コンピュータソフトウェア著作権協会(ACCS)のWebサイトから個人情報が漏洩した事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の第5回公判が22日、東京地方裁判所で開かれた。公判では、北陸先端科学技術大学院大学の篠田陽一教授による意見書が弁護側から提出され、弁護側・検察側の双方から意見書に対しての質問が行なわれた。
今回の事件では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡すことにより、CGI本体のファイルと個人情報が含まれるログファイルを取得したと指摘されている。この行為については弁護側・検察側とも事実であるとして同意しており、公判ではこの行為が「不正アクセス行為」に当たるかということが論点となっている。
不正アクセス禁止法では「電気通信回線に接続している電子計算機」を「特定電子計算機」と定義。アクセス制御機能を有する特定電子計算機に対して、他人の制御情報(IDやパスワードなど)やアクセス制御機能を回避する情報を入力することで、制御された情報にアクセスすることを「不正アクセス行為」として禁止している。
篠田教授は意見書で、不正アクセス禁止法を矛盾なく解釈するには、特定電子計算機とは物理的なコンピュータ本体ではなく、WebやFTPなどの個々のサービスとして解釈すべきであると主張。今回の事件では、通常はIDとパスワードを必要とするFTPによってアクセスしているファイルに対して、元研究員はHTTPを利用してアクセス制御を回避することでファイルを閲覧したという検察側の指摘について、提供しているサービスが異なる以上は別個のものであると考えるべきだと述べた。
弁護側からの「元研究員はCGIを利用してファイルにアクセスしているが、CGIはアクセス制限と呼べるか」という質問に対しては、篠田教授は「CGIという仕組みは提供するサービスの種類を拡張するものであり、CGI自体がアクセス制御であるとは言えない」と主張。CGIを利用してアクセス制御を行なうことも可能であるが、本件CGIについてはIDやパスワードは使われておらず、アクセス制御を目的としたものではないとした。
また、元研究員がHTMLのソースを変更してアクセスしたという行為についても、「HTMLの仕様書に付随するFAQでも、フォームについてはユーザーが改変できるものであり注意せよと記述されており、技術者の立場から言えば改変してはいけないとは考えない」と述べた。さらに、当該ファイルがWebブラウザのURL欄に文字列を入力しただけでは閲覧できないものであったとされている点についても、「ブックマークレット」のようにURL欄にスクリプトを記述すれば本件と同様の行為が可能だったと指摘し、URL欄への入力のみでアクセスできるかどうかが問題ではないとした。
弁護側からの「もし今回の事件が不正アクセスであるとされた場合にはどのような影響が考えられるか」という質問に対して、篠田教授は「Webサイトのセキュリティを向上させていこうというモチベーションの低下が心配される」と述べ、「セキュリティの強化はそこそこであれば良く、あとは不正アクセス禁止法に委ねればいいということになりかねない」と危惧を表明した。また、「Webサーバーの管理者が意図したURL以外の入力は全て不正アクセスという拡大解釈や、URL欄に入力が可能なWebブラウザーは全て不正アクセスを助長するソフトウェアということにもなりかねない」と述べた。
これに対して検察側からは、こうした解釈を採用した場合に法律として問題が無いかどうかを検討したかという質問に対して、篠田教授は技術者の立場から「不正アクセス禁止法を矛盾なく解釈するためには、サービスやサービスを提供するプロセスを特定電子計算機として捉えるべきだと考えている」として、法律面からの検討を行なったわけではないとした。また、裁判官からの「FTPとHTTPを同時に扱うことができるプログラムであれば、これも1つの『特定電子計算機』と考えるか」という質問に対しては、プログラムは1つでも2つのサービスを提供しているのであれば、2つの特定電子計算機と考えるべきだとした。
第6回公判は12月14日で、弁護側と検察側の双方から法的な意見書が提出される予定となっている。次回公判の後、2005年1月24日に最終弁論が行なわれ、結審となる見通し。
関連情報
■関連記事
・ office氏が公判で無罪主張、ACCSの個人情報入手は不正アクセスではない(2004/05/26)
・ ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕(2004/02/04)
( 三柳英樹 )
2004/11/22 19:28
- ページの先頭へ-
|