2019年1月1日に改正された著作権法によって、サイバーセキュリティ確保などを目的としたリバースエンジニアリングが可能になりました。今回の法改正は、リバースエンジニアリング実施の自由を手に入れたのと同時に、責任やリスクも内包します。今回は、このリスクについて取り上げます。
※本記事は、2019年3月14日に公開された記事を一部再編集しております。
リバースエンジニアリングとは
ソフトウェアやハードウェア製品の構造を分析し、動作やソースコード、製造方法や構成部品などを明らかにする行為がリバースエンジニアリングです。既に製品化(エンジニアリング)されたものから、仕様書やソースコードなどを起こし直す(リバース)と表現した方がわかりやすいかもしれません。
従来、リバースエンジニアリングは明示的には禁止されていなかったもの、著作権法の保護対象でもあったためグレーゾーンでした。そのため、ほとんどの場合、製品購入時に添付されている利用規約にはこのリバースエンジニアリングを禁止する規定が記載されていました。製品を分析することで特許技術や敢えて特許として公開していない独自技術を知られないためです。そのため製品を利用する際にリバースエンジニアリングの禁止事項に対して、同意して貰う必要があり、言い方を変えれば、リバースエンジニアリングしたい場合には開発元へ申し出た上で、合意を取り付ける必要がありました。
リバースエンジニアリングを実施する側のリスクと責任
著作権法改正に従い、著作権者である製品製造者は利用規約に記載したリバースエンジニアリングを禁止する規定に制限が加わりました。
セキュリティエンジニアを中心にリバースエンジニアリングを実施して技術力を磨いたり、実施した内容を基に脆弱性を効果的に見つける手法などを研究したり、その成果を公開したいと考えていた方々にとっては、これまで合法か非合法か判断し難い状況であったものが、サイバーセキュリティ確保などを目的とした行為であれば合法と明確化されたことで、非常に実施しやすい状況になったといえます。
しかし、公開の仕方を間違えば、訴訟リスクを抱えることになりますし、大々的に訴訟を提起されるとエンジニアとしての活動に非常に大きな制約を受けることになりかねません。特に製造者側が脆弱性情報の届出対応に不慣れな場合、脅迫行為と受け取られて訴訟を起こされる可能性があるため慎重に手続きを進める必要があります。
それほど合法化によって手に入れたリバースエンジニアリング実施の自由に伴う責任は重いといえます。
では、責任を担保する方法は個々人が個別に考えないといけないのかというと、そうではありません。
2004年の経済産業省の告示に基づいて「情報セキュリティ早期警戒パートナーシップガイドライン」が策定され、脆弱性情報の届出を受ける制度ができあがっています。
リバースエンジニアリングによって脆弱性を発見した場合は、下記の独立行政法人情報処理推進機構のサイトから脆弱性情報を届け出ることで、発見者のプライバシーは保護された上で、製造元とのやり取りを仲介して貰えます。
(脆弱性関連情報の届出受付:IPA 独立行政法人情報処理推進機構)
リバースエンジニアリングの一部合法化が実施された背景としては、多種多様な脆弱性が日々発見され、修正前に攻撃者が先に発見して攻撃に利用している状況を緩和したいという想いがあり、それを受け入れる制度も整っていたという状況があります。
リバースエンジニアリングを実施される側のリスク
グレーゾーンがなくなったことで、リバースエンジニアリングを受ける側にはどんなリスクがあるのでしょうか。それは一言でいうと、法律を正しく理解しない人達によってバグや脆弱性を適切な手続きなしに公開されることで生じる、営業活動へ影響を及ぼすリスクです。
改正著作権法では、「権利者の利益を害しないと考えられる行為」の類型としてリバースエンジニアリングを特定目的下で許容=合法化する内容となっています。そのため、営業活動へ影響をきたすような妨害行為としてリバースエンジニアリングを行って得た結果を公開すると「権利者の利益を害した」と解釈可能になり、民事訴訟が提起可能になる可能性が高くなります。
ソフトウェアであれば無償版を公開しているとリバースエンジニアリングの対象となり得ますし、ハードウェアであってもファームウェアなどを公開している場合は、それらがリバースエンジニアリングの対象となることは全面的に禁止できなくなります。
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
