ポルトガル、セキュリティ研究者を保護するためサイバー犯罪法を改正

「サイバーセキュリティに対する公共の利益により処罰されない行為」と題されたこの改正は、脆弱性の特定やサイバーセキュリティへの貢献に資することを条件として、従来の法律の下では違法とみなされていた行為に対する法的な例外を設けるものです。

この免責制度の適用を受けるためには、セキュリティ研究者は以下の条件を満たさなければなりません。

• 経済的な利益を得る目的で行動してはならない
• 適用されるデータ保護法の下で保護されている個人データを侵害してはならない
• 脆弱性調査の目的を達成するために、サービス拒否（DoS）攻撃、ソーシャルエンジニアリング手法、フィッシング、データ窃取またはデータ改ざんを用いてはならない
• その行為は、目的に照らして比例的であり、かつ厳格にその目的に限定されていなければならない
• その行為は、システムまたはサービスの障害や中断、コンピュータデータの削除・劣化・不正コピー、あるいは影響を受ける人々や組織に対する有害・損害・不利益な影響を引き起こしてはならない

さらに、この改正は、セキュリティ研究者が発見事項を、影響を受けたシステムまたは製品の所有者もしくは指定管理者と、データ保護当局の双方に報告しなければならない一方で、プロセス全体を通じてこれら二者以外には当該データを秘密に保持することを求めています。

セキュリティ研究者はまた、脆弱性が修正されてから10日以内に、これらのデータを削除しなければなりません。

英国、倫理的ハッカーのための法定抗弁導入を検討

近年、ドイツと米国はともに、脆弱性を責任ある形で報告するセキュリティ研究者を法的責任から保護するため、同様の措置を講じています。

2024年11月、ドイツ連邦法務省は、善意でベンダーに欠陥を開示する研究者に法的保護を提供する法案を提出しました。

2022年5月には、米国司法省（DoJ）がコンピュータ不正利用防止法（CFAA）に基づく起訴方針を改定し、「善意」のセキュリティ研究に対する明確な免除規定を設けました。

さらに最近では、英国の安全保障担当大臣が、倫理的なセキュリティ研究行為に対して同様の免除を追加するため、同国のコンピュータ不正使用法を改正する意向を表明しました。

12月3日に開催されたフィナンシャル・タイムズ主催「Cyber Resilience Summit: Europe」で、英国安全保障担当大臣ダン・ジャーヴィス氏は、政府は「コンピュータ不正使用法に対する批判と、それが多くのサイバーセキュリティ専門家に対し、自らが実施できる活動を制約していると感じさせていることを認識している」と述べました。

「これらの研究者は、英国のシステムのレジリエンスを高め、未知の脆弱性からそれらを守るうえで重要な役割を果たしています。私たちは、こうした人々を締め出すべきではありません。彼らとその活動を歓迎すべきなのです」と同氏は説明しました。

英国政府は、コンピュータ不正使用法の今後の改正において、法定抗弁を新たに盛り込むことを検討しています。

この新たな制度は、「一定のセーフガードを満たす限り、セキュリティ研究者を起訴から保護する」ものになると、ジャーヴィス氏は付け加えました。