思考実験継続中

雑感

 
 注意:
 このエントリは岡崎市立中央図書館事件において「おかしいだろ」と*私が思った*部分について法律家の言葉を使って論証できないか考えている作業中の一部分です。
 
 ○前提
 事実として以下の事柄がありました

  • 中川さんがクローラを走らせた
    • 目的:スクレイピングを実施するため*1
    • 方法:2003年時点で「礼儀正しいレベル」とされた*2,1秒に1〜2回程度のアクセスを行い,収集したデータを自動的に分類する
  • 岡崎市立中央図書館のWEBサーバで「検索できない」という状況が発生した
    • 図書館員はその状況に気づいていなかった
    • 外部からの苦情によって気づき,サーバの再起動*3で対処した
    • 苦情に基づく再起動は述べ4回
    • 再起動に備えて残業が発生
  • 岡崎市立中央図書館のWEBシステムの概要
    • 三菱電機インフォメーションシステムズ(MDIS)が製造販売している「MELIL/CS」のWEB機能
    • 旧式*4の「バージョン5」が導入されていた
    • バージョン5では,データベースコネクションを最低10分間保持するよう作られていた
    • セッションタイムアウトとセッション数の上限設定により,一定時間内に接続できるクライアント数に制限が設けられていた
    • 「欠陥ではなく,能力不足」*5
    • Cookieに対応していないクライアントの場合,常に新たなセッションが作成され,急速にセッション数を使い切る可能性があった
      • 実際に中川さんのクローラはCookieに対応しておらず,セッション数を一時的かつ断続的に使い切っていた

 
 ○技術的背景
 技術的に,2005年当時どのような状況だったかを述べておきます。

  • 家庭用の普及型コンピュータは,Pentium4またはCeleron 3GHz前後,メモリは256MB〜512MB程度
  • ノートパソコンはMobile PentiumまたはCeleron 1.6GHz前後,メモリは128MB〜256MB程度
  • 2000年ごろ発売のノートパソコンで実施したテストでは,秒間3回のアクセス1500回連続実施に耐え,およそ70回程度の接続エラーを発生させただけで済んだ(参照)。
  • 2004年までに,「1秒間に1〜2回程度は礼儀正しいレベル」と言われていた
  • Cookieに対応することは任意である(必ず対応しなければならないものではない)
    • RFC2109,RFC2965

 
 ○事件

  • 岡崎市立中央図書館が警察に相談,警察が「事件にできる」と持ちかけ,被害届の提出に至る
  • 「大量アクセス」とされた。
    • 1日あたり2000〜3000回程度
  • 偽計業務妨害
    • コンピュータを使って図書館の業務を妨害したとされた。
    • 未必の故意が認定された。
  • 起訴猶予処分
    • 「嫌疑なし」ではなく,犯罪事実があったとされた。

 
 ○私の感覚
 この概要を知ったときの私の感想,感覚を述べておきます。

  • おかしい
    • こんなので逮捕はおかしい
    • ソフトウェアの脆弱性を意図的に攻撃したわけではなさそう
    • 数の上でも攻撃とはいえないのではないか
    • むしろ普通の行動ではないか
  • え?犯罪事実認定されたの?
    • いや,故意無いやろコレ
    • っていうかこれ落ちたの中川さんのせいじゃないだろ
    • っていうか落ちてないやん

 
 ○法律的にどうなんだろう
 ICTの常識から見て,これで罪になるのはおかしいと感じたので,その感覚を法的に裏づけできないかと考えました。

  • WEBサーバに利用条件は示されていなかった
    • 普通のアクセスは許容されていたと考えるのがふつう
    • 中川さんのクローラは「礼儀正しいレベル」だった
      • もし,2005年当時から2009年8月のInternet Explorer 8までの間で,「Internet Explorerの「オフラインコンテンツ」に登録した場合,同期するたびに障害があった可能性がある」
        • 中川さんのクローラが悪質なものではない状況証拠*6
    • つまり,岡崎市立中央図書館が許容していた「普通のアクセス」と,中川さんのクローラによるアクセスには,暗黙の合意が形成されていた
      • 本来なら何の問題もないはずだった
  • MDIS(契約当時は三菱電機中部支社)によってMELIL/CSは性能を制限されていた
    • そのため,両者の合意したアクセスをシステムが許容できなかった
    • 三者の故意があり,そのことは予見不能だった
      • 情報公開制度で得たMELIL/CSの説明書等にその制限は明記されていない
      • 中川さんに知る余地はない
  • 相当因果関係の折衷説に基づいて因果関係が切断されるべき話ではないか

 

  • 中川さんに故意がない
    • 少なくとも図書館とのトラブル等がなく,目的がない
    • クローラはスクレイピングを行うための機能であり,データがとれないことは中川さんのツールの目的にそぐわない
    • 現状「未必の故意」の根拠となっているのは,「技術者ならそれくらいわかるでしょ」という思い込みのみ
  • 故意が証明されていないのではないか。

 
 ○いくつかの応答
 私にアドバイスしてくれている人への。

  • 「介在」について
    • 岡崎市立中央図書館は(おそらく)サーバが充分に処理すると思っていた
    • 中川さんのクローラは常識的で,サーバが充分に処理できる範囲のものだった
      • 両者の合意はあったのではないか
    • となると,その合意に基づくサービス提供と利用の間にあったMDIS(三菱電機)の故意(設定)が問題になるのではないか
      • 故意の介在
      • 茶店のイスが腐っていて,座ると不愉快な臭いがして他の客が逃げた。そのとき,座った客を訴えられるか?イスを納めた家具屋の責任は?
  • 住居侵入/同意
    • WEBサーバを公開するということ
    • WEBサービスを利用するということ
      • ここに同意が認められないとなるとWEBサービスを利用することができる根拠が失われるのでは?
    • 管理者の意思は確認できなかった
      • 現在も使用条件は表示されていない
    • 無理の無いアクセス頻度だった
      • 管理者の同意に瑕疵があったとすれば,「公園として提供していた場所が(その前にそこを利用していた事業者の,管理者が知らない)産業廃棄物で汚染されていた」ようなものでは?
  • 常識の範囲のアクセスだから故意がない
    • 検察は「1回のアクセスでも落ちるわずかな可能性がある」ことを認識したとして故意を認定
      • 常識のアクセスであることを示せば,「それだけ解っていれば障害に気づけたでしょう?」と返された事実がある
  • 再起動について
  • 法益の侵害があったか?
    • あった(四回の再起動,それに備えた残業の発生)
    • 原因は?
      • 中川さんのクローラがトリガになっている
      • 実際はMDIS(三菱電機)が設定した性能上限によるもの

 
 
 
 うーん。どう表現していいかわからない。
 とりあえず,「この程度のアクセスは常識の範囲内だよ」と言っても通用しなかった事実があるので,それ以外で説得力のある話ができれば。
 うだうだ考えた範囲では,相当因果関係説の折衷説をとって予見不能だから因果関係切れるよね,というのが私の直感に近いかなあ,というところ。
 
 参考:
 岡崎市立中央図書館事件等のまとめ:時系列
  http://www26.atwiki.jp/librahack/pages/36.html
  http://www26.atwiki.jp/librahack/pages/16.html
 中川さんのサイト「容疑者から見た岡崎図書館事件」http://librahack.jp/
 Wikipedia「相当因果関係」http://ja.wikipedia.org/wiki/%E7%9B%B8%E5%BD%93%E5%9B%A0%E6%9E%9C%E9%96%A2%E4%BF%82
 wikibooks「構成要件」http://ja.wikibooks.org/wiki/%E6%A7%8B%E6%88%90%E8%A6%81%E4%BB%B6
 

*1:新着目録が使いにくかったため,改善を試みた

*2:オライリー・ジャパン「Spidering Hacks」邦訳2004年

*3:MDISおよび図書館員は当時気づいていなかったが,サーバ側でセッションオブジェクトを全て破棄することになり,結果としてセッションが再作成されて,ハズレクッキー(後述)が解消された。

*4:ASP版。新型のバージョン7はASPX版。

*5:MDISの記者会見による

*6:最も普及したブラウザの標準機能に耐えられないシステムに問題がある