「続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか」へのお返事

研究 セキュリティ

続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたりについて。この件で私には後ろ暗いところは特に無いので、過剰反応ではなく普通に反応しておきます。


まず、私から見た先日の記事(Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたり)のポイントは以下の通り。

  1. Winnyに関するセキュリティ研究者には作為義務がある。ごく簡単にセキュリティ対策を講じることができるのにそれをしないのは、セキュリティホールを悪用した情報漏洩に対する積極的な幇助行為の可能性あり。
  2. 最も適切と思う解決策は、(作者またはセキュリティ研究者が)「安全なWinny」を公開できるようにすること。
  3. しかし、Winnyを改良すると著作権侵害の幇助罪に問われるという地裁判決の関係上、現状ではWinnyの改良は法的に難しい。

1.については先日の私の記事(「『できるのにやらない』はけしからん」に潜む、「できるはず」という誤解 (一部修正あり) - Marriage Theorem 新居)にて該当部分を引用してあります。
2.は以下の箇所より。ここでは「作者が」と書いてありますが、今回の話の主な対象は(作者以外の)「セキュリティ研究者」ですし、作者がやらなきゃならない必然性はないと思うので「(作者またはセキュリティ研究者が)」と書きました。

もちろん、わたしが最も適切だと思っている解決策は、作者が直接安全なバージョンを公開できるような適切な法解釈が裁判所によって提示されることであるけれども。

Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたり

3.はその上の箇所(以下に引用)より。ここについても、作者だと著作権侵害幇助なのにセキュリティ研究者なら大丈夫という理由はないと思うので、「作者が」という限定は外してあります。

なお、本来であれば同じ責任がWinny作者に対しても問いうるはずであるが、現在出ている地裁判決によれば、作者がWinnyを改造する行為は著作権侵害の幇助罪に問われることになるそうなので、作者にこの責任を追及することは、理論的に言えば期待可能性に欠けると言わざるを得ない。

Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたり


つまり、具体的な解決案としては「安全なWinnyの公開」しか示していない(2.)けれども、それは現状では難しい(3.)と自身でもお考えなわけで、にもかかわらずWinnyのセキュリティ研究者は「ごく簡単にセキュリティ対策を講じることができる」と書かれた(1.)、ということになりますね。
特に1.については、刑法の「遺棄罪」や「遺棄致死罪」、「作為義務」、「セキュリティホールを悪用した情報漏洩に対する、積極的な幇助行為」などという物騒な表現をいくつも用いてまで主張されていることなのですから、「ごく簡単にセキュリティ対策を講じることができる」という主張にも相応の重みがあります。しかもその日の表題が

「できるのにやらない」はけしからんという率直な立場

であるのですから尚更です。


ここまで書かれたのですから、id:atsushienoさんは「(セキュリティ研究者は)ごく簡単にセキュリティ対策を講じることができる」とお考えなのでしょう?
じゃあ、例えばどういう対策があり得るとお考えなのですか?
続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか - ものがたりでは「改善可能なのは、脆弱な実装の修正であろう。」と書かれていますが、ご自身の仰る通り現状では修正版の公開は法的に難しい(2.)のですから、それはセキュリティ研究者が現在「できる」こととは考えられませんので、ご回答は別の内容でお願いします。
(ちなみに、id:atsushienoさんが引用されていた私の文章の以下の部分

じゃあ、何もせずに現状を放っておいてよいのかというと決してそんなことはないわけで、元記事でも触れられていたように、(完全な解ではないにせよ)少しでも技術的な対処が可能となるように法律的に工夫することは重要だと私も思います。

法律には詳しくないですが、少なくともセキュリティ強化版Winnyを作者本人ないしセキュリティ研究者の有志が(情報漏洩事故の抑制を目的として)作成・配布しても法律に引っ掛からないようにするぐらいの対応が可能になるといいんじゃないかなぁ、と思います。法律的な制限が取り払われれば、現在よりもより突っ込んだ活動を行うセキュリティ研究者はきっと現れるのではないでしょうか。

は、決して「セキュリティ研究者が」現時点で「できる」対策案としては書いてないですよ。法律の専門家が取り得る対策案ではあると思いますが。)


最後に申し上げておきますが、Winnyに関するセキュリティ研究活動を指して「セキュリティホールを悪用した情報漏洩に対する、積極的な幇助行為」と表現するのは、自分の研究の社会的な影響(悪影響を与えてしまう危険性も含めて)について慎重に検討しつつ真摯に活動しているセキュリティ研究者に対する侮辱と受け取られても仕方が無いでしょう。私のようなへっぽこセキュリティ研究者(しかもWinnyについて研究しているわけではない)でもこれだけ心理的な引っ掛かりを覚えるのですから、高木さん激怒されるのも無理ないですよ。
是非、そこまでの物騒で過激な表現に値するだけの具体的な論拠をお示し下さいませ。