《 不正アクセス 》　◆改正前不正アクセス禁止法に定める禁止行為

←　前へ

§ 不正アクセスの解釈

　上記のように不正アクセス行為が不正アクセス禁止法により禁圧されているが、例えば識別符合を入力することなく一定の方法によりアクセスが可能なコンピュータが存在した場合、それらは直ちに不正アクセス禁止法に言うアクセス制御機能が存在しないコンピュータということになるのであろうか。

　この点について、京都大学の研究員が、コンピュータソフトウェア著作権協会（ACCS）が運営するウェブサイト「著作権・プライバシー相談室～ASKACCS」のCGIプログラムの脆弱性を利用して同サイトに寄せられたユーザーの個人情報1,184件を不正に入手し、その後、開催されたセキュリティカンファレンスにおいて個人情報の入手方法を公開、入手した個人情報の一部を発表するという事件が発生し、懲役8ヵ月（執行猶予3年）の判決を言い渡された事件がある* 。

　この研究員は、ASKACCSのサーバー内にあった、エラー表示のためのCGIプログラムにデータを渡すための「csvmail.html」ファイル内の引数を「csvmail.cgi」と書き換えた。そして、これにより表示されたcsvmail.cgiのソースコード中に表示されたログファイル名「csvmail.log」を引数として再度htmlファイル上で書き換えることにより、個人情報が記載されたログファイルを表示させた。なお、問題となったサーバーはFTPでアクセスする場合には識別符合が必要とされていたが、HTTPからのアクセスに対しては特に必要とされていなかった。また、識別符合を入力する以外、研究員の行った方法以外でアクセスすることは困難であるという状況であった。

　このような行為が「不正アクセス行為」と言えるのか、以下の2点が争点となった。

* 東京地判平成17年3月25日（判例タイムズ1213号314頁）