2019/09/12

第九巡回区控訴裁判所の判断で CFAA 法の混乱が深まる

LAW 法律 司法 判決 裁判 訴訟

2019 年 9 月 12 日 Trevor Collins 著

多くのホワイトハットハッカーを悩ませる、ある法律分野において、CFAA(Computer Fraud and Abuse Act:コンピュータ詐欺・不正利用防止法)が、Web サイトや脆弱性のテストを多少のリスクをはらむものにしてしまっている側面があります。CFAA が 1986 年に、1984 年の Comprehensive Crime Control Act(包括的犯罪防止法)を改正し、コンピュータへの不正アクセスが盛り込まれました。

現在は、CFAA に違反することなく、誰でも Web サイトから公開データをスクレイピングできるようですが、過去に遡ると、Craigslist、Facebook、LinkedIn などの企業が、自社のサービスからデータをスクレイピングする個人や組織を訴える際に、CFAA を民事で使おうとしたことがあります。データのスクレイピングは今も利用規約に違反する可能性がありますが、当該裁判所は、少なくとも本件については CFAA 法による刑事上および民事上の有罪にはあたらないと判断しました。その一方で、いずれの訴訟でも停止および破棄の書面が送付されていましたが、同裁判所は、たとえユーザの許可を得ている場合であっても、個人に関するコンテンツへのアクセスに CFAA が適用されるという判決も下しています。

これら 2 つの訴訟において、同裁判所は CFAA の対象を明確にしていないため、今後の裁判でいずれかの判決が覆される可能性もあります。おそらく、両方のケースの結果は、ログインすることなくデータにアクセスできるのであれば CFAA に抵触しないことを意味するものだと解釈して差し支えないでしょう。ただし、HTML などのテンプレートデータを含む他の一般的な手段で利用でき、たとえエンドユーザによってアクセスを許可された場合であっても、パスワードで保護された企業データについては、CFAA が適用されます。

我々は CFAA をハッカーから我々を保護する拠り所としているため、この件については今後も注目していきたいと考えています。しかしながら、この法律が悪用されてしまうと、企業がこの法律を根拠に、競合する企業の競争を妨害する恐れがあります。また、ホワイトハットハッカーが企業に対して、セキュリティが不十分であると警告できなくなり、インターネットのセキュリティが低下することになる可能性もあります。そうならないことを祈るばかりです。