佐賀県の教育情報システムから教師や生徒の個人情報が洩れるという事件が明らかになりました。１７歳の少年が積極的に不正アクセスを行ったという点で話題となっていますが、徐々にその手口が明らかとなっています。

佐賀県では全国に先駆けて、２０１３年から学校教育ネットワークの整備を進め、教育情報システム「ＳＥＩ－ＮＥＴ」として、教員、学生、保護者の個人情報を管理するだけでなく、その翌年からはタブレット端末を利用して、教材を配信し、それを利用した授業、学習を行っています。学生が自分の成績をネットワークを介して見ることもできるのです。

２０１５年の４月頃から、１７歳の少年が不正アクセスを行い、学生の成績を含む、個人情報２１万ファイル、県内の９つの中学、高等学校のほとんどの教員、学生の個人情報を漏えいさせたのです。この２１万件というのは、日本の学校関係機関では最多です。１７歳の少年が容易に不正アクセス可能であったということ、その不正アクセスの兆候をしりながらも、１年以上にわたり、根本的な解決のための処置を行わなわなかったことが大きな問題なのです。

犯行に至った、この１７歳の少年とその行為に関しては大きな誤解が二つあります。一つは１７歳の少年がたぐい稀なる卓越した技術を有し、まるで天才扱いされているということです。筆者がサイバーセキュリティ関係の講演を行った際にも、会場から躊躇することなく、彼を称賛し、その将来性に期待する意見がありました。しかし、この１７歳の少年が卓越した技術を有しているか否か、あるいはサイバーセキュリティ方面の才能が豊かであるか否かは現在公開されている情報だけからは判断できないのです。彼がこの事件以前にも、有料テレビ放送を視聴するためのプログラムの開発に関わったという点を考慮しても才能豊かとは断定できないのです。逆に佐賀県教育委員会での教育情報システム自体の、およびその運用における杜撰さが明らかになり、大した知識や技術を有することなく不正アクセスが可能な状態であったことが判明しました。極端には小学生、中学生ですら、意欲があれば十分不正アクセスが可能なのです。現在では、雑誌やネットで不正アクセスを行うための情報は数多く、情報だけでなく、実際に扱えるツール（プログラム）がいつでも動かせるように準備されているのです。これは現実社会でいえば、ナイフどころではなく、自動小銃や戦車、戦闘機がいつでも自由に使える状況に対応すると言っても過言ではないのです。携帯電話やパソコン、ゲームといったデジタル機器に生まれながらにして囲まれて育った彼らにとって、それを使いこなうことには、さほど造作ないことなのです。

もう一つの誤解は不正アクセスはいたずらなどではなく、極めて重い罪となる犯罪であるということです。サイバー社会におけるテロにつながる犯罪なのです。テロとは主として政治的目的を達成するために、破壊行為、暴力等で社会不安を引き起こすことです。政治的目的の有無はともかく、サイバー社会の不安を煽る行為につながるのです。実際、今回の情報漏えいでは個人、特に多感な高校生の、それも彼らにとっては最も重要と考えられる成績が漏れており、それがどれだけの範囲で漏れたか、あるいは今後どれだけの範囲に漏れてしまうのか判断できないという大きな不安を抱えることになるのです。これはまさにテロといってよいでしょう。

簡単に自分のパスワードを友人に教えたり、他人のパスワードを使うことは決して行ってはならないのです。前世紀末の１９９９年に定められた不正アクセス行為の禁止等に関する法律、いわゆる不正アクセス禁止法では、悪意を持って他人のパスワードを盗む、つまり知っただけで、１年以下の懲役、５０万円以下の罰金なのです。他人のファイルを覗いたり、他人に成りすましてメールを送ったりしようものなら、不正アクセスの罪が成立し、３年以下の懲役、１００万円以下の罰金と決して軽くない刑罰が科されるのです。

国防総省へ侵入した米国の高校生に対して、国防長官が表彰するという事実を対比させ、この１７歳の少年の不正アクセスを評価する記事が見受けられるます。前者はあらかじめ用意されたハッキング技術の優劣を審査するコンテストであることに対して、後者は犯罪行為なのです。もし仮にこの１７歳が卓越した技術や才能を有していたとしても決して称賛には値しないのです。

１７歳の少年およびそれに加担した同年代の高校生たちの犯罪は犯罪として、裁かれなければならず、その罪と罰を課されることなく、称賛や期待を集めることは決してあってはならないのです。もちろん、罪を償い、悔い改めることとなり、社会全体が正しい認識の上で、その更生が認められれば、今後の社会貢献への期待に何ら異議を唱えるものではありません。