まったりとしたのどかな昼休みを揺るがしたoffice氏逮捕の報道。
 |
| 欠陥突きサーバー侵入、研究員逮捕 |
ASKACCSの個人情報流出事故に対して「不正アクセス行為禁止法違反」はともかく、「威力業務妨害」という容疑まで持ち出してくるのは、いかにもうさん臭い。
無作為に第三者のIDでログインした可能性はあるので不正アクセス行為の禁止等に関する法律に規定する不正アクセス行為に抵触する可能性はあるが、氏がシステムやファイアーウォールに対してクラッキング活動を行ったとは聞いていないし、もしそうした行為があったならば電子計算機損壊等業務妨害の適用が合理的で、威力業務妨害を持ち出すのは理解に苦しむ。
asahi.comの記事では
ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6〜8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
このサイトは情報を読み出したり書き込んだりするために、「CGIプログラム」と呼ばれる汎用(はんよう)プログラムが使われていた。河合容疑者はこのプログラムの欠陥を突き、サーバー内の非公開の領域に保存されている情報を引き出したという。
と報道している一方、
Mainichi INTERACTIVEでは一歩踏み込んで
調べでは、河合容疑者は昨年11月6日〜8日の間、計7回にわたり自分のパソコンから協会のサイトに不正にアクセスし、協会に相談や情報提供した人の住所、氏名など約1200人分の個人情報データを入手。同月8日に渋谷区内で開かれたイベントでこのデータを公開したうえ、情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。
河合容疑者は、掲示板サイトなどで一般的に使われているプログラム「CGIプログラム」の一部を書き換えて、利用者がパソコンからインターネットサイトに書き込んだ個人情報などを不正に取り込んでいた。
としているが、CGIそのものに欠陥があったのでわざわざ手間をかけて書換える必要なんて無かったと記憶しており、その点では
asahi.comの方が正確。いずれにせよ
サイトの閉鎖に追い込んだという論調で
威力業務妨害を裏付けようとする意図を感じる。
そもそもACCS自らの意思でサイトの停止を決めたという経緯はどこに吹っ飛んでしまったのか? 他ならぬASKACCSの個人情報流出事故調査委員会による調査報告書でも
2 本質的な原因について
上記のとおり、本件の技術的な原因は、当該CGIプログラムに脆弱性があった点にあるが、本質的には、次のような問題があると判断した。
(1) ACCSは、ASKACCSのホームページについて、セキュリティチェック等の充分な検証を実施していなかった。また、当該CGIプログラムを採用するに際しても、特にセキュリティ上の検証を行っていなかった。
ASKACCSは広く個人情報を収集・取得していたのであるから、そのセキュリティについては細心の注意を払うことが求められていたというべきである。第三者が作成したソフトウェアを利用する場合には、その選定に際して細心の注意を払う必要があると考えるし、採用した後においても、セキュリティ上の問題がないか否かを、継続的に自らの責任で検証する必要があると考える。さらに、ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
しかし、ACCSは、レンタルサーバー会社の提供するCGIプログラムを採用する際に、セキュリティ上の検証について入念な検査をしたとは認められなかった。
(2) ASKACCSは、必要と認められる以上の個人情報を入力させていたと考えられる。
ASKACCSは、不特定の第三者から広く質問を受け付け、それに回答することを目的としていた以上、回答を送付するために必要な最低限の個人情報(メールアドレス等)の入力を求めることはやむを得ないと考える。
しかし、ASKACCSの質問フォームでは、さらに住所・氏名等の個人情報の入力まで要求していたところ、このような情報まで必要であったとは認めがたい。
個人情報を扱う際には、その管理に万全を尽くすことはもちろんであるが、それと同時に、そもそも不必要な個人情報は取得しないことも求められているというべきである。
と原因の本質は
ASKACCSにあると認めている事からもわかるように、親切心から「ファスナー開いてますよ」と指摘してあげたら
逆ギレして「痴漢呼ばわり」されてしまったようなもので、告訴なら
ACCSの
責任転嫁だし、告発に因らないなら
警察権力の横暴ではなかろうか。
ていうか、そもそもACCSは逆に個人情報保護法の第四章、一節、二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
に違反していた可能性が問われないままで良いのか?
一方でoffice氏の京大研究員という肩書から何となく思い出されるのが、Winnyの件で名を上げた京都府警。先を越された感ありありで成果が欲しい警視庁としても京都府警のお膝元で気炎を上げる事ができればしてやったり。そしてoffice氏をスケープゴートにして自らの責任逃れを目論むACCS、そんな両者の思惑が一致して…なんていう裏事情を勘繰ってしまうのは考え過ぎか?
ACCSは「手段のために目的を犠牲としたもので,本末転倒と言わざるを得ない」とコメントしているが、「デジタル時代の情報モラルを考える著作権・プライバシー相談室」を設置したACCSもまた情報モラルを置き去りにして組織防衛に走っているように見えるのだが。
NHK「7時のニュース」でも「総理大臣官邸や総務省、大手都市銀行のホームページなどにも次々に侵入した疑い」とトップ扱い。本人も認めているように確かに1184人分の個人情報のダウンロードや公の場での提示などエスカレートしたのはやり過ぎで、過失と言えども断罪もやむを得ないところだが、いかにもoffice氏が反社会的な人間であるかのような印象を与えかねない論調は憤りを感じざるを得ない。
まぁ警視庁記者クラブにぶらさがった提灯記者に正義やらジャーナリズムを期待するのも酷かと思うが、裁判員制度が始まろうとしている昨今、世論のミスリードだけはゴメン被りたい。
話は変って大阪近鉄バファローズの球団名売却騒動、ナベツネが激怒したからというわけでもないだろうが、asahi.comはさもえらそうに
この手法は「ネーミングライツ(命名権)ビジネス」と呼ばれる。球場などの施設名では、オリックスの本拠「グリーンスタジアム神戸」が昨春、「YAHOO!(ヤフー)BBスタジアム」に変わった。プロ野球の2軍チームが企業からスポンサー料をもらい、その企業の商標などをチーム名の一部に使った例もある。だが1軍で、親会社以外が名前を付けるのは初めてだ。
と書いているが、
西鉄ライオンズの後を受けた
太平洋クラブライオンズ、
クラウンライターライオンズの球団経営を行ったのは資本関係の無い
福岡野球株式会社であり、決して前例が無い事ではない。また
NHKでも同様に
「1軍で親会社以外が名前を付けるのは初めて」とのたまっていたらしいから、どちらも通信社の配信をそのまま
鵜呑みにして流したものと思われる。海外ソースならいざ知らず、なんとも
ズサンな事だ。
権威あるマスメディアをしてこの程度の体たらくであるという事を肝に命じ、自らも鵜呑みにする事の無いようにしないとなぁ。
結局、他球団の同意を得ずに公表した事が野球協約違反、という事かな?
【参照】
●Mainichi INTERACTIVE http://www.mainichi.co.jp/
┣住基カード:他人になりすまし交付受ける? 佐賀県警が捜査 2004年2月4日
┣不正アクセス:個人データ引き出す 京大の研究員を逮捕 2004年2月4日
┗プロ野球:近鉄球団社長 球団名売却は「ビジネス」 2004年1月31日
●(社)コンピュータソフトウェア著作権協会(ACCS) http://www.accsjp.or.jp/
┗ASKACCS http://www.askaccs.ne.jp/
●独立行政法人 情報処理推進機構 http://www.ipa.go.jp/
┗不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html
●NHK http://www.nhk.or.jp/
┗研究員 官公庁HPにも侵入か (VIDEOあり)
●首相官邸 http://www.kantei.go.jp/
┣個人情報の保護に関する法律
┗裁判員制度・刑事検討会
●パシフィック野球連盟 http://pacific.npb.or.jp/
┗パシフィック・リーグ略史 http://pacific.npb.or.jp/bluebook/bluhist1.html
