ACCS裁判、弁護側は「特定電子計算機」の定義を問い直す

[岡田有花，ITmedia]

　コンピュータソフトウェア著作権協会（ACCS）の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の第5回公判が11月22日、東京地裁（青柳勤裁判長）で開かれた。弁護側は、ネットワークシステムに詳しい研究者による技術的な意見書を提出。同教授を証人に立て、元研究員の行為は不正アクセスにあたらないと訴えた。

　公判では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡して問題のファイルにアクセスしたと指摘されており、この行為が不正アクセスに当たるかどうかが争点となっている。

　不正アクセス禁止法では、アクセス制御機能を持つ「特定電子計算機」（ネットワークに接続されたコンピュータ）に対して、他人のパスワードなどを利用してアクセスすることを不正アクセスと定義している。

　弁護側証人に立った北陸先端科学技術大学院大学の篠田陽一教授は、CGIとFTPは相互不干渉で、独立したサービスだと指摘。CGI経由で同ファイルにアクセスした元研究員の行為と、FTP経由でファイル管理していたACCSの行為は、切り離して考えるべきだと話す。

　前提として篠田教授は、不正アクセス禁止法の「特定電子計算機」の定義を問い直す。特定電子計算機は、物理的なハードと定義すべきではなく、FTPやWebサービスなど個々のサービスと定義しないと矛盾が生じるという。前者の定義では、全く同じアクセス行為でも、サーバ構成によって不正アクセスになったりならなかったりしてしまうという。

　例えば、アクセス制御のないWebサーバと、アクセス制御付きFTPサーバが同一のハード上にあった場合、Webサーバに通常のアクセスを行っても、FTPによるアクセス制御を回避したとされ、不正アクセスとみなされてしまう可能性がある。一方、両サーバがそれぞれ別ハード上にあれば、Webサーバへのアクセスは、不正アクセスにはならない。

　特定電子計算機を、ハードではなく各サービスと定義すれば、こういった矛盾が防げると篠田教授は主張する。ハード構成がどうあれ、Webサーバに対して通常のアクセスを行えば通常のアクセス、FTPサーバのアクセス制御を解除すれば不正アクセス、というわけだ。

　この解釈に立つと、アクセス制御のないWebサーバにアクセスした元研究員の行為は、不正アクセスにあたらないと篠田教授は主張した。

サーバ管理者が想定していないアクセスは不正？

　篠田教授は、検察側の「HTMLからのアクセスは通常利用の範囲外」との主張にも反論する。ファイル管理法は複数あり、サイト管理者がどういう方法で管理しているか閲覧者側は分からないため、どういった方法が通常利用にあたるかは判断できないとした。

　さらに篠田教授は、元研究員がHTMLソースを改変したことも、不正アクセスにあたらないとする。HTMLの仕様書のFAQのCGIセキュリティ項目でも、HTMLは改変可能なため注意するよう呼びかけており、改変される可能性があることは技術者にとっては常識だとした。

　元研究員が有罪となった場合の問題点として篠田教授は、Webサイト作成者のセキュリティ向上のモチベーションを低下させるほか、アクセス管理者が想定した方法以外のアクセスがすべて不正アクセスと判定されると、どこまでが正当なアクセスか分からなくなる、といった懸念を示した。

　次回公判は12月14日。弁護側、検察側双方が、法律的見解を示す意見書を提出する。