サイトの脆弱性を確認することや脆弱性を公表することにも問題があるのでしょうか？

不正アクセスの京大研究員を逮捕　イベントで手法公開も(sankei web)

わかってない人が悪意と先入観で書いた記事だなぁという感想。
被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」(2004.1.6)(Net Security)なんかに経緯も少し載っているので興味がある方は、どうぞ。

個人で、そのサイトのシステムが信頼するに足るかどうか、実験すると逮捕されるんであれば、何か評価機関でも作ってもらって格付けをしてくれるといいんだけど。

※追記
/.Jでも議論されていますね。
かなり参考になります。

個人的な意見としては、「個人情報を公開したのはダメ。」「威力業務妨害を適用するのは明らかにおかしい。」「不正アクセス防止法違反を適用するのもかなり疑問。」といったところですか。

セキュリティ面に大穴があるサイトにそれを指摘して、閉鎖させたって言うのが、威力業務妨害って馬鹿か。穴を塞ぐまでサイト閉鎖するのが筋だろう。大穴開いたまま公開し続ける方がどうかしてる。
不正アクセスって言っても、セキュリティ研究の一環としてだったら「不正」なのかしらと思います。あれが「不正」になるのなら、セキュリティに大穴あけている側にも、罰則とか作るべきなんじゃないかと思うんですが、どうなんでしょうか。

それにしてもこの件は、Webアプリ開発に携わる人間としては、非常に納得が行かないですね。