IT技術者のためのデジタル犯罪論  弁護士 五右衛門(大阪弁護士会所属 服部廣志)

  目  次

Accs事件

一 訴訟経過など

1 結審

 報道によればAccs事件が平成17年1月24日、結審したようである。判決予定日は3月25日。

http://headlines.yahoo.co.jp/hl?a=20050124-00000002-imp-sci

ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑

 コンピュータソフトウェア著作権協会(ACCS)のWebサイトから個人情報が漏洩した事件で、不正アクセス禁止法違反で起訴された元京都大学研究員に対する論告求刑公判が24日、東京地方裁判所で行なわれた。検察側は元研究員に対して懲役8カ月を求刑、弁護側は無罪を主張した。

 今回の事件では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡すことにより、CGI本体のファイルと個人情報が含まれるログファイルを取得したとされている。この行為そのものについては弁護側・検察側とも事実であるとして同意しており、公判では行為が「不正アクセス行為」に当たるかということが論点となってきた。

 検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。また、被告はこの行為をイベントでの公開を目的として、技術を顕示したいという動機から犯行に及んでおり、個人情報を公衆の面前で公開したことなどは社会的な影響も大きいとして、懲役8カ月を求刑した。

 また、弁護側の意見書として提出された、不正アクセス禁止法では特定電子計算機を物理的なコンピュータ本体ではなく、WebやFTPなどの個々のサービスとして解釈すべきであるという、北陸先端科学技術大学院大学の篠田陽一教授の主張についても、論拠が存在しないとして否定。特定電子計算機とは物理的な機器と捉えるのが正しく、本件ではFTPがIDとパスワードによるアクセス制御を行なっており、これを回避する方法でアクセスした被告の行為は違法であると主張した。

 被告は本件CGIが不特定のファイルを表示するものでないことや、入手したファイルもACCSが公開を意図していないと認識していたことは明らかであり、不正アクセス行為であるとの認識に基づく行為であったと主張。また、本件はセキュリティ研究者にとってサイトの問題点を探そうとする通常の行為であるという弁護側の主張に対しても、問題を発見した時点でサイト管理者に対して連絡を取ることは可能であるが、被告はこの問題点をイベントで公開した後にサイト管理者に対して連絡を行なっており、通常の問題点を探す行為とは言えないとした。

 一方弁護側は、元研究員の行為は正当なものであり不正アクセスには該当しないとして無罪を主張。WebやFTPといった個々のデータ転送方式やサービスごとに不正アクセスであるかを判断すべきであり、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、検察側の主張を否定した。

 また、管理者が公開を意図していないファイルにアクセスしているとの検察側の主張についても、ファイルが公開を意図しているかどうかは閲覧者には知ることはできず、不正アクセス禁止法においても管理者の意図という主観を考慮するべきではないとした。また、HTMLソースを書き換えてアクセスしたという行為も特殊なことではなく、Webアプリケーションの問題点を発見した場合の公的機関への届出制度なども当時は整備されていなかったと主張した。

 元研究員による被告人最終陳述では、フォームの内容を変更したアクセスはHTMLの規格に定められた範囲であり、今回の行為は正当なものであると重ねて主張。また、警察や検察の取り調べでも、本件ではどのアクセス制御機能が問題となっているのかを再三尋ねたが回答は得られず、FTPによるアクセス制御であるという主張は公判でようやく示されたものだとして、検察側の主張は十分な論拠に基づくものではないと述べ、結審した。

 判決は、3月25日に言い渡される。

2 論告、弁論報道についての感想

イ 検察は、「セキュリテイホールをつく行為も不正アクセス行為に該当する」との立場、「特定電子計算機を物理的に把握すべしとの立場」、そして「管理者の主観によりアクセス制御の存在を考える」という立論のようである。

ロ 他方、弁護士側は基本的に篠田教授証言に立脚した立論のようである。

ハ しかし、本稿に記載したところからすれば、検討すべき論点が十分でていないようにも思える。

3 本書監修者金森喜正氏の感想

 検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。

 とある。

 この論告から検察が主張する「不正アクセスとは」は、次のようになるだろう。

(1) 不正アクセスとは「IDとパスワード」を不正に利用してコンピュータにアクセスすること。

(2) そして、今回の事件では、アクセスしたコンピュータはFTPの「IDとパスワード」で利用を制御されていた。

(3) コンピュータに「IDとパスワード」が設定されていればよい。「IDとパスワード」の目的は問題ではない。

 検察官は、FTPがHTTPの利用制御も担っていると主張していることになる。

また、

 被告は本件CGIが不特定のファイルを表示するものでないことや、入手したファイルもACCSが公開を意図していないと認識していたことは明らかであり、不正アクセス行為であるとの認識に基づく行為であったと主張。

 利用者(ブラウザでホームページを閲覧している人)は、コンピュータ内でFTPがHTTPの利用制御をしていると認識しながら、ホームページを閲覧していると主張しているようにも取れる。

 検察官は、今までの公判で、何をどのように証明してきたのだろうか。詳細は定かではないが、判決ではFTPがHTTPの利用も担っているかどうか。また、FTPがHTTPの利用制御もしていると、ホームページを閲覧する人達が普通に認識しながら閲覧しているかどうか。これらの判断がなければ、判決にはならないだろう。技術的側面からも、裁判所の判断が待たれる。

二 有罪判決

 東京地裁は、平成16年3月25日、本件について有罪判決をした。

 セキュリティホールをつく行為も不正アクセス行為に該当すると判断したようである。判決理由に沿って、有罪判決の理由を順次、検討してみる。

 判決文の入手をしていないので、詳細は不明であるが、ネット上で公開された範囲内のもので、判決を検討してみる。

(罪となるべき事実)

 被告人は法定の除外事由がないのに,平成15年11月6日午後11時23分55秒ころから同月8日午後3時47分50砂ごろまでの間,合計7回にわたり,別紙一覧表記載のとおり,京都市内ほか数か所において,パ-ソナルコンピュータから電気通信回線を通じて,アクセス管理権者である大阪市F株式会社が大阪市内に設置したアクセス制御機能を有する特定電子計算機であるサーバコンピュータに,当該アクセス制御機能による特定利用の制限を免れることができる指令を入力して上記特定電子計算機を作動させ,上記アクセス制御機能により制限されている特定利用をし得る状態にさせ,もって,不正アクセス行為をしたものである。

 上記罪となるべき事実の判示には、特筆すべきものはない。

不正アクセス禁止法所定の不正アクセス行為の構成要件を判示しているに過ぎない。

 争点に対する判断をしている。

1 弁護人は,被告人が本件サーバコンピュータ(以下「本件サーバ」という。〉にアクセスしたことは特に争わないが,

①被告人のアクセス行為は「アクセス制御機能」のない電子計算機に対するものだから,不正アクセス行為の禁止等に関する法律3条2項2号に定める「不正アクセス行為jに当たらない

②被告人が本件各アクセスに及んだのは,コンピュータの脆弱性についてのボランティア的な問題指摘活動の一環としてであって,ネットワーク社会の安全性を高める行為であるから,違法性が阻却される

③仮にアクセス制御機能が本件において存在したとしても,被告人はそれを知らず,制限を免れる認識も,本件アクセス行為が許されない行為であるとの認識もなかった
などとして,被告人は無罪であると主張する。そこで,以下,検討する。

 

(裁判所の判断)

本件各アクセス行為の構成要件該当性

(1) このようにして見ると,本件サーバの本件CGI及び本件ログファイルを閲覧するためには,プログラムの瑕疵や設定の不備がなければ,FTPを介してIDとパスワードを正しく入力しなければならないところを,被告人は,C.htmlの内容を書き換えることにより,変更前とは異なるリクエストを本件サーバに送信し,本件CGIを起動させることで,ID,パスワードを入力することなく,本件CGI及び本件ログファイルを閲覧したということができる。

 すなわち,被告人は,本件CGI及び本件ログファイルの閲覧という各特定利用を制限しているFTPプロトコルを利用したアクセス制御機能を有する本件サーバに,

 その制限を免れる指令を電気通信回線を通じて入力して 本件サーバを作動させて前記各特定利用をし得る状態にしたといえる。

(弁護側、被告人の主張の整理)

(2) これに対して,弁護人は,・・・・等を根拠に,

 アクセス自体が個別のプロトコルに従った個々具体的なデータ転送の状態であるから, アクセス制御もまた,個々のデータ転送についての方式に従って個別的に設定される必要があるなどとして,

 「アクセス制御機能」の有無は個々のデータ転送方式(プロトコル)ごとに考えるべきであるとし,

 被告人は,本件各アクセスをアクセス制御機能の一切存在しないHTTPを介しておこなっているのだから,

 本件各アクセス行為がアクセス制御機能による特定利用の制限を免れることはあり得ず,不正アクセス行為に当たらないと主張する。

 そして,このように解さずに,「アクセス制御機能」の有無を物理的な電子計算機ごとに考えるとすると,アクセスが許可されているかという規範の問題に直面するためには,アクセス制御が「識別符号」の形で客観的に現れていなければならないにもかかわらず, サーバがマルチプロセス(同時に複数のプロセスが動作すること)で動作している現状においては,

 特定のプロセスによるサービスを利用しているのみでは他のプロセスによるサービスの存在を知り得ないこととなるし,

 複数の顧客がそれぞれ1台のコンピューターの一部を管理するレンタルサーバにおいて,アクセス制御を施さず公開している顧客のファイルにアクセスする行為が,非公開としている者のアクセス制御を理由に不正アクセス行為とされてしまうなどの不都合が生ずると主張する。

 また,被告人も,本件各アクセスはHTML, HTTPの規格に沿ったアクセス行為であるから,不正アクセス行為に当たらないなどと供述している。

(弁護側、被告人主張に対する裁判所の判断

(3)ア そこで,検討すると,不正アクセス行為の禁止等に関する法律2条3項は,「アクセス制御機能」が「特定電子計算機」に付加されている機能であり,識別符号が「特定電子計算機に入力され」るものとしている上,同法3条2項2号も,アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており,

 アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。

 そして,この特定電子計算機とは「電気通信回線に接続している電子計算機」をいい(同法2条1項),さらに,「電子計算機」とは自動的に演算や情報処理を行う電子装置である物理的な機器をいうのであって,

 本件では,A協会がF株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり,これを基準にアクセス制御機能の有無を判断すべきことは文理上当然である。

 不正アクセス禁止法の文言等から、「本件では,・・・レンタルしていた物理的な機器である本件サーバが特定電子計算機であり,これを基準にアクセス制御機能の有無を判断すべきことは文理上当然である」と判示している。

 しかし、そのような文理解釈のみで解釈していいのか。
そのような文理解釈による「物理的な機器」をもって「特定電子計算機」と解釈することにより、不正アクセス行為の内容が、不明確となり、罪刑法定主義の観点から不正アクセス禁止法が憲法違反という批判を受けることにならないのか。

 それを避けるためには、単なる文理解釈ではなく、限定的解釈をする必要性があるのではないのか、というのが論点であったはずではないのか。

 裁判所は、本件が憲法論争をも含む事件であり、従来の刑法理論における情報窃盗不可罰という刑法体系にも関連するということについての理解がないのか、理解ができないのか。

・・続く・・

 

編集・出版: 有限会社オブアワーズ 〒921-8815 石川県野々市市本町4-9-38 TEL 050-5532-6587, FAX 03-4520-9614