« 高裁、ニッポン放送の抗告を棄却 | トップページ | 今週の裁判 »

2005.03.25

ACCS不正アクセス事件・有罪

ITmedia News より「元研究員に有罪判決 ACCS不正アクセス事件」

コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の判決公判が3月25日、東京地裁であった。青柳勤裁判長は懲役8カ月、執行猶予3年(求刑・懲役8カ月)の判決を言い渡した。

この事件のいきさつについてはここ。
ACCS の「著作権・プライバシー相談室」というサイトに質問を寄せたユーザの情報が外から丸見えであることを指摘した研究員を不正アクセス禁止法で逮捕したというのである。

調べでは、研究員は2003年11月、ACCSが著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付けるために設けた「ASK ACCS」のサーバに侵入、相談を寄せた個人の情報を不正に入手した疑い。 研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
検察側は「機密情報にアクセスしたのだから不正アクセスだ」といった程度の判断のように感じるが、弁護側の主張は「不正アクセス禁止法では、非合法にパスワードを入手してアクセスする場合に適用するべき」といった主張であった。 しかし、個人情報をイベントでプレゼンすることに正当性があるのか?という意見は当初からあった。今回の判決はこの点について
青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。
いささか乱暴というか安定性つまり説得力に欠ける判決であるように感じます。 確かにセキュリティを確保する側がありとあらゆる穴を塞いでおくべきである、とするのはセキュリティを確保するために過大な負担を負わせると感じるが、「不正アクセスが無いと思うから」ということで全くの無防備である場合にはサイトの方に責任があるのも異存の無いところだろう。 つまり、ここのバランスについて判定するべきなのだが、それを「CGI経由は・・・」というのでは、ちょっとサイト側に甘すぎるのでないだろうか?第一ほぼ同じ事件があった時に同じ判決になるものだろうか?TBC事件に代表される「全くの公開状態の場所にデータを置いた」といった場合と何が違うのだろうか?「CGIを操作できるのは少数の者だ」とでも言うのだろうか?なんか判決としては評価できないと感じる。

3月 25, 2005 at 10:24 午後 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/3437707

この記事へのトラックバック一覧です: ACCS不正アクセス事件・有罪:

コメント

コメントを書く