米司法省 (DOJ) は 19 日、コンピューター詐欺及び乱用に関する法律 (CFAA) に基づく訴追の対象から善意のセキュリティ調査を除外する改訂版ポリシーを発表した (プレスリリース、 The Verge の記事、 The Register の記事、 ポリシー: PDF)。

DOJ が善意のセキュリティ調査を CFAA 違反として訴追しないことを明確にするのは今回が初めて。それによると、善意によるセキュリティ欠陥・脆弱性の調査や修正のみを目的としたコンピューターアクセスについて、個人や公共の被害を防ぐよう配慮した形で実施され、それにより得た情報の主な使用目的がセキュリティ・安全性向上である場合に限り、善意のセキュリティ調査とみなされる。

新ポリシーは個人やネットワーク所有者、運営者等の法的権利を守ることでプライバシーとサイバーセキュリティを向上させるという、DOJ による CFAA 執行の目標を明確に説明するものだという。その一方で新ポリシーは「セキュリティ調査」との主張が悪意による行為を正当化しないことも明確にし、検事には難しい判断が必要な場合に司法省のコンピューター犯罪及び知的財産セクション (CCIPS) に相談することを推奨している。