ネットワークセキュリティの専門家であったoffice氏の第一審は懲役8ヶ月執行猶予3年という重い判決となりましたが、その争点となっていた「不正アクセス」の定義についてCNET Japanで詳しく解説されています。
もともと脆弱性を発見・指摘しては得意になっていたように見えることもあり、事件以前からoffice氏のやり方には賛否の声があったのは事実で、特に問題の事件のときは「ほらね」と公の場で取り出したデータを見せてしまったということなので、それ自体問題のある行為であることは間違いないと思います。しかしながら、判決でいうようにこれが不正アクセス禁止法でいうような不正アクセスに該当するものとは思えません。
サーバに使用されるようなOSでは通常ログインシステムが動作しており、ユーザIDとパスワードを必要とするような機能が備わっているはずです。全く判決文の通りだとすると、各種サーバプログラムにアクセス制御の機能がなかったとしても、そのサーバが動作する機器でアクセス制御機能を持つシステムが動作していればそのサーバはアクセス制御されているということになってしまいます。各サーバプログラム自体にはセキュリティ機能を持たせなくても、ログインシステムが動作していれば、管理者の想定しないアクセスは全て不正アクセスと言ってしまえるノーガード戦法が成立することになってしまいます。裁判所のお墨付き、個人情報保護法もドンと来いの無敵戦法ですね。
しかし、そんなことが許されていいはずはありません。私には法を作った側にも、その判断を行う側にもシステムについての理解が不足しているように思えてなりません。まさに日進月歩のテクノロジーに司法がついてくるというのは難しいのかもしれませんが、ついてこれるようでなければネットワークの世界が無法地帯になりかねません。専門の弁護士の方はいるわけですから、判事には無理ということはありえません。有数の難関である司法試験をくぐり抜けたエリートの皆さんですから、まさかそんなことはおっしゃらないと思いますが。