2005年01月24日(月) 15時32分
ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑(impress Watch)
コンピュータソフトウェア著作権協会(ACCS)のWebサイトから個人情報が漏洩した事件で、不正アクセス禁止法違反で起訴された元京都大学研究員に対する論告求刑公判が24日、東京地方裁判所で行なわれた。検察側は元研究員に対して懲役8カ月を求刑、弁護側は無罪を主張した。
今回の事件では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡すことにより、CGI本体のファイルと個人情報が含まれるログファイルを取得したとされている。この行為そのものについては弁護側・検察側とも事実であるとして同意しており、公判では行為が「不正アクセス行為」に当たるかということが論点となってきた。
検察側は論告で、被告の行為は通常であればFTPサーバーによってIDとパスワードが必要とされるファイルに対してこれを回避する方法でアクセスしたものであり、不正アクセス行為に相当すると主張。また、被告はこの行為をイベントでの公開を目的として、技術を顕示したいという動機から犯行に及んでおり、個人情報を公衆の面前で公開したことなどは社会的な影響も大きいとして、懲役8カ月を求刑した。
また、弁護側の意見書として提出された、不正アクセス禁止法では特定電子計算機を物理的なコンピュータ本体ではなく、WebやFTPなどの個々のサービスとして解釈すべきであるという、北陸先端科学技術大学院大学の篠田陽一教授の主張についても、論拠が存在しないとして否定。特定電子計算機とは物理的な機器と捉えるのが正しく、本件ではFTPがIDとパスワードによるアクセス制御を行なっており、これを回避する方法でアクセスした被告の行為は違法であると主張した。
被告は本件CGIが不特定のファイルを表示するものでないことや、入手したファイルもACCSが公開を意図していないと認識していたことは明らかであり、不正アクセス行為であるとの認識に基づく行為であったと主張。また、本件はセキュリティ研究者にとってサイトの問題点を探そうとする通常の行為であるという弁護側の主張に対しても、問題を発見した時点でサイト管理者に対して連絡を取ることは可能であるが、被告はこの問題点をイベントで公開した後にサイト管理者に対して連絡を行なっており、通常の問題点を探す行為とは言えないとした。
一方弁護側は、元研究員の行為は正当なものであり不正アクセスには該当しないとして無罪を主張。WebやFTPといった個々のデータ転送方式やサービスごとに不正アクセスであるかを判断すべきであり、FTPでIDとパスワードによるアクセス制御を行なっているサーバーに対して、Webでアクセスすることが不正アクセスと捉えるのは誤りであるとして、検察側の主張を否定した。
また、管理者が公開を意図していないファイルにアクセスしているとの検察側の主張についても、ファイルが公開を意図しているかどうかは閲覧者には知ることはできず、不正アクセス禁止法においても管理者の意図という主観を考慮するべきではないとした。また、HTMLソースを書き換えてアクセスしたという行為も特殊なことではなく、Webアプリケーションの問題点を発見した場合の公的機関への届出制度なども当時は整備されていなかったと主張した。
元研究員による被告人最終陳述では、フォームの内容を変更したアクセスはHTMLの規格に定められた範囲であり、今回の行為は正当なものであると重ねて主張。また、警察や検察の取り調べでも、本件ではどのアクセス制御機能が問題となっているのかを再三尋ねたが回答は得られず、FTPによるアクセス制御であるという主張は公判でようやく示されたものだとして、検察側の主張は十分な論拠に基づくものではないと述べ、結審した。
判決は、3月25日に言い渡される。
関連情報
■関連記事
・ ACCS裁判、弁護側は不正アクセス禁止法の技術的解釈について意見書を提出(2004/11/22)
・ office氏が公判で無罪主張、ACCSの個人情報入手は不正アクセスではない(2004/05/26)
・ ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕(2004/02/04)
( 三柳英樹 )
2005/01/24 14:57
(impress Watch) - 1月24日15時32分更新
http://headlines.yahoo.co.jp/hl?a=20050124-00000002-imp-sci