Okumura's Blog

回答案1：パスワードが流出した
　【理由】匿名情報だし、掲示板の記載者がどのように書こうとも、捜査機関が裁判での証拠となる理由でもないかぎり本当とは考えられない。

回答案２：これまでの裁判事例から言うと、掲示板に公表した人物。ただし、その情報を見てアクセスした人物はすべて違反者となるでしょう。たとえその情報が本物かどうかを調べてから学校や関係当局に連絡したとしても、アクセスできた時点で「不正アクセス禁止法違反」。

回答案３：学校は注意義務を払ったと思われるので、「特段の落ち度」があるとは思えない。
　ただし、パスワードの連絡方法に落ち度があったのであれば別。なお、パスワードが難しければよいとも思えない。「交流相手の子どもたちが自分の操作で顔写真をみてお手紙を書く」といった授業も想定される。この場合パスワードが難しければ操作できない。じゃ、「印刷すればいいじゃないか」という案もありそうだが、そっちのほうが個人情報の漏洩として糾弾されそう。

ＨＰ閲覧　パスワード流出　半田の小学校（読売）：「パスワードを知れば誰でも接続できる状態だった。」？？それって落ち度じゃないよね。

落語弟子さん，ご回答ありがとうございます。それでたぶん満点と思います。

読売新聞の記事ですが、自己矛盾してると思わなかったのかな？

>個人認証番号の確認などはなく、パスワードを知れば誰でも接
>続できる状態だった

パスワード自体が、個人認証番号ではないの？
　「学校のホームページ」の代わりに「キャッシュカード」を主語にするとよくわかるはず。キャッシュカードに個人認証を入れようというのが始まったとこなのに。それに複数の人間がつかう、法人口座のキャッシュカードに個人認証データ（指紋とか）いれないといけなくなったら、うちはたいへんだ。
　相手が固定IPアドレスを持っていなかったらIPアドレスや、それの逆引きによるアクセス認証も難しいだろうし（たとえ何たらed.jpだったとしても、センター方式のNATだと、他の学校からのアクセスができてしまう）。

もしかして，読売新聞のいう個人認証番号とはIDのことで，そのページにはIDの入力欄がなく，パスワードの入力欄だけであったということなんでしょうか。

＞個人認証番号とはIDのことで，そのページにはIDの入力欄が
＞なく，パスワードの入力欄だけ

BASIC認証ならIDとパスワードだし。
他の認証システムだったのかなぁ？
他の学校のページを見てるとホームページビルダーで作成されてるみたいだから、XOOPSみたいなCMSで全校一括管理しているわけでもなさそうだし。
　「IDなしのパスワードだけ」より、逆に「パスワードなしの9桁のID」ならわかるけど。あ、昔のY社のRTxxxiだと、どんなID入れてもパスワードが合っていればログインできたかも。

IDが0桁でパスワードが9桁でも，その逆でも，あるいはIDが4桁でパスワードが5桁でも，強さは同じですよね。

でもIDなしのパスワードの場合，複数の人のうち誰がアクセスしたか，誰が漏らしたかがわからないので，不正アクセス禁止法でいう識別符号に当たらないのかもしれません。高木浩光＠自宅の日記 - Winnyの可視化と無断リンク禁止厨の共通関係に見る問題の本質に引用されている逐条解説に「識別符号であるためには、複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要となる」とあるのに気づきました。

でもWebでBasic認証とかDigest認証とかする場合，複数の仲間にメール等で「例のものはここに置きました。ユーザ名hoge，パスワードgehoで入ってください」などとよく連絡しますが，こういうのは識別符号でないから破って入っても不正アクセスにならない，というのも変ですね。

「同じＩＤとパスワードを全員で使い回ししている場合などは、たとえ外部から不正にアクセスされたとしても不正アクセス禁止法で罰することができない場合があります。」（セキュリティ対策(管理者向け)（警視庁）。できる場合もあるのかがあいまいですが。

学校現場では学校ごとにIDとパスワードが配布されていても，各学校では何人もがIDとパスワードを知っていて運用がむちゃくちゃになっている場合が多いのですが，そんな場合はどうなるのでしょうね。

やっぱり学校の責任でしょうね。詳しい方教えてください。