法改正の概要:セキュリティ研究に法的保護を
ポルトガルがサイバー犯罪法を改正し、善意のセキュリティ研究者に対する法的セーフハーバーを確立しました。これにより、特定の厳格な条件下において、セキュリティ研究を目的としたハッキング行為が処罰の対象外となります。この変更は、情報セキュリティ専門家ダニエル・カスバート氏によって最初に指摘されたもので、サイバーセキュリティ分野における画期的な進展と見られています。
新条項「公共の利益による非処罰行為」の詳細
改正された法律の「Article 8.o-A」には、「サイバーセキュリティにおける公共の利益による非処罰行為」という新しい条項が設けられました。この条項は、これまで違法なシステムアクセスや違法なデータ傍受と見なされてきた行為に対して、法的免除を提供します。この免除は、セキュリティ研究者が脆弱性を特定し、サイバーセキュリティの向上に貢献することを唯一の目的とする場合にのみ適用されます。
免責が適用される厳格な条件
セキュリティ研究者が刑事責任を免れるためには、以下の厳しい条件を全て満たす必要があります。
- 研究は、研究者自身が作成したものではない脆弱性を特定し、開示を通じてサイバーセキュリティを向上させることを唯一の目的とする。
- 研究者は、通常の専門的報酬を超えるいかなる経済的利益も求めたり受け取ったりしてはならない。
- 研究者は、脆弱性を発見した場合、直ちにシステム所有者、関連データ管理者、およびCNCS(ポルトガル国家サイバーセキュリティセンター)に報告しなければならない。
- 行為は脆弱性検出に必要な範囲に厳しく限定され、サービスの妨害、データの改ざん・削除、その他の危害を引き起こしてはならない。
- GDPR(一般データ保護規則)に違反する個人データの不法な処理を伴ってはならない。
- DoS/DDoS攻撃、ソーシャルエンジニアリング、フィッシング、パスワード窃盗、意図的なデータ改ざん、システム損傷、マルウェア展開などの禁止技術を使用してはならない。
- 研究中に取得されたデータは機密を保持し、脆弱性修正後10日以内に削除しなければならない。
また、システム所有者の同意を得て行われた行為も処罰の対象外となりますが、発見された脆弱性は依然としてCNCSに報告する必要があります。この新条項は、セキュリティ研究の範囲を明確に定義しつつ、善意のハッカーに法的保護を提供するものです。
国際的な動向と今後の影響
同様の動きは他の国々でも見られます。2024年11月には、ドイツ連邦司法省がセキュリティ研究者を保護するための法案を導入しました。さらに、2022年5月には、米国司法省(DOJ)がコンピュータ詐欺および乱用防止法(CFAA)の連邦起訴方針を改定し、「善意の」研究に対する免責を追加しています。これらの法的枠組みは、セキュリティ研究が単に認識されるだけでなく、法的リスクを恐れることなくシステムを積極的に調査し、脆弱性を発見して報告するための安全な場を提供することで、サイバーセキュリティ全体の強化に寄与すると期待されます。