ポルトガルは、自国のサイバーセキュリティ法の下で研究者を保護するための規定を設けた最新の国となった。
この動きにより、英国への圧力は高まっている。というのも、先週、政府閣僚が、35年前に制定されたコンピュータ不正使用法(Computer Misuse Act)が、サイバーセキュリティ専門家を起訴から守るために改正される必要があると認めたからだ。
安全保障担当大臣のダン・ジャーヴィス氏はフィナンシャル・タイムズ主催の会議で、政府は「批判を聞き入れており」、一定のセーフガードを満たす場合に、研究者が脆弱性を発見し共有できるようにする「法定の抗弁」を設けることを検討していると述べた。
ここに至るまで数十年かかった。1990年コンピュータ不正使用法(CMA)は、ITジャーナリストのスティーブ・ゴールド氏とハッカー仲間のロバート・シフリーン氏が、エディンバラ公のBT Prestelメールアカウントにアクセスしたとして告発されたことを受けて制定された。
ゴールド氏とシフリーン氏は、偽造および通貨偽造関連法で起訴されたが、控訴審で無罪となった。政府はこれを受けてCMAを制定したが、それは現代のサイバーセキュリティ研究、電子商取引、サイバー犯罪、脆弱性報告、さらには The Register すら存在する前の1990年のことだった。
ポルトガルの改正は、CMAの硬直性を示すものとして、2005年10月にCMAの下で自身も有罪判決を受けたダニエル・カスバート氏によって注目された。
2004年12月、彼はボクシング・デー津波の被災者支援のための募金サイトに寄付を行った。しかし、サンクスページや確認ページが表示されなかったため、カスバート氏は詐欺サイトではないことを確認するために2つのテストを行い、その結果「侵入者検知システム(Intruder Detection System)」が作動した。
治安判事は、「かなりの遺憾の念をもって」ではあるが、有罪が立証されたと述べた。
金曜日、カスバート氏はTwitter X上でポルトガルの措置について説明し、「厳密に範囲が限定されており」、セキュリティ行為は「厳格に比例的」であることが求められると述べた。彼はこれを「前向きな改正であり、他国も注目し、我々セキュリティ研究者がバグを発見し報告できる安全な避難港を提供してくれることを願う……いい仕事だ」と評した。
ポルトガルの法文をGoogle翻訳にかけると、「エージェント(行為者)が脆弱性の存在を特定することのみを意図して行動し」、セキュリティ向上のためにそれを開示する場合には、その行為は「サイバーセキュリティに対する公益のために処罰されない」とされていることがわかる。
同様に、研究者は「経済的利益を得ることを目的として」行動してはならないが、「その職業活動に対する対価として得る報酬を妨げるものではない」とされている。
脆弱性は速やかに通知されなければならず、その作業は業務を妨害したりデータを損傷したりしてはならない。
サービス妨害(DoS)、ソーシャルエンジニアリング、フィッシングなどを含むさまざまな手法は依然として禁止されている。一方、システム所有者の同意を得て行われた行為にはゴーサインが出される。
ベルギー拠点のバグバウンティプラットフォームIntigritiのCOOであるエド・パーソンズ氏は、CMA改正の必要性は20年前から差し迫っており、今ではなおさらだと述べた。
「2016年、当時の英国政府は、英国をオンラインで生活しビジネスを行ううえで世界で最も安全な場所にすることを約束しました。そうしたことを言い続けながら、10年後になってもなお、自らの手を後ろ手に縛ったままそれを達成しようとしているわけにはいきません。」
サイバー政策グループCSBRのCEOであるジェームズ・モリス氏は、歴代の英国政府は法改正に腰が重かったと述べた。
「現在議会で審議が始まったサイバーセキュリティ・レジリエンス法案と同様に、英国は、サイバーセキュリティとレジリエンスを強化するために必要な重要な国家的取り組みを支えられるよう、関連するすべての法制度を早急にアップデートする必要があります。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/09/uk_computer_misuse_act/
