http://www.asahi.com/national/update/0707/TKY200507070250.html

容疑者（２７）はカカクコムが集中攻撃される前の４月中旬と５月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

あれ？アクセス制御機能が不十分なら、「侵入」しても不正アクセス禁止法違反にはならない、というのが、先日の東京地裁判決だったんですか？

http://www.itmedia.co.jp/news/articles/0503/28/news008.html

「同様のファイルにはFTPでアクセスするのが通常。ブラウザにURLを入力するだけでは閲覧できない秘匿性の高いファイルに対し、CGIの脆弱性を利用してアクセスするのは通常のアクセスとは言えず、FTPのアクセス制御を回避した不正アクセスにあたる」と認定。「プログラムに設定の間違いや脆弱性があったとしても、それだけでアクセス制御がなかったとは言えない」とした。

この事件でも、アクセス制御が十分だった、とは認定されていませんね。「アクセス制御がなかったとは言えない」として、「不十分」ながらアクセス制御があったという認定がされています。不十分ではあってもアクセス制御機能がある、それに対して「通常ではない」アクセスが行われる、それも「不正アクセス」であるというのが、先日の東京地裁判決でしょう。だからこそ、有罪認定になったはずです。
この「下級審」裁判例に照らしても、上記の認定なんですか？所詮、下級審における特異な「救済」裁判例であって、先例としての価値はないと、捜査機関自身が考えているということなんでしょうか？＞警視庁
上記のような意味でのアクセス制御機能すらなかった、ということになると、カカクコムのサイト運営者の責任は、極めて重大ではないかと強く疑問に思います。

追記：

上記の報道自体が正確なものではない可能性もあるので、これ以上、あれこれ言うのもどうかという気がしますが、

「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明
http://www.itmedia.co.jp/news/articles/0505/16/news077.html

の内容に照らすと、「最高レベルのセキュリティが破られた」ことと、不正アクセス禁止法上の「不正アクセス」に該当しないことが、理解可能な範囲内でつながりませんね。「集中攻撃前」は、最高レベルのセキュリティではなかった（最低レベル？）、ということなんでしょうか？