ポルトガルがサイバー犯罪法を改正、セキュリティ目的のハッキングを免責

2025年12月5日〜8日：サイバーセキュリティ関連ニュース

ポルトガルがサイバー犯罪法を改正、セキュリティ目的のハッキングを免責

BleepingComputer – December 7, 2025

ポルトガルがサイバー犯罪法を改正し、一定の厳格な条件下におけるハッキングを処罰の対象外とした。

第8条o-A項に追加された「サイバーセキュリティにおける公共の利益のため処罰されない行為」と題する条項は、これまで違法なシステムアクセスまたは違法なデータ傍受に分類されていた行為の法的責任を免除するもの。セキュリティ研究者が脆弱性の特定とサイバーセキュリティへの貢献を目的に活動している場合のみ適用され、善意に基づくセキュリティ研究のセーフハーバー（安全港）ルールが確立される形となった。

この新しい条項は、セキュリティ研究の限度を明確に定義すると同時に、善意のハッカーへの法的保護も提供している。刑事責任を免れるための主な条件は以下の通り。

1. 研究の目的は、研究者自身が生み出したものではない脆弱性の特定と、情報開示によるサイバーセキュリティの向上でなければならない
2. 研究者は、通常業務上の報酬を超える経済的利益を求めたり、受け取ったりしない
3. 研究者は、システム所有者や関連するデータ管理者、CNCS（国立サイバーセキュリティセンター）に脆弱性を直ちに報告しなければならない
4. これらの行為は脆弱性の検出に必要な範囲に厳密に限定され、サービスを妨害したり、データを改ざんまたは削除したり、あるいは損害を与えたりしてはならない
5. 研究は、GDPRに違反する個人データの処理を含んではならない
6. 研究者は、DoS攻撃やDDoS攻撃、ソーシャルエンジニアリング、フィッシング、パスワードの盗難、意図的なデータ改ざん、システムへの損害、マルウェアの展開など禁止されている手法を使用してはならない
7. 研究中に得られたデータはすべて機密情報として保持され、脆弱性の修正後10日以内に削除されなければならない
8. システム所有者の同意を得て行われた行為も処罰の対象外となるが、発見された脆弱性はCNCSに報告する必要がある

ドイツ連邦司法省は2024年11月、セキュリティ上の欠陥を発見し、責任を持ってベンダーに報告するセキュリティ研究者を同様に保護する法案を提出していた。米国ではこれに先立つ2022年5月、司法省（DOJ）がコンピューター詐欺および濫用防止法（CFAA）違反に関する連邦訴追方針の改訂を発表し、「善意に基づく」研究を例外としている。

Xが欧州委員会の広告アカウントを凍結、罰金1億2,000万ユーロを科されたのち

TechCrunch – December 7, 2025

欧州委員会（EC）から5日に1億2,000万ユーロ（約1億4,000万米ドル）の罰金を科されたことを受け、ソーシャルメディアX（旧Twitter）が先週末に反論した。

欧州連合（EU）のデジタルサービス法に基づき、罰金が科されたのは今回のケースが初めて。ECは青い認証バッジを与えるXの有料認証システムを「欺瞞的」と批判し、ユーザーがなりすましや詐欺の被害に遭う可能性を高めていると指摘した。また、Xの広告リポジトリがDSA（デジタルサービス法）の透明性とアクセシビリティに関する要件を満たしていないと断じ、青いチェックマークに関する懸念については60日以内、広告の透明性違反については90日以内に回答するよう求め、回答がなければ追加の罰金を科す可能性を示唆したという。

Xのオーナーであるイーロン・マスク氏はこれを「でたらめ」と批判し、「EUが消滅するまであとどれくらい？ AbolishTheEU（EUを廃止しろ）」と投稿。さらにXは、ECのアカウントにペナルティを科したとみられている。同プラットフォームの説明によると、これは罰金が理由ではなく、ECが「休眠中の広告アカウントにログインした上、Ad Composerの脆弱性を悪用してユーザーに動画と思わせるリンクを投稿し、人為的にリーチを拡大しようとした」ことが理由とされている。

ECの広報担当はTechCrunchの聞き取りに対し、「当委員会は常に誠意を持ってすべてのソーシャルメディアプラットフォームを利用している」とコメント。X上の有料広告は2023年10月に停止しており、現在も使われていないと付け加えた。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート