米司法省は善意のセキュリティリサーチを告訴しないよう規定しました

米司法省はコンピューター詐欺・乱用防止法(Computer Fraud and Abuse Act)違反の告発に関する方針を2022/5/19に改定しました。

Department of Justice Announces New Policy for Charging Cases under the Computer Fraud and Abuse Act

この方針では、善意のセキュリティリサーチを告訴しないよう明確に規定されています。

善意のセキュリティリサーチとは

セキュリティ上の欠陥や脆弱性を善意でテスト、調査、修正する目的のみでコンピュータにアクセスし、その活動が個人または公衆への被害を最小限に抑えるように配慮し、得られた情報が主に、そのコンピュータに接続する機器、機械、オンラインサービス、またはそれらを利用する人々のセキュリティや安全性を向上させるために用いられる場合のことを指します。
しかし、新しい方針において、セキュリティ・リサーチを行っていると主張することで、違法行為を働く者が免れるわけではありません。例えば、持ち主を脅迫するために機器の脆弱性を発見することは、たとえ「リサーチ」であると主張しても、善意によるものではありません。

コンピューター詐欺・乱用防止法の新たな方針

新方針は、“CFAA執行に関する省の目標は、個人、ネットワーク所有者、運営者、およびその他の者が、その情報システムに保存されている情報の機密性、完全性、可用性を確保する法的権利を支持することによって、プライバシーとサイバーセキュリティを促進することである “という長年の活動を明示的に示しています。
この方針は、一部の裁判所やコメンテーターが懸念しているようなCFAA違反は、起訴されないことを明確にしています。この新しい方針は、2014年に発行された方針に代わるものであり、直ちに発効します。

日本における善意のセキュリティリサーチ

日本では善意でセキュリティリサーチしたものであっても当事者間でトラブルとなる可能性があります。例えば NICTNOTICE のようなIoT機器への「特定アクセス行為等による調査」においても取り沙汰されました。なお「特定アクセス行為等による調査」については国立研究開発法人情報通信研究機構法の一部改正によって、5年間の時限措置(2018年11月1日〜2022年10月30日)で対応しましたが、改めて法制度を見直すことが必要です。

IPA ホワイトハッカー勉強会 初級編 〜脆弱性調査ツールの解説と法の動向〜

Twitterの反応

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder OWASP Member ITは人々の生活をあらゆる面でより良い方向に変化させること 競争原理から共創原理へ