不正アクセス禁止法とは?事例・判例から通報対策まで徹底解説|サイバーセキュリティ.com

  1. ホーム /
  2. 法令・計画等 /
  3. 不正アクセス禁止法とは?事例・判例から通報対策まで徹底解説
             

不正アクセス禁止法とは?事例・判例から通報対策まで徹底解説



不正アクセス禁止法(正式名称「不正アクセス行為の禁止等に関する法律」)は、不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。

今回はその不正アクセスに関して定められている法律である「不正アクセス禁止法」について、これまでの判例などから実際に不正アクセスされた際の通報対策まで、不正アクセス禁止法を徹底解説いたします。

不正アクセス禁止法とは

不正アクセス禁止法という言葉を聞いたことがある人は多いのではないでしょうか。正式には「不正アクセス行為の禁止等に関する法律」と言います。

アクセス権限のないコンピューターネットワークに侵入したり、不正にパスワードを取得したりすることなどを禁止する法律です。平成11年8月13日に公布、平成12年2月13日に施行され、最近では平成25年5月31日に改正されています。

不正アクセス禁止法の第一条にこの法律の目的が定められています。

この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。(第一条)

この法律の基本構成は「不正アクセスの行為者に対する規制」と「アクセス管理者による防御側の対策」という2つの側面から成り立っており、不正アクセスの行為の防止を図るものとなっております。

非公開: 【2024年版】不正アクセスとは?原因や事例、対策法を徹底解説
2022.11.22
近年、企業の不正アクセスによる被害が相次いでいます。 総務省H

不正アクセス禁止法で禁止される行為・罰則

不正アクセス禁止法に接触する行為や罰則は、以下の5つがあげられます。

  • 不正アクセス罪
  • 不正取得罪
  • 不正助長罪
  • 不正保管罪
  • 不正入力要求罪

不正アクセス罪

何人も、不正アクセス行為をしてはならない。(第三条)

本来アクセス権限のない第三者がコンピューターネットワークを通じてサーバやSNSなどの情報システムの内部に侵入する行為を指します。不正アクセス行為には大きくわけて2つの行為があります。

違反した場合は「3年以下の懲役あるいは100万円以下の罰金」が科されると、第十一条で定められています。

なりすまし行為

ネットワークを経由してアクセス制限されているコンピューターに対して、コンピューターの正規の利用者である他人のIDやパスワードを無断で入力する行為です。

セキュリティホールを攻撃する行為

コンピューターのセキュリティホールを攻撃して、該当のコンピューターを利用可能にする行為です。特殊なプログラムを用いて、特殊なデータを入力して、アクセス制御機能を回避することにより制限されているコンピューターの機能を利用する行為です。

不正取得罪

何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。(第四条)

識別符号とは、ログインIDやパスワードのことを指します。他人のパスワードを正当な理由なく取得することを禁止する条文で、不正取得罪に該当した場合、1年以下の懲役あるいは50万円以下の罰金が科されます。

不正助長罪

何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。(第五条)

これは他人のIDやパスワードなどの識別符号を無断で第三者に提供する行為を禁止することです。例えば「〇〇さんのIDは△△、パスワードは□□」のような情報を第三者に教えて勝手にアクセスできるようにする行為などです。自分が不正にID・パスワードを取得したわけではなくても、他者の不正取得を助長すれば罪に該当するため注意しなければなりません。

不正助長罪では、1年以下の懲役あるいは50万円以下の罰金が科されます。

※不正アクセスという目的を知らずにパスワードを提供した場合は三十万円以下の罰金となります。(第十三条)

不正保管罪

何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。(第六条)

これは他人のパスワードなどを不正に保存する行為を禁止する条文です。不正に取得した時点で第四条の不正取得罪にあたり、さらにそれを保管すると第六条の不正保管罪にも該当します。不正保管罪に対する罰則は、1年以下の懲役あるいは50万円以下の罰金です。

不正入力要求罪

パスワードなどの情報を不正に入力させる行為を禁止する条文です。

何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。

一 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為

二 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)により当該利用権者に送信する行為。(第七条)

上記を要約すると、次の2つの行為が禁止されている項目に該当するということです。

  • アクセス管理者がログイン情報の入力を要求していると一般公開すること
  • アクセス管理者がログイン情報の入力を要求しているとメールで送ること

フィッシングサイト構築や電子メールなどによるフィッシング行為がこれにあたります。不正入力要求罪に対する罰則は1年以下の懲役あるいは50万円以下の罰金です。

これまでの事例・判例

インターネットバンキングなりすまし

不正アクセス行為目的でインターネットバンキングサービスになりすまして、相手のお客様番号、ログインパスワード、インターネット用暗証番号等の識別符号を同サイトに入力させた。そしてそのパスワードを用いて、不正アクセス行為をはたらいた。

刑罰
懲役8年
未決勾留日数中700日をその刑に算入
押収してある無線接続機器1式(平成28年押第25号符号1)を没収

社内権限を使用した不正アクセス

自身の総務課人事労務担当主査として職員の健康診断に関する事務に従事していた。
性的好奇心を満たすために女性職員の健康診断結果に関する個人情報を入手しようと考えた。
11人の健康診断結果に関する情報を被告人方に設置されたパーソナルコンピューターに転送した。
後日、同様の手口で女性職員の電話番号を手に入れた。

刑罰
被告人を懲役1年6ヶ月
この裁判が確定した日から3年間その刑の執行を猶予

夫婦間の覗き見は?

タレントのベッキーさんのものと思われるLINEの通信内容が流出する事件がありました。LINEの通信内容が流出したケースは、不正アクセス禁止法に問われるのでしょうか。
考えてみたいと思います。

そもそも不正アクセス禁止法とはコンピューターネットワークを通じて情報を不正に取得する行為を対象としています。
他人のIDとパスワードを使用してアクセスする場合は当てはまりますが、スマートフォンの画面を見るだけでは不正アクセス禁止法の対象にはなりません。メールやLINEなど「すでにダウンロードされている情報」を見る行為はコンピューターネットワークを通じた情報の取得ではないからです。

ベッキーさんの事件ではLINEの通信内容の流出が「クローン携帯」によるものだと考えられています。この場合、クローン携帯にすでに存在するデータを見る行為は不正アクセス禁止法の対象外ですが、新着メッセージの受信をする行為は、ネットワークにアクセスするという行為が含まれているため、不正アクセス禁止法の対象となります。

クローン携帯
クローン携帯(クローンけいたい)は、「正式に契約された携帯電話と全く同じ電話番号を持ち、事業者側でその識別が不可能な端末がどこかにあり他人に利用されている」携帯電話のこと
[Wikipedia:クローン携帯]

不正アクセス禁止法で禁じられている行為は、パソコンやスマホなどの機器の操作を禁じているのではなく、あくまでもコンピュータネットワーク(インターネットなど)の電気通信回線を通じて情報を受信するような行為を禁じているのです。

情報の受信の際に「識別符号を入力して」とありますが、ここでいう「入力」とは物理的に入力する行為だけでなく、ネットワークを通じてIDやパスワードを自動的に送信する行為も含まれています。つまりLINEを起動してメッセージのやり取りをダウンロードするという行為もIDやパスワードの「送信」にあたるため、不正アクセス禁止法の対象となるわけです。

たとえ夫婦間の関係であったとしても、相手のスマートフォンを使って不正にメールやLINEをダウンロードして覗き見する行為は不正アクセス禁止法の対象となってしまうのです。

不正アクセスされた際の対策方法

もし不正アクセスされていることがわかったら、すぐにパスワードを変更してアカウントの乗っ取りへの対策をしましょう。「都道府県公安委員会」や「警察」、IPAが開設している「情報セキュリティ安心相談窓口」などへの通報が有効です。
アカウントが乗っ取られてしまうと、情報が盗まれるだけでなく、クレジットカードの不正利用や詐欺行為などに悪用されることもあります。

また、不正アクセスの被害にあってしまったときのために、都道府県公安委員会による援助についての条文(第九条)が定められています。

参考都道府県公安委員会 – 国家公安委員会
参考不正アクセスに関する届出について[IPA]
参考情報セキュリティ安心相談窓口[IPA]

まとめ

不正アクセス禁止法の内容について解説してきました。インターネットの普及に伴って、仕事やSNSなどでIDとパスワードが必要なサービスを使う機会も増えてきました。

不正アクセスの被害者になってしまうことはもちろん、自分の知らないところで加害者となってしまうことも考えられます。

不正アクセス禁止法について正しい知識を身につけて、犯罪にまきこまれないように十分注意してインターネットを使うようにしてください。

参考不正アクセス行為の禁止等に関する法律 全文


あわせて、以下の記事もよく読まれています

セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。