高木浩光＠自宅の日記

■ クレジットカード付きEdy使用時の注意点

Edyカードというと、昔はEdy機能だけのものだった。sony style版とか、am/pmで300円で販売されているEdyカードがそれに該当する。しかしその後、クレジットカードと一体になったものが現れ、最近ではそうしたカードが増えているようだ。ビットワレットのサイトにあるカード一覧を見るとそれがわかる。

先日、クレジットカード一体型のEdyをコンビにで使ってみたのだが、そのときの様子を店員さんの許可を得て写真に撮ってみたのが以下である。

「Edyで」とか言って店員さんの清算処理を待つわけだが、写真のようにカードをレジに乗せて清算を待っていると、無防備にもクレジットカードが後ろから丸見えになる。これを光学ズーム付きカメラで撮ってピクセル等倍でカード部分だけ切り出したのが以下である。

カード番号も有効期限も名義も判読可能になってしまう。

利用者はこういうことのないように注意しなくてはならない。どういう対策が有効か考えてみた。

• 後ろに人がいないことを確認してからカードを出す
• 店員が清算ボタンを押すのを待ってから、レジにサッとかざして、早々にひっこめる
• 財布に入れたままレジに置く
• 不透明な専用の袋に入れておき、袋のままレジに置く
• 手のひらでカード面を隠しながらレジにかざす

財布に入れたままかざすというのは、やってみたことがあるが、うまく処理できないようだった。Suicaでは、自動改札だけでなく店で使うときでも、財布に入れたままで十分に処理できたが、EdyではSuicaと違って電力が弱く設定されているのだろうか。

不透明な袋に入れておくというのは、クレジットカードとして使うときに不便だ。手のひらで隠しながらというのが妥当なところか。

カードを裏返しに置くというのは、もっと危険になる。最近のクレジットカードは裏面に、署名欄の部分に「セキュリティコード」が印刷されている。カード番号と有効期限、名義の部分はエンボス加工なので、裏からの撮影でも判読できてしまうかもしれない。

それにしても、これ見よがしにカードをさらすEdy対応レジであるが、設計者はいったい何を考えているのだろうか。

やはり、Edy利用者の自尊心をくすぐるためだろうか。「俺って、最新トレンドのEdy使いだもんね、ほら、後ろの人達、見て！見て！見て！」という感じで。

あるいは、Edyが使われていることを宣伝するためのEdy事業者の思惑によるもの、あるいは、Edyが使える店であることを利用者にわかりやすくするための設計なのかもしれない。

ビットワレットのサイトに掲載されている「店舗レジでのEdyチャージの仕方」の図なんかを見ると、カードが無防備になる様子が描かれている。

Edyのサービスが始まった当初は、カードにEdy機能しかなかった。そのときはこれでよかったのだろう。カード面にセキュリティ上のリスクのある情報は書かれていなかった。

しかし、クレジットカード一体型を提供する段階で、レジのあり方を再検討する必要があったのではなかろうか。（おそらく検討はしたのだろう。きっと内部で誰かが問題点を指摘しているはずだと思う。だけどそれより優先する何かがあって、そういう声はかき消されてしまうのだろうと思う。）

これは利用者の使い方の問題とも言えるが、クレジットカードをこのような形で置きっぱなしにする可能性があるというのは、Edyと一体になったことによって初めて起きたことだろうから、まだそういう認識が常識化していない。であれば、カード会社かサービス提供者が注意喚起してしかるべきと思うのだが、Edyとクレジットカードを発行しているソニーファイナンスのサイトも探してみたものの、そういう注意書きは見つからない。

追記

今日7月1日から、東海4県下のサークルKとサンクスでEdyが使えるようになったのだそうだ。そのEdy解説ページを見ると、Edy読み取り機がam/pmなどのものとは異なるようだ。水平に置くスタイルになっているようで、これなら後ろから見られる心配が減るだろう。

最初からこう設計すりゃいいのにと思うわけだが、これはおそらく、Edy搭載携帯電話への対応で、こうせざるを得なかったのではないか。

■ セキュリティコードは塗りつぶしてはいけない

クレジットカード裏面のセキュリティコード（3桁）は、ネットで買い物をするときに、最近、入力が求められるようになってきた。カード番号が流出しても、セキュリティコードが一致していなければなりすましされないという対策なのだろう。

「セキュリティコードは自分で暗記してしまえば不要になるのだから、裏面に印刷されているのは危険なだけではないか」と考え、「塗りつぶしてしまってよいのではないか？」という疑問を持ち、カード会社に電話で問い合わせてみた。

すると、この部分は、加盟店のリアル店舗で店員がカードが本物かを確認するためにも使うことがあるのだそうで、塗りつぶしてはいけないとのことだった。

■ 行政主導の児童使用実験にインフォームドコンセントの機会はあるか

ある地方自治体の情報政策課の職員の方からタレコミを頂いた。近畿総合通信局が昨日、「公共分野における電子タグ利活用に関する調査研究会〜就学児童の安全確保に向けて〜」という報道発表をしたという。これによると、

公共分野における電子タグの利活用について推進を図る観点から、「小学校の就学児童の安全確保」を検討の主なテーマとして、実証実験等から電子タグの利活用の実際における課題や推進に必要な方策等について検討を行います。

近畿総合通信局, 「公共分野における電子タグ利活用に関する調査研究会〜就学児童の安全確保に向けて〜」

とある。調べてみると、この実験の計画は先月17日の京都新聞の記事で報道されていたようだ。記事によると、この実験は、

計画では、自ら電波を発信するタイプのＩＣタグを児童のランドセルに付け、校門にリーダー（読み取り装置）を設置する。通過する児童の個人認証を行い、無線ＬＡＮを通じて職員室で登下校の履歴を集約する。保護者にも電子メールで配信し、下校時間を確認してもらう。

通学路周辺の危険個所にもリーダーを設置して、立ち入り情報を瞬時に把握、危険を予防する。

京都新聞 2004年6月17日, ＩＣタグで児童の安全確保 職員室で登下校を集約

という内容のものらしい。「自ら電波を発信するタイプ」とは、電池内蔵のアクティブ型RFIDのことであり、電波が届く距離は数メートル以上であろう。

校門を通過しただけで記録されることや、危険区域に立ち入ったことを通報する目的からして、児童の意思と無関係にIDが記録される方式（読み取り機にカードをかざすなど、人に能動性が必要とされない方式）のようだ。これは昨年10月に報道された、米国ニューヨーク州の学校で実施されているものより「進歩的」なものと言える。

• HOTWIRED, 『RFID』を生徒の管理に利用する学校が登場, 2003年10月24日

  ニューヨーク州バッファローにある幼稚園児から8年生までが通う小さなチャータースクール……（略）

  インターネットに関わるプライバシーおよびセキュリティーのコンサルタントを務めるリチャード・スミス氏は、（略）「アクセスカードや携帯電話、会員カード、衣類などにRFIDタグが付けられ、こうしたものを身につけて歩くようになれば、インターネットにつながれたRFID読み取り装置のネットワークによって、知らないうちに、あるいは許可なく追跡されることもある。私はその点が非常に心配だ」

  （略）

  だが、インテュイテック社のデビッド・M・ストレイティフ社長によると、同社が開発したエンタープライズ・チャーター・スクールのRFIDシステムにはプライバシー保護のための工夫が施されているという。たとえば、登録端末による読み取りが可能な距離を約50センチメートル以下に制限したほか、機械が勝手にRFIDタグをスキャンするのではなく、生徒が画面に触れなければ読み取りができないようにするといった手法だ。ストレイティフ社長は、システムが悪用されかねないという指摘を一蹴する。

「画面に触れなければ読み取りができないようにする」というこの話もちょっと疑わしい（単にその読み取り機では読み取れないだけで、悪意ある読み取り機では読めてしまうとかいうことがないか）のだが、もし、タグが暗号演算機能を内蔵していて、読み取り機と相互認証するようになっているなら、その通りなのだろう。

これに対して、近畿総合通信局の計画ではそうした配慮が検討されているだろうか。

京都新聞の記事には、

局長は「安全安心な社会形成のため、ＩＣタグの活用を検討したい」と話している。

京都新聞 2004年6月17日, ＩＣタグで児童の安全確保 職員室で登下校を集約

とあるが、スクランブル機能等を搭載していない安価なタグは、悪意ある者（誘拐犯、ストーカー、その他）による受信も可能なのであり、タグを取り付けることがかえって安全と安心を損なうおそれを生むという面もある。

何事も実験してみるのは良いこととしても、情報セキュリティの面からの実証が予定されているかどうかが気になる。調査研究会のメンバーは、大学の経済学部の助教授と、自治体の情報政策課長・室長、学校教育関係者の他は、IT企業各社の営業関係者で占められている。

和歌山大学経済学部助教授
大阪府池田市IT政策課長
和歌山県田辺市情報政策室長
和歌山県教育庁学校教育局 小中学校課指導主事
田辺市教育委員会 学校教育課長
KDDI(株)モバイルソリューション営業部課長
(株)NTTドコモ関西サービス開発部ビジネスソリューション開発担当課長
(株)日立製作所公共システム事業部関西公共システム第2部 部長
凸版印刷(株) 関西商印事業部販売促進本部部長
関西電力(株) グループ経営推進本部 情報通信事業戦略グループ部長
伊藤忠テクノサイエンス(株) 西日本システム本部 西日本システム技術部部長代行
(財)テレコムエンジニアリングセンター大阪支所所長

近畿総合通信局, 「公共分野における電子タグ利活用に関する調査研究会」構成員

この方々は、悪用される可能性というものの存在にお気づきなのだろうか。

近畿総合通信局の報道資料によると、

実証実験は、本年秋期に和歌山県田辺市内の公立小学校で全児童と父兄の参加により実施され、電子タグを導入するにあたって運用面や技術面で求められる内容についての検証を行います。

近畿総合通信局, 「公共分野における電子タグ利活用に関する調査研究会〜就学児童の安全確保に向けて〜」

とされているが、児童や父兄に、実験への参加を拒否する自由はあるだろうか。

6月8日に発表された総務省・経済産業省の「電子タグに関するプライバシー保護ガイドライン」には、「電子タグの読み取りに関する消費者の最終的な選択権の留保」が定められている。また、「消費者に対する説明及び情報提供」が定められている。

第１０ （消費者に対する説明及び情報提供）

事業者、事業者団体及び政府機関等の関係機関は、電子タグの利用目的、性質、そのメリット・デメリット等に関して、消費者が正しい知識を持ち、自ら電子タグの取扱いについて意思決定ができるよう、情報提供を行う等、消費者の電子タグに対する理解を助けるよう努める必要がある。

京都新聞 2004年6月17日, ＩＣタグで児童の安全確保 職員室で登下校を集約

とある。いまどき、ことさらに無線LANを使うことをアピールする意義がわからない。近畿総合通信局の報道資料の図にも無線LANが描かれている。

無線LANの傍受で全履歴をぶっこ抜かれるなどという事故が起きないレベルの、特別仕様の暗号化を施す（アプリケーションレベルでVPNやSSL等を使用するなど）といった強固な対策がなされるのだろうとは思うが。

■ 「アクセス制御の欠如」の脆弱性の検査はやはり重要

7月2日の「はてなカウンター日記」に、このように報告されていた。

プライベートモードのカウンターにおいて、

• リンク元レポートページ
• 検索語レポートページ
• ドメインレポートページ

のそれぞれのURLに、直接アクセスを行うことで、プライベートモードであるにも関わらず、第三者がレポートを閲覧可能となる不具合がございました。

この問題を本日修正しました。（略）

はてなカウンター日記, 2004年7月2日

これは気付かなかった。というか調べようとしていなかった。まさか、はてなにこういう基礎的な部分の脆弱性があるとは思わなかったので。意外にこの脆弱性は見落とされがちなのかもしれない。

この種の脆弱性の存在は次の手順で誰でも調べられる。

1. 自分のアカウントでログインする
2. 他人には見えてはならないはずの画面にジャンプする ――(1)
3. ログアウトする
4. (1)の画面に戻ってリロードし、同じように見えるならダメ
5. 上記を、検査が必要な画面のそれぞれについて繰り返す

はてなのように、ユーザを識別するIDがURL中に含まれるサービス（公開モードも存在するため、こうなっている）では、ログインしていない状態でのアクセスでもユーザは指定されることになるため、画面の表示を司るプログラムには、ログイン状態であるかどうか（そしてログインしているユーザが画面の所有者と一致するか）をチェックするコードを意図的に入れることが必要となる。

それに対し、ショッピングサイトのように、URLなどにユーザIDを含めることが必要でないサービスでは、セッションIDからアクセス者のユーザIDを検索してきて処理することになるので、その場合、ログイン中であることのチェックを怠ることは普通は起こらない。なぜなら、ログイン中でなければセッションIDを得られないか、得られてもそこからユーザIDを得られないからだ。

はてなのような形態のサービスを構築する際には、チェックコードの入れ忘れが起きる可能性があるので、うっかりミスがないか、必要な画面のすべてについて検査をすることが重要となる。

上に挙げた検査の手順は、誰でも手軽にできるが、たくさんの画面について繰り返すのは面倒となる。先に、他人には見えてはならないはずの画面の全部のURLをメモしておいて、ログアウト後にそれらへのアクセスを試すという方法がある。あるいは、別の種類のブラウザを起動しておいて、ログインしているブラウザのURLを、ログインしていないブラウザにコピーしてアクセスして確認するという方法もある。

さらには、ログイン中に、ログイン状態であることを示しているであろうcookieを削除する操作をして、リロードして検査し、再びcookieを元に戻して続けるという方法もある。localhost上で動かした特殊なプロキシサーバ上で、アクセス毎にリクエストを編集して送信するという方法を使い、cookieを一時的に削除するということもできる。

こうした作業を自動化したのが、「Vulnagra」（別名「Moroyowa」）だ。

Vulnagraはプロキシサーバとして動作し、ユーザのアクセスのリクエストとレスポンスを監視する。ユーザに検査対象のサイトにログインさせ、サイトを適当にうろうろさせることにより、セッション追跡がどのパラメタで行われているかを推定する。はてなであれば、「rk」という名前のcookieであることがすぐにわかる。そして、他人に見えてはならないはずの画面を、自動的にあるいはユーザの指示によって登録して、後の検証コースで、そのパラメタ「rk」を欠落させて同じ画面にアクセスし、結果に問題のある情報が含まれていないかを調べることで、この脆弱性がないかを自動的に検出する。

ログイン状態を示すパラメタが、cookieに限らず、POSTアクションのhiddenパラメタになっているサイトであっても、同様に動作するので、検査は素人でも簡単にできる。

■ Edy一体型クレジットカードの有効期限が切れるとEdyは？

クレジットカードの有効期限が切れたため新しいカードが送られてきていた。そこには、ご利用案内の冊子とは別に挟み込まれた、「《重要》更新カード発行時のEdyのお取扱いについて」という紙が入っていた。そこには次のような注意書きがある。

• 旧カードのEdy残高は更新カードへ移行されません。
  ※旧カードは、Edy残高を使い切った後、ハサミを入れて廃棄いただくようお願いいたします。
• 有効期限経過後の旧カードへのEdy入金はできません。
  （略）
• 更新にあたり、カード番号は変更されませんが、Edy番号は変更されます。
• インターネットでのチャージ（入金）をご希望の場合は、今回お送りいたしました「更新カード」にて、改めて「サービス登録」をお願いいたします。

これは気付かなかった。なるほどたしかにそういうことにならざるを得ない。面倒くさい。こんなの、おばちゃんとかには理解困難ではないだろうか。

有効期限の切れたクレジットカードは、そう、ハサミで切り刻んで捨てることになっているのは常識だ。ボーっとしていると、Edyに入金済みの数万円をドブに捨てることになる。 クレジットカードを無視して単なるEdyカードとして使い続けようとしても、入金ができないようになっているそうで((やらないでくれというだけで、本当は可能なのでは？))、しばらく使い切るまで両方のカードを持ち歩き、古いほうを使うことを意識し続けないといけない。面倒くさい。

そしてもう一つ、意外だった重大めの面倒くささがある。

Edyカードは（というより、FeliCaは）、単なる電子マネーとしての機能だけでなく、個人認証カードとしても機能するものだ。INTERNET Watchの7月7日の記事の表にあるように、「会員証」としての役割も果たす場合がある。その場合、ユニーク番号である Edy No.が会員番号となるだろう。

たとえば、2月29日の日記で書いたように、IC CARD WORLD 2004では、登録入場者の入場管理にEdyカードを使うという試みが実施されている。登録から入場までの間にクレジットカードの有効期限が切れたらどうするのか。その他の様々なサービスで、クレジットカード一体型Edyを、個人認証用として登録していた場合、全部変更しなくちゃならない。面倒くさい。

そもそも変更できないサービスもあるのではないか？ 「club ap」なんかは、「ご登録情報の変更」の画面に行ってみると、変更できないようになっている。Edy No.が club apの会員番号なのだ。「am/pm発行のEdyはもちろん、他のEdyでもご登録いただけます！！」とあるのにだ。まぬけだ。

さて、club apの利用（というよりは、am/pmの利用）については、以前から書かねばと気になっていた、興味深い注意点がある。「ユビキタス社会」のひとつの落とし穴の典型例とも言える。これについては、am/pmへ問い合わせをして回答を待ってから書くことにする。

■ Edyナンバーはどのように使われるものか

2月29日の日記「Edyナンバーは易々と他人に知らせてよい番号なのか」で、

まず第一に気になる点は、EdyカードのEdyナンバーは、誰でも読み出せる仕組みなのか？ ということだ。つまり、Suicaの入退場履歴がCLIEで読み出せてしまうように、特別な暗号鍵なしに誰でもFeliCaリーダさえあれば、Edyナンバーは読み出せてしまうのか？ という疑問だ。

もしそうではないのだとすると、（略）

と書いたが、これは簡単に検証ができるのだった。Edy Viewerで自分のEdyカードを読んでみると、Edyナンバーが画面に表示された。誰でも読める。

また、2月29日の日記では次のようにも書いた。

そういう状況で、Edyナンバーだったら渡してもよいということらしい。Edyナンバーとはそういうものなのか？ 不用意に適当な相手に番号を渡してもよいものなのか？

（略）

RFIDカードは暗号機能によって守られているが、RFIDタグは一般に守られていない。EdyナンバーはRFIDカードなわけだが、はたして暗号機能で守られているのだろうか。

これについては次のように言える。Edyナンバーは誰にでも読み出せる。しかし、任意のEdyナンバーを名乗ること、つまり、なりすましは、暗号機能によってできないようになっている（はず）。

他人のEdyナンバーを入手したとして、それを勝手にどこかのWebサイトに入力することはできても、Edyカード（FeliCa）を使って認証処理を行う際に、勝手に他のカードのEdyナンバーを名乗るように振舞うことは困難なようになっている。FeliCaのプロトコルが、暗号機能を使ってそのようにしている*1。

この性質が、従来の磁気ストライプ式カードでは得られなかったことであり、ICカードが、番号確認を要するサービスに安全性をもたらしたというわけだ。

am/pmの会員サービスであるclub apでは、会員登録の際、PaSoRiを使ってカードのEdyナンバーを送信するわけではなく、手でEdyナンバーを入力する方式になっているため、「仮パスワード」なるものが用意されている。仮パスワードは、am/pmのレジでEdyカードをかざし、店員さんに「仮パスワードをください」と言うと、レシートに印刷されて受け取るようになっている。

このように、同じレジで2度お願いしても、また、別の店でお願いしても、Edyカードが同一であれば、仮パスワードは同一のようだ。5桁の数字である。

レジがどうやって、Edyナンバーから仮パスワードを算出しているのか。当然ながら、容易に予想されるような一定の関数で計算しているようでは困るので、ランダムにふられたものをオンラインで取り寄せているか、秘密情報を加えたハッシュの計算をオンラインでセンターに計算させているか、あるいは、ハッシュの計算をレジ内でローカルに実行するが、演算を耐タンパーデバイス上で行うようにしているかのいずれかであるはずだ。

それはともかく、Edyナンバーを手で入力するときにはこのような仮パスワードの仕組みが必要とされているはずだということを、ユーザは知っておかねばならない。

仮パスワードなしにEdyナンバーを入力させるようなサービスがあったら、そのサービスの安全性を疑うべきである。たとえば、2月29日の日記に書いた、IC CARD WORLD 2004で入場者管理にEdyナンバーが使われていた件では、事前登録で、EdyナンバーをWebに手で入力するようになっていたが、仮パスワードに相当するものがなかった。

おそらく、この展示会では、登録されたEdyナンバーは、入場のチェックだけに使っていたのだろう。そうであれば、仮になりすまし行為が起きたとしても、それによって起き得る被害は、「自分のEdyナンバーを勝手に他人に使われたために、自分が登録しようとしたときに既に使えない状態になっていた」という現象に悩まされる程度であろう。 この程度のリスクであればなりすましが起きてもかまわないという判断が、主催者にあったのだと考えられる。しかし、ユーザの立場としては、Edyナンバーが入場のチェック以外に使われている可能性がないことを確認しなければ、安全性を理解できない。

■ 許諾なしに公表されるEdyナンバーとSuica番号

このように、「ユビキタス社会」とは、自分が保有する様々なサービスのID番号が、どのような安全性を維持しているか、直感的に理解することがいっそう困難になる社会であると言える。

簡単な解決方法は、「いかなる番号も秘密にするのが常識」という社会通念を醸成することである。

しかし、2月29日の日記のコメントに情報を頂いたように、サービスの普及を推進する事業者自身によって、以下のように番号がぞんざいに扱われているのが現状だ。

ビットワレットのサイトに、「ネットでEdyチャージキャンペーン 当選番号確認」というページがある。そこには、誰かのEdyナンバーがずらりと掲載されている。

もし、「これは問題ないのか？」とビットワレットに問い合わせれば、例によって、「番号だけからお客様を特定することはできません」という回答がくるだろう。

まあ、それはよいとして、それにしても、次の点はどうだろうか。

この「ネットでEdyチャージ」というキャンペーンは、ユーザが意識的に参加するものではない。

●エントリー方法
Edyに1回につき20,000円以上ネットでEdyチャージすれば自動エントリー。

●対象となるEdyチャージ
・パソリを使ったインターネットチャージ
・空港等のANA WEB KIOSKでのチャージ

ビットワレット, ネットでEdyチャージキャンペーン

と説明されているように、こんなキャンペーンが行われているとは知らされていない人が、PaSoRiでチャージしたり、空港の機械でチャージすると、強制的に参加させられるのである。

つまり、もしこれに当選してしまうと、承諾していないのに知らないところでEdyナンバーを晒されてしまうのである。あなたのEdyナンバーも既に晒されているかもしれない。

これは個人情報保護法的にはどうだろうか。Edyナンバーは「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」に当たるだろうか。「当たらない」と言い張る人はたくさんいそうだ。

類似の事態は、2002年10月にJR東日本が、Suicaで運賃を二重取りする事故を起こした際にも起きていた。ポスターの駅での掲示と、Webへの掲示で、被害者のSuicaのID番号を公開していた。Webに掲載されていたその画面は、以下のようにarchive.orgで確認することができる。

• archive.org: http://www.jreast.co.jp/apology/20021018.html
  

同様の事故は、今年5月にもSuicaの電子マネー機能でも起きている。

• 読売新聞, スイカ、支払い代金二重取り, 2004年5月22日

そして今回も、カードのID番号が公開されている。

• 東日本キヨスク, Suica（電子マネー）のPOS端末不具合に関するお詫び
  

これを、ICカードのメリットと見る向きもあるだろう。つまり、いくら事故を起こしまくっても、こうやって対象者の番号を発表して後から客に事実を伝える義務を果たせるのだと。

2002年のJR東日本の事故で番号が公表されたとき、「今だから問題ないのだが……」ということを思った記憶がある。当時は、SuicaのID番号はJR東日本だけが使用していた。そのため、その番号の人が他にどのような属性を持つか（他に何を利用しているかなど）は、JR東日本しか知りようがない状態であり、番号を公表することにさほど問題はなかった*2。「将来に、Suicaが様々な用途で利用されるようになったときには、このように番号を公表することが、新たな問題を引き起こすようになるかもしれない」と、当時は思った。

ところが、今年になって、キヨスクが番号を公開した。これはどのような影響をもたらすのか。一般の市民は、そのリスクを（あるいはリスクがないことを）理解できるのだろうか。

■ Edyナンバーは店舗でも履歴から閲覧できるらしい

「DooGA - Edy（電子マネー）」というサイトを見ると、一番下に「Edy管理ページ」という画面がある。これは、Edy決済を処理するセンターが見る画面ではなく、Edy決済を依頼する店舗が見る画面だ。そこには、「Edy番号でDB検索」という機能があることがわかる。

店舗には店舗ローカルな受注番号さえあればよいはずだ。特別なトラブルが生じたときにだけ、受注番号と店舗番号でEdy決済センターに問い合わせて、センター側でEdyナンバーに変換して処理すればよいはずだ。だから、店舗がEdyナンバーを記録・閲覧できる状態にあるかのかは、不確かだったのだが、これにより、閲覧できることがはっきりした。

そして店舗には、商品の送り先として消費者の住所・氏名が提供することがある。

■ 不正アクセス禁止法 法学者の解釈

セキュリティホールmemoの7月14日に、奥村弁護士のはてなダイアリーの内容がまとめて取り上げられているが、背景を踏まえて注意して読む必要がある。鵜呑みにしてはいけない。

これは、あるクローズドな場で進行していた議論に並行して奥村弁護士が書かれたもの。私はその場にいたので、どのような流れの中でこの話が出たかを見ている。以下はそれを踏まえて書くもの。

紹介された主張は端的に次のものだと理解している。

不正アクセス禁止法を法律の文章そのままに解釈すると、「電子計算機の利用」とは有体物として電子計算機の利用を指し、個々の情報処理を指すと解釈することはできない。

これを原則とすると、次のことが導かれるという。

「アクセス管理者」は有体物としての電子計算機の管理者を指すことになり、その上で提供されるであろう複数の個々のサービスに管理者がいても、それは法の言うアクセス管理者にあたらない。「アクセス制御機能」は、有体物としての1個の電子計算機全体に対する制御を指すこととなり、個々のサービスに対するアクセス制御機能があっても、それは法の言うアクセス制御機能にあたらない。

つまり、一台の電子計算機上で、HTTPサーバのバーチャルホスト機能を使って、複数の異なるドメイン名のWebサイトをサービスしていても、それぞれのWebサイトの管理者は、法の言う「アクセス管理者」にあたらないのだという。同様に、Webページ上にBasic認証によるパスワード機能を付加していても、それは法の言うアクセス制御機能にあたらないのだという。

このように主張されているものとして、「日弁連サイバー犯罪条約の研究」に掲載さているという石井徹哉 現千葉大学法経学部助教授の「サイバー犯罪条約の刑事学的意義」があるという。まだ入手していないので、奥村弁護士が引用なさった部分から孫引きする。（OCRによる誤認識と思われる文字を推定で修正）

文理解釈による「電子計算機の利用」とシステムへのアクセスの相違を無権限アクセスとの関連で例示するならば、httpプロトコルを処理するサーバをネットワークに接続している場合、当該コンピュータの利用は当該ネットワークに接続している者であれば誰でも可能であるし、誰に対しても利用の権限は付与されているといえる。しかしながら、あるディレクトリないしはデータに対してhtaccessによるbasic認証によってアクセスを制御している場合、アクセス権限があり適切なID／PASSWDを使用してデータを要求した者には、サーバはデータを送出するのであるが、無権限の者にはデータを送出できないとの処理をおこなってその旨をアクセスした者に通知するという処理をおこなうのである。この場合、無権限の者も当該サーバを利用していることにはかわらない。さらに、ハードとしての電子計算機が問題であるから、不正アクセス禁止法にいう管理者も、ハードを単位として考えるべきで、同一のサーバマシンを共有している場合には、たとえ各利用者が別のURLないしIPアドレスによってサーバの運用をしているとしても、これらの者は同法にいう管理者とはなりえないのである。

石井徹哉, サイバー犯罪条約の刑事学的意義, 日弁連サイバー犯罪条約の研究

強調で示した部分は、ようするに、Basic認証で「401 Authorization Required」のエラーが出ても「電子計算機の利用」をしていることには違いないということが述べられており、「誰に対しても利用の権限は付与されているといえる」ということが主張されている。「利用」の概念が、有体物としての電子計算機全体の利用（利用したか利用していないかと言えば「利用した」にあたる）という意味で解釈されているためだろうか。

注意してほしいのは、これは法学者が、法律学上の原則論から、現行の不正アクセス禁止法がいかに不適切な立法であるかを指摘するためにしている主張であり、立法者の意図とは異なるうえ、現実の検挙例等での解釈とも異なる。

立法者の意図を、「逐条不正アクセス行為禁止等に関する法律」（立花書房, 不正アクセス対策法制研究会編著）から読み取ると、次のように書かれており、明白に異なっている。

アクセス管理者は、特定電子計算機の「動作」を管理しておれば足り、その所有権を有するかどうかは問わない。サーバ・コンピュータを所有していないインターネットのエンドユーザであっても、ISPのサーバの一部を利用してホームページを開設し、ISPとの契約により、そのホームページの閲覧を誰に認めるかという「動作」の管理をする権原を有していれば、アクセス管理者となる。したがって、一の特定電子計算機に二以上のアクセス管理者が存在し得ることとなる。

逐条不正アクセス行為禁止等に関する法律, p.36

両者が食い違っている中で、法学者がこのように主張するのは、

これを立法者の意思であるからとして許容する向きもあるが、立法者がもしそのような意思をもっていたのであるならばその意思を適切に反映する文言を使用すべきであって、それを懈怠しながら、可能な語義をこえる解釈を強いるのは妥当でない。

石井徹哉, サイバー犯罪条約の刑事学的意義, 日弁連サイバー犯罪条約の研究

ということを言わんとしているためだ。

一般の人が、この主張を目にすることによって、これを鵜呑みにし、立法者の意図とは異なる法解釈に基づいて行動し、その結果として情報セキュリティの発展に悪影響を及ぼすようなことにならないよう願う。

既にあちこちのWeb日記等でこの解釈へのリンクとともにコメントがなされており、伝聞が急速に広がっているようで、心配になった。ゆえに、クローズドな場での議論を発端としているにもかかわらず、ここに書くことにした。

私個人の感覚としては、情報処理技術者あるいはそうでなくとも一般市民の語法では、普通に「電子計算機の利用」と言えば、電子計算機上で提供されている複数のサービスのそれぞれについての利用を指してかまわないとすることに違和感がないだろうと思う。

しかし、法律の世界では、ハードディスク全体が猥褻物であるとする高裁判決が出るなどしており、一般市民の感覚とは異なる何かがあるらしいので、それはそれで、そうした現行法の言葉遣いに対する批判は、法曹および立法関係者の間で戦っていただきたいところであろう。

だが、不正アクセス禁止法にはそういうレイヤーとは別のところ、つまり立法者の意図に沿った解釈した場合であっても、疑問点が多数あるのであって、法学者以外の、現実にこの法律に影響される一般市民としては、実際問題として短期的に、そちらの議論がないと困る。

ところで、奥村弁護士のはてなダイアリーで紹介されている文献は、情報処理学会会員ならば以下で無料で閲覧できる。

• 石井徹哉, 「不正アクセス」対策法制の意義, 情報処理学会コンピュータセキュリティ研究会研究報告, CSEC-004-7, 1999年3月

■ 不正アクセス禁止法 立法者の意図（推定）

7月15日の日記「不正アクセス禁止法 法学者の解釈」の続き。

不正アクセス禁止法の解釈について、このような場に書くことは避けたかったのだが、ブログ界隈で危なっかしいコメントが漂っているようでみてられないので、一部、書くことにする。

以下は、「逐条不正アクセス行為禁止等に関する法律」（立花書房, 不正アクセス対策法制研究会編著）を頼りに、立法者の意図を推定してみたものである。仮にこの推定通りだったとしても、立法者の意図が裁判所の判断や検察の考えと同一とは限らないので注意。また、この本は信用に値しないとする声を複数耳にしたことがある。

まず、この本は次のような立場の著者によって書かれたものである。

……法律の立案に参画した我々警察庁スタッフも、法律の施行準備に、その他ハイテク犯罪対策に追われているうちに、ある者は警察庁から転出し、ある者は他課に異動し、ある者は別命を与えられたというように、それぞれちりぢりになってしまった。しかしながら、来る平成12年7月1日の不正アクセス禁止法の全面的施行を前にして、今の機会を逃しては、この法律の解説書の発効は望めないと考え、立案当時の警察庁関係者が、自責の念を込めつつ、かつ、薄れゆく記憶をたぐりつつ、分担執筆したものである。（略）

平成12年5月

逐条不正アクセス行為禁止等に関する法律, はしがき, p.6

以下では、「特定」という言葉をすべて省略した。「特定電子計算機」=「電気通信回線に接続している電子計算機」、「特定利用」=「利用のうち、当該電気通信回線を通じて行うものに限る」という意味で、この法律全体がこれに限定されているので、読みやすさのために省略する。

この法律の定める禁止行為が何であるかを解釈するには、まず「制限されている利用」というものがどのように定義されているかが鍵である。3条2項の1号〜3号はいずれも「制限されている利用をし得る状態にさせる行為」を不正アクセス行為としている。

「制限されている利用」という表現は3条にしかなく、2条にはない。2条に「制限」という言葉は、「当該利用の制限」という表現で一回出てくるのみとなっている。

この法律において「アクセス制御機能」とは、電子計算機の利用を自動的に制 御するために当該利用に係るアクセス管理者によって当該電子計算機（略）に 付加されている機能であって、当該利用をしようとする者により当該機能を有 する電子計算機に入力された符号が当該利用に係る識別符号（略）であること を確認して、当該利用の制限の全部又は一部を解除するも のをいう。

「利用の制限」という言葉の直接的な規定が見当たらない。「利用の制限」とは何か。

まず、15日に書いた、「電子計算機の利用」といえ ば一個の有体物としての利用のことを指すとしか読めないとする法学者の解釈の立場（「有体物としての電子計算機であるコンピュータの利用であって、 そこでなされている個々の情報処理と解釈することはできない」とする立場） では、「利用の制限」とはその電子計算機を全く利用できない状態にすること だけを指すのだろう。

一方、「電子計算機の利用」といえばそこでサービスを受けられるいろいろな利用それぞれのことを指すという立場の文理解釈*1では、無数の利用というものがあって、そのうちのどれとどれが「制限されている利用」にあたるのかということになる。立法者の意図を逐条解説書から探れば、以下の引用部のように、利用というものに「範囲」なるものが想定されていることから、利用という概念が、範囲の限定を伴いうるものとして意図されていることがわかる。

本項で規定するアクセス制御機能によって識別符号が入力された場合にのみ電 子計算機の利用ができるようにシステムを構築することで、利用件者 にのみ許諾した範囲の利用をさせるようにして、電子計算機の動作 の管理を具現化させているところである。

逐条不正アクセス行為禁止等に関する法律, p.47

アクセス制御機能は、アクセス管理者が電子計算機の利用を誰に認めるか、認める場合はどの範囲とするかという電子計算機の動作の「管理」を、情報処理において実現するための手段である。

逐条不正アクセス行為禁止等に関する法律, p.48

次に、「アクセス制御機能」の規定が、「……当該利用の制限の全部又は一部を解除するもの」となっていることから、アクセス制御機能が（入力された符号が当該利用に係る識別符号であることを確認して）解除するという何かしら（=「利用の制限」）があって、その、解除する前の状態を解除した後の状態と比較したときに、解除前では制限されていて、解除後では制限されていないような利用のそれぞれを指して、（当該アクセス制御機能により）「制限されている利用」とされているように読める。

つまり、制限の手段を表す言葉を使わずに、「入力された符号が当該利用に係る識別符号であることを確認して解除する」という概念だけを使って、「利用の制限」ということと「制限されている利用」というものを同時に定義しているように読める。

このことは、3条2項の1号（他人の識別符号を入力）だけを話題にする場合には、十分に都合のよい定義のように思える。なぜなら、1号では識別符号を入力するのであるから、そのアクセス制御機能はそれによって、そのアクセス制御機能で制限している利用の制限を解除するのであり、制限が解除されるものが制限されていた利用であるから、その行為は常に*2「当該アクセス制御機能により制限されている利用をし得る状態にさせる行為」に該当するからだ。

ところが、同2号、3号を含めるとどうだろうか。

二　（略）当該アクセス制御機能による利用の制限を免れることができる情報（略）又は指令を入力して当該電子計算機を作動させ、その制限されている利用をし得る状態にさせる行為（略）

1号では、何が「制限されている利用」にあたるかがその行為自身によって決定付けられていたが、2号、3号ではそうはならない。

まず、「当該アクセス制御機能による利用の制限を」とされているから、ある行為が2号、3号違反であると示す際には、必ず、「どのアクセス制御機能に（どの識別符号が）入力されたのときに解除されるはずの制限が免れられたのか」を示すことが必須となるだろう。

それが示されたならば、示された識別符号の入力による解除が行われた場合における、解除前では制限されていて解除後では制限されていない状態となる利用のそれぞれを指して「制限されている利用」ということになり、当該行為がし得る状態にしたという利用が、その「制限されている利用」に含まれるならば、違反行為に該当するということになるのだろう。

しかし、やはり、何をもって「制限されている」ことになるのかが未定義である。

このことについて、逐条解説に「制限されているとは何か」といった直接的な解説は見当たらない。しかし、間接的な説明となる次の文章がある。

アクセス制御機能及びこの「制限」が完全無欠であれば、識別符号等以外の情報又は指令が入力されてもおよそ利用はできず、「制限」された状態が維持されることとなるが、本法は「アクセス制御機能による利用の制限を免れることができる情報（略）又は指令」の入力を不正アクセス行為としてとらえ（略）、これを禁止していることからも明らかなように、この「制限」及びアクセス制御機能による「制限」された状態の維持は、およそ識別符号を入力しない限り利用をし得ないものである必要はない。この「制限」がプログラムの瑕疵や設定上の不備によりアクセス管理者の意に反して不十分である場合、そのことをもって、電子計算機の利用を制御するためにアクセス管理者が付加している機能をアクセス制御機能と認めないこととすることは現実的ではないからである。本項が、アクセス制御機能を、識別符号等が入力されれば、制限されている（基本的には行えないようになっている）利用をすることができるようにする機能として規定しているのは、このような理由によるものである。

逐条不正アクセス行為禁止等に関する法律, p.57

つまり、法文の「制限されている」という言葉は、立法者の意図としては、括弧書きされているように、「基本的には行えないようになっている」という意味だそうだ。それ以上の規定や解釈の説明はどこにも書かれていない。そのことを以下で確認する。

まず、上に続く部分として以下の記述がある。

さらにすすんで、同じ利用について、ある場合には識別符号の入力が必要であるが、ある場合には識別符号の入力以外の方法によってすることができるようなときに、その利用はアクセス制御機能の前提となる制限がされているといえるかどうかということについては、若干の検討を要する。一般論として、結論を先に述べれば、識別符号を入力する以外の方法によっても識別符号を入力した場合と同じ利用ができるようになっていることをもって、直ちに識別符号の入力により利用の制限を解除する機能がアクセス制御機能に該当しなくなるものではないが、識別符号を入力しなくとも同じ利用ができ、アクセス管理者が当該利用を誰にでも認めているような場合には、アクセス制御機能による利用の「制限」はないものと解されることになる。以下、具体的な例を挙げて解説する。

逐条不正アクセス行為禁止等に関する法律, p.59

この記述から、立法者は、「識別符号の入力以外の方法によってすることができる」状態を「制限されている」といえるかについて、はっきりさせていないことを自ら認識していることがうかがえる。

「若干の検討を要する」とし、「一般論として結論を先に述べれば」という言葉で続けられている説明は、「直ちに……該当しなくなるものではないが、……ような場合には制限はないものと解される」と書かれており、これは、「……ような場合には」で示された、明らかに制限がないと解される場合（「アクセス管理者が当該利用を誰にでも認めているような場合」）を挙げて、単にそういう場合があることを述べているにすぎない。

続く部分の「具体的な例」も、以下のように書かれている。

社員が企業の建物内部でLAN上の端末から行う当該サーバ・コンピュータの利用に関してはID・パスワードによる制限をしていないが、外部ネットワークから社員が行う当該利用に関してはID・パスワードの入力が必要とされる場合は、建物の入退室管理が常識的範囲で行われている限り、当該端末を誰でも使用できるというわけではないので、当該利用に当該利用については、アクセス制御機能による制限があるといえる（当該LAN上の端末からの利用についてはアクセス制御機能による制限ではなく、建物の入退室管理等による制限が行われていると評価されることになる）。

IPアドレスを用いるなどして、特定の端末からの利用については識別符号等の入力を要しないようにしている場合も、同様に、当該端末が誰でも自由に使用できるようになっているのでない限り、アクセス制御機能による利用の制限があるといえる。

逐条不正アクセス行為禁止等に関する法律, p.60

これも、明らかに制限があると解される場合を挙げているにすぎず、それ以外の場合にどうなのかについて説明していない。

どちらの説明にも条件付けがされており、そこは注目に価する。前者（明らかに制限されていないと解される例）では、「アクセス管理者が認めている」ことを条件としており、後者（明らかに制限されていると解される例）では、「誰でも自由に使用できるようになっているのでない」ことを条件としている。しかし、だからといって、アクセス管理者が認めていないなら制限されていることになると言っていることにはならないし、誰でも自由に使用できるようになっているなら制限されていないことになると言っていることにもならない。

つまり、明らかに制限がない場合と、明らかに制限がある場合を例示しているだけで、それ以上の検討がない。明らかにそう言えるために条件付けをしながら例示をしていることから、それらの条件がない場合については何も書けないことを、著者らは認識していると推察される。

結局、「若干の検討を要する」とし、「一般論として結論を先に述べれば」としているわりには、後に続くはずの検討はなされていないことになる。このことは、次の解説に反していると言える。

そこで本条では、この不正アクセス行為をすることを禁止することとする（第一項）とともに、禁止されることとなる不正アクセス行為について、第二条で規定した識別符号、アクセス制御機能等の概念を用いて明確に定義することとした（第二項）ものである。

逐条不正アクセス行為禁止等に関する法律, p.66

「明確に定義することとした」というが、明確に定義されてはいない。「基本的には行えないようになっている」という解説しかできないような定義しかなされていない。

たしかに、2号、3号で期待されるような不正アクセス行為を定義しようとしても、客観的に判別できる行為規定で定義することが容易でないことは最初から予想されるところである。こうした曖昧さが残ることは止むを得ないことであり、他の法律においてもそうした曖昧さのあるものも多いと主張することはできるだろう。しかし、そうした主張や考察がこの逐条解説書に書かれているわけではない。明確に定義できていないことを知りながら、「明確に定義することとした」と言っているのだろうと推察される。

「明確に定義することとした」と言わなくてはならない理由は、罪刑法定主義を持ち出すまでもなく、この法律を自然犯（刑事犯）ではなく法定犯（行政犯）とすることにしたことからも、強く要請されるところだからではなかろうか。

不正アクセス罪が法定犯であることについては、以下の記述などがある。

……これは、いわゆる自然犯は行為それ自体が法律で定められるまでもなく社会的に悪とされる行為であり、法令においては、特にその行為をしないように命ずるまでもなく、その行為を処罰する規定を設ければ足りるものであり、他方、法定犯は行為それ自体の当罰性は法令の規定による義務履行違反に求められるため、法令においては、義務を課する規定と義務違反を処罰する規定とを設けることが必要であるとの理解に基づくものであると考えられる。

このように解する場合、不正アクセス行為については、処罰することとすることが適当な行為であると認められるにしても（（略）アンケート調査結果でも回答の約八十五パーセントが不正アクセスを法律で取り締まる必要があると回答している。）、前法律的に反規範性を有する行為であるとまではいえないと考えられる。そこで、本法においては、不正アクセス行為の処罰については、犯罪の防止及び電気通信の維持という本法の目的を達成するために、本条第一項において「何人も、不正アクセス行為をしてはならない」との規定を置いた上で、第八条で同項の規定に違反した者を処罰する旨の規定を置くこととし、不正アクセス罪が法定犯（行政犯）であることを明らかにしたところである。

逐条不正アクセス行為禁止等に関する法律, p.68

ちなみに、次の記述もある。

ところで、従来、「不正アクセス」と呼ばれていたコンピュータの不正利用行為は、必ずしも本条第二項に規定する不正アクセス行為に限定されていたわけではない。例えば、情報システム安全対策指針（平成九年国家公安委員会告示第九号）は、不正アクセス行為のほかに、不正な手段によりユーザ（略）以外の者が行うアクセス又はユーザが行う権限外のアクセスを「不正アクセス」と、コンピュータ不正アクセス対策基準（平成八年通商産業省告示第三六二号）は、システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うことを「コンピュータ不正アクセス」としており、概ね、コンピュータ・システムやサービスの無権限での利用行為をとらえて「不正アクセス」と呼んでいる。また、不正アクセスの報告を受け付けているコンピュータ緊急対応センター（JPCERT/CC）には、電子メールの不正な中継（略）や外部からのシステムの機能の探索（セキュリティ・ホールのスキャン）等アクセス制御機能侵害以外の侵害行為や不正アクセス行為の準備行為的なものも不正アクセスとして報告されているところである。

しかしながら、従来は「不正アクセス」と評価されてきたその他のコンピュータの不正利用行為やコンピュータ・ウィルスを投与する行為などは、アクセス制御機能に対する侵害行為ではなく、本法の禁止するところではない。これは、既に述べたとおり、本法は、コンピュータをネットワークに接続して営まれる社会経済活動の安全の確保が、一般に、その利用権者等をID・パスワード等の識別符号により識別し、識別符号が入力された場合にのみその利用を認めることとするアクセス制御機能により実現されているとの認識に基づいて、このアクセス制御機能に対する利用の制限が行われていない電子計算機に対する攻撃は、その電子計算機の管理者の意図に反するものであっても、本法による禁止、処罰の範疇外の行為である。

もとより、ネットワーク上のあらゆる問題状況を本法によって解決することは不可能であり、コンピュータ・ネットワークに係る社会経済活動の安全を確保するために規制すべき行為がほかにあるかどうかは、今後のネットワークをめぐる状況を踏まえ、引き続き検討されるべき課題であるといえよう。

逐条不正アクセス行為禁止等に関する法律, p.66

この説明が、「制限されている」をどのように解釈するべきかに、どう影響するかはよくわからない。

「不正な手段によるユーザ以外の者が行うアクセス」とか、「ユーザが行う権限外のアクセス」とか、「与えられた権限によって許された行為以外の行為」などは、抽象的な表現であり、法定犯として規定するには、何をもって「与えられた権限によって許された行為」とするのかを、明確に定義することが求められるのであろう。それらの「権限」なるものが、（全部をカバーきていないものの）概ね「アクセス制御機能により実現されているとの認識に基づいて」、明確に定義しようとしたのがこの法律だったのではないだろうか。

しかし結局は、2号、3号を規定しようとした段階で、「制限されている」をどのように解するかが未定義になってしまった。これは、「情報システム安全対策指針」や「コンピュータ不正アクセス対策基準」において、「与えられた権限によって許された行為以外の行為」が曖昧であったのと同程度に曖昧なままなのではなかろうか。

さて、この逐条解説書の中で、「利用の制限を免れることができる情報又は指令」として具体的にどのようなものがあるのか、事例を挙げている部分があるかというと、なんと、次の2か所しかない。しかもこの2つは同じことを繰り返し述べているだけなので、1種類の事例を挙げているだけだ。

（3条2項1号の解説）

入力されるものは「識別符号」でなければならない。識別符号についての解説（略）で述べたように、識別符号と同種の情報であっても、利用権者等でなくなった者のID・パスワードでアクセス管理者がパスワードファイルから消去し忘れていたものや、ハッカー等がアクセス管理者に無断でパスワードファイルに追加したID・パスワード（裏口）は、識別符号には該当せず、これらの情報を入力する行為は、本号に該当しない。これらの情報は、第三条第二項第二号の「アクセス制御機能による利用の制限を免れることができる情報」に該当する。

逐条不正アクセス行為禁止等に関する法律, p.75

（3条2項2号および3号の解説）

……で述べたように、利用権者等でなくなった者のID・パスワードでアクセス管理者がパスワードファイルから消去し忘れていたものや、ハッカー等がアクセス管理者に無断でパスワードファイルに追加したID・パスワードのように、アクセス制御機能を有する電子計算機を作動させる点で識別符号と同様の性格を有するものは、「アクセス制御機能による利用の制限を免れることができる情報」に該当する（略）。

逐条不正アクセス行為禁止等に関する法律, p.79

これ以外には、「セキュリティ・ホール攻撃」という言葉が何度か出てきているものの、その具体例は全く示されていない。なぜなのだろうか？ たとえば、バッファオーバーフロー脆弱性を突いてシェルへのリモート操作の接続を得るということについて、書くことはできたはずなのに、なぜか書かれていない。

p.83には、「不正アクセス行為の事例についての若干の検討」という節があるが、そこに挙げられている例はいずれも1号違反行為についての検討ばかりである。

4月10日の日記にも書いたように、1999年の国会で、 不正アクセス行為の禁止等に関する法律案に対 する付帯決議として、次のように決議されている。

政府は、本法の施行に当たり、次の事項について善処すべきである。

一　不正アクセス行為は、コンピュータ・ネットワーク上の行為であり、一般の犯罪類型と異なる側面を有するところ、本法の施行に当たっては、国民に対し犯罪構成要件の周知徹底を図ること。

二　（略）

三　（略）

四　（略）

五　（略）

不正アクセス行為の禁止等に関する法律案に対する附帯決議

そもそも、子供まで含む一般の市民が直接に関わりを持ち得る法定犯を規定する法律の逐条解説が、いまどきPDFファイルによる無償提供ではないというところからしていかがなものかと思われるが、3条2号の2号、3号については、「制限されている」という文言が法文で未定義であるばかりか、上の通り逐条解説書を熟読してみても、その要件が解説されていない状態であり、「政府は国民に対し犯罪構成要件の周知徹底を図ること」という国会の付帯決議は無視されているに等しい。

この犯罪は法定犯なのであるから、ズバリ線引きをしていってもかまわないのではなかろうか。つまり、裁判所の判断を待つのではなしに、何かしらの相談をもって案を示し、パブリックコメントを活用するなどして、具体的にどれが該当行為で、どれが該当しない行為であるのかの例示を、どんどん政府から公示していくなどしてもよいのではないだろうか。「制限されている」の定義を政令ないし主務省令によって定めることにして、政省令を必要に応じて改正していくという方法もあり得たのではないか。

たとえば、2002年に、顧客情報を記録したファイルがWebサーバ上で丸出しになっていたことが原因で、２ちゃんねる掲示板にそのURLを暴露されて、多数の個人情報漏洩事故が連続発生したことがあったが、警視庁は、このようなファイルにアクセスする行為を「不正アクセスには該当しません」という見解を出している。

最近、企業等のウェブサイトから、資料・案内請求者や、アンケートの回答者、懸賞応募者などの個人データが流出する事案が多発しています。 この原因は、個人情報が格納されたファイル自体が、ウェブ上の公開ディレクトリに蔵置されていたためであり、発見されたサイトのURLが特定の掲示板に掲載されたため、問題が一斉に顕在化しているものです。したがって、システム管理者の簡単な設定ミスである場合が多く、このような場合は「不正アクセス」には該当しません。新システムへの移行時やサーバーの入れ替え時には、特に注意しましょう。

警視庁, 情報セキュリティ広場, 個人情報流出防止

この事例でも、アクセス制御機能は存在していたであろう。サイト管理者がページを編集したり、蓄積された個人情報ファイルをときどきダウンロードするために、FTPによるログインをしていたであろう。そこに識別符号によるアクセス制御機能は存在したに違いない。実際、これらの事故が起きたときに、サイトの運営者の一部はマスコミの取材に対して、「暗証番号を入力しなければアクセスできないようになっていた」などと主張していた。これはおそらく、FTPによるダウンロードのことを指しての発言だろうと推察する。

流出したのは、同社がＨＰ上で行った同社製品のキャラクター名の公募キャンペーンに応募した人の氏名や住所、メールアドレスなど。同午前零時すぎから、閲覧方法がネット上の電子掲示板に掲載された。同社では「ご応募頂いた方にご迷惑をおかけした」としており、同日午前１１時ごろにＨＰを一時閉鎖した。

同社によると、このデータは、ＨＰ上で暗証番号を入力しなければアクセスできないようになっていたが、何者かがＨＰを管理している別会社のサーバーを通じて、暗証番号がなくてもアクセスができるようプログラムを書き換えたらしい。

読売新聞 2002 年6月30日, ○○○○の１２００人データ、不正アクセスで流出

ファイルがWebサーバ上で丸出しになっている事例では、アクセス制御機能が存在するにしても、ファイルを閲覧するという利用が、そのアクセス制御機能によって「制限されていた」と言えるかどうかである。警視庁は、裁判所による判断を待つことなしに、これを制限されていないと判断したわけだ。

２ちゃんねる掲示板で暴露されて実害（といえるもの）が拡大するという事態が起きても、その実害（といえるもの）を防止することは不正アクセス禁止法の目的ではないため、「このような場合は不正アクセスには該当しません」と決めてしまって、差し支えないということなのだろう。

であるならば、思い切って何が「制限されている」に該当しないか、線引きをしてしまっても、「実害が起きるから困る」ということにはならないはずだ。

そして、「制限されている」に該当しないような欠陥は、法律も保護してくれないのであるから、最低限対策をとる必要があるとサイト運営者が心得るべきであろう。このことは、既に警視庁からも以下のように注意喚起されているところであるのだから、線引きをしても現状と変わりないはずだ。

システム管理者の簡単な設定ミスである場合が多く、このような場合は「不正アクセス」には該当しません。新システムへの移行時やサーバーの入れ替え時には、特に注意しましょう。

警視庁, 情報セキュリティ広場, 個人情報流出防止

■ 不正アクセス禁止法 情報セキュリティ技術者が期待するはずのもの

不正アクセス禁止法が、人々が期待していると考えられる方向に拡大解釈されているのではないかと危惧する指摘がある。上に書いたように、この法律の3条2項の2号、3号の定義は曖昧であり、その部分について恣意的に拡大解釈されるのは由々しきことであろう。

人々が法律に何を期待するかは、立法者の意図とは別である（期待に沿うべく立法するべきではあるが）し、法学者がとり得る解釈もまた別である。そこで、人々がこの種の法律に何を期待しているかを考えておきたい。

まず、人々といってもいろいろな立場の人がある。Webサイト運営者、そこに個人情報を預けるなどして利用する一般の人、無関係な人の間では、この種の法律に期待するところは異なるであろう。Webサイト運営者は、アクセス管理者の意図に反するアクセスは全て不正アクセス行為ということにしてほしいと願うかもしれないし、そのサイトの利用者の多くもそのように考えるかもしれない。

では、情報セキュリティに携わる技術者はどう期待しているだろうか。

まず最初に、情報セキュリティ技術者であるからこそ、不正アクセス禁止法の適用範囲は広いものであって欲しいと願うはずだという観点がある。

なぜなら、不正アクセス禁止法があるからこそ、脆弱性の原因について安心して公開の場で議論することができるからである。

脆弱性の原因について明らかにすることは、長期的に、セキュリティ技術の進歩を促し、安全なシステム構築技術を確立するために必要不可欠であると同時に、短期的にも、管理者が自分の管理下にあるシステムの安全性を効率的に確認するために必要とされている。

このような正当性をもって、脆弱性の原因の情報は公表されるわけであるが、同時にその公開は、その情報を悪用する輩を生じさせないという理由から、憚られる面もある。この正当性と危険性のトレードオフをどう判断するかであるが、不正アクセス禁止法が存在しない（あるいは適用範囲が狭い）となると、危険性が増大するため、正当性があっても情報公開を控えるべきであるということになりかねない。

誰かがどこかで、2000年より前は脆弱性情報は秘匿される風潮があったのに、2000年ごろから情報が公開されるようになったというようなことを書いていたが、まさに、2000年は不正アクセス禁止法が施行された年である。

私は、2000年より前にはコンピュータセキュリティに興味を持たなかったのが、2000年から興味を持つようになった。それには別の原因もあったが、不正アクセス禁止法があるということが、情報公開をする妥当性を高めているという意識はおそらくあっただろうと、今さらではあるが思う。私としては、コーディネーションといった仕事には興味がなかったが、脆弱性の技術的な情報を整理して開発者に注意喚起するという仕事には興味があったためである。それがやり易い環境が法整備により整ったと暗黙的に感じていたと思う。

また、2000年の10月だっただろうか、JPCERT/CCに関わりのあったある人物と久しぶりにお会いした際に、彼に「僕は、公開しないべきだと思うよ。危ないから。」と言われたことがある。たしかに、2000年より前の段階で、不正アクセスに相当する行為がなされている現場で、秘密裏にその実態を知る立場にあった方からすれば、処罰されないのをよいことに勝手好き放題に繰り返す者達を目の前にすれば、情報を公開するべきでないという考えに至るのは必然的なことだっただろう*3。しかし、2000年2月の不正アクセス禁止法の施行で、その前提は変化したはずである。

このように、不正アクセス禁止法が適用範囲の広いものであるほど、脆弱性情報を公表することの妥当性が高まることになる。

ところがこの点を忘れてか、同法の適用範囲が狭い方がよいと考えながら、同時に、そうではないという現実の前に情報公開を避けようとしている風潮が見られる。これは全く錯乱した風潮である。

情報公開を避けようという風潮になる一つの要因は、幇助犯とみなされる可能性を恐れてのことのようだ。しかし、公表することに正当性があり、妥当性が認められるような形で公表する範囲においては、幇助犯とみなされることはないはずだ。ありとあらゆる犯罪行為のヒントになり得る情報を一律に公表すべきでないとすることは、市民がそうした犯罪から身を守るのに必要な手段や実態情報さえも遮ることになるのであり、事実、たとえば架空請求詐欺は、注意喚起することが模倣犯を増やしたかもしれないにもかかわらず、注意喚起は可能な限り早い段階で広く行うべきだったと誰もが考えるであろう。ピッキングが流行したときも、手口を真似る者が出る恐れがあっても、そうした実態を広く知らせることの方が優先されると判断して、ニュース番組で流したテレビ局があった。

ようは、正当性と危険性のトレードオフであり、公表をどこまで詳細にするかも、その必要性と、危険性の大きさや回避の困難さを天秤にかけて判断すべきものである。

場合によっては、公表するときに正当性の説明がきちんとなされていたかとか、口調がどうであったかといったことが加味されることもあるかもしれないので、その点に気をつけるに越したことはない。そもそもわざわざ口調を悪くして見せることに必然性はないはずだ。

また、技術者以外の人々が、情報を公開することの必要性をすぐには理解しない状況があるならば、その必要性をそうした人たちにもわかるように説明していくことが、技術者（長期的展望に立つことのできる専門家）の役目であろう。

なお、不正アクセス禁止法は第4条において、「不正アクセス行為を助長する行為の禁止」を規定しているが、そこでは、識別符号を提供する行為だけを対象としており、制限された利用を免れる情報又は指令は対象から外されている。このことについて、逐条解説書は次のように説明している。

そこで、本条においては、不正アクセス行為を禁止する実効性を担保するため、これを助長する危険のある他人の識別符号を提供することを禁止することとしたものである（注三）。

（注三）本条の趣旨は、条見出しにもあるとおり、不正アクセス行為を助長する要因を除去する点にある。不正アクセス行為を助長するものとしては、本条に規定する行為のほか、アクセス制御機能に係るソフトウェアのセキュリティ・ホールに関する情報の提供や、いわゆるクラッキング・ツールの頒布等も想定されるところである。しかしながら、これらの行為は、セキュリティ・ホールを探知してそれを改善する等の不正アクセス行為からの防御措置を施すことに資するという正当な目的で行われている場合もあり、その行為自体が一般的に不適当であるとはいえないものである。そこで、本法においては、コンピュータの知識に関係がなく誰もが容易に不正アクセス行為を実行することを可能とし、アクセス管理者等の承諾がある場合を除いておよそ有用性の認められない他人の識別符号を無断で提供する行為を禁止するとことし、セキュリティ・ホールに関する情報やいわゆるクラッキング・ツールの提供等についての規制の在り方については引き続き検討することとされたものである。

「幇助犯」との関係

他人が犯罪を行うのを手助けする行為（幇助行為）を処罰するものとして、刑法第六二条第一項の「幇助犯」の規定がある。幇助犯が成立するには、幇助行為を行う者が正犯の実行行為を認識するとともに、自己の行為がその実行を容易にするものであることを認識・容認して幇助行為を行うこと、及び正犯の実行行為があることが必要であるとされる。したがって、不正アクセス行為を行おうとしている第三者に対して、その実行を容易にすることを認識して他人の識別符号を提供し、かつ、提供を受けた者が実際に不正アクセス行為の実行に至れば、仮に本条の規定がなかったとしても、識別符号を提供した者は刑法第六二条第一項により不正アクセス行為の幇助犯として処罰されることとなる。

しかしながら、他人の識別符号を無断で提供する行為は、第三者の不正アクセス行為を行おうとしていることの認識、その実行を容易にするという認識の有無とは関係なしに不正アクセス行為を助長するものである。例えば、純粋にアクセス管理者のセキュリティ対策の甘さを糾弾するためにホームページ等で当該アクセス管理者に係る識別符号を公開するような場合であっても、当該ホームページ等を見た者がその識別符号を用いて容易に不正アクセス行為を実行することを可能とするものであり、結果として不正アクセス行為を助長することになる。

このように、他人の識別符号を提供する行為は、その外形的行為自体に不正アクセス行為を助長する高度の危険性が認められるものであり、その行為自体を禁止する必要性が認められることから、提供者に不正アクセス行為を幇助する認識があり、かつ、提供を受けた者が実際に不正アクセス行為の実行に至った場合にのみ幇助犯として処罰するにとどめることなく他人の識別符号を提供する行為一般を禁止することとしたものである。

逐条不正アクセス行為禁止等に関する法律, p.87

最近では、警察庁も脆弱性情報を公開するようになった。これは、不正アクセス禁止法が機能していることを前提として可能になったものではないだろうか。

• 警察庁セキュリティポータルサイト @police, 不正アクセス手法検証結果

さて、話を戻して、不正アクセス禁止法の適用範囲が狭い方がよいと考えながら、同時に、情報公開を避けようとしている錯乱状態について。

錯乱をもたらしているもう一つの要因として、特定の不正アクセス事件についてそれが無罪となって欲しいと願う心が、同法の適用範囲は狭くあって欲しいという思考をもたらし、それが、脆弱性情報悪用のリスクを高めることを直感させて、情報公開を控えざるを得ないという考えをもたらしているという可能性が考えられる。

それが錯乱状態だというのは、現行法の曖昧領域での裁判所判断がどうあって欲しいと願うかということと、現行法の曖昧さが不適切であるから改正によって厳密に定めて欲しいと願うこととが、別であることを区別できていないからである。つまり、曖昧な現行法のもとでなされた行為について罪刑法定主義に照らして無罪とするべきであると考えることと、法律を曖昧性のないものに改正する際には適用範囲を広くして欲しいと考えることとは両立するということを認識するべきである。

次に、そうした風潮が、錯乱したものではない可能性として、IPAの脆弱性情報届出制度（のうち、ウェブアプリケーションの脆弱性関連情報の場合）がうまく機能することを期待して、そのために不正アクセス禁止法の適用範囲が狭い方がよいとの考えを導いていることがあるかもしれない。

この制度は、発見されてしまった脆弱性はサイト運営者に伝えられることが社会の安全を高めることになるという考えのもとで提言されて実現されたものであるが、どんな脆弱性でも積極的に探索してまで見つけることを奨励するほどのものではない。具体的には、違法な手段で脆弱性を発見しないことが要請されている。

脆弱性の種類によっては、違法な手段を用いずには脆弱性の存在を確認できないのであるから、そうした種類の脆弱性は、この制度が始まってもなお放置されることになるのではないかとの失望感があるかもしれない。

しかし、脆弱性の種類によっては、適法な方法で存在を論理的に推定できるものもあるし、検証行為をしないことで、本当に対策されていない脆弱性とまでは確証を持てないものの、構造のパターンから他によくある脆弱性が存在している可能性が十分に高いと推察できるといった場合もあるのであり、そうした情報が届出され、サイト運営者に伝えられ、確かに脆弱性であると確認されればいずれ修正されるであろうし、個人が直接通知するときのように無視されることも避けられると考えられる。さらには、定期的に公表される統計情報によって、サイト運営者達が適度に危機感を認識するようになり、リスクを定量的に評価することもできるようになれば、脆弱性監査サービスを受ける運営者が増えて、それに伴って、違法な手段でなければ存在を確認できない種類の脆弱性も修正されるようになるかもしれない。

であるから、この制度は、すべての種類の脆弱性をカバーできていないからといって、有効に機能しないとまで悲観するようなものではないと思う。

その一方で、現行法の存在とは別に、どんな種類の脆弱性であっても、意図が善意であれば、制限を免れる行為を実行してもかまわないかというと、そうではないだろう。

例えば、バッファオーバーフロー脆弱性を突いてシェルを乗っ取る実験を行って、「脆弱性がありました！」と届け出る行為や、脆弱性スキャナ（どんな処理がなされるか把握できていないもの*4をサイト運営者に無断でかけまくって、「脆弱性がありました！」と届け出る行為は、ほとんどの人たちが法律で禁止して欲しいと考えるだろうと思う。

逆に、少なくとも、現行の不正アクセス禁止法を最も広い適用範囲で解釈をした場合において違法とならない脆弱性存在確認・推定手順は、多くの人たちに、問題のない行為（届出によって適正に修正されるならば歓迎される行為）と考えられるだろうと思う。

したがって、届出制度のカバー範囲を妥当な範囲でどこまで広げられるかということと、それが広げられることによって不正アクセス禁止法の適用範囲が狭まることが、情報公開のリスクを高めることになることも想定して、それらのトレードオフを検討する必要がある。

■ 2号不正アクセス罪に該当するかを検討する際の注意点

セキュリティホールmemoの7月14日に見られるように、ある行為が、不正アクセス禁止法の3条2項2号の禁止行為に該当するかを検討する際に、「アクセス制御があった / なかった」とか「アクセス制御だ / そうでない」という問い方をする発言等が散見されるが、そのような言葉の使い方は不適切な上、混乱を招くので避けるべきである。

まず、「アクセス制御」という言葉はこの法律で一度も使用されていない。すべて「アクセス制御機能」という言葉で統一されている。逐条解説書を読んでみても、「アクセス制御」という言葉を使わないよう注意深く書かれていることがわかる。

「アクセス制御機能」という言葉が使われているのだから、「アクセス制御」もそれと同じじゃないかという声が聞こえてきそうだが、この法律において「アクセス制御機能」とは、「入力された符号が当該利用に係る識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除するもの」を指すのである。つまり、技術の分野では通常、ユーザ認証機能などと呼ぶ部分である。

それに対して、技術の分野での用語としての「アクセス制御」は、個々のページ等へのアクセスを許可するかをコントロールしている部分を指すことが多いと考えられ、これは、法のいう「アクセス制御機能」とは異なるものを指すのであるから、法律解釈の文脈においてこの言葉を使うのは避けるべきである。

「個々のページ等へのアクセスを許可するかをコントロールする部分」が、法律上はどの言葉で表現されているかというと、そのような技術要素を直接的に表現する語句はみあたらないが、「当該アクセス制御機能により制限されている利用」や、「当該利用の制限の全部又は一部を解除する」における、「制限されている」や「利用の制限」という言葉がそのようなコントロール機能が働いていることを前提としていると考えられる。

したがって、まず、「アクセス制御があった / なかった」とか「アクセス制御だ / そうでない」という言い方をしないこと。

次に、「アクセス制御機能があった / なかった」という検討は必要であるが、たいていの場合、どこかにアクセス制御機能はある*5。

そして最も重要なことは、それらのアクセス制御機能（複数を検討するべきである）によって、当該利用は「制限されている」状態にあったといえるかを検討することである。検討すべき点はこれに尽きるといえる。

■ 教育情報ナショナルセンターのその後

2月22日の日記に、小学生や園児にまで住所を入力させている話、IDとパスワードを他人と共同利用することを是認している話、安易なパスワードリマインダ利用を助長している話を書いた。

その後、このサイトは次の点が変更されていたようだ。

• 「キッズ」から「園児」がなくなり、小学生以上がユーザ登録の対象となった。
• キッズの登録画面は、「新規(しんき)ユーザ登録(とうろく)は保護者(ほごしゃ)の方(かた)や先生(せんせい)と一緒(いっしょ)にしましょう」という画面になった。
• パスワードリマインダの設定方法についての説明、「質問を「好きな食べ物は？」にしたとすると、答えは「カレーライス」のようにするとよいですよ」という危ない誘導は削除された。

しかし、現在もなお中学生に個人情報を提供させているし、パスワードリマインダは廃止されていない。

たとえば、先月経済産業省が公表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照してみると次の記述がある。

法第１７条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはならない。 なお、不正の競争の目的で、秘密として管理されている事業上有用な個人情報で公然と知られていないものを、詐欺等により取得したり、使用・開示した者には不正競争防止法（平成１５年法律第４６号）第１４条により刑事罰（３年以下の懲役又は３００万円以下の罰金）が科され得る。

事例１） 親の同意がなく、十分な判断能力を有していない子供から家族の個人情報を取得する場合

事例２） 法第２３条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合

事例３） 他の事業者に指示して不正な手段で個人情報を取得させ、その事業者から個人情報を取得する場合

経済産業省, 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

これは「経済産業分野」を対象としたガイドラインなので、教育分野では事情が異なるのかもしれないが、それは別にして、一般に、中学生は、個人情報を提供するにという行為において、十分な判断能力を有しているといえるだろうか。

次に、パスワードリマインダの話。

パスワードリマインダといえば、11月23日にも、東京都の電子申請システムの杜撰なパスワードリマインダのことを書いた。その後、このリマインダ機能は削除されたようだ。

また、同じ日に gooのリマインダのことも書いていたが、gooからも古いタイプのリマインダーは削除されたようだ。

よい傾向である。

その一方で、教育情報ナショナルセンターは、パスワードリマインダを廃止していない。「「カレーライス」のようにするとよいですよ」と書いていた危ない誘導は削除され、

パスワードを確認するための合言葉(質問と答え)

どのように入力すればいいのですか？

質問と答えはセットで考えてください。
他人から容易に推測できないようにしてください。
例えば、生年月日、電話番号などは他人に知られやすいので使わないでください。

教育情報ナショナルセンター, ユーザ登録

という説明に変更されているが、過去に「カレーライス」という誘導に影響されて、「カレーライス」で登録してしまっていた児童、生徒達のリマインダはそのままになっているのではなかろうか。

教育情報ナショナルセンターは、「「カレーライス」のようにするとよいですよ」と書いていたことの危険性を認めるのであれば、以下の調査を行って適切な対応をとった上、調査結果を発表してはどうだろうか。

• 合言葉の質問に「好きな食べ物は？」を登録していたユーザの割合
• さらに、答えに「カレーライス」を登録していたユーザの割合

教育学上の有益な資料となるはずだ。

ところで、このようなサービスにどうして住所を登録する必要があるのかわからないので、意見送信画面から、

ソフトウェアのダウンロードにあたって個人情報の登録が必要な理由を教えてください。

という質問を送ってみたのだが、自動応答メールにはこう書かれていた。

このメールに対[たい]する返答[へんとう]はいたしません。あらかじめご了承[りょうしょう]ください。

個人情報取扱事業者なのに、連絡先となる電話番号等がどこにも書かれていない。「NICERへのご意見について」というページに、住所とセンター長の氏名が書かれているだけになっている。

■ 質問文が公開仕様のパスワードリマインダに注意せよ

教育情報ナショナルセンターのユーザ登録画面に、「パスワードを忘れたら？」というコーナーがある。そこには、

ログイン名を入力し、「合い言葉を表示」ボタンを押してください。

と書かれている。

つまりこれは、任意のユーザ名を入力してボタンを押すと、その人のリマインダの質問文を表示するという機能である。すなわち、公開プロフィール表示機能と同等である。

一般に、ユーザ名それ単体では、不正アクセス禁止法2条2項の「識別符号」にはあたらないと考えられる。なぜなら、識別符号とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」等と定義されているからである。

第二条

２　この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者（以下「利用権者」という。）及び当該アクセス管理者（以下この項において「利用権者等」という。）に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。 　

一　当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二 （略）

三 （略）

不正アクセス行為の禁止等に関する法律

したがって、質問文が公開される仕様となっているパスワードリマインダに対して強制的に質問文を登録させられる（リマインダへの登録を拒否できない）サイトを利用するときは、質問文に、人に知られたくないような内容の文を登録しないように自衛する必要がある。公開プロフィールだと思って書くとよい。

なお、当然ながら、リマインダの答えは、ユーザ名とセットになることで「みだりに第三者に知らせてはならないものとされている符号」となり、識別符号にあたるであろうから、他人のユーザ名を入力したうえ、他人のリマインダの答えを入力する行為は、不正アクセス禁止法第3条2項1号違反行為になるであろう。

それらの行為は違法である可能性が高かったり、倫理的にも悪いことと考える人が多いであろうし、そのような行為に正当性はないので、やってはいけない。

■ パソコンユーザを国際電話ダイヤルアップ被害に陥れるNEC

ブロードバンドが普及する前、つまり、ダイヤルアップ接続が普通だったころ、突然高額な電話料金を請求されるという被害に遭った人が少なくないようだ。これは、悪質なサイトを訪れたときに、ダイヤルアップ先電話番号をQ2や国際電話に勝手に書き換えられていたことが原因である。しかし、通常ならば、設定を勝手にそのように書き換えられることはないはずだ。

もしあなたがNECパソコンの利用者で、このサイトの説明を読んだ記憶があるなら、原因はNEC社にあるかもしれない。

そこには次の説明がある。

「署名済みActiveXコントロールのダウンロード」の「有効」チェックボックスをチェックします。

NECパーソナル商品総合情報サイト 121ware.com サポート情報番号 004532

この設定は絶対にやってはいけない。（ここは、デフォルト設定では「ダイアログを表示する」になっている。）

国際電話をかけるよう書き換えるプログラムは、大阪府警のハイテク犯罪情報のキャプチャ画面にあるように、「署名済みActiveXコントロール」を使って作られていることが多い。

この「セキュリティ警告」の確認ダイアログウィンドウは、署名が誰のものかを表示して、信頼するかの確認を求めているものだ。ここで、「はい」を押してしまうと被害に遭うことになる。府警や各地の県警は、ここで「いいえ」を押してダウンロードを拒否せよと注意している。

ところが、NECのサポート情報が指示する通りに、「署名済みActiveXコントロールのダウンロード」を「有効にする」にしていると、この確認ダイアログが現れず、確認なしに自動的に「はい」を選択したのと同じ挙動をしてしまう。

もし、あなたが、このNECの誤った指示に従って設定をその通りに変更していて、その後に、国際電話ダイヤルアップ被害に遭ったことを証明できるなら、NECに損害賠償を求めてもよいかもしれない。

そもそも、インターネットゾーンで「署名済みActiveXコントロールのダウンロード」を「ダイアログを表示する」「無効にする」以外に設定することなどあり得ない。そんな設定ができる必要はないのであって、こんな設定ができてしまうようにしているMicrosoftが無能だ*1というのは、その通りだろう。しかし、だからといってNECに責任が無いことにはならない。

NECは、この誤った解説を見てしまったと推定される全てのユーザに対して、正しい設定方法を告知するべきである。

NECのサイトには他にも危険な設定を指示しているところがある。「BIGLOBEメール自動設定」というページには、次のように同様に危険な設定の指示がある。

冒頭にリンクした、BIGLOBEのセキュリティ対策情報の解説もあまり適切でない。そこでは対策として、「ActiveXコントロールとプラグインの実行」を「ダイアログを表示する」にせよとしているが、それだと、ほとんどのページでいちいち確認が必要になってしまう。なぜなら、多くのサイトで、Flashを使った広告バナーが設置されていて、それがActiveXコントロールとして動くからだ。無害なページでいつも「はい」を押していたら、常に「はい」を押すようになるか、設定を元に戻してしまうだろう。

「ActiveXコントロールとプラグインの実行」は「有効にする」に*2した上で、「署名済みActiveXコントロールのダウンロード」を「ダイアログを表示する」または「無効にする」*3にするよう勧めるのが現実的である。

■ ツールバー利用者をとんでもない危険の淵に立たせる朝日新聞社

朝日新聞社が提供する「asahi.comツールバー」のところに、「ヘルプ・よくある質問」というページがある。そこには次の説明がある。

インターネットゾーンで、「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」を有効にしろというのである。これは、上に書いたNECのケースより、数段危険な設定である。

この設定がいかに危険なものであるかを以下で検証してみよう。まず、以下のHTMLコードを見てみる。

<html>
  <script>
    var wsh = new ActiveXObject("WScript.Shell");
    wsh.Run("cmd.exe /c dir /p");
  </script>
</html>

これは「不正プログラム」ではない。WScript.ShellというActiveXコントロールで Runというメソッドが使えるのは、Windowsの仕様である。この内容を拡張子「.hta」のファイル（「HTML Application」）として、ローカルコンピュータに保存し、そのファイルをダブルクリックして起動してみると、「cmd.exe /c dir /p」が実行されて、ディレクトリの一覧表示が実行される。これは、Windowsの仕様通りに動いたものだ。

ローカルファイルをダブルクリックで起動するというのは、そのファイルを操作者が完全に信頼したことを意味する。.exe ファイルや .bat ファイルをダブルクリックすると何が起きるか覚悟しなくてはならないのと同様に、.hta ファイルも覚悟が必要である。これは仕様だ。

ただし、これの拡張子を「.htm」という通常のHTMLファイルにして、IEで開いてみると、以下のような警告が現れる。

さすがに、ローカルファイルとはいえ、通常のHTMLファイルでこれが動くのは危険だということだろうか。「ほかの部分に影響しても問題ありませんか？」という質問も意味不明だが、ここで「はい」を押すと .hta のときと同じように動く。

当然ながら、任意のコマンドを操作できてしまうこういう機能は、インターネットゾーンでは全く動かないようになっている。

それは、「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」がインターネットゾーンでは、「無効にする」がデフォルト設定となっているからだ。

ローカルファイルの起動で上のような警告が現れるのは、「マイコンピュータゾーン」で、「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」のデフォルト設定が「ダイアログを表示する」になっているからである。

それを、asahi.comツールバーの「ヘルプ・よくある質問」は、「有効にする」に設定せよというのである。インターネットゾーンでだ。

試しにテストしてみるとよい。asahi.comの指示通りに設定して、以下のHTMLをどこかにアップロードして自分でアクセスしてみる。cmd.exe が実行されるだろう。

<html>
  <script>
    var wsh = new ActiveXObject("WScript.Shell");
    wsh.Run("cmd.exe /c dir /p");
  </script>
</html>

これが実行されてしまうのは、設定が誤っているからであって、プログラムが不正だからではない。

asahi.comツールバーの説明は、おそらく、「ActiveXコントロールとプラグインの実行」を有効にせよと言いたかったところを間違えたのだろう。「ツールバーのインストール後に設定を戻しておいてください」と書かれているので、まだよいが、戻す必要のある理由が説明されていないので、戻さないユーザがいたかもしれない。

これも、そもそもこんな設定ができてしまうWindowsがおかしい。こんな設定が必要になることなど存在しない。

他にも危険な設定をさせている人たちがいる。

• 兵庫県立人と自然の博物館, インターネットGIS
  

• 三井物産フューチャーズ, 外国通貨証拠金取引
  

以下は必要のない設定のはずだ。確認ダイアログが出ても「はい」を押す人はいる。この設定「安全であるとマークされていない」は常に「無効」にしておくべきである。

• 岐阜県美濃加茂市, 住民公開GIS
  

■ NETWORLD+INTEROPのRFID実験で見た虚偽表示

今月はじめ、NETWORLD+INTEROP 2004 TOKYOに行ってきた。会場の受付に、こういう看板が立てられていた。

そこにはこう書かれていた。

Q2 "IC Chip PASSPORT"にはどのような情報が含まれているの？

A 全ての"IC Chip PASSPORT"には、異なるナンバーだけが記入されています。このナンバーはご来場の皆様の入場登録（事前/当日）とは一切結びついておりません。（略）

Q4 "IC Chip PASSPORT"無くしたときはどうするの？

A 入場受付までお越しください。紛失された"IC Chip PASSPORT"を無効にすると共に、再発行いたします。

「入場登録と一切結びついていない」のに、どうして紛失したときに「紛失された"IC Chip PASSPORT"を無効にする」ことができるのだろう？ という疑問がわく。再発行というのは、別の番号で発行されるという意味だろうか？ という疑問もだ。

帰り際に受付に行って、「紛失したときに無効にするとか再発行するというのは具体的に何をするということなのですか？」と問い合わせてみた。すると、仮に私が紛失したと想定して、実演して見せてもらえた。

専門の係員さんが呼び出され、彼がやってみせてくれたのは、無効にするというのは、RFIDタグをリーダライタに置いて内容を消去するという操作で、再発行するというのは、名札のバーコードを読み取ってそれをRFIDタグに書き込むという操作なのだという。どうも変だ。

名札のバーコードには「208316」という6桁の番号が書かれていた。係員さんが言うには、その番号をRFIDタグに書き込むのが再発行なのだという。それって、「一切結びついておりません」というのが虚偽だということになるのでは？

ITmediaの記事によると、

入場者にはバッジとともに、名刺大の無線ICタグ「IC Chip PASSPORT」が配布される。入場時にはバーコードで情報を読み取るとともに、同一の情報をICタグに書き込み、それをゲート型のリーダーで読み取るという流れだ。同じ情報をバーコードとICタグの両方で扱うことにより、ICタグの信頼性を検証する。 ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

とあるので、RFIDタグに書き込まれたデータがバーコードの番号だというのは間違いないようだ。

ここで、N+IのこのRFIDタグ付き名札で起こり得るプライバシーの問題を整理してみると、主に以下の可能性が懸念されるところであろう。

1. 会場内で、出展者が来場者の意思に反して、ブースに立ち寄った来場者の番号を読み取り、後日セールスのコンタクトをとる。
2. 会場内または会場外で、第三者が、RFIDタグの固有IDを読み取って人々の移動をトラッキングする。

2番目の懸念は、ユビキタス社会が未到来の現時点においては、ほとんど問題にならない。使用されたタグも通信距離が長くないものであるから、アクティブタグを小学生児童に取り付けて電波発信させるような実験と違って、直ちに危険が生じ得るという状況ではないだろう。今回の実験で懸念されると想定すべきは1番目の問題である。

展示ブースにはバーコードの読み取り機があり、来場者が出展者からの後日のコンタクトを希望すれば、自分の連絡先を出展者に伝えるために、名札のバーコードを読んでもらうようになっている。こうした仕組みは多くのイベントで採用されている。後日、出展者がバーコードで読み取った入場者番号リストを主催者に提出すると、主催者から対応する来場者の連絡先個人情報をその出展者に提供するようになっているのだろう。受付のところにも、「バーコードを差し出すことは名刺を渡すことと同じになります」といった注意書きがされていた。従来の方式では、連絡先を出展者に渡すか渡さないかの選択権は来場者にあるので、プライバシー的に妥当なものであった。

ところが、名札にRFIDタグが取り付けられ、目に見えない電波で、ある程度の距離から勝手に読み取られ、連絡先個人情報を知られてしまうとなると、それは少なくない来場者が許さないであろう。

バーコードでも最近の高性能なバーコードリーダなら、1メートルくらいの距離から読めるが、赤いレーザー光がチカチカ走ることになるので、それを見たら嫌だと感じる人は少なくないだろうし、カメラを使って名札を撮影することもできるだろうが、密かにそういうことをしていたと発覚すれば、問題となるだろう。RFIDタグを無線で読むのはそれと同じだ。

だからこそ、「このナンバーはご来場の皆様の入場登録とは一切結びついておりません」というお断りが必要だったのだろう。だが、「結びついていない」というのは虚偽で、バーコードと同じ番号が電波でも読み取れる状態になっていたというのが真実のようである。日経RFIDテクノロジーの記事には、以下のように、そのことがハッキリと書かれている。

無線ICタグとバーコードに格納したIDは，来場者の個人情報とヒモ付けた形で，主催者のメディアライブジャパンがこれまでのイベントと同じように厳重に管理する。

日経BP RFIDテクノロジー, 「プライバシはどうするの?」，Interopの来場者管理に10万枚の無線ICタグを利用, 2004年6月30日

「出展者がRFIDタグの番号を読み取って入場登録と結びつけることはありません」というのなら理解できる。主催者と出展者の間の契約で、そうした行為を禁止していればよい。実際に禁止していたかもしれない。だったらそれを書くべきである。もし契約で禁止していなかったのなら、論外だ。

「一切結びついておりません」の文章は、受動態表現とすることで、行為主体を明らかにすることを避けた文章になっている。誰が何をしないことになっているのか。契約なのか単なる期待なのか、そこをハッキリさせる必要がある。それこそが固有IDのプライバシー問題解決の本質であるのに、Auto-IDラボ・ジャパンの人はそれをいまだに理解していないようだ。

なお、ITmediaの記事によると、

メディアライブ・ジャパンでは、来場者の動線分析のほか、名刺交換や資料請求にICタグを利用するといったアプリケーションも想定しており、実験の結果次第では、来年のN+Iではバーコードをやめ、ICタグのみで入場管理を行う可能性もあるという。

ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

となっているが、それはどうだろうか。

自分の意思と関係なしに近寄っただけで名刺を取られるというのは、受け入れられないだろう。よほど通信距離の短いタグにするか、読み取り機の方で、ボタンを押さないと読み取らない仕組みにする（出展者には契約で遵守させる）などの対策が必要だろう。しかし、それだったら、これまで通りのバーコードで十分なのではないか。

動線分析をするなら、動線分析用のIDと名刺交換用のIDを分離する必要があるだろう。名札発行時には、両者の番号を同時に書き込むわけであるから、突合せは可能な状態になる。「突合せしません」と来場者に約束するしかないが、そこまでして得た匿名のままの動線分析の結果はそれほど役に立つのものか疑問だ。やはり、「この動きをした人にコンタクトしたい」という狙いがあってこそなのではなかろうか。

ちなみに、日経BP RFIDテクノロジーの記事には次のようにある。

無線ICタグを無効にする方法としてはまず，会場の出口に設置したリーダー・ライターでIDを消去する方法を示した。もっとも無線ICタグの製造時に焼き付けられているユニークIDは，リーダー・ライターでは消去できない。消去されるのは無線ICタグのユーザー・メモリー領域に書き込まれた来場者管理用のIDだけである。タグの読み取りそのものを嫌うユーザーに対しては，タグを入場者バッジから取り除いて捨ててしまう方法を示した。

, 2004年6月30日

「消去する方法を示した」というのは、「組み込みネット」の記事「10万人規模の展示会を利用してRFIDの実証実験を行う」に掲載されているこの看板のことだろう。そこにはこう書かれている。

バッジが不要の方はこちらに破棄してください。（バッジは3日間共通になりますので2日目以降もご来場の方はお持ち帰りください。）

“IC Chip PASSPORT”を無効化する方は隣のリーダに読み取らせてください。LEDが点灯して無効化されます。

この表示は、無効化処理をすればすべてのIDが消去されるかのように誤解させているだろう。「タグを入場者バッジから取り除いて捨ててしまう方法を示した」というが、「無効化されます」という表示は、「無効化すれば捨てる必要がない」という思考を誘導している。

■ 魂胆スケスケのAuto-IDラボのアンケート

後日になって、この実験のWebページ「The Real Space Auto-ID Challenge」に行ってみると、

Auto-IDに関してのアンケート募集サイトをオープンしました。

という案内が出ていた。

さて、そのアンケート募集サイトであるが、アクセスしてみると、SSLのサーバ証明書が署名されていない（自己署名のテスト用証明書が使われている）ため、ブラウザが警告を出す。

これでは、通信の間に盗聴者が割り込むman-in-the-middle攻撃や、DNS spoofing攻撃等による偽装サイトを許してしまい、SSLを使う意味をなしていない。安全な鍵交換なしに暗号通信は成り立ち得ないという基礎的なセキュリティ知識に欠けているようだ。

それはともかく、アンケートの質問内容に問題が多い。

ここで「不便」と答える人がいるだろうか？ はじめから期待する答えが用意された設問である。

たとえば「べつに便利というほどのものではない」という回答選択肢があってもよかろうに、それがないのは意図的なのだろう。意図的でないのなら、頭がそこまでまわらないパープリンがアンケートを作ったということになってしまう。

現状で情報提供は行われていないのだから、「満足していると思うか？」と聞かれたら、「思う」と答えるわけがない。次の質問文だったら回答が違うものになるだろうし、そもそも本当に聞きたいのはこの内容のはずだ。

スーパーなど小売店で、生産者や商品の詳細な情報を提供することについて、顧客は期待していると思いますか？

○思う ○やや思う ○どちらとも言えない ○あまり思わない ○思わない

「店側の判断で」の指す意味が不明瞭だ。「お客さまの同意を得る前に店側の判断で」とハッキリ書かないのはなぜなのか。聞きたいことはそれだろう。

この下には以下のように項目が並んでいる。

(9) 以下「会社の名刺」の情報はプライバシーでしょうか。 会社の名刺情報：名前
会社の名刺情報：メールアドレス
会社の名刺情報：携帯電話番号
会社の名刺情報：肩書き
会社の名刺情報：部署名
会社の名刺情報：会社名
会社の名刺情報：会社住所
会社の名刺情報：会社電話番号

(10) 以下の情報はプライバシーでしょうか。 名前
個人のメールアドレス
個人の携帯電話
自宅住所
自宅電話番号

「プライバシーでしょうか」という質問が意味をなさない。これらの情報がプライバシーになるのかならいのかは、誰にどういうときに提供するかによるのであって、一概に「プライバシーでしょうか」と尋ねることはナンセンスである。「どの情報がプライバシーか」という考え方では駄目だということは、去年の7月30日の日記にも書いた。Auto-IDラボの人らはいまだに理解できていないのか。

設問者は、「会社の名刺情報ならあてはまらない」という回答を期待しているのだろう。少なくとも、(10)の設問よりは(9)の設問の方が「あてはまらない」の回答が多いという結果になるのは明白だから、期待通りの結果が得られるであろう。

「※シリアルナンバーは数字の意味しかありません」の意味がわからない。たとえば、N+I 2004 TOKYOでの来場者番号は「数字の意味しかありません」なのかどうか。

「※シリアルナンバーは数字の意味しかありません」を、質問本文に入れずに注釈の形にした意図は何か。設問では「数字の意味しかありません」と断りながら、回答をまとめた報告書ではそれを書かないでおくことを予定しているのか。

この下には以下の項目が並んでいる。

(12) 以下の行動の情報は、「共有したい情報」ですか、「知られたくない情報」でしょうか。

仕事でイベントへ来た
仕事上の関心分野
個人でイベントへ来た
個人の関心分野
仕事で来て○社の△△さんと面会
個人で来て○社の△△さんと面会
仕事で来てカレー屋で昼食を食べた
個人で来てカレー屋で昼食を食べた

ここに肝心のことが質問されていない。上で書いたように、このような展示会でのRFIDタグ利用で、主要なプライバシー懸念となるのは、展示ブースで出展者が無断で来場者のIDを収集して連絡先個人情報を主催者から得ることだ。

それを気にするのか、気にしないか、なぜアンケートで質問しないのか？

「共有したい」or「知られたくない」という選択肢も稚拙だ。「共有」って何？ 誰と共有するのか？ 出展者なのか、主催者のみなのか、一般来場者なのか、非来場者も含むのか。

「ない」と答えるのが普通だろう。なぜなら、今回は、強制的に読み取られるものとしては、出入口ゲートに設置されたリーダしかなかったからだ。ゲートではいずれにせよ、バーコードで入退場を管理されている。

ITmediaの記事によると、

今回の実験結果は、8月末をめどにホワイトペーパーとしてまとめられる予定だ。それも、技術面でのまとめに加え、プライバシー面からの検証が行われるという。 ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

こんな糞アンケートの結果が「プライバシー面からの検証」になるのか。なら私が先に「検証」結果を予測しておこう。

アンケートの結果、99.5パーセントの人が非接触の読み取りを「便利」と答えた。スーパーなどの小売店での情報提供に不満があると答えた人が半数を超え、その有用性と必要性が認められた。プライバシーに対する意識の問いには、ほとんどの人が、自宅住所をプライバシーであるとしながらも、会社の住所はプライバシーではないと答えており、展示会イベントで名札のバーコードをRFIDタグに置き換えることに対して、プライバシーの問題があるとはあまり考えられていないことがわかった。今回のN+Iでの実験における感触として、プライバシーが心配になることがあったと回答した人は 0.5パーセントしかいなかった。

こんなところだろう。

■ ICカードの安全イメージにタダ乗りするAuto-IDラボ

N+Iの会場で配布された名札のRFIDタグには、「IC@Card」というマークが描かれていた。手元にある名札にはこう説明が書かれている。

“IC@Card”ロゴは、ICチップがカードに入っていることを示します。

このマークについて「組み込みネット」の記事「10万人規模の展示会を利用してRFIDの実証実験を行う」に次のように書かれている。

経済産業省と総務省は，電子IDタグを利用する事業者に対して，2004年6月に『電子タグ（ICタグ）に関するプライバシー保護ガイドライン』を発表し，その徹底を呼びかけている．このガイドラインでは，「電子タグを装着していることを表示する」，「情報の読み取りについて消費者が可否を選択できる」といったことが定められている．

今回の実証実験は，このガイドラインにのっとって行われた．例えば，「IC Chip PASSPORT」には「IC@Card」という文字が書かれており，RFIDタグが装着されていることが明示されている（写真5）．

組み込みネット, 10万人規模の展示会を利用してRFIDの実証実験を行う ――NetWorld+Interop 2004 Tokyoレポート

「ICカード」といえば、SuicaやEdyカード、住民基本台帳カードや、最近のICカード型のキャッシュカードやクレジットカードのように、暗号機能を搭載した安全なカード（なりすましが困難で、無権限での情報読み出しが困難）というイメージがある。

しかし、N+Iで配布されたRFIDタグにそのような機能はないだろう。ここでも、12月8日の日記に書いた「RFIDカードが築き上げた高セキュリティな印象にRFIDタグが土足でタダ乗りする」と同じ思惑が垣間見える。

そもそも、「ICチップが入っている」という表現が、虚偽紛いの表示と言わざるを得ない。「ICチップ」とは何か？ ICチップなら電気炊飯器にだって入っているが？

ICチップが入っていることがプライバシー懸念の本質なのか？ 違うだろ。「電波で非接触で読み書きされる」ということを指す言葉を使わなければ、説明したことにならない。たとえば最低でも「無線ICタグ」などと書く必要があろう。

真面目にプライバシーの実験をしていると言いながら、どうしてこうも隠したがるのか理解に苦しむ。

接触型のICカード（最近のキャッシュカードやクレジットカード）には、RFIDと同様のプライバシー問題は存在しない。「IC@Card」というマークは、それらの安全イメージにタダ乗りするものであって、到底、認められない。

経済産業省・総務省は、このようなマークでは「装着されていることの表示」に当たらないという見解を示して、適切なマークを制定するなどするべきである。