ACCSのサイトにセキュリティーホールを発見→通報したが黙殺→イベントで個人情報一部公開→逮捕、の例の事件について。

システムに不具合があるのを「調べて」「指摘してくれる」行為は、親切に見えるような気がしますが、

現実の世界で考えてみると、

そもそも「現実の世界」と同様に扱っていいのか？という考え方もあります。例えば現実の世界では、人の家の鍵を勝手に開けないのは当たり前。そりゃ通報されても当然ってものです。

でもネットの世界ではどうか？「本来見られないはずのデータが見えてしまった」「セキュリティーホールがあると判明しているCGIを使ってるサイトをたまたま見つけてしまった」「自分では通常の操作をしているつもりだった（実際していた）のに個人情報丸見え」など、100%無いとは言い切れないのが現状ですよね。

さらに言うと、「じゃあセキュリティーホールがあるサイトはどうすればいいんだ？」という問題にも繋がっていく。今回の件で、「仮にセキュリティ意識を高めたいという目的でも不正アクセスは逮捕」という前例ができてしまった。でも、セキュリティを確保される法律なんてものはない*1。

だから、「威力業務妨害」と聞いてびっくりしたんだけど、「イベントで公開」とかそのあたりを考えると逮捕されるのは仕方がないと思う。実際、office氏にはこれ以外にもやりすぎと思える点があった。でも、不正アクセス防止法で逮捕ってのはどうも腑に落ちない。京大の人も微妙なコメント出してましたし*2

情報職業倫理っていう授業を取ったばかりなんでタイムリー、というの変ですが。この授業で使った「情報倫理学」(ISBN:4888485739)という本の6章でこういった話題が取り扱われてました。ですが、はっきり言ってこの章が一番読みにくくて凄い困った。しかもこの章は問題を投げかけるだけで、まあ明確な「答え」がないのは当然として、主張らしきものもないんだよなー。というわけであまり読むのはお勧めしません。

「こちらでテストをしてもかまいませんか？」と許可をとればいいと思う。

実際に穴があっても黙殺されるんだから、事前テストなんて……。

んで、全然関係ないけどマリみてが「無理矢理」の件*3、面白そうだとは思ったのですがまだ読んでない罠。今更反応したところで蒸し返すだけっぽいので読むだけにしておきますが(；´Д｀)