
不正アクセス禁止法って、ご存知ですか?
そんな法律ができたというのは、ニュースとかで聞いた覚えはあるけれど、
内容についてはよくわからないとという方もいらっしゃるのではないでしょうか。
少なくとも、私はそうです。
何が不正アクセスにあたり、罰則にはどんなものがあるのか。
今さらながら、気になったので調べてみました。
不正アクセス法とは
(1)不正アクセス法の目的
不正アクセス禁止法は略称で、正式名称は
です。
1999年(平成11年)8月13日に公布され、
2000年(平成12年)2月13日から施行されました。
この法律の目的は、第1条にあり、次のようになります。
「第一条 この法律は、不正アクセス行為を禁止するとともに、
これについての罰則及びその再発防止のための
都道府県公安委員会による援助措置等を定めることにより、
電気通信回線を通じて行われる電子計算機に係る犯罪の防止
及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、
もって高度情報通信社会の健全な発展に寄与することを目的とする。」
この条文の内容は、
「コンピュータネットワークの通信において、不正アクセス行為を禁止し、
秩序を守ることで、ネットワーク社会は健全に発展できる」
といった感じでしょうか。
(2)不正アクセス法で使われる用語
条文には、一般的によく使われている単語が使われてなかったりするので、
そういった言葉についての説明を最初にしていきます。
①電子計算機
コンピュータのこと。
②特定電子計算機
ネットワークに接続している、アクセス制限機能付きコンピュータのこと。
ここでいうネットワークは、
インターネットといったオープンなネットワークだけでなく、
外部から独立した社内LANなども含まれます。
③アクセス制限機能
ネットワーク経由でログイン画面などにより、
IDとパスワードなどの識別符号の入力を求めて、
入力された識別符号が正しければ利用制限を解除し、
間違っていれば利用を拒否するコンピュータの機能のこと。
④識別符号
ID、パスワードの組み合わせ、
生体認証における指紋、虹彩、音声などを符号化したもの、
署名における形状、筆圧、動態などを符号化したもの等、
正式な利用権を持つユーザを識別するための符号のこと。
⑤アクセス管理者
コンピュータのネットワーク経由での、
他人の利用の可否や利用範囲を決定する権限を有する者のこと。
個人や法人がアクセス管理者となりえますが、
法人の場合は、会社のシステム管理者ではなく、
法人そのものがアクセス管理者になります。
また、アクセス管理者であるかどうかに、
コンピュータの所有は関係せず、管理しているかどうかだけ決まります。
例えば、エンドユーザがレンタルサーバを借りて
自分のホームページ(以下HP)を開設した場合です。
そのHPを解説したユーザが、
誰に閲覧を許可するかといった管理の権限を持っていれば、
このレンタルサーバ上のHPの閲覧という特定利用に限定された
アクセス管理者となります。
スポンサーリンク
どんな行為が禁止されているか
不正アクセス法で禁止されている行為には、
不正アクセス行為とそれ以外の行為があります。
それでは、まず不正アクセス行為にはどんなものがあるのか見ていきましょう。
(1)不正アクセス行為の定義
不正アクセス行為については、第2条第4項で定義されています。
第二条
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能に係る他人の識別符号を入力して
当該特定電子計算機を作動させ、
当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの及び
当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)
又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの
及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能により
その特定利用を制限されている特定電子計算機に電気通信回線を通じて
その制限を免れることができる情報又は指令を入力して
当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
条文なので、わかりづらいのですが、簡単に言うと次のようになります。
①なりすまし
アクセス制限機能によって、
利用が制限されているコンピュータを利用しようと、
正規ユーザである他人になりすまして、
無断でID、パスワードなどを入力する行為
②セキュリティホールを攻撃する
コンピュータプログラムの不備(セキュリティホール)を突いて、
正規の利用権限なしにコンピュータを利用しようとする行為
(2)不正アクセス行為に対する罰則
これらの行為が不正アクセス行為となり、
3年以下の懲役または100万円以下の罰金という罰則が科せられます。
(3)不正アクセス行為に当てはまらない例
なお、アクセス管理者が行う場合、
アクセス管理者や利用権者の許諾を受けた場合は除きます。
この不正アクセス罪が成立するには、
ネットワーク経由であることが必要となります。
つまり、ネットワークに繋がっていないスタンドアローンのコンピュータに対し、
無断で他人のID、パスワードを入力する行為は、
ここでいう不正アクセス行為には当たりません。
(4)不正アクセス行為以外に禁止されている行為と罰則
不正アクセス禁止法では、不正アクセス行為だけでなく、
他人の識別符号を不正に取得する行為、
不正アクセス行為を助長する行為、
他人の識別信号を不正に保管する行為、
識別符号の入力を不正に要求する行為も禁止しています。
それぞれについて、条文をあげながら見ていきたいと思います。
①他人の識別符号を不正に取得する行為の禁止
第四条 何人も、不正アクセス行為
(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)
の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
平成24年の改正で新たに禁止されました。
これに違反すると、不正取得罪になります。
罰則は、1年以下の懲役または50万円以下の罰金です。
不正取得罪は、不正アクセス行為に使う目的の場合のみ成立します。
不正取得した本人が不正アクセス行為に使う場合だけでなく、
第三者が不正アクセス行為に使うのを知っていて提供する場合も、
不正取得罪は成立します。
ネット検索していて、たまたま他人の識別符号が表示されたとか、
他人の識別符号が勝手に電子メールで送られてきたというように、
取得することの認識がない場合は成立しません。
②不正アクセス行為を助長する行為の禁止
第五条 何人も、業務その他正当な理由による場合を除いては、
アクセス制御機能に係る他人の識別符号を、
当該アクセス制御機能に係るアクセス管理者
及び当該識別符号に係る利用権者以外の者に提供してはならない。
平成24年の改正で、他人の識別符号の提供範囲が拡張されました。
どのコンピュータのどんな利用に関するID、パスワードなのかわからないものでも、
他人に提供する行為は禁止されました。
違反すると、30万円以下の罰金、
不正アクセス行為に使われることがわかっていて提供した場合は、
1年以下の懲役または50万円以下の罰金となります。
条文にある除外される正当な理由とは、
警視庁のサイバー犯罪対策のHPでは、次のように解説されています。
・情報セキュリティ事業者が、
インターネット上に流出している識別符号のリストを
契約している企業に提供する行為
・インターネット上に流出している他人の識別符号を発見した者が、
これを情報セキュリティ事業者や公的機関に届け出る行為
・識別符号としてよく用いられている単純な文字列を、
識別符号として設定すべきでないものとして示す行為
・情報セキュリティに関するセミナーの資料等において、
識別符号のインターネット上への流出実態を示すために
実際に流出した識別符号のリストを掲載する行為
これら正当な理由以外に、送信した電子メールに
他人のID、パスワードが含まれていても、
そのことを送信者が認識していないといった場合には、
送信者に提供する意思がなく、故意ではないため除外されます。
③他人の識別符号を不正に保管する行為の禁止
第六条 何人も、不正アクセス行為の用に供する目的で、
不正に取得されたアクセス制御機能に係る
他人の識別符号を保管してはならない。
違反すると、1年以下の懲役または50万円以下の罰金です。
ここでいう保管というのは、次のような行為になります。
・ID、パスワードなどが記録された紙やUSBメモリ、
ICカードなどの電磁的記録媒体を保有する
・自分で使う携帯電話などの通信端末機器にID、パスワードを保存する
・遠隔地にあるデータセンターなどの保存する
インターネットに接続していて、
知らない間に他人のID、パスワードをダウンロードしていたなど、
故意ではない場合には不正保存罪は成立しません。
④識別符号の入力を不正に要求する行為の禁止
第七条 何人も、アクセス制御機能を特定電子計算機に付加した
アクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、
次に掲げる行為をしてはならない。
ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
一 当該アクセス管理者が当該アクセス制御機能に係る
識別符号を付された利用権者に対し
当該識別符号を特定電子計算機に入力することを求める旨の情報を、
電気通信回線に接続して行う自動公衆送信
(公衆によって直接受信されることを目的として
公衆からの求めに応じ自動的に送信を行うことをいい、
放送又は有線放送に該当するものを除く。)
を利用して公衆が閲覧することができる状態に置く行為
二 当該アクセス管理者が当該アクセス制御機能に係る
識別符号を付された利用権者に対し
当該識別符号を特定電子計算機に入力することを求める旨の情報を、
電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)
により当該利用権者に送信する行為
これは、フィッシングを禁止した条文です。
フィッシングとは、
正規のアクセス管理者のものと誤認させるサイトや電子メールにより、
正規ユーザにID、パスワードの入力をさせてだまし取ることです。
ここで禁止されているのは、
正規のアクセス管理者のものと誤認させるサイトを構築し
ネットワーク上に公開したり、
電子メールを送信する行為です。
ID、パスワードを取得できていなくても、上記行為を行えば違反になります。
違反すると、1年以上の懲役または50万円以下の罰金になります。
たまたま構築したサイトが、既存のサイトと似ていて誤解を招いたというような場合、
誤認させようという意図はないので、違反とはなりません。
以上が、不正アクセス禁止法で禁止されている行為とその罰則です。
禁止されているからといって、
これらの行為を誰もしなくなるわけではありません。
現実に、攻撃を受けたサイトから情報が流出したという事件が、
ニュースなどに流れています。
エンドユーザであっても、自分の身を守るという観点から、
ID、パスワードなどの管理については、十分注意していきたいものです。