アクセス制御の範囲については、社会通念も考慮される。
http://fw8.bookpark.ne.jp/cm/ipsj/particulars.asp?content_id=IPSJ-MGN460611-PDF
この法律の適用に関し,いわゆる脆弱性を利用するタイプの不正アクセス行為については,アクセス制御機能の回避をしたといえるかどうかが,犯罪の成否を決める鍵になる(図-2).同法3条2項3号が,主としてセキュリティホールを利用して攻撃する方法を主として想定した規定とされている.図-2で示したように脆弱性のある部分というのは,厳密には,OSによって提供されるべきアクセス制御機能が,存在しない.しかしながら,社会的には,「制限」が存在していると見て保護すべき場合,すなわち,「普通は,そこは使えない,そこを使うことは社会通念上認められていないといえるという場合」には,社会通念上,アクセス制御機能ありとするということである.ここでは,結局,技術的な観点よりも社会通念という観点が入って来ざるを得なくなることになる.
脆弱性情報の公開と表現の自由についても触れられていますが、ACCS事件では、不正アクセス禁止法被告事件だったため、脆弱性情報の公表の行為として表現の自由の主張はなかったような気がします。非公開の尋問もありましたし。