セキュリティの脆弱性を見つけて報告したい。しかし、訴訟が怖くて踏み出せない。そんな研究者は少なくありません。実際、善意の報告者が法的に攻撃される事例は世界中で増えています。そこで、この記事では脆弱性開示のリーガルリスクを整理し、訴訟を恐れない運用設計を提案します。
脆弱性開示リーガルリスクの実態
まず、リーガルリスクの全体像を把握しましょう。脆弱性を発見して報告する行為は、多くの国で法的なグレーゾーンにあります。たとえば、米国のCFAAでは違反に最大1億ドルの罰金が設定されています。また、日本の不正アクセス禁止法でも、無許可の調査はリスクを伴います。さらに、EU各国でも保護は不十分です。実際、2026年のOxford Academic論文は「断片的で不十分な保護」と批判しています。
しかし、法律は少しずつ研究者保護の方向に動いています。具体的には、2021年の米最高裁Van Buren判決がCFAAの範囲を限定しました。この判決は6対3で、利用規約違反だけでは処罰されないと明確にしました。さらに、2022年にDOJが善意の研究への起訴猶予方針を発表しました。ただし、これは行政方針であり法律ではありません。そのため、政権交代で撤回されるリスクがあります。また、民事訴訟には適用されません。
特に注目すべきは最近の訴訟事例です。2024年、コロンバス市がランサムウェア被害の深刻さを指摘した研究者を訴えました。研究者は市に何度も連絡しましたが無視されました。そこで、メディアにデータのサンプルを提供しました。ところが、市は25,000ドル以上の損害賠償を求めたのです。
また、ポーランドのNewag社は列車ソフトの不正を発見したDragon Sectorに約170万ドルの賠償を求めました。具体的には、GPSで競合施設を検知すると偽の故障が表示される仕組みでした。しかし、Newag社はソフトの改変は行われていないと認めました。つまり、「調査した」こと自体が訴訟の根拠になったのです。FSFEはこれをSLAPP(恫喝訴訟)と分類しています。
訴訟を恐れない運用設計の3つの柱
では、どうすれば安全に脆弱性を報告できるのでしょうか。ここでは3つの柱を紹介します。
第一の柱は「公的チャネルの活用」です。日本にはIPAの届出制度があります。具体的には、発見者がIPAに報告し、JPCERT/CCがベンダーと調整します。このガイドラインは2024年に約5年ぶりに改訂されました。したがって、直接ベンダーに連絡するよりも安全です。実際、この枠組みを使うことで法的な保護を受けやすくなります。なお、IPA経由なら第三者への情報漏洩も防げます。
第二の柱は「事前確認と記録」です。まず、対象組織のVDP(脆弱性開示ポリシー)を探しましょう。VDPがあれば、セーフハーバー条項の有無を確認します。さらに、調査の全過程を記録することが重要です。なぜなら、善意の立証には詳細な証拠が必要だからです。また、必要最小限のデータだけにアクセスする原則も守りましょう。加えて、タイムスタンプ付きのスクリーンショットを保存すると有効です。
第三の柱は「コミュニティとの連携」です。たとえば、disclose.ioはセーフハーバーの標準文言を提供しています。また、同プロジェクトはResearch Threatsデータベースも運営しています。具体的には、研究者への法的脅迫事例を体系的に収集しています。さらに、2025年7月にはGoogle Project Zeroが新方針を発表しました。特に、脆弱性の基本情報をベンダー通知後7日で公開する透明性試行です。このように、コミュニティの知見を活用することでリスク判断の精度が上がります。
NDAの問題と透明性の確保
2025年11月、Bruce Schneier氏が重要な問題を指摘しました。具体的には、バグバウンティプログラムのNDAが研究者の発言を封じている点です。研究者は発見内容を永久に共有できない場合があります。また、他の研究者と情報を照合することもできません。むしろ、これは2000年代初頭の責任ある開示運動の精神に反します。
バグバウンティ市場は2025年に17.6億ドル規模です。さらに、2033年には57億ドルに達すると予測されています。しかし、市場拡大と同時に透明性も確保すべきです。だからこそ、Schneier氏はNDAの禁止を提案しています。
組織側の脆弱性開示リーガルリスク対策
組織側も適切な体制を整える必要があります。まず、VDPの策定と公開から始めましょう。特に、対象範囲、対応期限、セーフハーバー条項の3要素が不可欠です。
しかし、IoT業界の現状は厳しいものがあります。2025年時点で、IoTメーカーの59.47%が研究者の連絡手段すら持っていません。つまり、報告したくても報告先がない状態です。そのため、まずsecurity@のメールアドレスを設置することが第一歩です。次に、PwC Japanが公開しているVDP整備ガイダンスも参考にしましょう。
さらに、EUのサイバーレジリエンス法(CRA)にも対応が必要です。製造者に24時間以内の初期通知が義務化されます。加えて、72時間以内のフォローアップと14日以内の最終報告も求められます。この義務は2026年9月から適用されます。したがって、EU市場に製品を出す企業は早めの準備が必要です。
日本の法制度と今後の展望
日本では2025年5月にサイバー対処能力強化法が成立しました。NCOが7月に設立され、約257社が重要インフラに指定されています。しかし、研究者向けのセーフハーバー条項は含まれていません。そのため、防御目的の調査でも法的リスクが残ります。
一方、Coinhive事件の最高裁判決は研究者にとって希望です。2022年1月の無罪確定は、「反意図性」と「不正性」を分離しました。つまり、技術者の正当な活動を保護する判例となりました。特に、不正指令電磁的記録罪の拡大解釈に歯止めをかけた意義は大きいです。
また、2026年1月からは善意のセキュリティ研究のセーフハーバーがAIシステムにも拡張されています。具体的には、AI安全性研究も保護の対象に含まれるようになりました。このように、少しずつ保護の範囲は広がっています。
まとめ
脆弱性開示のリーガルリスクはゼロにはなりません。しかし、公的チャネルの活用、事前確認と記録、コミュニティ連携の3本柱で大幅に軽減できます。また、組織側はVDPを整備し、セーフハーバーを明示すべきです。さらに、NDAの問題にも業界全体で取り組む必要があります。このように、報告者と組織が協力することで安全なエコシステムを構築できます。だからこそ、双方が最新の法制度を把握し続けることが重要です。