最初にポジションを確認しておきますけど、

今回のケースは私も違法だとは思っていないですよ。
ただ、
情報にアクセス制御がかかっていないから合法なんではなく、
楽天やドリコムはアクセスしていないから合法なんです。

間違ってはいないですけど、あいまいなのでこちらも補足しておきますね。
ACCSで問題になった個人情報は、
HTTPのCGI経由ならログインしなくても見ることができる状態になっていた（アクセス制御がかかっていない）。
FTPやSSH、コンソール経由でのアクセスの場合はログインして権限がないと見られない情報です（管理者だけはアクセス制御下にあると思いこんでいた）。

ACCS判決では、そこをプロトコルレベル（OS、コンソール、SSH、FTPを問わず）で判定するのではなく、
機械装置としてアクセス制御がかかった機器であるからという判決になっています。
その機器の中の情報を正常以外の方法でアクセスして取得したので違法という判断です。

じゃぁ、今回の場合はっていうと、
通常は、PC上のデータはOSにログインしてかつ許可がない情報は見られないような特定電子計算機ですし、
ブラウザーを開かないと他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』なので、
他サイトへのアクセス履歴は「アクセス制御がかかっていない情報」ではないですよ。
で、『同法3条2項2号も、アクセス制御機能による特定利用の制限を免れることができる情報または指令を入力』に相当するのはFlash内のコードにあたるわけです。

ただ今回のケースは、不正利用するプログラムの配布・配置に過ぎず、
不正アクセス法でいうところの、文頭に共通する「電子計算機にアクセスし」というアクセス行為は一切行っていないので、
『現在国会で継続審議となっている刑法改正案の「不正指令電磁的記録作成等の罪」（いわゆる「ウイルス作成罪」）』
の範疇になるわけです。

こちらも補足させていただきますと、アクセス制御がかかったデータに対して仕様の不備を突くというのは、不正アクセス禁止法で禁止しているところだと書いているだけで、
この要件で違法になると書いているわけではありません。
後続して「結局ぜい弱性をつこうが何しようが、操作してるのはユーザー自身なので。」と書いたのはその意味なんですが、わかりにくかったですかね。すみません。。

「通常アクセス制限されているもの」に対して穴を開けたら不正アクセスという判断だったと思います。
何を持って通常アクセス制限されているかはどう判断するのか知りませんが
ACCS事件ではFTPアクセスでしか見れないものをwebで取得したからNGという判断だったかな。

このあたり高木氏が的確な指摘をしていたはず。

>三では、正規のパスワードを使わずに、別の方法でログインする事を禁止しています。

「その計算機にログインしているユーザにとあるプログラムを実行させる」ことでアクセス制御機能を回避している、という解釈はアクロバティック過ぎますか?

この件自体は割とどうでも良いと思っているんですが、どうもこの件、 ハイパースレッディングに深刻な脆弱性が報告される [srad.jp]とか、 CPUの高速化技術を悪用したRSA鍵盗聴が可能か [srad.jp]とかと似ているように思えてちょっと引っかかります。

リンク先は大まかに言って、「あるスレッドの実行が他のスレッドに与える環境的な影響を測定することでパスワードを盗み出す手法」のような技で、これがそのまま実現できたわけではないんですが。 今回の件が合法なら、もし万が一、そんな感じの、より深刻な手法が実現しちゃったときにも合法と判断されちゃいそうに思います。「盗むとこまでは合法だけど、その盗んだパスワードを使った瞬間に違法」では何となく気色悪いですし。塞いでおくべき法の穴なんじゃないかな、と。

ところで、そういや、今更気付いたんですが、HTMLに埋め込まれたスクリプトってプログラムの一種なのに、お決まりの「このプログラムを実行させることで起こったいかなる不利益も以下略」の儀式が無いですね。 何か起こったとき、誰が責任取るんでしょう? ブラウザは一応変なことが起こらないように設計されてるはずですが、責任取ってくれそうには見えませんし。

と言うか、「ブラウザを使うことで起こったいかなる不利益も以下略」を承認したような気がします。 と言うことは、いざ何か起こった時ってユーザが勝手に責任取れ、なんでしょうね。 最初に一発、「その上でどんなスクリプトが動くか分かりませんが認めますか?」「はい」をやっちゃってるわけですね。考えてみると怖いなぁ・・・。

ちょっと誤解させてしまったかもしれませんので、補足説明させていただきますと、

この部分、ブラウザーにログイン機能やアクセス制御が付いているかどうかは関係なくて、
ユーザーのマシンにアクセス制御がかかっていれば、
不正アクセス禁止法で言われている、アクセス制御がかかった対象物として十分というのがACCSの判例ですということなんです。

今回の件が不正アクセスにならないのは、楽天・ドリコム側は配置しただけで何も実行していないというところがキモなんですよ。

>この件自体は割とどうでも良いと思っているんですが、どうもこの件、 ハイパースレッディングに深刻な脆弱性が報告されるとか、 CPUの高速化技術を悪用したRSA鍵盗聴が可能かとかと似ているように思えてちょっと引っかかります。

暗号の解読や鍵の解析が、「アクセス制御機能」を回避する為のものなら、不正アクセスになると思います。
暗号の解読は、それ自体がアクセス制御機能の回避に当たり、違法行為になると思います。
鍵の解析や盗聴の場合、それによって得た鍵を使って情報にアクセスする事が不正アクセスとなり違法行為と見なされるでしょう。

URLヒストリーの参照との違いは、アクセス制御機能を回避したり、不正にアクセス制御機能を作動させている事です。

>「通常アクセス制限されているもの」に対して穴を開けたら不正アクセスという判断だったと思います

ftpの場合、ftpでアクセスできる情報を、ftpのログインという機能で保護しているという考え方だと思います。
そのftpでアクセスすべき情報を、ftpのログインをせずにアクセスしたから不正アクセスです。

今回の件の場合、OSのログインで保護されてる情報を、OSにログインされてる状態でアクセスしてます。

ACCSの件で、「管理者が意図していない方法かどうか」が問題になったのは、アクセスした情報が「ftpのログイン」というアクセス制御で保護されたものかどうかで争ったからです。
意図された方法だったなら、アクセス管理で保護されているとはいえないので、合法。
意図されていない方法なら、アクセス管理で保護されているので、それを回避したら違法。

URLのヒストリーは、OSのログインで保護されてる事に疑いは無いので「管理者が意図していない方法かどうか」は争点となりません。
ただし、保護されてはいるが、それを回避してないから問題は無いという事です。

> ブラウザーを開かないと他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』なので、
> 他サイトへのアクセス履歴は「アクセス制御がかかっていない情報」ではないですよ。

ひどい。。
他のサイトへのアクセス履歴は『識別符号が「特定電子計算機に入力されるもの」』で、
自由に情報を提供する状態にはなっていないので「アクセス制御がかかっていない情報」ではないですよ。

>それを回避してないから問題は無いという事です。

あれ、そうなんですか？
じゃあどうやって管理者の意図しない方法で保護された情報を取り出したのでしょうか。
回避している･していないの違いはどこにあるのでしょうか？

# 個人的にはそもそも河合を有罪にした方法論には納得してないですけどね

あ、大丈夫です、その点は誤解してないです。
#1441206を呼んでもらえば、同じ解釈をしてると理解してもらえると思います。

>じゃあどうやって管理者の意図しない方法で保護された情報を取り出したのでしょうか。
>回避している･していないの違いはどこにあるのでしょうか？

OSのログインに関してなら、OSにログインせずにアクセスすれば、アクセス制御を回避した事になります。
今回のは、ログインしてあるんだから回避してません。

「管理者の意図しない方法」は、先にも書いたとおり、今回の件では違法性に関連はありません。

ああ、暗号の解読は違いましたか。
そうか「電子計算機にアクセス」の要件を満たさない場合があるのか。

ご指摘ありがとうございます。