先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。

最初のNHKニュースが素人の偏向報道だというのは、以下の点がである。

サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。しかし、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。 （略） それによりますと、調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。 （略） 一方、調査では予想されるIDとパスワードを実際に入力して機器に侵入する計画で、本来は不正アクセス禁止法で禁じられている行為だけに専門家からは懸念の声もあがっています。 （略） 今回の調査は、実質的に不正アクセスと変わらない行為を行うことから、国は去年５月、情報通信研究機構の業務を定める法律を改正し、5年間に限って行うとしています。 改正された法律は去年11月に施行され、他人のIoT機器にIDとパスワードを入力するという不正アクセス禁止法で禁じられた行為について、今回の調査に限る形で認めています。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日

「懸念の声もあがっています。」というのが、いったい誰が言っている話なのか明らかにされていないが、「実質的に不正アクセスと変わらない行為」「本来は不正アクセス禁止法で禁じられている行為」と繰り返し書かれているのは、不正アクセス禁止法の基礎を理解していない。

工場出荷時の「ID:admin Password: admin」といった初期設定のままになっているID・パスワードは、不正アクセス禁止法の「識別符号」（2条2項）に当たらず、そのようなIoT機器は「アクセス制御機能」（2条3項）による利用の制限があるとは言えないのであり、このことが理解されていない。私にひとこと確認の電話があったなら、そう説明していただろう。

「侵入」という表現（「中に入る」の意）もよろしくない。不正アクセス禁止法が禁止している行為を住居侵入に喩える素朴な感想が昔から後を絶たないが、これらは同一視できるものではない。なぜなら、住居侵入罪における囲繞地とは違って、どこからが入ってはいけない領域なのかの区分け（そもそもどこからが「入った」と言えるのか）が、インターネットに接続された機器においては（アクセス制御機能に着目しない限り）明確にすることが困難 だからである。アクセス制御機能によってその区分けをするしかなかったのであるから、アクセス制御機能がない機器は区分けしようがない（「侵入」の概念が成り立ち得ない）のである。

不正アクセス禁止法が制定される（1999年制定）までの経緯を辿ると、この法の趣旨が理解できる。

1980年代から、日本でも、コンピュータネットワーク（電話接続を含む）が普及したことで、遠隔操作によるコンピュータの不正使用が発生し、問題となった。1980年に、岡山大学計算機センターのコンピュータが電話回線経由でID・パスワードを破られて無断使用された事件があったが、どの犯罪類型にも該当しないとして立件されなかった。刑法は「利益窃盗」を不可罰としている からである。こうした事態を受けて「コンピュータ無権限使用」に刑事罰を科すべきではないかとの議論が活発となった。当時の感覚においてそれ自体は犯罪ではなかったのである 。しかし、「無権限」をどう画定するかが難しく、結局は、アクセス制御機能（ID・パスワード）による制限を乗り越えたら違法とするアイデアが実を結び、不正アクセス禁止法の制定へと展開して行った。

つまり、不正アクセス罪は「人工的な」犯罪類型なのである 。このことは、不正アクセス禁止法の立案担当者らによる逐条解説書においても、次のように説明されている。

不正アクセス行為の禁止、処罰の法形式について 特定の行為を処罰することとする場合、その法形式としては、「〇〇した者は、〇年以下の懲役又は〇万円以下の罰金に処する」というように特定の行為をしたものを処罰する旨規定するものと、特定の行為について一定の作為又は不作為の義務を課した上でその義務に違反した者又は義務に違反して一定の行為をした者に対して一定の刑を科す旨規定するものとがある。別の言い方をすれば、犯罪の構成要件を表示する方法として、両者の方法があることになる。前者は、刑法第二篇に定められているいわゆる刑法犯がその典型であり、その他、火炎びんの処罰等に関する法律、航空機の強奪等の処罰に関する法律等の処罰法令にみられるところである。後者は、一般の行政法規に通常みられる形態である（注二）。 両者の区分については、現行法上必ずしも明らかであるとは言い難いが、前者はいわゆる自然犯（刑事犯）を、後者はいわゆる法定犯（行政犯）を表すといわれている。これは、いわゆる自然犯は行為それ自体が法令で定めるまでもなく社会的に悪とされる行為であり、法令においては、特にその行為をしないように命ずるまでもなく、その行為を処罰する規定を設ければ足りるものであり、他方、法定犯は行為それ自体の当罰性は法令の規定による義務履行違反に求められるため、法令においては、義務を課す規定と義務違反を処罰する規定とを設けることが必要であるとの理解に基づくものであると考えられる。 このように解する場合、不正アクセス行為については、処罰することとすることが適当な行為であると認めらるにしても（略）、前法律的に反規範性を有する行為であるとまではいえないと考えられる。そこで、本法においては、不正アクセス行為の処罰については、犯罪の防止及び電気通信の維持 という本法の目的を達成するために、本条第一項において「何人も、不正アクセス行為をしてはならない」との規定を置いた上で、第八条で同項の規定に違反した者を処罰する旨の規定を置くこととし、不正アクセス罪が法定犯（行政犯）であることを明らかにしたところである。 不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」（立花書房, 2001年10月）68頁

このように、不正アクセス行為は、行政的に禁止されているルールにすぎず、「前法律的に反規範性を有する行為であるとまではいえない」ものなのである。この法律の題名が「〇〇禁止法」となっている（「防止法」と呼び間違えられることが多いが）ことがそのことを端的に表している。

ところが、不正アクセス禁止法が運用されて20年近くが経ち、人々の間に「コンピュータの無権限使用は不正アクセス犯罪だ」との誤解が生じているように思われる。しかし、現在も、コンピュータの無権限使用自体は不可罰であり、そことは、この解説書でも以下のように説明されている。

1987（昭和62）年、コンピュータの普及に伴い、電子情報処理組織をめぐる不正行為が次第に増加しつつあったことから、この種の不正行為に対応するため、差し当たって立法的手当を要すると思われる諸点について、刑法に所用の処罰規定が新設された。その刑法の一部改正に際し、法制審議会では、�‥甜�的記録の改ざん（略）、��電子情報処理組織に対する加害を手段とする業務妨害行為（略）、�Ｅ纏匏彁撒，砲茲訃霾鷭萢�によって、取引の決済、資金移動等が行われるシステムを利用した財産利得行為（略）、�づ纏匸霾鷭萢�組織により処理及び保存される情報の不正入手又は漏示を処罰の対象とする規定を設ける必要はないか、��権限なく他人の電子情報処理組織を利用する行為を処罰の対象とする規定を設ける必要はないかの5つの問題を中心に審議が行われた経緯がある。 この5つの問題のうち、前三者については、従来の刑法の諸規定により（中略）ことから、緊急に刑法の一部改正により罰則を整備する必要があるとされた。 これに対し、後二者のうち、情報の不正入手及び漏示の問題に関しては、（中略）更に諸般の角度から検討を重ねる必要のある多くの問題が存するとして、また、いわゆるコンピュータの無権限使用に対する罰則の要否に関しては、刑法が、財物の占有移転や人に対する加害を伴わない無権限使用自体を処罰の対象としていないことから、コンピュータ以外の機器、システムの取扱いとの均衡を考慮するとともに、どのような観点から処罰の根拠、違法性の実質をとらえるべきかについて、今後なお諸般の角度から検討を要する事柄であるとして、いずれの問題についても将来の検討課題とすべきものとされた。（注一） これらの趣旨に沿って刑法の一部改正が行われ、情報の不正入手及びコンピュータの無権限使用については、現在もなお処罰の対象とはされていないところである。（注二） ところで、本法の規定により不正アクセス行為が処罰の対象となる結果、不正アクセス行為を手段として行われる情報の不正入手やコンピュータの無権限使用は、それぞれ不正アクセス行為の段階で処罰されることとなる。 しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記の通り、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。 したがって、本法の不正アクセス罪においては、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用することは、成立の要件ではない。また、不正アクセス行為を手段としない情報の不正入手やコンピュータの無権限使用は、本法の処罰の対象に含まれていないところである。 このように、本法における不正アクセス罪の処罰は、法制審議会で問題とされた前記の事柄とは直接の関係を有しないものと言える。 不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」（立花書房, 2001年10月）23頁

したがって、冒頭に引用した弁護士の方のツイートにある「鍵のかかってない家が多いらしいから、国が一軒ずつドアを開けて侵入してみます」云々という批判は当たらない。家に喩えることが失当であるし、「侵入してみる」というような実質も関係しない。問題となり得るのは、あくまでも、人工的に作られたルールに違反しているかどうかだけである。

そして、IoT機器の管理者画面のパスワードが工場出荷時の初期設定のままである場合に、当該パスワードが不正アクセス禁止法の「識別符号」に該当しないというのは、以下の理由からである。

1号「識別符号」は、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」と定義されている（2条2項1号）。IoT機器の管理者画面のパスワードの場合は、管理者も「利用権者等」の一人として自分自身に対して「その内容をみだりに第三者に知らせてはならないものと」している符号ということになる。「アクセス管理者」とは、「電気通信回線に接続している電子計算機（…）の利用（…）につき当該特定電子計算機の動作を管理する者をいう」（2条1項）とされており、IoT機器の場合、その設置者ということになる。

機器の製造者は「アクセス管理者」ではない。工場出荷時の初期パスワードは機器の製造者が付与したものであり、それをそのまま放置している設置者は、その存在をも認識していない とすれば、「アクセス管理者」たり得ず（そもそも「動作を管理」していない）、そのパスワードも「識別符号」に当たらないことになる。

（他方、機器のそれぞれに別々の初期パスワードが工場出荷時に設定されており、機器に貼られたシールなどに記載されている場合は、その初期パスワードが機器の設置者によって変更されていない状態であっても、機器の設置者がそのパスワードを自身の管理者パスワードとして是認していると言え、当該設置者が「アクセス管理者」として付与したものと見做すことができ、この場合は「識別符号」に当たると言えよう。今回はこのようなケースについては話題にしていない。）

次に、設置者がパスワードの存在を認識していて、取扱説明書に「ID: admin Passowrd: admin」と書かれているのを見て、全機共通の工場出荷時の初期パスワードであることを知りながら、あえてそのままでよいと是認している場合には、当該設置者が「アクセス管理者」として付与したパスワードと見做すことができるかもしれないが、「第三者に知らせてはならないものとされている」の要件を満たさず、1号「識別符号」に該当しないか、又は、アクセス制御機能による制限がないということになる。このことは、前掲の逐条解説書において以下のように説明されている。

（略）アクセス管理者や利用権者の符号の管理に絶対や完璧を求め、客観的におよそ第三者が知らないことを要件とすることは現実的でない。そこで、実際に第三者に知られていないことまでは必要とせず、「第三者に知らせてはならないものとされている」ことを要件としているものである。したがって、識別符号又は識別符号の一部であるパスワードがハッカーによりホームページで公開されるなどして第三者に知られてしまっている場合もこれが識別符号であることに変わりがない。ただし、このような状態をアクセス管理者があえて放置している場合には、もはや「アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている」とは言えないと解されることがあり得る。 不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」（立花書房, 2001年10月）44頁

識別符号であるID・パスワードがハッカー（原文まま）によりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない（略）。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用をすることができるようになっている場合には、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。 不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」（立花書房, 2001年10月）61頁

このように、「識別符号」による「アクセス制御機能」というのは、単にログイン機能という技術的な仕掛けの存否によって該当の有無が決まるのではなく、不正アクセス禁止法の趣旨に立ち戻った法的評価によって該当性が決まるのである。

以上のことから、NICTにこの業務を実施させるためにNICT設置法を改正するに際して、本来的には、不正アクセス禁止法の読み替え規定を置く必要はなかったと言うことができる。

「不正アクセス禁止法の読み替え規定」とは、改正NICT法附則8条（業務の特例）7項の「次の表」の2つ目のことである。

7 第2項から第4項までの規定により機構の業務が行われる場合には、次の表の上欄に掲げる規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とする。 不正アクセス行為の禁止等に関する法律第2条第4項第1号 を除く 及び国立研究開発法人情報通信研究機構法（平成11年法律第162号）附則第9条の認可を受けた同条の計画に基づき同法附則第8条第2項第1号に掲げる業務に従事する者がする同条第4項第1号に規定する特定アクセス行為を除く 国立研究開発法人情報通信研究機構法（平成30年5月23日公布（平成30年法律第24号）改正）

この規定は、不正アクセス禁止法が禁止する「不正アクセス行為」（2条4項1号）の定義から、NICTがこの法の規定に従い行う「特定アクセス行為」を除外するというものである。

NHKの報道が「実質的に不正アクセスと変わらない行為を特例的に国が行う」「本来は不正アクセス禁止法で禁じられている行為」と断じたのは、この規定を見て釣られたからだろう。このような規定を入れたばっかりに、悪目立ちしてしまった。この規定を入れずに「元々合法な行為である」で通していれば、NHKがしたような批判はできなかっただろう。

炎上を受けて、総務省はQ&Aを用意し、「このような調査は不正アクセス行為ではないのか」との問いに、「不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。」との回答を用意しているが、これでは鎮火しないだろう。

国によるIoT機器”侵入”調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求める, ITmediaニュース, 2019年2月4日 「国による事実上の不正アクセス行為では」という指摘に対しては、「NICT法の改正により、今回の調査のために行うID・パスワードの入力は不正アクセス行為から除外されている」などと回答している。

ABOUT NOTICE - NOTICEについて, Copyright © 2019 NOTICE SUPPORT CENTER All Rights Reserved. () FAQ よくあるご質問 問4 このような調査は不正アクセス行為ではないのか ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。 NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法※において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。

（※）NICT法附則第８条第７項に規定

なぜなら、批判は、最初のNHKの報道からあるように、「本来的に犯罪である行為を、国が行うものを特例として、犯罪でないことにしてしまうなんて、言語道断だ。法改正したらどんな犯罪も国は許されるというのか。」（NHK報道への世間の反応から要約）というものなのだから、いくら、法改正で合法にしましたと説明したところで、納得してもらえない。

元から合法な行為であることを説明するべきであるし、また、不正アクセス禁止法が、防犯のための行政が決めたルールにすぎないのだから、行政が自ら（防犯のために）ルール変更することも普通のことなのだ（国家による犯罪を犯罪でなくしたわけではない）と、そういう説明が必要なところだろう。

とはいえ、話はそう簡単ではない。元から合法な行為なら、なぜ読み替え規定で上記の「特定アクセス行為」を「不正アクセス行為」の定義から除く必要があったのか。この規定を入れずに済ますことはできなかったのか。

実は確かにここに難しいところがある。上記のように、既知の工場出荷時共通初期パスワードだけを試すのであれば、元より合法と言えるとしても、この調査は何百万ものIPアドレスに対して機械的に行うのだから、アクセス先の機器がどこの製品なのかわからないうちにパスワードを試すことになるだろう。そうすると、Aという製品の工場出荷時共通初期パスワードとして知られている「admin」を試してみたところ、実際にはアクセス先の機器はAとは別のBという製品であり、その製品の初期パスワードは「admin」ではないが、設置者がアクセス管理をしていて、たまたまパスワードを「admin」に設定していたという場合があったとすると、上記の理屈で「不正アクセスではない」とは言い難い面が出てきてしまう。もっとも、「admin」などというパスワードは、前記の「アクセス管理者があえて放置している場合」に当たるとも言えなくもないが、ならば、製品Cの既知の工場出荷時共通初期パスワードが「xn283r72」である場合に、それを試して回る際に、別の製品Dの管理者パスワードとしてたまたま「xn283r72」を設定している管理者（製品Cのことを知らず）が居ないとも限らないじゃないか、などということが言えてしまう。

そのようなほとんど起き得ないことが起きてしまうのは「故意がない」とする整理も可能かもしれないが、さすがに、国の機関が実施するとなると、そのような整理では心許ないということになるだろう。ごく稀にしか起きそうにないことが起きる事態に備えて、結局は、不正アクセス行為から除外しておく規定は必要ということになる。

つまり、この読み替え規定は、念のために置かれた程度のものであって、不正アクセス禁止法の性質を本質的に変更するものではないと言うべきであり、NHKはそれを理解するべきであった。

以上、このように…………いや、そんなふうに考えていた時期が私にもありました。実はまだまだ話はそんな単純ではないのである。

今回の騒動をきっかけに、初めてちゃんと改正NICT法を読んでみた ところ、「特定アクセス行為」の定義に、こんな要件が混じり込んでいたことを知った。

一 特定アクセス行為 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先とする電気通信の送信を行う行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号（当該識別符号について電気通信事業法第52条第1項又は第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。）を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。 国立研究開発法人情報通信研究機構法（平成30年5月23日公布（平成30年法律第24号）改正）

この強調部分は、「特定アクセス行為」で入力するパスワードがどういうものかを限定しているのだが、工場出荷時共通初期パスワードが規定されているかと思いきや、そうではなく、「不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る」というのである。つまり、十分に強くないパスワードは全部対象だと言うのである。しかもその基準が、電気通信事業法52条（端末設備の接続の技術基準）に倣うというのであるから、もはや、当初目的 と何の関係もない話になってしまっている。これは立法ミスではないのか。

その「総務省令で定める基準」がどうなったかを確認したところ、以下のように規定されていた。

（識別符号の基準）

第1条 国立研究開発法人情報通信研究機構法（平成11年法律第162号。以下「法」という。）附則第8条第4項第1号に規定する総務省令で定める識別符号の基準は、暗証符号を設定するものである場合、次の各号のいずれにも該当することとする。 一 字数8以上であること。 二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。 国立研究開発法人情報通信研究機構法附則第8条第4項第1号に規定する総務省令で定める基準及び第9条に規定する業務の実施に関する計画に関する省令

これは「満たさないものに限る」の基準であるから、NICTが入力するパスワードは、この否定、すなわち、「字数8未満であるか、又は、『これまで…サイバー攻撃のために用いられたもの……その他の容易に推測されるもの』」ということになる。「いずれにも該当」の否定は「いずれかに非該当」である点に注意したい 。つまり、字数7以下のパスワードは全て対象！なのである。おいおいマジなのか！？

オンライン認証用のパスワードの場合 、ランダム生成の文字列（英大小文字数字記号からなる）であれば、7文字でも十分な強度があると言える。それなのに、この省令は、7文字のパスワードはどんな内容であっても「不正アクセス行為から防御するため必要な基準」を満たさないとし、アタックするぞと言っているのである。

これではさすがに国民が反発するであろう。まさに前掲の批判の声にあった「国が一軒ずつドアを開けて侵入してみます」の様相を呈しているし、しかも、「鍵のかかってない家が多いらしいから」ではなく、「鍵のかかっている家であろうとも抉じ開けてやるぞ」という基準が規定されているのである。

これはないわー。ただ、実際にNICTがどのようなパスワードを入力するかは、「実施計画」に記載されているようであり、「附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要」によれば、「特定アクセス行為に係る識別符号の方針」には、以下のように記載されているようであり、前掲の省令1条の、2号（の否定）相当のものだけで、1号（の否定）相当のもの（7文字以下の全部とかいう）の記載はないようだ。

�� 特定アクセス行為で入力する識別符号の方針・方針に基づき入力する識別符号 (1) 特定アクセス行為に係る識別符号の方針 送信型対電気通信設備サイバー攻撃の実績のあるマルウェア（亜種含む）で利用されている識別符号

同一の文字のみの暗証符号を用いているもの（1111、aaaa等）

連続した文字のみの暗証符号を用いているもの（1234、abcd等）

連続した文字のみを繰り返した暗証符号を用いているもの（12341234、abcdabcd等）

機器の初期設定の識別符号（機器固有に識別符号が付与されていると確認されたものを除く。） (2) (1)の方針に基づき入力する識別符号 （略） 総務省, 附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要

つまり、当初目的 は「機器の初期設定の識別符号」を対象に行うはずだったところ、どういうわけか、法律により、不正アクセス行為に（不必要に）大穴を開けてしまったものの、実施計画では当初目的に戻して、「機器の初期設定の識別符号」に準ずるようなパスワード のみを対象にすることになったように見える。

今回認可された実施計画からすれば、無難なパスワードのみを用いることとされ、「元々合法な行為である」とどうにか言い得るかもしれないが、省令上は、7文字以下のパスワードはどんな内容であっても対象にできることになっているので、この点を捉えて「国が暴走する」と危険視され続けることになりかねない。それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。

とはいえ、1号を削除するわけにはいかない事情があるようにも見える。というのは、この省令で定める基準というのは、「不正アクセス行為から防御するため必要な基準として」（NICT法附則8条4項1号）であるので、1号の「字数8以上であること。」を削除してしまうと、2号のいう「これまで……サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外」であれば、5文字や4文字程度のパスワードであっても「防御するため必要な基準」として適格と言っていることになってしまう（しかも、それが電気通信事業法第52条の「端末設備の接続の技術基準」を勘案したものだということになってしまう）ので、これは都合がわるい。何らかの強いパスワードの要件を（使わなくても）省令に入れておかないといけないということだったのかもしれない。

そうであれば、これは結局、法律の立案ミスということだ。本来、著しく弱いパスワードの要件を規定すべきだったところに、十分に強いパスワードの要件を書いてしまった。後から、著しく弱いパスワードだけ実施しようとしても、省令で辻褄を合わせられなくなってしまった。どういう経緯でこういうことになったのか。本来の目的がどの範囲にあるのかの認識をちゃんと共有できていなかったか、法制局にうまく対応できなくてねじ曲がったのではないかなどなど、立法技術学的に興味深い事例といえよう。

そうではなく、本気で初めから「十分に強いパスワード」でない機器の侵入テストを無差別に行うつもりでこう立法したというのであれば、現在聞こえてくる国民の非難の声は傾聴に値するものであり、今後も延焼し続けることになるだろう。

というわけで、鎮火させるならば、なすべきことは、本来合法的な行為に限っている ことを国民に説明することであるが、総務省らが今説明していることは、検査することの意義の説明ばかりで、強制的に「理解を求める」ものになってしまっているように見える。特に、理解を求めるためのポスターが作成されたようだが、これが悪手で、「家のカギかけるよな？」「サイフ置きっぱなしにしないよな？」などと書かれており、警戒する国民らの不信感を逆撫でするものになっている。

どうしてこうなった……。誠に気の毒だ。(-人-)