元研究員に有罪判決 ACCS不正アクセス事件

[岡田有花，ITmedia]

　コンピュータソフトウェア著作権協会（ACCS）の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の判決公判が3月25日、東京地裁であった。青柳勤裁判長は懲役8カ月、執行猶予3年（求刑・懲役8カ月）の判決を言い渡した。

　元研究員は、CGIフォーム送信用のHTMLを改変し、サーバ内の個人情報ファイルにアクセスしたことは認めており、この行為が不正アクセスにあたるかどうかが争われた。元研究員は、「CGIプログラムにはアクセス制御がかかっておらず、不正アクセスにはあたらない」と無罪を主張していたが、青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。

　青柳裁判長は、元研究員がアクセス手法をプレゼンで公開したことに言及し、「自らの技術をプレゼンで誇示したいという動機で行ったもので、酌量の余地はない」とした。元研究員は「プレゼン発表は、サーバ管理者のセキュリティ対策を促すため」と主張していたが、裁判長は「たとえそうだとしても、管理者側に修正の機会を与えないまま発表したのは正当視できない。模倣犯も出現し、高度情報通信社会の発展を妨げることは明らか」とした。

　執行猶予の理由について青柳裁判長は「同様なセキュリティホールを持つプログラムは多く、サーバ管理者側もそれなりの対策をすべき。被告はすでに社会的制裁を受けた上、個人情報流出の有無を確認するなど被害拡大の防止に努めている」と述べた。

　弁護団の北岡弘章弁護士は「有罪判決が決定すれば、脆弱性を指摘する技術者が減り、管理の甘いサイトが増えるだろう。不正アクセスと正当なアクセスの境界線も明確には示されず、不満が残る」などと話した。控訴するかどうかは「まだ分からない」とした。