高木浩光＠自宅の日記

■ NTTレゾナントからdocomo IDについて回答「ドコレキでは、iモードIDの取得はしていないし、今後も取得する予定はない」

今週火曜日、突如「docomo ID」なるサービスが「他社サイトでも使えるようになりました」とアナウンスされ、API仕様書が公開された。

• docomo IDについて, NTTドコモ
• docomo ID認証I/F仕様書, NTTドコモ
  

OpenIDを使うのはよいのだが、しかし、独自機能によって、ログインした利用者（PCで通常のインターネット経由でログインした）について、その人の携帯電話のiモードID（契約者固有ID）を取得できる（個別の本人同意確認なしに）ようになっているのだという。

どうしてこんなことに……。（これが何を意味するのか、今後どうなって行くのか、本来はどうするべきなのか、これについては後日書きたい。）

その日、真っ先に docomo ID に対応したのが、NTTレゾナント（gooを運営している会社）の「ドコレキ」だった。*1

• http://twitter.com/docoreki/status/10214194815
  
• 「gooラボ」で、パソコンと携帯電話の閲覧履歴を共有できるサービス「ドコレキ」の実証実験を開始, NTTレゾナント株式会社, 2010年3月2日

NTTレゾナントといえば、プライバシーマーク取得事業者である。そこで私は、NTTレゾナントのプライバシーポリシーを参照して、「エヌ・ティ・ティレゾナント株式会社個人情報対応窓口」に以下の問い合わせをした（10日午前）。

Subject: 「ドコレキ」のプライバシー方針について

貴社がサービス提供する「ドコレキ」https://docoreki.jp/ におけるプライバシー保護方針についてお尋ねします。

「ドコレキ」は、昨日、NTTドコモによって開始された「docomo ID」でのOpenID方式によるログイン機能に対応されましたが、「docomo ID」では、携帯電話の契約者固有IDである「iモードID」の取得が可能とされています。

そこでお尋ねしますが、

(1)「ドコレキ」では「docomo ID」でログインした際に、利用者の「iモードID」の取得をしていますか？ (yes/no)

(2)上記について回答が「取得している」である場合、取得の目的は何でしょうか？ 取得する必要があるのでしょうか？

以上の点、お尋ねします。

P.S.
「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらないと思いますが、「iモードID」は個人に係る情報であり、プライバシー性の高い情報であると認識しています。

すると、12日の午後に以下の回答が返ってきた。

「ドコレキ」では「docomo ID」でログインした際に、
利用者の「iモードID」の取得はしておりません。
また、今後も取得する予定はございません。

そうですか。

となると、docomo IDに対応する以上、「iモードIDの取得は行っていません」という表示をしてほしいところだ。プライバシーマーク取得事業者なのだから。

そして、2番目に登場した docomo ID 対応サイト「xx.chew.jp」では、早速「iモードIDは取得していません」との説明が表示されていた。*2

プライバシーマーク制度においても、この新たに登場したプライバシーブリーチの仕組みに対応して、(1)iモードIDの取得をどうしているか、(2)利用者への告知を怠っていないか、これらの点を審査項目に追加するべきではないか。

iモードIDが「個人情報に該当しない」などというのは、日本の個人情報保護法がおかしいだけで、これは個人に直結した個人番号そのもの*3である。プライバシーマーク制度は、個人情報保護法とはまた別のものなので、iモードが「個人情報保護法のいう個人情報には該当しない」からといって、プライバシーマークの取得において無関係ということにはならない。

関連

• 日本のインターネットが終了する日, 2008年7月10日の日記
• ビデオ版「日本のインターネットが終了する日」, 2009年6月14日の日記
• 通信プラットフォーム研究会 傍聴録, 2008年8月10日の日記

■ 追記

さきほど、13時にドコレキのサイトが更新されたようで、ログインボタンの部分に「ドコレキで取得するIDについて」というリンクが現れるようになった。

ビフォー

アフター

ドコレキのログインボタン周辺

リンク先に、昨日まではなかった、「ドコレキではどのようなIDを取得していますか？」というFAQ項目が追加されている。

Q. 1-5. ドコレキではどのようなIDをお客様から取得していますか？

A. OpenID(PCおよびAndroidでの認証目的に限る),FOMAカード製造番号(お客様の携帯以外でのドコレキの不正利用防止の目的に限る)を取得させていただいております。上記以外のIDは取得しておりません。 また、お客様から取得させていただいているID以外に、お客様個別のマイページURLおよびマイボックスIP側ユーザ番号(お客様の携帯の認証の目的の限る）を配布しています。

FOMAカード製造番号を取得しているとのことだが、なぜ必要なのだろうか？ 不正利用防止の目的というけれども、その意味をなしているのだろうか。

■ docomo IDを作ると生でパスワードを保管されてしまう

• docomo IDについて, NTTドコモ
• My docomo-新規登録：ご登録前の準備, NTTドコモ

docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID／パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。

図1: NTTドコモの「ID／パスワードをお忘れの方」より

これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。

• 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日

  こんなこと口が裂けても言えないし
  転職しても言えないし
  墓場まで持っていくしかない
  自分が今の会社にいる間に爆発しないことを祈るだけ

• ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚, Web屋のネタ帳, 2008年8月12日
• パスワードをハッシュ化（暗号化）保存することを法律で義務化するくらいのことが必要だと思う, Web屋のネタ帳, 2008年10月1日

ドコモの技術者たちは何をやっているのか。技術のわからない企画屋に言われるがままに、くちごたえすることもなくただただ従順に作業するしか能のない人たちばかりなの？ 同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。作り方まで企画屋の言いなりになるなら、何のための技術者か。

そんな人たちばかりでやっているから、iモードID送信も止めることができなかったのではないのか。電話は社会の根幹をなす「重要インフラ」ですよ。それがこんな調子で突き進んで行ったら、いずれ皆が迷惑することになる。なんとかしてください。*2

■ 日本の携帯電話はいつになったらアドレスバーを付けてくれるの？

• mixiではなく「mixy」 偽サイトが携帯で乱立 詐欺？, 産経新聞, 2010年3月9日

  「mixi」や「GREE」などのソーシャルネットワーキングサービス（SNS）に酷似した携帯電話向けの偽サイトが、昨年末以降、相次いで確認されている。（略）

  mixiによると、会員のうち携帯からサイトを利用しているのは約７割。mixiの偽サイトが林立する状況について「パソコンに比べ、携帯はアクセスしたサイトのURLが確認しづらいため、画面デザインが似ていると公式サイトかどうかが見分けにくい。この点が悪用されているのではないか」（広報担当）と分析している。

というニュースが出ている。昨年夏、ドコモはブラウザを「iモード 2.0」に生まれかわらせたというのに、アドレスバーは取り付けられなかったようだ。画面が狭いので搭載できないという言い訳はもはや通用しないほど画面は広くなっている。いくらでもやり方はあるのにだ。

アドレスバーの必要性はこれまでさまざまな関係者の方々に何年にも渡って常に言い続けてきた。NetFrontの製造元、ACCESS社の鎌田社長（当時CTO）に直接進言したこともあるが、キャリア次第という話だった。ここでも日本の技術者に正義を通す力はないのか。

ならば、ミクシィなどのユーザ企業から強く要請したらいいのにと思うところなわけだが、しかし、次の記事を見ると、ミクシィの認識も滅茶苦茶だ。

• フィッシング対策の現場から: インタビュー 第1回：今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏, フィッシング対策協議会, 2009年7月27日

  （略）株式会社ミクシィ コーポレートデザイン室 情報セキュリティグループ マネージャ (CISSP) 軍司祐介氏に聞いた。

  （略）

  携帯キャリアや端末メーカーとの連携に期待

  また、mixiへのアクセスはPCから携帯電話にシフトしています。アクセス数でいけば、携帯電話からのアクセスはPCのそれの2.5倍くらいになります。すでにmixiの携帯電話サイトをターゲットにしたフィッシングも確認されています。一般的に携帯電話は、画面が小さい、ページのデザインなどがPC よりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。

  画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。

  この問題への対策は、携帯電話の通信事業者や端末メーカーとの連携が重要になってくると思います。その意味では、フィッシング対策協議会のような組織が、携帯電話事業者も巻き込んでそのような議論を交わしたり、携帯電話サイトのセキュリティも意識したHTMLの仕様策定などがあってもよいのではないかと考えています。

  ——貴重なご意見をありがとうございます。今後の活動の参考になります。本日はありがとうございました。

ハァ？「HTMLの仕様」？ そんなもので対策できるわけがないってことが、まだわからないの？ 「事前に確認」？「マウスをリンクにロールオーバーさせてURLを確認できる画面設計」ですって？ も、もしかして、このCISSPの方、事前に確認しているの？

だいたい、インタビューしたフィッシング対策協議会も、そのまま掲載するんじゃなくて、ちゃんと教えてあげなよ。ま、まさか、フィッシング対策協議会が携帯電話事業者や端末メーカーと連携して、「HTMLの仕様」の提案？ そんなことだけはないと願いたい。*3

■ 「iモードIDは取得していません」バナー、どうぞご利用ください。

先日の日記、

• NTTレゾナントから docomo IDについて回答「ドコレキでは、iモードIDの取得はしていないし、今後も取得する予定はない」, 2010年3月13日の日記

の動向を踏まえ、「iモードIDは取得していません」バナーを作成しました。著作権はありません。改変も含め、ご自由に複製してお使いください。

「docomo ID」のOpenID機能を利用する際に、「docomo IDでログイン」ボタンの下や上に設置するバージョンを用意しています。*1

また、「docomo ID」とは無関係に、あらゆるWebサイトで、iモードIDの取得を行っていないことを宣言する際に使えるバージョンとして、以下の画像を用意しました。

どうぞご利用ください。

NTTドコモのiモードに限らず、auのEZ番号や、ソフトバンクモバイルやイーモバイルの「ユーザID」も含めて、統一的にそれらの不使用を宣言するためのロゴマークが必要だと思っています。

今後の日記予定

• 著名大手重要サイトでも「かんたんログイン」のIPアドレス制限が何ら実施されていなかった件。
• 著名大手ソフトウェア製品でもIPアドレス制限なしの「かんたんログイン」機能を提供していた件。
• JVN#06874657: OpenPNE におけるアクセス制限回避の脆弱性の件。
• 手法Xとは何か。手法Xを外せば安全なのかどうか、携帯電話事業者が全く明らかにしておらず、どうすれば安全なのか誰も保証できない件。
• セキュリティ検査事業者が「かんたんログイン」機能の検査を請け負った際に検査報告書に示すべき事項。
• 内閣官房情報セキュリティセンターで重要インフラ事業者向けに講演で説明したこと。

■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する

• 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日
• プレスリリース, 音楽関係6団体「やめよう！違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日

  【特設サイトURL】
  パソコン http://www.happy-musiccycle.jp/
  携帯電話 http://www.happy-musiccycle.jp/mobile/

このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。

• 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル＆懸賞情報サイト

  社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン!
  エルマークを広めよう♪
  www.happy-musiccycle.jp/

このいろいろな媒体で周知されているこのURLは、信用できるものと仮定しよう。しかし、当該サイトを見に行ってみると、図1のようになっている。

図1: JASRACらのキャンペーンサイト
（この批評に必要不可欠な範囲で引用）

ここで、「アンケートへ応募する」をクリックするとどうなるか。図2の画面が出る。

図2: 「アンケートへ応募する」をクリックした先の画面

景品を送付する先の個人情報を入力させる画面なのだが、ここはいったいどこなのか。入力しようとする前に、アドレスバーを確認してみると、図3のようになっている。

図3: 個人情報入力画面のアドレスバー

「krs.bz」というワケのわからないドメイン名であり、怪しいサイト同然になっている。

このページを、Internet Explorer で閲覧してみたところ、図4のようになった。

図4: Internet Explorerでアクセスした場合

EV SSLが使われておりアドレスバーが緑になるが、表示された会社名は「Tricorn Corporation」という聞いたこともない謎の会社名になっている。

昨年6月27日に書いた「EV SSLを緑色だというだけで信用してはいけない実例」と同様の共用SSL上のフォーム作成サイトではないかと疑われるので、「site:krs.bz」で検索してみると、大量の同様のフォームが置かれたサイトだとわかる。

こんな得体の確認できないところに入力してはいけない。

図2の画面には「個人情報保護方針」のリンクがあるので、そこを見に行ってみると、図5の画面が出る。

図5: 「個人情報保護方針」のリンク先のページ

「社団法人日本レコード協会」云々と書かれているが、この場所がまたワケのわからないサイト「campaignbox.com」になっている。いったいこいつらはなんなんだ。

では、最初の画面に戻って利用規約を見てみよう。「アンケートへ応募する」のボタンにも「利用規約に同意して」と、ちゃんと規約を読めとされていたのだから、読まねばならないだろう。

図6: このキャンペーンの利用規約が表示されている様子
（この批評に必要不可欠な範囲で引用）

「当社は当フォームで取得した個人情報を第三者に提供、委託いたしません。」と書かれているが、「当社」というのは誰なのか？ 下を見ると音楽6団体の署名になっているし、個人情報保護方針も「音楽関係6団体*（幹事、社団法人日本レコード協会、以下「当協会」という）は、」と書かれている。

もし、音楽関係6団体が、このキャンペーンにあたって、個人情報の取り扱いを「Tricorn Corporation」に委託していて、Tricorn Corporationの入力フォームサイト「krs.bz」はちゃんとしたサイトであると説明*1しているなら、このやり方もまあ許されるところかもしれない。利用者はその説明を聞いて、情報の入力場所が、音楽関係6団体が言う「信頼できるサイト」と同一であることを確認して入力することになる。

しかし、音楽関係6団体は、利用規約で「個人情報を第三者に委託いたしません」と言っている。そういう場合、利用者は、アドレスバーがたとえ緑色であろうとも、「Tricorn Corporation」などと表示されたサイトに入力してはいけない。*2

じつは、最初に訪れたキャンペーンサイトを https:// でアクセスしていれば、いちおう、安全に使うことができる。信用できる媒体で入手したキャンペーンサイトのURLが https:// であり、リンクを辿って個人情報入力画面に到達するまでの間、常に https:// ページであったこと*3を利用者が確認したならば、そこは本物ページだということになる。

しかし、普通の利用者にそんなことはできない。「安全なWebサイト利用の鉄則 / よくある質問と答え」に示されている考え方の通り、入力画面で利用者が確認できるようにしておくべきである。

ところで、「エルマーク」とは何だろうか？ 「エルマーク」で検索してみると、ケータイ向けの「エルマークについて - Respect Our Music」というサイトが出てくる。

このサイトの場所はどこなのか。図7のように、またもや得体の知れないドメイン名になっている。

図7: 「エルマーク」のホームページ

http://www.rom-m.jp/ のトップページに移動してみると、「携帯専用サイトです」と出る。

図8: http://www.rom-m.jp/ のトップページ

どうやら、「Respect Our Music」キャンペーンのトップページのようだ。社団法人日本レコード協会のページに、以下の説明があった。

図9: 日本レコード協会の「ぜひ携帯で下記にアクセスしてみてください」という説明
（この批評に必要不可欠な範囲で引用）

「rom-m」って何だろうと思いつつ、ドメイン名「rom-m.jp」の所有者をwhoisで調べてみると、「株式会社見果てぬ夢」と出る。

音楽関係6団体はどういう感覚をしているのか。

けっきょく、これらはケータイ脳業者の感覚そのものなんだと思う。つまり、ドメイン名は存在しないも同然であり、どこだってかまわんという感覚だ。それもそのはず、ケータイの糞ブラウザには、昔から今までずっとアドレスバーが無く、むしろアドレスを隠す機能さえ付けていた*4ような業界だ。

聞くところによると、ケータイでは違法な音楽配信サイトが横行しているという。調べてみると、たしかに「無料」とうたう音楽配信サイトが大量に出てくるが、どれが信用できるのかできないのかわからない。

私は、携帯電話を買い替えたとき、着メロ等を購入する際には、公式メニューから辿って、良さげなものを探しに行くのだが、そのとき、どんな会社で買ったかということはほとんど覚えていない。聞いたこともない会社のサイトで購入しているわけだ。URLも確認していない。これは、公式メニューから辿っているからであるし、キャリアの課金システムで購入しているのだから、問題のあるサイトではないと信じることができる。

しかし、そういうやり方を続けてきたせいで、着メロ等の配信事業者は、いつまでたっても覚えてもらえないし、ドメイン名も覚えてもらえない。*5

そういう悪循環が繰り返される中、勝手サイトが成長し、人々は公式メニューよりも検索で訪れるという、ビジネスモデルの転換期が訪れた。その結果として、ケータイ利用者達は、怪しいサイトも正規のサイトも区別することなく、違法配信音楽をダウンロードしてしまう。これは必然ではないか。いったい誰に非難できることか？

音楽関係6団体が目指すべきは、正規サイトを会社名やドメイン名で覚えてもらうようにすることだろう。それなのに、音楽関係6団体自身が、自らドメイン名の信用性を損ねるキャンペーンを展開し続けている。

いつまで自分らの首を絞め続けるのか。自業自得とはこのことだ。

■ 米空港でBluetoothによる乗客の行動追跡へという報道

「Mutual認証」のメンバーとIETFで米国に来ているのだが、ホテルの部屋に配達された昨日の新聞、USA TODAY紙の1面に、こんな記事が載っていた。

• Airport device follows fliers' phones - TSA says one goal is to track wait times in security lines
  

内容を要約すると、米国TSA（国土安全保障省運輸保安局）が、空港の手荷物検査の行列の待ち時間を測定する目的で、人々の携帯電話などから発信されているBluetoothのMACアドレスを観測することを検討しているというもの。

BluetoothのMACアドレス観測で何ができるかは、1年前の日記「Bluetoothで山手線の乗降パターンを追跡してみた」に書いたとおりで、過去にも類似の目的の実験の事例がある。

今回の事案は、Purdue大学がIndianapolis国際空港で昨年に1か月間テストした技術*1の採用を、TSAが採用を検討しているというもので、行列のできる場所にBlutooth受信機を置いて、それぞれのMACアドレスが検出され始めてから検出されなくなるまでの時間を測定することで、行列の待ち時間を推測し、乗客に案内しようというものらしい。

USA TODAY紙の論調は、TSA報道官の「この技術は様々な方法で価値あるデータをもたらし得る」というコメントを紹介したうえで、ACLU（アメリカ自由人権協会）のプライバシー専門家のコメントを紹介しながら、政府が人々の通信機器の場所を追跡するようになることが懸念されるとしている。

記事にはEPIC（電子プライバシー情報センター）のコメントも出ており、今回のPurdue大学のシステムでは、MACアドレスの一部しか記録しないようにすることで、プライバシーリスクを最小化しているそう*2なのだが、今後そうした配慮のないシステムが出てくることが懸念されるとしている。

極めて正しい論調の記事であり、こうした記事が一般紙の1面に出てくることに感心した。

一方、日本で同じことが起きたとき、日本の新聞はどうするだろうか。おそらく、「MACアドレスの一部しか記録しない」という配慮がされている時点で、記事にならない（ぶっ叩き記事が書けない）か、もしくは、「プライバシーに配慮した技術」としてべた褒めするだけの記事が出てくるだろうと予想する。USA TODAY紙の記事のように、今後生じ得るリスクを事前に想定して、何をすると問題となるのかとか、どこに落としどころがあるのかといった、そういう論点の列挙がなかなかできない*3。そうなってしまうのは、読者がぶっ叩き記事しか待ち望んでいない（白黒がハッキリしていないと頭がウニになってしまう）からなのかもしれないが。

追記

記事はネット版にも出ていた。

• Airport device follows fliers' phones, USA TODAY, 2010年3月23日

■ 2年前に書いた懸念がいよいよ現実のものになりつつある

2008年に書いた懸念、

• 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記

これが現実になりつつある。

先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス（トロイの木馬）によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。

• 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長（システム担当 矢野さとる）（29日16:30修正、下記の追記2参照）, 2010年3月21日
  
  

  （略）この人物が校長だといわれているのはなぜか？ それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.jtd、学校評価集計表.xlsx、生徒名簿全体.xlsx、県PTA新聞原稿.jtdなどがあったからで、さらに〇〇家法要 父三回忌案内状.jtdというファイルもあったことから、ロリコン画像が入っているパソコンの持ち主が、校長やその家族の誰かではないかと推測されているのだ（〇〇の部分は人名で、とある中学校の校長と同じ苗字が入る）。

  中学生の見本のはずの校長が、違法にアップロードされた市販ソフトをダウンロードするだけでも信じがたい行為だが、ロリコン画像を所持しているとあっては、親御さんとしても気持ち悪くて学校に登校させたくないと考えるのが普通だ。何かの間違いであってほしいものである。（略）

この事件が問題なのは、ウイルス（トロイの木馬）という手段を使って暴露された点にある。

ウイルス頒布は常識的倫理感覚としては犯罪と言ってよいはずの行為に思えるが、日本においては、ウイルス罪新設刑法改正案が国会で6年も店晒しのまま未成立であるために、いまだに、直ちに犯罪とは言えない状況が続いている。処罰されない状況にあるのをいいことに、やりたい放題になっている。

ここで、「やりたい放題」というのは、単にウイルス頒布者のことを指しているのではない。ウイルス頒布によって起こされた騒ぎに乗じているクズゴミ三流メディアも同類である。上で引用したロケットニュース24*1の記事は、ウイルス作者の思うつぼであり、ウイルス頒布者に「いいぞもっとやれ」と言っているようなものである。

残念ながら日本の民度はこの程度であり、小林涼子編集長や、運営主体の株式会社（29日訂正：運営会社は別とのこと）ロケットスタートのことをとやかく言ってもしょうがないのだろう。しかし、刑法改正法案が成立して、ウイルス頒布が明確な犯罪として認知された世の中になっていたなら、どんなに低能な会社が主宰する三流メディアであっても、犯罪を奨励することになることに気づいて、このような記事を書くことは憚られたはずだ。

日本では、たとえ目的が犯罪の告発にあっても、違法な手段によるものは正当化されない。2008年に、環境保護団体グリーンピース・ジャパンが、調査捕鯨船の乗組員が自宅に宅配便で発送した鯨肉の荷物を、西濃運輸青森支店の配送所に侵入して盗み出した事件があったが、この行為の正当化は容易でないようだ（Wikipedia:グリーンピース宅配便窃盗事件参照）。

今回の事件がもし、不正アクセス禁止法違反行為によるもの、つまり、他人のパスワードを使ってコンピュータに侵入して、どんなファイルを持っているかを調べ、暴露された事件だったとしたらどうか。その状況でも、ロケットニュース24は同様の記事を書いただろうか？

ウイルス（トロイの木馬）で情報を抜き出すのと、不正アクセス行為で情報を抜き出すのとでは、何が違うのか。これらは手段が異なるものの、結果として生ずる社会的危険は共通のものである。ウイルスを頒布して他人に実行させる行為は、間接的な手段で不正アクセス行為と同等の結果を実現しているという、そういう違いがあるにすぎない。むしろ、前者の方が、無差別的な被害につながりやすいことから社会的危険が大きいという面もある。それなのに、現行法は後者についてしか犯罪として規定できていない。

一方、今回の事件でロケットニュース24のような記事が出て来てしまう背景には、校長の行為に若干の違法性が疑われていることがあるのだろう。ShareやWinnyを使って当該ファイルをダウンロードしていた形跡がある*2ためであり、もし、一定以上の長時間にわたって、児童ポルノに該当するファイルを共有状態にしていたのであれば、児童ポルノ提供罪の違法性が問われ得ると思う。

そうでなかったなら、さすがにこのような嘲笑記事は書けないはずと思う。ロケットニュース24の記事は「ロリコン画像を大量所持か」などという見出しを付けているが、今回、大量の所持を疑わせる情報は出ておらず、単に数回程度開いてみただけなのかもしれず、ロケットニュース24が言うようなロリコン趣味がこの校長にあったとは限らないのであって、名誉毀損になりかねないのに、このような記事を書けてしまうのは、負い目があるから訴えて来ないはずとふんでいるのだろう。

ここで重要なのは、現行法では、閲覧するだけなら違法ではないということである。昨年までは、いかなるファイルをもダウンロードする自由が私たちにはあった*3のであり、基本的に、何を閲覧しているかは個人のプライバシー*4であって、保護されるべきものである*5。

しかし、児童ポルノの単純所持を処罰化する法案が、再び注目を集めつつある。

• 「児童買春，児童ポルノに係る行為等の処罰及び児童の保護等に関する法律」の見直し（児童ポルノの単純所持の犯罪化）に関する意見書, 日本弁護士連合会, 2010年3月18日

おそらく、単純所持の処罰化は今年の国会で成立するのではないかと思う。

となると状況は変わってくる。つまり、これまでは、Winny等の使用者をターゲットにして、ウイルス（トロイの木馬）攻撃をしかけ、ウイルス被害者をクズゴミメディアが嘲笑する構造になっていたが、今後、単純所持が処罰化されれば、Winny等の使用の有無に限らず、単にファイルを持っているだけの疑いで、クズゴミメディアが嘲笑するようになっていく展開が予想される。

つまり、2008年に書いた懸念が、いよいよ現実のものになりつつある。

このような目的限定が付けば、暴露ウイルスは、「性的好奇心を満たす目的」を証明するような情報も同時に流出するような仕掛けを導入してくるだろう。 Winnyの暴露ウイルスが、しだいにエスカレートして、送受信メールやWinnyの検索履歴も同時に流すようにしたのと同様にである。「性的好奇心を満たす目的」を証明する情報としては、大人のポルノ画像の所持状況や、Webの検索履歴やアクセス履歴（これらはWebブラウザ等に記録されている）などがターゲットにされるだろう。個人を特定するためには、送受信メールがターゲットにされる。

そうなると、児童ポルノ愛好家でなくても、たとえば、児童ポルノ画像が1枚紛れ込んだ多数の大人のノーマルなポルノ画像のようなファイルないしフォルダを流出させられて、「性的好奇心を満たす目的」が認定されて児童ポルノ法違反で検挙という事件が起きるであろうし、検挙されないにしても、大人のポルノの所持者が巻き添えでトロイの木馬によって晒されるまくるという事態が生じたり、恥ずかしい画像を所持していなくても、検索履歴を流出させされるなどによって、機密が漏洩するといった事態も新たに起きてくるかもしれない。付け加えれば、送受信メールが暴露されることによって第三者の秘密までもが暴露されるということが、これまでと違ってWinny等の利用に関係なく、誰の身にも生じ得るようになる恐れがある。

単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記

実際、今回のロケットニュース24の記事でも、「性的な無修正データも所持している事が判明している」となどと、何ら違法性のない自由な行為までバッシングの対象にしてしまっている。

つまり言いたいのは、児童ポルノ法の単純所持刑罰化の改正をするなら同時にウイルス罪を新設する法案も通さないと、本当に滅茶苦茶なことになってしまうぞ、ということだ。

株式会社ロケットスタートの人たちは、次は自分たちのファイルが暴露される番になるかもしれないということが、わからないのだろうか。

■ 追記

今回の騒動で、当該中学校のWikipediaエントリが荒らされ、「半保護」の措置がとられていた。荒らし行為の内容は以下の通りである。

• 2010年3月22日12時42分における 180.2.253.116 による改変内容
• 2010年3月22日12時55分における 180.2.253.116 による改変内容
• 2010年3月22日13時03分における 180.2.253.116 による改変内容
• 2010年3月22日13時10分における 180.2.253.116 による改変内容

「長崎市立ロリコン中学校」「Winnyよりダウンロード5分」「校訓=性欲をもてあます」「1961年4月10日 - 放流開始。」などと書き換えらたわけだが、この書き換えをしたIPアドレス 180.2.253.116 を、手元のWinnyネットワーク観測システムの同一時間帯の観測記録と突き合わせてみたところ、2010年3月22日11時39分から同18時34分にかけてキーが発信されたいたことが観測されており、主な送信キーのファイル名は以下のものであった。

(アジアンロリ動画) (小学生) 小〓〓〓〓 学校〓〓の性教育.mpg
(UMDISO)(ゲーム)(PSP)太鼓の達人 ぽーたぶる.iso
(ロリータ写真集) 日本人〓〓ロリ個人撮影〓枚.zip
(ロリータ写真集) プチトマト豪華本 [〓〓〓 〓〓].ZIP

■ 追記2

上で、「小林涼子編集長（システム担当 矢野さとる）」と修正している部分について。

リンク先の内容が以下のように修正され、矢野さとる氏より、「ロケットニュースのシステムを担当している事実はない」との訂正依頼を頂いたので、上記の修正をした。

「運営者について」29日16時ごろまでの内容

「運営者について」29日16時ごろからの内容

「運営者について」のこの修正は、矢野さとる氏が、同様の趣旨により、今日、ロケットニュースの運営者に依頼して修正されたものとのこと。

（なお、本日29日は振替休暇中。）