公判では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡して問題のファイルにアクセスしたと指摘されている。「HTMLソースを改変して目的のコンテンツを表示させるのは、ブラウザのブックマーク機能と変わらない」と元研究員は主張する。
「ブックマーク時は、Webサイト上のソースの一部を編集してPCに保存する。ブックマークをクリックすると、保存したデータをもとに、目的のサイトをブラウザ上に表示する仕組みだ。今回の手法はこれと同じで、HTMLソースを編集して保存し、それをもとにWebサイトをブラウザに読み込ませただけ。許されないはずはない」とし、これは通常のWebサイト閲覧行為に含まれると主張した。

ブックマーク時は編集して保存する と言っても、それを使用する時には元のソースにあるURLをそのまま利用するだけでしょうから、編集して保存したデータを使って というのも微妙です。
しかし、HTMLソースにあるURL以外を直接扱ってはならないとなると、アドレスバーへの直接入力もダメになってしましますね。
CGIやHTMLフォームは、送信される/する内容が変更できることを利用する仕組みですから、送信内容を変更されたことについて問題視するのは間違っているような気がします。
しかも、CGIは一般的に、言語やシステムのセキュリティホールが原因となる場合を除いて、予期しないクエリを想定して設計するものではないのでしょうか。

検察側は、同様のファイルにはFTP経由でアクセスするのが普通だと主張した。サーバを管理していたファーストサーバやACCSもFTPからアクセスしており、HTMLからのアクセスは通常利用の範囲外。元研究員もそれを認識していたのではないかとの趣旨の質問を繰り返した。

FTPが普通だと言っても、HTTPでも取得できる状態にあったのならば、管理が悪かったとしか言いようがありませんね。
HTMLからのアクセスによる通常利用では、問題のファイルへFTPでアクセスしていると見えることはないでしょうから、どのようにして認識できたというのでしょうか。
わたし的には、HTTPの通常のメッセージを送信して、通常のメッセージとして問題のファイルを取得したのですから、CGIの設計が悪かったとしてファーストサーバを訴えてもよかったのではないかと思います。
ファーストサーバの対応が悪かったという話もありますし。
もちろん個人情報を公表してしまったことについては別問題です。