IT技術者のためのデジタル犯罪論: 不正アクセス行為の判定基準

不正アクセス行為の判定基準

一　不正アクセス行為の判定基準は、下記のとおりである。

１　アクセス行為者は、管理者者がＩＤとパスワードなどの識別符号により利用を制御しているファイルにアクセスしたか否か
２　アクセス行為者が、１記載の利用制御されているファイルにアクセスしたとして、その利用制御は
イ　問題とされる行為当時において（判断時期）
ロ　通常一般的なＩＴ技術者の知識，知見を基準として（判断基準）
ハ　ＩＤとパスワードにより、利用を制御していると言える程度の水準のセキュリテイ技術を使用していると言える否か
により、判定されることとなる。

　誤解される方もおられるようなので、別の表現をしてみる。
　不正アクセス禁止法所定の「不正アクセス行為」に該当すると評価するためには、複数の要件を具備する必要がある。
１　まず、コンピューター管理者が、「ＩＤ、パスワードなどの識別符号」により、利用を認める者とそうでない者を区別していること。
　　このように識別符号による利用制御がなされていないところに、「不正アクセス行為」は存在しない。
２　１記載のような形での利用制御がなされていたとして、アクセス行為者がアクセスしたファイルが、１記載の形での利用制御により利用を制御されていたファイルであるか否か。
　１記載の形での利用制御がなされていないファイルにアクセスした場合、例え、それが管理者の意思に沿わないものであったとしても、それは不正アクセス禁止法にいう不正アクセス行為ではない。単なるセキュリテイの範疇の問題である。
３　１及び２に記載の条件を具備したとしても、その制御方法ないし制御態様が、前記の判定基準２記載の条件を具備しない場合には、それは不正アクセス禁止法にいう不正アクセス行為ではない。単なるセキュリテイの範疇の問題である。

二　立法担当者その他の見解の検討など

（プログラムの瑕疵及びセキュリテイ設定の不備の場合）

１　上記に記載した不正アクセス行為の判定基準の内容は、イ　不正アクセス禁止法３条所定の不正アクセス行為の定義に忠実に、ロ　そして、不正アクセスに該当するか否かの判断について、当該特定電子計算機の管理者が採用、設定、措置した「プログラムの瑕疵や設定上の不備」を原因とする、管理者の意に反するファイルへのアクセス行為を、不正アクセス禁止法所定の「不正アクセス行為」から除外するものである。
２　不正アクセス禁止法の立法担当者らは、１記載のような「プログラムの瑕疵や設定上の不備を原因とする、管理者の意に反するファイルへのアクセス行為」についても、アクセス制御がなされているものと理解し、不正アクセス行為に該当すると考えているようである（逐条不正アクセス法５９頁）。
　しかしながら、このような解釈は著しく不当である。
　なぜなら、このような解釈は、「利用制御」の存否が曖昧となって不正アクセス行為に該当するか否かが不明確となり、さらには「管理者が悪意によって行為者を陥れるために、設定ミスのために制御機能に瑕疵があった、と主張することも可能としてしまうからである（石井意義と限界２９頁参照）。既に、前記の「アナログ構成要件の限界と問題点－ＡＣＣＳ事件」のところで述べたように、不正アクセス行為に該当するか否かというようなことが、「管理者がどのような利用を制御しようとしたのか」というような一私人、個人の主観的要素に依拠することは不当と考えられるからである（罪刑法定主義の観点から問題がある）。

　また、コンピューターセキュリティの世界は向上と進歩があるのみの世界と言っても過言ではない。新たな侵害に対する不断のセキュリティの向上が求められる世界でもある。前記のような立法担当者の見解は、不断の努力をしないＩＴ技術者の尻ぬぐいをせんとするものであり、前記のとおり理論的にも不当であるのみならず、ＩＴ技術の向上と進歩を阻害する結果をも招来しかねない不当なものでもある。

３　立法担当者が、プログラムの瑕疵及びセキュリテイ設定の不備の場合をも不正アクセス禁止法の射程距離の中に取り込もうとしたものとすれば、上記のような問題点を十分クリアーしていない立法の不備があるように思える。上記のとおり、罪刑法定主義という観点から見て不備がある法律の有効性を肯定するとすれば、上記のとおり、その「不正アクセス行為」の内容を限定的に解釈する他ないように思われるのである。限定的な解釈を採用しなければ憲法違反という問題も起き得るようにも思えるからである。

（プログラムの瑕疵及びセキュリテイ設定の不備の場合と瑕疵ないし不備ではない場合）

１　ＩＴ技術者である金森喜正氏は、下記のように述べている。
　　http://www.ofours.com/bentenkozo/archives/2005/01/post_202.html
イ　一般的に、サーバのCGI領域に格納されているテキストファイルやhtmlファイル（ホームページ）は、ブラウザで単にそのファイルのアドレスを指定して見ようとしても拒否され、見ることができない。
(1) ブラウザで一般的な方法で見れない状態にあるのだから、サーバは利用制御されている。
(2) サーバにファィルを格納する場合、FTPを利用するが、その際、ユーザＩＤとパスワードを指定しないと、当該領域にはアクセスできない。
(3)　だから、サーバは利用制御下にあり、その制御を超えてファイルにアクセスすることは、不正アクセス禁止法に違反する、と言えるだろうか。
ロ　インターネットに接続されているサーバは、全て上述のような状態で運用されているとは限らない。
(1) サーバ上で稼動するhttpプロトコルによる要求を制御するプログラム（以降、wwwサーバと呼ぶ）の仕様と、そのプログラムを使う管理者の設定に依存する。全てが同じwwwサーバプログラムを使って、ホームページを運用しているとは限らない。
(2) インターネットに接続されいるサーバの中には、CGI領域に格納されているテキストファイルやhtmlファイルのアドレスをブラウザで指定して見ても拒否しないwwwサーバがあってもなんら不思議ではない。
(3) 一方、ブラウザを使ってアクセスする人は、wwwサーバとして、どのうな仕様のプログラムが稼動しているか、どのように管理者が設定しているかは簡単には判断できない。
ハ　次に、サーバ上のこれら領域にファイルを格納するにはどうするかを考えてみる。
(1) FTPでサーバにアクセスして、ホームページを格納するしか方法がないのか。当然ながら答えはＮＯである。いろんな方法でwwwサーバが稼動するコンピュータにアクセスして、ファイルを格納することができる。
(2) 回線を使って格納しないとけいないわけでもない。wwwサーバが稼動するコンピュータ上で、FTPサーバが稼動している必要もさらさらない。
(3) ひょっとすると、事務所のパソコンがwwwサーバで、Windowsのフォルダのファイルをマウスでドラッグアンドドロップして、格納しているかも知れない。逆に、このような運用をしいてるサイトが、意外と多いかも知れない。
ニ　要するに、ユーザＩＤとかパスワードが一切無いところで、wwwサーバを運用することも可能であるし、現実にそのような形で運用しているサイトも多いのではないだろうか。
ホ　一方、ブラウザでホームページを見る人は、wwwサーバが、どのような形で運用されているか、wwwサーバが稼動しているコンピュータの構成がどうなっていて、どう運用されているか、全く分からない中でホームページを見ている。
　wwwサーバが稼動しているコンピュータ上の領域に格納されているファイルに対する利用制御は、ユーザＩＤやパスワードではなくて、wwwサーバが稼動しているコンピュータの運用方法と、wwwサーバプログラムの仕様と、wwwサーバを設定した者の考えで制御されていることになる。
　一方、不正アクセス禁止法では、不正アクセスした者には、刑事罰として「１年以下の懲役又は５０万円以下の罰金」としている。
ヘ　では、不正アクセス禁止法で、wwwサーバを稼動させるコンピュータの制御方法や、その上で動くwwwサーバプログラムの仕様は、どうあるべきだと、明確に定義しているだろうか。そういった規定はどこにもない。
　wwwサーバを稼動させるコンピュータの運用方法や、wwwサーバプログラムを作った人の考えや、wwwサーバを設定した人の考えに逆らって、wwwサーバをアクセスした人は、国家が法によって刑事罰に処すると言っていることにならないだろうか。
　　これでは、プログラムを開発したり、サーバを設定する技術者にとっても不幸なことだ。もしそうなら、法の解釈や運用の、どこか何かが間違っている。素朴にそう思う。

２　上記金森喜正氏の意見は重要である。
イ　「不正アクセス禁止法で、wwwサーバを稼動させるコンピュータの制御方法や、その上で動くwwwサーバプログラムの仕様は、どうあるべきだと明確に定義しているだろうか。そういった規定はどこにもない。」と述べているとおり、不正アクセス禁止法には、「wwwサーバを稼動させるコンピュータの制御方法」や「wwwサーバプログラムの仕様」について定めた規定はない。
ロ　そして、「ユーザＩＤとかパスワードが一切無いところで、wwwサーバを運用することも可能であるし、現実にそのような形で運用しているサイトも多いのではないだろうか。」、「一方、ブラウザでホームページを見る人は、wwwサーバが、どのような形で運用されているか、wwwサーバが稼動しているコンピュータの構成がどうなっていて、どう運用されているか、全く分からない中でホームページを見ている。」とも述べている。
　要するに、ＡＣＣＳ事件に即して述べれば、ブラウザでホームページを見る人にとっては「CGIに特定の引数を入力することにより、特定のファイルが見ることが可能か否か」は分からないし、そのファイルについて、「ＩＤないしパスワードなどの識別符号により利用制御しているか否か」も直ちには分からないとも言える。
ハ　前記のとおり、不正アクセス禁止法の立法担当者はプログラムの瑕疵及びセキュリテイ設定の不備の場合も、不正アクセス行為の射程距離のなかに取り込む意向であるようであるが、上記のように、例えば「CGIに特定の引数を入力することにより、特定のファイルを見た」として、それは「プログラムの瑕疵及びセキュリテイ設定の不備」に起因するのか否かが、ブラウザでホームページを見る人には直ちにはわからないのである。　
　それが「プログラムの瑕疵及びセキュリテイ設定の不備に起因するのか否か」は、そのサーバーの管理者にその意向を問いただしてみなければわからないという結果となる。
　このようなあいまいなことで犯罪の成否を決定することが、許されるのだろうか。
　また、当該ファイルについて、管理者が「ＩＤないしパスワードなどの識別符号により利用制御している」ということが不正アクセス行為と評価するための前提条件となるが、それも管理者の利用制御の範囲を問いただして見なければわからないということとなる。
　このようなことで犯罪の成否を決定することが許されるのだろうか。
２　既に述べてきたとおり、「プログラムの瑕疵及びセキュリテイ設定の不備に起因するのか否か」というようなことは管理者の意思や意向、そしてその管理者のセキュリテイ技術の程度、内容に依拠するものであり、このようなあいまいなことで犯罪の成否を決定することは罪刑法定主義の見地からも到底許されることではない。
　従って、「プログラムの瑕疵及びセキュリテイ設定の不備に起因するもの」は不正アクセス行為から除外すべきであり、そのためには、冒頭記載のような不正アクセス行為の判定基準を採用すべきなのである。

投稿者 goemon : 2005年1月11日 10:43

« 加筆訂正履歴 | メイン | 参照文献など »