『「不正アクセスとは何か」--office氏の判決を読み解く』について考えてみた
CNET Japanの記事で不正アクセスに関する記事「不正アクセスとは何か」--office氏の判決を読み解くを見つけてちょっと考えてみたというお話。
コンピュータソフトウェア著作権協会(ACCS)のCGIを操作し、保存されていた個人情報を入手したとして不正アクセス禁止法違反に問われた河合一穂(office)氏の判決公判が3月25日に開かれ、青柳勤裁判長は懲役8カ月、執行猶予3年(求刑懲役8カ月)の有罪判決を言い渡した。かねてから公判廷で争われてきた「不正アクセスとは何か」という争点について、弁護側の主張は完全に退けられる結果となった。
まぁ、詳細は記事とそこにつながってる一連の経緯を追ってもらうとして。
焦点が拡散しないように前置きしたい。
ボクは判決の内容はそれなりに妥当だと思う。
やはり不正アクセス禁止法の主旨に照らしてみれば、office氏のやったことは禁止されるべき行為だろう。その後のアフターケアを考慮して執行猶予をつけるのも妥当な線だ。
ACCSの管理者(というか開発者というか)に大きな手落ちがあった(乱暴な言い方をするとかなりチョロいんじゃないかと思う──ざっくりと記事を読んだ印象だけだけど)のは間違いないけれど、それに関しては既に社会的な信頼を失うという形で既にペナルティを負った。それ以前に相手がチョロいからと言って、やっちゃいかんことをやっていいという理由にはならない。
ただ、その条文における『不正アクセスの定義』に関しては、まだまだ議論の余地があるんだろうな、というのがこの記事の主旨なんである。
不正アクセス禁止法は乱暴に言うと『アクセス制御機能を有する特定電子計算機に対して、他人のアカウントを騙る,アクセス制御機能を不正に回避するなどの手段で、制限された特定機能を利用すること』を禁止し、それを助長するような行為を禁止し、また情報システムの管理者に防止のための措置を行うよう求める法律である。(条文は条文:不正アクセス禁止法を参照のこと)
もっと平たく言うと『アクセス制御されてる情報システムに対して、不正規な手段でアクセスしちゃいかんよ。助けるのもダメダメ。管理者もちゃんと防止措置しなさいよ』って主旨のハズなんであるが。
問題はその定義をめぐる解釈。
弁護側の主張に曰く『ここで言われる特定電子計算機というのは現実に照らして考えれば物理的な計算機ではなく、プロトコル別・サービス別に考える方が妥当である。そうした観点から被告の行為を解釈すると不正アクセスには当たらない(被告が行った行為はアクセス制御機構がない機能に対するものである)』と。(記事から桜井が要約)
なるほど、確かに利用者から見たときに、物理的な電子計算機が意識されることはほとんどないだろう。裏で負荷分散をしていてサービス(WWWサーバとかFTPサーバとかデータベースサーバとか)毎に物理的な電子計算機が分かれていようが、逆に一つの電子計算機上で稼動していようが関係ない。
エンドユーザは常に『WWWサービス』なり『FTPサービス』なりを利用している。なるほどそれは疑問の余地もない。
それらのサービスを利用するときに、特定の物理的な計算機のことを意識することはきわめて稀だろう。(ただし、個人用の端末や個人用のサーバは除く)
他方で、裁判所の主張に曰く『文脈的に条文を解釈する限り物理的なハードウェアとしての電子計算機を指して特定電子計算機と言っていることは明らかである』という実に簡潔なもの。(これも記事から桜井が要約)
実ににべもなくて、逆に小気味良い気さえする。
ただ、やっぱり弁護側も指摘している通りいささか『現実に沿わない』とは思う。法律を解釈して執行する立場としては全くもって妥当なんだろうけども。
思うに、やっぱり定義づけに少しばかり現実との乖離があるんじゃないかと思う。
判決に言うとおり、条文における『特定電子計算機』の意図するものは『物理的なハードウェアとしての計算機』なのだろう。
しかし翻って現実を見たとき、弁護側の言うとおり『エンドユーザは物理的なハードウェアとしての計算機意識することはない』のである。
でも、だからと言ってボクは弁護側が言うとおり『特定電子計算機にあたるものとしてここのプロセス・サービスを当てはめる』べきではないと思う。
なぜならば、『不正アクセスから保護されるべきものは総体としての情報システム』であり、それらは『物理的なハードウェアとしての電子計算機(それも時に複数の)の上で幾多のサービス・プロセスが互いに有機的に組織されて稼動いるもの』だからである。
特に最近は、クラスタリングしかり、グリッドコンピューティングしかりシステムを総体として捉える傾向は強くなってきている。
個々の要素を取り出したところて論じても、やはり現実には沿わないだろうと思うのだ。
とはいえ。
上で挙げた『総体としてのシステム』を単純に適用すれば全ての問題が解決するとは言えないだろう。
例えば『どこからどこまでを一つの情報システムとして捉えるのか』という線引きの基準。或いは、ここまでの文章では触れていなかったが『どこまでやったらアクセス制御機能を不正に回避』したことになるのか、という手段に関する定義づけ。
ともかくも、まだまだ議論の必要な法律ではないだろうか、と思うことしきりである。
──この記事を読んで『いやいや、そうじゃないよ』と思った方。
どんな意見をお持ちだろうか?
0 コメント:
コメントを投稿