セキュリティホールmemoの7月14日に、奥村弁護士のはてなダイアリーの内容がまとめて取り上げられているが、背景を踏まえて注意して読む必要がある。鵜呑みにしてはいけない。
これは、あるクローズドな場で進行していた議論に並行して奥村弁護士が書かれたもの。私はその場にいたので、どのような流れの中でこの話が出たかを見ている。以下はそれを踏まえて書くもの。
紹介された主張は端的に次のものだと理解している。
不正アクセス禁止法を法律の文章そのままに解釈すると、「電子計算機の利用」とは有体物として電子計算機の利用を指し、個々の情報処理を指すと解釈することはできない。
これを原則とすると、次のことが導かれるという。
「アクセス管理者」は有体物としての電子計算機の管理者を指すことになり、その上で提供されるであろう複数の個々のサービスに管理者がいても、それは法の言うアクセス管理者にあたらない。「アクセス制御機能」は、有体物としての1個の電子計算機全体に対する制御を指すこととなり、個々のサービスに対するアクセス制御機能があっても、それは法の言うアクセス制御機能にあたらない。
つまり、一台の電子計算機上で、HTTPサーバのバーチャルホスト機能を使って、複数の異なるドメイン名のWebサイトをサービスしていても、それぞれのWebサイトの管理者は、法の言う「アクセス管理者」にあたらないのだという。同様に、Webページ上にBasic認証によるパスワード機能を付加していても、それは法の言うアクセス制御機能にあたらないのだという。
このように主張されているものとして、「日弁連サイバー犯罪条約の研究」に掲載さているという石井徹哉 現千葉大学法経学部助教授の「サイバー犯罪条約の刑事学的意義」があるという。まだ入手していないので、奥村弁護士が引用なさった部分から孫引きする。(OCRによる誤認識と思われる文字を推定で修正)
文理解釈による「電子計算機の利用」とシステムへのアクセスの相違を無権限アクセスとの関連で例示するならば、httpプロトコルを処理するサーバをネットワークに接続している場合、当該コンピュータの利用は当該ネットワークに接続している者であれば誰でも可能であるし、誰に対しても利用の権限は付与されているといえる。しかしながら、あるディレクトリないしはデータに対してhtaccessによるbasic認証によってアクセスを制御している場合、アクセス権限があり適切なID/PASSWDを使用してデータを要求した者には、サーバはデータを送出するのであるが、無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。さらに、ハードとしての電子計算機が問題であるから、不正アクセス禁止法にいう管理者も、ハードを単位として考えるべきで、同一のサーバマシンを共有している場合には、たとえ各利用者が別のURLないしIPアドレスによってサーバの運用をしているとしても、これらの者は同法にいう管理者とはなりえないのである。
石井徹哉, サイバー犯罪条約の刑事学的意義, 日弁連サイバー犯罪条約の研究
強調で示した部分は、ようするに、Basic認証で「401 Authorization Required」のエラーが出ても「電子計算機の利用」をしていることには違いないということが述べられており、「誰に対しても利用の権限は付与されているといえる」ということが主張されている。「利用」の概念が、有体物としての電子計算機全体の利用(利用したか利用していないかと言えば「利用した」にあたる)という意味で解釈されているためだろうか。
注意してほしいのは、これは法学者が、法律学上の原則論から、現行の不正アクセス禁止法がいかに不適切な立法であるかを指摘するためにしている主張であり、立法者の意図とは異なるうえ、現実の検挙例等での解釈とも異なる。
立法者の意図を、「逐条不正アクセス行為禁止等に関する法律」(立花書房, 不正アクセス対策法制研究会編著)から読み取ると、次のように書かれており、明白に異なっている。
アクセス管理者は、特定電子計算機の「動作」を管理しておれば足り、その所有権を有するかどうかは問わない。サーバ・コンピュータを所有していないインターネットのエンドユーザであっても、ISPのサーバの一部を利用してホームページを開設し、ISPとの契約により、そのホームページの閲覧を誰に認めるかという「動作」の管理をする権原を有していれば、アクセス管理者となる。したがって、一の特定電子計算機に二以上のアクセス管理者が存在し得ることとなる。
両者が食い違っている中で、法学者がこのように主張するのは、
これを立法者の意思であるからとして許容する向きもあるが、立法者がもしそのような意思をもっていたのであるならばその意思を適切に反映する文言を使用すべきであって、それを懈怠しながら、可能な語義をこえる解釈を強いるのは妥当でない。
石井徹哉, サイバー犯罪条約の刑事学的意義, 日弁連サイバー犯罪条約の研究
ということを言わんとしているためだ。
一般の人が、この主張を目にすることによって、これを鵜呑みにし、立法者の意図とは異なる法解釈に基づいて行動し、その結果として情報セキュリティの発展に悪影響を及ぼすようなことにならないよう願う。
既にあちこちのWeb日記等でこの解釈へのリンクとともにコメントがなされており、伝聞が急速に広がっているようで、心配になった。ゆえに、クローズドな場での議論を発端としているにもかかわらず、ここに書くことにした。
私個人の感覚としては、情報処理技術者あるいはそうでなくとも一般市民の語法では、普通に「電子計算機の利用」と言えば、電子計算機上で提供されている複数のサービスのそれぞれについての利用を指してかまわないとすることに違和感がないだろうと思う。
しかし、法律の世界では、ハードディスク全体が猥褻物であるとする高裁判決が出るなどしており、一般市民の感覚とは異なる何かがあるらしいので、それはそれで、そうした現行法の言葉遣いに対する批判は、法曹および立法関係者の間で戦っていただきたいところであろう。
だが、不正アクセス禁止法にはそういうレイヤーとは別のところ、つまり立法者の意図に沿った解釈した場合であっても、疑問点が多数あるのであって、法学者以外の、現実にこの法律に影響される一般市民としては、実際問題として短期的に、そちらの議論がないと困る。
ところで、奥村弁護士のはてなダイアリーで紹介されている文献は、情報処理学会会員ならば以下で無料で閲覧できる。