米国司法省は、コンピュータ詐欺・乱用防止法(CFAA)に対する長年の懸念を認め、「善意のセキュリティ研究」を反ハッキング法の告発の対象にしないことを発表しました。検察はまた、単にウェブサイトの利用規約に違反したこと(出会い系サイトのプロフィールを誇張するような軽微なルール違反も含む)や、仕事用のコンピュータを個人的な作業に使用したことを理由に起訴することも避けなければならないとしている。
新しい司法省の方針は、2021年の最高裁判決を受け、その広範で曖昧な範囲に対する懸念を和らげようとするものです。判決は、政府検察官の以前の解釈が「息を呑むほどありふれたコンピューター活動」を犯罪化する危険性があると警告し、司法省が現在起訴しないと約束しているいくつかの仮想的な例を示している。この変更は、「善意のテスト、調査、またはセキュリティ上の欠陥や脆弱性の修正」を行う研究者のための防衛線となっています。この新しい規則は、2014年に発行された古いガイドラインに代わって、直ちに発効します。
"この方針は、一部の裁判所やコメンテーターが懸念していた仮想的なCFAA違反は起訴しないことを明確にした "とDOJのプレスリリースは述べています。"出会い系サイトの利用規約に反してプロフィールを盛る、雇用・住宅・賃貸サイトで架空のアカウントを作る、禁止されているソーシャルネットワーキングサイトで偽名を使う、職場でスポーツの成績をチェックする、職場で請求書を支払う、利用規約に含まれるアクセス制限に違反するなどは、それだけで連邦刑事責任を問うには不十分です "と述べています。
このガイドラインは、1986年にCFAAによって犯罪とされたコンピュータへの「許可されたアクセスを超える」行為を新たに限定的に解釈したものである。ネットワークやコンピュータの所有者が定めた規則に違反することでアクセスを「超える」のか、それとも明確に立ち入り禁止のシステムや情報にアクセスしなければならないのかについては、数十年にわたって対立が続いています。前者の解釈は、「マイスペース」で偽のプロフィールを作成した女性を検察が起訴したケースにつながりました。最高裁は後者の解釈に傾き、そして今、司法省も理論的には後者の解釈に傾いている。
この方針は、CFAAの批判をすべて解決するものではありません。また、検察の解釈の仕方に影響を与えるだけで、基本的な法律の曖昧さを解消するものでもない。また、DOJは、セキュリティ研究は、ネットワークを調査するための「フリーパス」ではないと警告している。例えば、バグを発見し、その知識を利用してシステムの所有者を恐喝した者は、その研究を悪意を持って行ったとして起訴される可能性がある。しかし、このような制限があるにせよ、今回の規則制定は、コンピュータ・システムをその所有者の気に入らない方法で使用した人に、懲罰的な反ハッキング罪を課すことを避けるための公約であると言えるでしょう。
出典:Justice Department pledges not to charge security researchers with hacking crimes