誰か... - べーの日記

奥村先生がBloghttp://d.hatena.ne.jp/okumuraosaka/20050405/1112657830にACCS事件の判決文の主要部分をUPして下さいました。
高木浩光先生が指摘している問題点に、何一つ答えていないように見えるのは、私だけでしょうか？

ざっと読んだだけでは全然理解できないので、順に読み進めながら考えることにします。

そうすると，アクセス制御機能の有無については，特定電子計算機ごとに判断するのが相当であり，特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても，その特定電子計算機にはアクセス制御機能があると解すべきである。そして，本件においては，本件CGI及び本件ログファイルを閲覧するにはFTPを介して識別符号を入力するものとされていたのであるから，本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。

だったら、何のためにこんな文言を入れてるのでしょう？

また，弁護人の主張のうち，サーバがマルチプロセスで動作している点については，故意の有無において必要に応じて考慮すれば足りるし，レンタルサーバに関する指摘についても，その設置者及びレンタルした顧客が重畳的にアクセス管理者となると解されるところ，当該顧客の公開領域へのアクセスは，当該顧客の承諾（同法３条２項各号）があるか，後記のとおり当該特定利用を誰にでも認めていることによりアクセス制御機能による制限のない特定利用であるから，他にレンタルしている顧客の利用状況のいかんにかかわらず，もとより不可罰であって，この点で不都合が生じることはない。

まあ「言葉のあや」で文言が入ることは珍しくなありません。「アクセス制御機能」の回避の前提として、「アクセス制御機能の存在がある」というだけのようです。
高木先生が何とおっしゃるかは知りませんが、私は気にしません。

で、~~やっと座れたかと~~やっと理解できそうな気になっていたら、

アクセス制御機能及びこの「制限」が完全無欠であれば，識別符号等以外の情報又は指令が入力されてもおよそ特定利用はできず，「制限」された状態が維持され，同法３条２項２号に掲げる行為は不可能となるから，同号に定めた行為を処罰する規定を置く意味はないことになる。

ちょっと待て
（少なくとも他人の個人情報を入力させようというサイトなら）「制限」を「完全無欠」にしようとはしてくれないとまずいでしょう。頑張って力及ばなかった時以外、この法の出番なんて要りません。

また，制限がプログラムの瑕疵や設定上の不備によりアクセス管理者の意図に反して不十分な場合，そのことをもって特定電子計算機の特定利用を制御するためにアクセス管理者が付加している機能をアクセス制御機能と認めないこととするのは，プログラムやコンピュータシステムが複雑化し，プログラムの瑕疵や設定の不備の有無を容易に判別，修正できない現状に照らして現実的ではないし，アクセス制御の強度ないし巧拙について客観的に判定する基準も存在しない。

いや、だからって「拙」な制限の駄目さを法で救済するのは、いかがなものかと。

本件においては，前記のとおり，ブラウザで本件CGIファイル及び本件ログファイルのURLを入力する方法（GETメソッド）によっては，これらを閲覧することができないように設定されていた。他方，本件アクセスは，本件CGIと組になって使用されていたＣ．htmlを改変して，故意にエラーを発生させることで，可能になるものであって，本件CGIの脆弱性を利用したものであり，あえてその方法を管理者が認める必要性はなく，

認める訳ないだろー。ネタとかギャグでやる奴はたまにはいるかも知れませんけど。

想定もしていなかったものである（これに対して，弁護人は，証人Ｍの「CGIプログラムを触れないお客様が多いので，フォーム等で渡される指示により動作を変えられるように設計していた。」との供述を理由に，フォームの内容の改変は，CGIが予定していた動作であると主張するが，証人Ｍがここで述べるのは，顧客が動作を変更することであって，インターネット利用者がフォームの内容を変更することを予定していたとは認められない。）。

ACCSの久保田さんが自分で作ったページだったらともかく、外注使って立てたサイトなんですよね、これ。つまり、プロが作ってるんだから、「想定していなかった」なんて言い訳が通じるんでしょうか？　そんなに新しい（orパッチ当ての難しい）脆弱性だったのでしょうか？
それに、そもそも「CGIをいじる奴が誰もいない」なんて前提でサイト組むなんて、素人でもあり得ないでしょう。弁護側が、何か立証を失敗したのかもしれません。

また，本件アクセス行為が，HTMLないしHTTPの規格に沿ったものであるとしても，そもそもHTTP等の通信は規格に沿ってなされていることが前提のものであって，その規格に沿っているからといって，アクセス制御機能による制限を免れる指令を入力する行為が不正アクセス行為とならなくなるものではない。コンピュータのプログラムは，プログラミングや設定に瑕疵があっても現実にプログラムされたとおりに動作するのであって，アクセス行為についてエラーが生じなかったことのみをもって，アクセス管理者が当該特定利用を承諾していたと認められないことは当然である。

Web空間に置いてある以上、「（特定）利用を承諾」するのがデフォルトと判断すべきです。そこに、HTTPの規格に沿ってアクセスして、しかもエラーにならなかったとすれば、原則として「承諾された利用」と判断されるべきです。
「承諾された利用でない」のは当然ではなく、それなりの理由が必要だと思います。

控訴審で、この辺の疑問が解消されれば良いと思っています。