思われますが、テレビの解説から垣間見た限りでは、上記の「見えない壁」がある種の支障になっていることは、否定できないように思われます。そして、この点は、アメリカの疾病対策センター(Center for Disease Control and prevention)のような常設機関がないと、克服できないように思われました。
このような感慨を抱いたのは、サイバーセキュリティに特化した政府機関である内閣サイバーセキュリティセンター(NISC = National center of Incident readiness and Strategy for Cybersecurity)との長い付き合いがあるからかもしれません。わが国のサイバーセキュリティ対策は、先進諸国に比して遅れていることは否めませんが、NISCがその前身を含めて約20年間にわたってサイバーセキュリティに特化し、そこに専門は違うがセキュリティ対策という共通の目的を持った人材を結集してきた実績は、何物にも代えがたい財産(特に、内閣官房に置かれていながら、GSOC = Government Security Operation Centerという現業部門を内部に抱えていることは、実践の重要性を忘れない決め手)になっています。
技術革新と学問の進歩に伴って、一人が決められる専門分野は次第に狭くなっていきます。それは「やむを得ない」とする一方で、タコつぼに陥らず、関連分野の専門家と広く交流を深め、総合的な判断ができる体制を整備することが如何に大切かを、新型コロナ・ウィルス事件が教えてくれたような気がしています。
・サイバーの世界も同じだが、自然現象と故意とは違う
以上を要約すると、「メカニズムが分からず確率論の世界になる」「ベスト・エフォートからベスト・プラクティスへ」「専門特化した学問は総合し実践しないと役に立たない」の3点は、病原体としてのウィルス対策にも、コンピュータ・ウィルス対策にも共通の重要事項である、ということになりそうです。
しかし、病原体としてのウィルス対策が、自然現象であり人の意思に無関係である(生物兵器としての利用は別ですが)のに対して、コンピュータ・ウィルス対策は、クラッカーという故意犯の行為に対するものである点で、大きな違いがあります。
その限りで、刑法的・犯罪学的あるいは刑事政策的配慮が必要になるからです。前述の3つの共通項のうちでも、「ベスト・エフォートからベスト・プラクティスへ」をそのまま適用できず、刑事政策の視点からは「投資効果を無視してでも非違行為を抑止せよ」という強い要請が出るかもしれません。
このように、ウィルス・アナロジーは十分に役に立つものですが、analogical = identicalではあり得ません。この連載の随所で「所有権アナロジーの限界」について述べたように、法学におけるアナロジーやメタファーには、効用と陥穽とがあります。効用はすぐにわかるのですが,陥穽の方は時として忘れやすいので、十分な注意が必要だと説く学者も多いのです。この連載の前々回(第55回)に紹介した田村さんが、松浦好治さんの『法と比喩』(1992年、弘文堂)を引きながら、その懸念を述べていることにも留意したいと思います。