@HiromitsuTakagi
サイトメニュー

 

Hiromitsu Takagi @HiromitsuTakagi

Stats Twitter歴
5,868日(2008-12-23より)		 ツイート数
254,537(43.4件/日)

2017年04月22日(土)27 tweets

4月22日

Hiromitsu Takagi@HiromitsuTakagi

書かれたパスワードが実在しないならそれに係る利用権者も存在しないことになるが、条文上「当該識別符号」とはログイン成功時に入力した識別符号のことを指しているから、「当該識別符号に係る利用権者」は被疑者のことと言え(IDの方が間違っていなければ)、やはり先のような承諾があれば足りる。

posted at 22:39:47

4月22日

Hiromitsu Takagi@HiromitsuTakagi

ここで、虚偽のパスワードを書かれた場合に、条文解釈上「当該識別符号に係る利用権者の承諾」と言えるかが論点となろう。承諾を得ているのは「当該識別符号に係る」ものであるが、この識別符号が、申告書に書かれたパスワードのことを言うのか、総当たりで入れたときのパスワードのことを言うのか。

posted at 22:28:41

4月22日

Hiromitsu Takagi@HiromitsuTakagi

この場合、総当たりでパスワードを見つけ出しても適法である。2号3号不正アクセス行為(識別符号を使わず脆弱性を突く等)は利用権者の承諾では足りずアクセス管理者の承諾が必要だが、パスワードを入力して利用する限りは利用権者の承諾で足りる。 twitter.com/hiromitsutakag…

posted at 22:16:43

4月22日

Hiromitsu Takagi@HiromitsuTakagi

神奈川県警がなぜこれを立件した(書類送検の段階だが)のか事情がわからないが、こういう面倒な事態を避けるには、被疑者からパスワードを聞き出すときは、単にパスワードを書かせる(それによって承諾とするという)やり方ではなく、こういう書類に署名させるのがよいだろう。 pic.twitter.com/G9xekvyfS9

posted at 22:11:07

4月22日

Hiromitsu Takagi@HiromitsuTakagi

では、利用権者の認識として承諾していたが(書いたパスワードへの承諾ではなく、特定利用への承諾が)、職員が推測したものを試したとき、承諾がないと認識していた(職員は法を知らず、他の職員が気づいて「改めて承諾を求めた」と想定)としたらどうか。 この場合は、不能犯であり、不可罰だろう。

posted at 21:52:57

4月22日

Hiromitsu Takagi@HiromitsuTakagi

そうだとすると、後の「改めて承諾を求めたが容疑者が不審に感じて」の段で、被疑者は元々承諾したつもりだったが「パスワード破りをされた」と知って(同法のよくある誤解により)違法だー!となったのではないか。であれば、利用権者の認識としても承諾はあったのであり、不正アクセス行為でない。

posted at 21:31:33

4月22日

Hiromitsu Takagi@HiromitsuTakagi

本件ではどのような事情があったのだろうか。報道によると「申告を受けたIDとパスワード…をもとに推測した別のものを試した」とあることから、類推可能な差異しかなかったと推察されるので、被疑者はアクセスさせないために嘘のID・パスワードを書いたのではなく、書き間違えたのではないか。

posted at 21:25:13

4月22日

Hiromitsu Takagi@HiromitsuTakagi

つまり、パスワードを申告させるのは、①当該アカウントの職員による特定利用を承諾させる意味と、②使用するパスワードを(クラックする手間を省くために)開示させる意味があって、法的には、①の効果があれば適法であり、②は関係ないのではないか。twitter.com/hiromitsutakag…

posted at 21:22:29

4月22日

Hiromitsu Takagi@HiromitsuTakagi

ところが、冒頭に書いたように、不正アクセス行為を「パスワードを破る」行為と誤解する者は多く、そういう誤解をしている者からすれば、書いたもの以外のパスワードを使えば「承諾のない不正アクセス行為だ」ということになり、本件のような展開が発生することが目に浮かんでくる。

posted at 20:46:34

4月22日

Hiromitsu Takagi@HiromitsuTakagi

しかし、別の考え方もできる。 たとえ被疑者が嘘のID・パスワードを申告したのだとしても、その申告をした時点で、当該アカウント(IDが一致する必要もない、両者の認識上のアカウント)の特定利用について承諾があるとする解釈をとれば、故意以前に、構成要件該当性からして否定されるのでは。

posted at 20:34:03

4月22日

Hiromitsu Takagi@HiromitsuTakagi

また、接続できなかったときに、被疑者が嘘の申告をしていると当然に認識できたというべきかも問題となる。そういうこともあるだろうと知りつつ事に及んだのであれば、未必の故意が認められることになるかもしれない。

posted at 20:29:09

4月22日

Hiromitsu Takagi@HiromitsuTakagi

…そうではなく、「ちっ、あいつ嘘の申告しやがったな。だがどうせこうだろう。」という思いで他のID・パスワードを試したのであれば、承諾がなくログインする認識があったことになって、故意が認められることになろう。

posted at 20:25:28

4月22日

Hiromitsu Takagi@HiromitsuTakagi

ただし、当該職員が「接続できなかったため、それをもとに推測した別のものを試した」ときどういうつもりだったのかが問題となる。「被疑者が書き間違えたのだろう」という認識で別のものを試したのであれば、承諾があると認識していたことになり、故意がないことになるし、そうではなく、…

posted at 20:19:57

4月22日

Hiromitsu Takagi@HiromitsuTakagi

その点、この職員は「容疑者から申告を受けた」時点で、承諾があると認識して事に及んだとすれば、たとえ、実際にはその被疑者に承諾する意思がなかった(それ故に嘘のID・パスワードを申告していた)のだとしても、当該職員には事実の錯誤があり故意がないことになるのではないか。

posted at 20:12:46

4月22日

Hiromitsu Takagi@HiromitsuTakagi

不正アクセス禁止法の不正アクセス行為を、「パスワードを破る」とか「脆弱性を突く」とか、いわゆるハッキング的な行為を指すものと誤解する向きも多いと、かねてより思っているが、実際には、そういうことは関係がなく、構成要件該当性は利用権者の承諾があるか否かに尽きる。

posted at 20:06:55

4月22日

Hiromitsu Takagi@HiromitsuTakagi

「氏名が個人情報である」との勘違いもここまで来たか感。行政管理局のコメントも情報公開法と混同してるし。 mainichi.jp/articles/20170… 「総務省個人情報保護室は「議員も個人情報保護の対象ではあるが、町議会のような公的活動を不開示にする理由がない」と首をかしげる。」

posted at 01:27:58