データスクレイピングに適法判断　LinkedIn/hiQ訴訟

目的とアクセス権限は別

　CFAAとアクセス権の関係では重要な判例がある。LinkedIn/hiQ訴訟の控訴裁判決の後、2021年に出たものだ。LinkedInは、この判例で逆転の可能性があると考えた。

　この判決は、ジョージア州の警察官が当局のデータベースから車のナンバーを取得し、報酬と引き換えに外部に流出させたという収賄事件のものだ。警察官の名前をとって「Van Buren判決」と呼ばれている。

　判決では、情報を渡したことは違法だが、警察官はナンバー情報への正式なアクセス権を持っており、CFAAには抵触しないとの判断を示した。同法が適用されるのは「権限を越えるアクセス」に限定されるという点を明確にしたものだ。

　LinkedInは、これを受けて再審理を要求。自社がコードベースの手段を実装してhiQのアクセスを遮断し、停止通告を送ったことを根拠に「アクセス権を与えていなかった」と主張した。

　第9巡回区控訴裁は、Van Buren判決を受けた補足説明を口頭弁論で命じたが、LinkedInの主張はやはり退けられた。

　ArsTechnicaは、CFAAの「ゲート論」（アクセス制限の仕組みの有無）に沿って、判断の理由を分かりやすく解説している。

　つまり、「許可が必要で、かつ与えられているコンピューター」と「許可が必要だが、与えられていないコンピューター」については、ゲートが開いているか閉じているかが問題となる。

　しかし、「一般向けに公開され、アクセス許可を必要としないコンピューター」については、ゲートそのものが存在せず、CFAAに抵触することはないというものだ。