コンピュータシステム脆弱性指摘のあり方について
1月4日付けの朝日新聞を見たら、昨年のACCSでの個人情報流出の可能性指摘についての「行き過ぎ」をにおわせる記事が掲載されていた。
Asahi.com
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
http://www.asahi.com/tech/asahinews/TKY200401030222.html
残念ながら個人情報を引き出してしまうことは(不正アクセス防止法に触れないかもしれないが)やってはならないことだっただろう。
コンピュータシステム(特にウェブを利用したもの)の安全性の欠陥を同指摘するかついては、「指針の空白」状態にあると思われ、欠陥の公表の仕方をめぐって喧嘩状態になっているケースもある。匿名による指摘を信頼できるものとして取り扱えるのかという問題、指摘を装った攻撃行為なども考えられる。何らかの実務的な指針をまとめることが関係者の務めだと思われる。倫理学がその力になることができるのだろうか?
(追記 20040105)
個人情報を引き出す手前のところで止めるべきだったのだ、との意見があるが、サーバ運営者に指摘する前に別の会合で公開してしまった*1ことの方が重大であったと思われる。極端なはなし「○○のサイトのどこかに脆弱性がある」というレベルであっても不用意な公開は慎むべきだろう。その情報を元に別の人間が実際に個人情報を引き出してしまう可能性があるわけだから。
この問題は公益通報制度と多少関係がある問題と認識している。この場合通報者は組織とはまったく関係のない第三者になるが、このようなケース(作為ではないし違法でもないが、公益の観点から是正すべき状態)も想定すべきなのかもしれない。
公益通報制度とリンクさせずに考えるとしても、脆弱性を発見した者はそのシステムの管理者に連絡すべきであっただろう。マスコミ・集会での公開はその当事者への報告が不可能である場合、効果がない場合などに限って慎重に判断されるべきだろう。