遂にというか、office 氏が逮捕されました。しかし、不正アクセス禁止法違反と威力業務妨害による容疑での逮捕、これは罪状としては妥当なのだろうか？
ACCS 側への事前報告を怠り、個人情報を公開してしまった点については office 氏に過失があり、なんらかの罪が科されるべきかもしれない。それに該当する罪状として威力業務妨害しか適当なものがなかったのだろう。
しかし、加工したHTTPリクエストを送信した結果、サーバ内に保存されている個人情報を入手できたからといって、それが「サーバへの不正侵入」と判断され、不正アクセス禁止法違反とされることには抵抗を感じずにはいられない。これを犯罪とされてしまっては、インターネットを利用する全てのユーザが、たった一度のタイプミスで犯罪者にされかねない。
発見したXSSなどのセキュリティホールを報告するような人の多くは善意のボランティアであり、それによって対価を得るわけではない。このような見せしめの要素が大きい逮捕劇が行われれば、Winny利用者が逮捕されたときがそうであったように、*1そのような人たちは報告を行わなくなってしまいかねない。少なくとも私はそんなリスクを犯してまで報告をしようとは思わない。
この事件はまだ立件されておらず、どのような結果になるか分からないが、これが悪しき判例となって今後ユーザの不利益とならなければよいのだけれど……。

• 不正アクセス：個人データ引き出す　京大の研究員を逮捕 (Mainichi INTERACTIVE)
• ＨＰから個人情報を不正入手、京大研究員を逮捕 (YOMIURI ON-LINE)
• ASKACCS個人情報流出事故問題に関して（2004.2.4） (ACCS)