不正アクセス行為の禁止等に関する法律違反被告事件
東京地方裁判所平成一六年(特わ)第七五二号
平成17年3月25日刑事第一〇部判決


       主   文

被告人を懲役八月に処する。
この裁判が確定した日から三年間その刑の執行を猶予する。
訴訟費用は全部被告人の負担とする。


       理   由

(罪となるべき事実)
 被告人は、法定の除外事由がないのに、平成一五年一一月六日午後一一時二三分五五秒ころから同月八日午後三時四七分五〇秒ころまでの間、合計七回にわたり、別紙一覧表記載のとおり、京都市内ほか数か所において、パーソナルコンピュータから電気通信回線を通じて、アクセス管理権者である大阪市中央区安土町《番地略》甲野ビル三階乙山株式会社が大阪市内に設置したアクセス制御機能を有する特定電子計算機であるサーバコンピュータに、当該アクセス制御機能による特定利用の制限を免れることができる指令を入力して上記特定電子計算機を作動させ、上記アクセス制御機能により制限されている特定利用をし得る状態にさせ、もって、不正アクセス行為をしたものである。
(証拠の標目)《略》
(争点に対する判断)
一 弁護人は、被告人が本件サーバコンピュータ(以下「本件サーバ」という。)にアクセスしたことは特に争わないが、〔1〕被告人のアクセス行為は、「アクセス制御機能」のない電子計算機に対するものだから、不正アクセス行為の禁止等に関する法律三条二項二号に定める「不正アクセス行為」に当たらない、〔2〕被告人が本件各アクセスに及んだのは、コンピュータの脆弱性についてのボランティア的な問題指摘活動の一環としてであって、ネットワーク社会の安全性を高める行為であるから、違法性が阻却される、〔3〕仮にアクセス制御機能が本件において存在したとしても、被告人はそれを知らず、制限を免れる認識も、本件アクセス行為が許されない行為であるとの認識もなかったなどとして、被告人は無罪であると主張する。そこで、以下、検討する(なお、以下において、関係証拠を証拠等関係カードの甲乙等の番号で引用する場合には、不同意により当該証拠に取り調べられていない部分があっても、その旨の注記は省略する。)。
二 証人Bの公判供述を始めとする関係各証拠によれば、以下の事実が認められる。
(1)乙山株式会社は、一台のサーバコンピュータを複数の顧客で共用させる形で顧客にレンタルして利用させていた。レンタルの際、各顧客には一定のディスク領域が割り当てられるが、そのディスク領域には、サーバのためのシステムが格納されている領域と、顧客のためのデータを格納する領域(第二回公判中証人B尋問調書末尾添付の図(甲四添付の図一)のうち、ピンク色で示された部分。以下「顧客使用領域」という。)が設定されていた。顧客が、顧客使用領域にあるファイルを読み書きするためには、サーバの設定を行うソフトウェア(コンフィグレータ)を使用してFTP(File Transfer Protocolの略。ファイル転送に使用されるプロトコルの一つ。なお、プロトコルとは、コンピュータ間の通信における約束ないし手順をいう。)のアカウントを発行した上、FTPを介してサーバにアクセスし、前記の手順で発行したアカウントのIDとパスワードを入力する必要があった。
 また、同社のサーバを利用してホームページを開設するには、FTPを使って顧客使用領域内のドキュメントルート以下の領域(同図の青色で示された部分)にホームページとして表示するHTML(Hypertext Markup Languageの略。ホームページを作成するときに使用される言語。)ファイル等を蔵置することとなっていた。そのように蔵置すると、ウェブサーバ(apache)がインターネット閲覧者のリクエストに応じてドキュメントルート以下の領域のファイルを読み込み、HTTP(Hypertext Transfer Protocolの略。ウェーブサーバからホームページのデータを転送するときに用いられるプロトコル。ブラウザは、そのデータを解析し、ホームページとして表示する機能がある。)を介し、ホームページのデータとして送信することとなっていた。ただし、拡張子(ファイルの末尾に付される文字列。ファイルの種類を区別するなどの機能がある。)が「cgi」のファイルについては、ウェブサーバの設定により、その内容を送信するのではなく、当該ファイルをCGI(Common Gateway Interfaceの略。ホームページにおいて動的処理を実現するためのプログラムの一つ。)プログラムとして起動し、その処理結果をインターネット利用者が閲覧できるように送信などすることとなっていた。
(2)社団法人コンピュータソフトウェア著作権協会(以下「ACCS」という。)は、乙山株式会社から本件サーバをレンタルして運用していた。
 ACCSにおいては、本件サーバを利用して、「著作権・プライバシー相談室」のホームページ(以下「ASKACCSのページ」という。)を設け、インターネット利用者からの相談を受け付けるサービスを行っていた。質問者は、ホームページに表示された空欄(フォーム)に氏名や質問内容を書き込むこととなっていたが、その際、氏名等については、偽りなく記載するように指示されていた(甲一四)。ASKACCSのページでは、このサービスを行うにあたり、質問者、質問時刻、質問内容等を記録すると同時に電子メールとして配信するために、csvmail.cgiというCGI(以下「本件CGI」という。)を使用していた。すなわち、本件CGIは、ASKACCSのページにある「送る」のボタンをクリックすることによって、ウェブサーバから起動され、前記フォームの内容を電子メールで送信するとともに、その内容をcsvmail.log(以下「本件ログファイル」という。)に追記するようにプログラムされていた。また、本件CGIは、フォームに正しくないデータが入力されたエラーの際、その旨を閲覧者に知らせるために、csvmail.htmlにおいて、タグ内で「ng_file」というパラメータを設定することにより、正しくないデータが入力された時に、本件CGIが当該パラメータに設定されたファイルを読み込み、その内容(エラー)をブラウザが表示できるようにしていた(ASKACCSのページにおいてはng.htmlが指定されていた。)。

 ところで、本件ログファイルは、ドキュメントルート以下の領域外の顧客使用領域にあったため、また、本件CGIは、ドキュメントルート以下の領域にあったが前記のとおりウェブサーバの設定で実行されるものとされていたため、本件CGI及び本件ログファイルは、いずれもブラウザで各ファイルのURL(Universal Resource Locationの略。インターネット上でHTMLファイル等の情報の所在を示す。)を入力しても(GETメソッド)、その内容(なお、本件CGIのプログラムとソースコードは同一のファイルである。)を閲覧することはできず(甲一八、一九)、これらのファイルを閲覧するには、後記(3)の方法を除き、FTPを介して行う必要があった(これに対し、弁護人は、本件サーバでは、HTTP、FTP以外のプロトコルも動作していた(弁四)と主張するが、弁護人が動作していたとするプロトコルを含めて考慮しても、その他の方法によって閲覧が可能であったとは認められない。)。
 ところが、本件CGIは、読み込むファイルについて制限は設けられていなかったため、本件CGIを起動するウェブサーバの権限で読み込みが可能なファイルをすべて読むことができた。その結果、本件CGIは、インターネット閲覧者が,前記パラメータに別のファイル名を設定して本件CGIを起動することにより、csvmail.htmlでパラメータに設定されていたものでないファイルであってもブラウザに表示させ、閲覧することができるという脆弱性を有していた。これは、一般の閲覧者の通常のアクセス手法としては想定されていないものであった。
(3)被告人は、平成一五年七月二五日ころ、csvmail.htmlを自らのパーソナルコンピュータのディスクに保存した上、同ファイル中、「name=”ng_file”value=“ng.html”」と記載されている部分のうち「ng.html」とある部分を本件CGIのファイル名に書換えて「ng_file」のパラメータを変更するなどした上、改変した同ファイルをブラウザで読み込んだ。それから、被告人は、フォームに何ら記入することなく、「送る」ボタンをクリックし、本件CGIを起動させた。本件CGIは、フォームに何も記載されていなかったことから、エラーの際に表示させるファイルとして、本件CGIを読み込み、本件CGIのソースコードを被告人のブラウザに表示させた。さらに、被告人は、表示された本件CGIのソースコードを読んで、本件ログファイルのパス(パスとはファイルの存在する位置を示す文字列をいう。)を発見すると、前記同様に、今度はcsvmail.htmlの前記部分を本件ログファイルのパスに書き換えるなどして、本件ログファイルの内容を表示させた。 
 被告人は、その後、この手法について、後記(4)のプレゼンテーションで発表するために、同様の手法で判示の各アクセス行為に及んだ(なお、弁護人及び被告人は、アクセスログの記録(甲三)が第三者によって不正に作出された可能性を指摘するが、かかる可能性をうかがわせる具体的な事情は何ら存在しない上、第三者が被告人のアクセス記録をことさらに作出する必要性もないことから、アクセスログは正確に被告人のアクセスを記録していると認められる。また、アクセスログには、本件CGIを起動させた旨の記録があるのみで、本件CGI又は本件ログファイルを読み込んだ旨の記録はないものの、本来ACCSのHTMLファイルから呼び出されるはずの本件CGIが通常とは異なる呼び出され方をしていること及び転送バイト数に照らし、前記の各ファイルにアクセスしたものと推認できる(甲三)。これらの点については、被告人も捜査段階において認めていたところである(乙五、七、一〇)。)。
(4)被告人は、平成一五年一一月八日東京都渋谷区内所在のO―WESTで開催された「A.D.2003」と称するイベントにおいて、前記(3)の手法についてプレゼンテーションをした。その際、被告人は、不特定多数の聴衆に対して、「多分記入されているのは全部本当の名前なんでしょうね。」、「相談者からのメールは(中略)厳重に管理し、その内容が外部に公表されることは一切ありません、とあるわけです。」などと述べながら、前記(3)の手法を説明した上、(JPCERT/CCが)「どうしてくれるんでしょうね、すごく楽しみなのですが。」、「前触れなしに攻撃するというのを今回見せたかったのですけれども、残念ながらまだ攻撃していないんで。」、「いまからCさんのところ攻撃してみたいんですけど。」などと発言した。また、このプレゼンテーションにおいて被告人が映写し、イベントの会場内で参加者がダウンロードできるようになっていたプレゼンテーション資料には、本件ログファイルに含まれていた個人情報の一部が掲載されていたほか、「通報しまス……た?」、「さぁJPCERT/CCどうする(激ワラ」等との記載があった(甲一四)。
 被告人は、前記のプレゼンテーションの後に、前記(3)の手法で本件ログファイル等を閲覧できる旨指摘する内容の電子メールをACCS、乙山株式会社等に送信した(甲二二、二四、乙五)。
三 本件各アクセス行為の構成要件該当性
(1)このようにして見ると、本件サーバの本件CGI及び本件ログファイルを閲覧するためには、プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく入力しなければならないところを、被告人は、csvmail.htmlの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGI及び本件ログファイルを閲覧したということができる。すなわち、被告人は、本件CGI及び本件ログファイルの閲覧という各特定利用を制限しているFTPプロトコルを利用したアクセス制御機能を有する本件サーバに、その制限を免れる指令を電気通信回線を通じて入力して本件サーバを作動させて前記各特定利用をし得る状態にしたといえる。
(2)これに対して、弁護人は、証人Dの公判供述、同人作成の意見書(弁一)、E作成の意見書(弁九)等を根拠に、アクセス自体が個別のプロトコルに従った個々具体的なデータ転送の状態であるから、アクセス制御もまた、個々のデータ転送についての方式に従って個別的に設定される必要があるなどとして、「アクセス制御機能」の有無は個々のデータ転送方式(プロトコル)ごとに考えるべきであるとし、被告人は、本件各アクセスをアクセス制御機能の一切存在しないHTTPを介して行っているのだから、本件各アクセス行為がアクセス制御機能による特定利用の制限を免れることはあり得ず、不正アクセス行為に当たらないと主張する。そして、このように解さずに、「アクセス制御機能」の有無を物理的な電子計算機ごとに考えるとすると、アクセスが許可されているかという規範の問題に直面するためには、アクセス制御が「識別符号」の形で客観的に現れていなければならないにもかかわらず、サーバがマルチプロセス(同時に複数のプロセスが動作すること)で動作している現状においては、特定のプロセスによるサービスを利用しているのみでは他のプロセスによるサービスの存在を知り得ないこととなるし(D証言)、複数の顧客がそれぞれ一台のコンピュータの一部を管理するレンタルサーバにおいて、アクセス制御を施さず公開している顧客のファイルにアクセスする行為が、非公開としている者のアクセス制御を理由に不正アクセス行為とされてしまうなどの不都合が生ずると主張する。また、被告人も、本件各アクセスはHTML、HTTPの規格に沿ったアクセス行為であるから、不正アクセス行為に当たらないなどと供述している。
(3)ア そこで、検討すると、不正アクセス行為の禁止等に関する法律二条三項は、「アクセス制御機能」が「特定電子計算機」に付加されている機能であり、識別符号が「特定電子計算機に入力され」るものと規定している上、同法三条二項二号も、アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する対象を「アクセス制御機能を有する特定電子計算機」と規定しており、アクセス制御機能の有無を特定電子計算機ごとに判断することが前提となっている。そして、この特定電子計算機とは「電気通信回線に接続している電子計算機」をいい(同法二条一項)、さらに、「電子計算機」とは自動的に演算や情報処理を行う電子装置である物理的な機器をいうのであって、本件では、ACCSが乙山株式会社からレンタルしていた物理的な機器である本件サーバが特定電子計算機であり、これを基準にアクセス御御機能の有無を判断すべきことは文理上当然である。他方、その有無をプロトコル単位で判断すべき文理上の根拠は何ら存在しない。また、アクセス制御機能の有無をプロトコルごとに判断するとすれば、例えば、第三者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを書き換える機能を有する不正なプログラム(いわゆるトロイの木馬型プログラム)を電子メールによって送信し、そのプログラムを無害なプログラムだと誤信させて実行させた上、その特殊なプロトコルを使用してFTPを介して書き込みを行うべきホームページのファイルを管理者の意図に反して書き換えてしまうような行為すら不可罰となってしまい、このような典型的ともいえる行為の処罰を法は当然に想定していたというべきである。そうすると、アクセス制御機能の有無については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアクセス制御機能があると解すべきである。そして、本件においては、本件CGI及び本件ログファイルを閲覧するにはFTPを介して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機であるといえるのである。
 また、弁護人の主張のうち、サーバがマルチプロセスで動作している点については、故意の有無において必要に応じて考慮すれば足りるし、レンタルサーバに関する指摘についても、その設置者及びレンタルした顧客が重畳的にアクセス管理者となると解されるところ、当該顧客の公開領域へのアクセスは、当該顧客の承諾(同法三条二項各号)があるか、後記のとおり当該特定利用を誰にでも認めていることによりアクセス制御機能による制限のない特定利用であるから、他にレンタルしている顧客の利用状況のいかんにかかわらず、もとより不可罰であって、この点で不都合が生じることはない。
イ もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、更に検討を要する。前記二で認定した事実によれば、本件CGI及び本件ログファイルを閲覧するには、FTPを介して識別符号を入力する必要があったが、被告人の本件アクセス手法によれば、識別符号の入力を要さずして同様の閲覧が可能であったこと、すなわち、識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができたことが認められる。このような場合にその特定利用にアクセス制御による制限があるといえるのかが問題となる。
 ところで、アクセス制御機能は、アクセス管理者により特定電子計算機の特定利用が「制限」されていることを前提として、当該特定利用をしようとする者が当該特定利用に係る識別符号等を入力した場合にこの「制限」の全部又は一部を解除する機能である。アクセス制御機能及びこの「制限」が完全無欠であれば、識別符号等以外の情報又は指令が入力されてもおよそ特定利用はできず、「制限」された状態が維持され、同法三条二項二号に掲げる行為は不可能となるから、同号に定めた行為を処罰する規定を置く意味はないことになる。また、制限がプログラムの瑕疵や設定上の不備によりアクセス管理者の意図に反して不十分な場合、そのことをもって特定電子計算機の特定利用を制御するためにアクセス管理者が付加している機能をアクセス制御機能と認めないこととするのは、プログラムやコンピュータシステムが複雑化し、プログラムの瑕疵や設定の不備の有無を容易に判別、修正できない現状に照らして現実的ではないし、アクセス制御の強度ないし巧拙について客観的に判定する基準も存在しない。そうすると、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解すべきであるが、プログラムの瑕疵や設定上の不備があるため、識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって、直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである。
 本件においては、前記のとおり、ブラウザで本件CGIファイル及び本件ログファイルのURLを入力する方法(GETメソッド)によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIと組になって使用されていたcsvmail.htmlを改変して、故意にエラーを発生させることで、可能になるものであって、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要性はなく、想定もしていなかったものである(これに対して、弁護人は、証人Bの「CGIプログラムを触れないお客様が多いので、フォーム等で渡される指示により動作を変えられるように設計していた。」との供述を理由に、フォームの内容の改変は、CGIが予定していた動作であると主張するが、証人Bがここで述べるのは、顧客が動作を変更することであって、インターネット利用者がフォームの内容を変更することを予定していたとは認められない。)。そうすると、本件の各特定利用ができたのは、プログラムないし設定上の瑕疵があったためにすぎないのであり、アクセス管理者が本件アクセス行為のような形で特定利用をすることを誰にでも認めていたとはいえない。よって、本件においても、本件CGI及び本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる。
(4)また、本件アクセス行為が、HTMLないしHTTPの規格に沿ったものであるとしても、そもそもHTTP等の通信は規格に沿ってなされていることが前提のものであって、その規格に沿っているからといって、アクセス制御機能による制限を免れる指令を入力する行為が不正アクセス行為とならなくなるものではない。コンピュータのプログラムは、プログラミングや設定に瑕疵があっても現実にプログラムされたとおりに動作するのであって、アクセス行為についてエラーが生じなかったことのみをもって、アクセス管理者が当該特定利用を承諾していたと認められないことは当然である。
(5)以上のとおりであるから、被告人の本件各アクセス行為が不正アクセス行為の禁止等に関する法律三条二項二号所定の不正アクセス行為に該当することは明らかである。その余の所論にかんがみ検討しても、この点についての弁護人及び被告人の主張は採用できない。
四 行為の違法性について
(1)前記二で認定した事実によれば、被告人は、平成一五年七月二五日ころ本件の手法によって、個人情報を含む本件ログファイル等を閲覧できることを発見しながら、その後三か月以上もの間、ACCS等に知らせることもなく放置したこと、同年一一月八日に開催された「A.D.2003」において、ACCS等には何ら知らせないまま、不特定多数の面前で本件アクセスの手法を再現可能な形で具体的にプレゼンテーションしたこと、その資料としてプレゼンテーションの際に映写され、会場ではダウンロード可能になっていたデータは個人情報を含んでいたこと、そのプレゼンテーション資料には、「JPCERT/CCどうする(激ワラ」などとおよそ真摯な活動と思われない記載が見られたほか、被告人自身「(JPCERT/CCが)どうしてくれるんでしょうね、すごく楽しみなのですが。」と述べるなど、JPCERT/CCやACCSを揶揄する発言をしていたこと、前記プレゼンテーションにおいて同様のセキュリティホールを有するウェブサイトが多数ある可能性を指摘し、「これから攻撃してみたい」、「前触れなしの攻撃を見せたかった」などと発言していたことが認められる。これらの点、特に、事前にACCS等に脆弱性の報告をせず、修正の機会を与えないまま、これを公表したことは、被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく、被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって、正常な問題指摘活動の限界をはるかに超えるものであり、正常な活動の一環であったとは到底認められない。また、プレゼンテーションの仕方やその際の発言内容等にも照らすと、脆弱性を発見した自己の能力、技能を誇示したいとの側面があったことも否定できないところである。被告人も、捜査段階において、「発表されたときにかなりやばい内容、大きな問題になる」との認識があり(乙三)、正当な活動でないことを自覚していたと認められるのである。そうすると、被告人の行為は正常な問題指摘活動であるから違法性がないとの弁護人の主張は、前提を欠くものであって、被告人の行為が違法であることは明らかである。
(2)被告人は、本件動機について、「ACCSと同様の脆弱性を有するサイトは千以上あった上、このような問題を調整する組織としてJPCERT/CCがあるが、同組織は確たる証拠がないと動いてくれない。『A.D.2003』のイベントで、不特定多数の前で実際に脆弱性を公表すれば、多数の証人がいるのでJPCERT/CCも動いてくれるだろうし、隠ぺいもされないだろうと思った。」などと供述する(乙四、一〇)が、そのような動機を有していたとしても,サーバへの攻撃の危険性を高めるような公表行為が許されるはずはなく、そのような公表のためになされた本件各アクセス行為が正当化されることもないと解すべきである。
五 被告人の認識について
(1)前記二で認定した事実によれば、ASKACCSのページでは、氏名等を偽りなく記入することが求められていた上、本件ログファイルはその入力された個人情報を多数含んでいたこと、ASKACCSのページには入力された個人情報が厳重に管理されるとの記載があり、被告人もこれを認識していたことが認められる。また、一般的にCGIのソースを読めば、サーバのディレクトリ構造の一部が明らかになり、セキュリティの観点から問題がある上、本件CGIには前記のとおり個人情報の多数含まれた本件ログファイルの所在位置が記載されていた。
 これらの事実に加え、本件CGI及び本件ログファイルは直接そのURLを入力しても(GETメソッド)取得できないファイルであったこと、HTMLファイルのタグを書換えた上、故意にエラーを発生させるという本件の手法は、およそアクセス管理者が採る方法とは考えられないこと、被告人が本件手法についてプレゼンテーションをし、その際「攻撃したい」などと述べていたこと、被告人自身、上記の各ファイルを管理者が公開を意図していないと認識していたこと(乙一一)、本件CGIに脆弱性があり、本件CGIのソースや本件ログファイルを閲覧できることはイレギュラーであると認識していたこと(被告人の公判供述)に照らしても、本件CGI及び本件ログファイルの各閲覧についてアクセス制御機能があり,これを免れる指令を入力する旨認識、認容して本件各アクセスに及んだものであって、本件アクセス行為が許されないものであると認識していたと推認できる。
(2)これに対して、被告人は、本件CGIや本件ログファイルにアクセス制御がされていたかは分からなかったなどと供述するが、そもそもアクセス制御がなく、自由にアクセス可能であれば、被告人がプレゼンテーションをする意味は何らないのであって、この供述は、信用できない。被告人は、公判廷において、さらに、ACCSが意図的にそのようなアクセスを可能にしている可能性もあり、それも問題であると思ったとの趣旨の供述をしているが、被告人がプレゼンテーションにおいて「脆弱性のあるCGI」などと述べ、ACCSが意図的にかかるアクセスを可能としていることについて何ら非難していないことに照らすと信用できない。 
六 以上によれば、弁護人の主張にはいずれも理由がなく、判示のとおり罪となるべき事実を認定できる。なお、弁護人は、起訴状記載の公訴事実が特定されていない旨も主張するが、同公訴事実は他の事実と区別できる程度に特定されているのであって、理由がない。
(法令の適用)
罰条 包括して不正アクセス行為の禁止等に関する法律八条一号、三条一項、二項二号
刑種の選択 懲役刑を選択
刑の執行猶予 刑法二五条一項
訴訟費用の負担 刑事訴訟法一八一条一項本文
(量刑の理由)
一 被告人は、プライバシー関係の情報を検索していた際に、ACCSのASKACCSのページを閲覧するなどして本件アクセスが可能となるセキュリティホールを発見し、これをACCS等に知らせないまま、前記のとおり自己の能力、技能を誇示したいとの動機もあって、セキュリティに関するイベントで発表するために、本件各不正アクセス行為に及んだのであって、このような犯行の経緯や動機に酌量の余地はない。被告人は、関係機関にセキュリティ対策を広く取らせるために本件各アクセス行為をし、その手法を発表したなどと供述するが、ACCS等に事前に報告せずに修正の機会を与えないまま公表し、攻撃の危険性を高めているのであって、供述するとおりの動機があったとしても、到底正当視できるものではない。
二 本件犯行の手口は、本件CGIがHTMLファイルが改変されないことを前提としてプログラムされていたことに乗じ、HTMLファイルを巧みに改変し、本件CGIを本来とは異なる動作をさせて、本件CGIのソースコード及び一一八〇名以上もの大量の個人情報を含む本件ログファイルを閲覧したというものであって、巧妙かつ悪質な犯行である。
 本件犯行により、アクセス制御機能に対する社会的信用は、大きく傷付けられた上、ACCSはASKACCSのページの閉鎖を余儀なくされ、ACCS及び乙山株式会社が社会的信用を失うなど、被害者らの被ったダメージは著しい。また、被告人がコンピュータネットワークに関するイベントにおいて、本件の手口についてプレゼンテーションしたため、被告人の手口を模倣した者まで出現したばかりか、本件ログファイルに含まれていた個人情報の一部がプレゼンテーション資料としてダウンロード可能となっていたことから、個人情報が不特定の人間に漏洩しているのである。このような結果が高度情報通信社会の健全な発展を阻害することは明らかであるし、被害者らが被告人の厳重処罰を求めることも当然といわなければならない。
 被告人は、当公判廷において、行為の外形部分については概ね認めるものの、故意の存否等については不合理な弁解を繰り返す上、本件については、むしろ不正アクセスを受けた被害者にこそ責任があると主張してはばからず、自らの責任に思いを致し、真摯に内省する態度を看取することができない。そうすると、被告人の刑事責任を軽視することはできない。
三 他方、被告人は、本件後、当該個人情報を含んだファイルの削除を依頼するなど、被害の拡大を防止する一定の努力をしたこと、従前も同様のセキュリティホールが存在することは報道されていたのであって、乙山株式会社やACCSにおいても、個人情報を保持する以上それなりの対策がされていてしかるべきであったこと、被害者側が、正当な問題指摘行動はインターネット上の文化であり、被告人の指摘内容自体についてはありがたいとも述べていること、本件の報道によって社会的制裁を受けていること、被告人には前科のないことなど、被告人に有利に斟酌できる事実も存在する。
四 そこで、以上の被告人に有利不利な事情の一切を考慮して、主文の刑を定めた上、今回はその刑の執行を猶予することとした。
(求刑 懲役八月)
(裁判長裁判官 青柳勤 裁判官 野原俊郎 梶川匡志)

別紙 一覧表《略》