Matimulog

フランスの最高裁にあたる破毀院は、上告を棄却した。
刑法典323-3-1条に照らし、正当な理由がない以上は有罪だという。

ちなみにこの被告人は、セキュリィ会社であり、一種の無料診断サービスとしてやっていたという趣旨の弁解をしたが、それならメールで教えればよいのであって公開する必要はなく、かえって公開することでアクセス数を稼ぎ、セキュリティサービスの売上にもつながるということが認定されていた。

この事件で、真っ先に思い出すのがいわゆるoffice氏事件である。→office不正アクセス事件判決の解説
office氏事件では、不正アクセスとは何かがもっぱら争点だったようだが、脆弱性とかセキュリティホールとかを発見したときに、これを公開して警鐘を鳴らすという方法がよいのかどうかということは当然問題とされるべき点である。

高橋郁夫弁護士のウェブ上の指摘でも、office氏が脆弱性の警鐘を鳴らすという動機に疑問を挟み、以下のように述べている。

ウェブ アプリケーションの脆弱性について、脆弱性を減少させるべく、社会に対して警鐘を鳴らそうとしていたのであれば、もっと違った行動になっていたのではないかと思われる。彼は、発見した脆弱性について、シンポジウムまでに十分に対応しうる時間的余裕をもって、ACCS もしくは、ホスティング会社に対して連絡することができたはずである。また、具体的なサイトの名称や具体的な氏名をそのままプレゼンテーション・ファイルで明らかにする必要があったとも思えない。網かけ等をして、特定ができないようにして、警鐘をならすことが可能であったように思われる。逆に、純粋に脆弱性を発見・警告するというものだったときに、( 仮にその発見に際して、不正アクセス行為がなされていたとしても) 被害サイトがどのような対応を成し得ていたのか( あえて被害届けの提出ができたのか) ということもあるように思われる。

　ともあれ、フランスでは「正当な理由がない場合」という明文の留保が手がかりとなって、公開行為が許される可能性もあるが、単に警鐘を鳴らすとかセキュリティホールの存在を気がつかせるというだけでは正当な理由とは言えないというわけである。