弁護士法人 モノリス法律事務所03-6262-3248平日10:00-18:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

風評被害対策

不正アクセス禁止法の詳しい内容と違反事例について

風評被害対策

不正アクセス禁止法(正式名称「不正アクセス行為の禁止等に関する法律」)とは、サイバー犯罪を防止し、また電気通信に関する秩序を維持することを目的として制定された法律です。

スマホが普及し、インターネットユーザーが増加する中で、不正アクセス事例も年々増加傾向にあります。

この記事では、不正アクセス禁止法の詳しい内容と違反事例について、ご説明します。

不正アクセス禁止法とは

不正アクセス禁止法は、2000年に施行されましたが、サイバー犯罪の深刻化等の事態を受け、2012年に改正されました。

この改正で、フィッシング行為や識別符号(IDやパスワード)の不正取得・不正保管が禁止され、不正アクセス行為に関する法定刑の引き上げが行われました。それまで処罰の対象でなかった行為が禁止され、より実効性のある法律になりました。

不正アクセス禁止法の目的は、「高度情報通信社会の健全な発展に貢献すること」と定められています(第1条)。

不正アクセス禁止法で禁止されている行為は、以下の通りです。

  • 不正アクセス行為(第3条)
  • 不正アクセス行為を助長する行為(第5条)
  • 他人の識別符号を不正に取得・保管する行為(第4,6条)
  • 他人の識別符号の入力を不正に要求する行為(第7条)

なお、不正アクセス禁止法や不正アクセスによる被害を被った場合の対策については、下記記事にて詳細に解説しています。

不正アクセス行為とは

不正アクセス行為とは、「不正ログイン」「セキュリティ・ホール攻撃」の二つに分けることができます。

不正ログインとは、他人の識別符号(IDやパスワード)を勝手に入力し、SNSのアカウントやメールアドレスなどにログインする行為です。

セキュリティ・ホール攻撃とは、セキュリティ・ホール(ネットワークに接続されたコンピュータに生じた保安上の欠陥で、「脆弱性」とも呼ばれます)を突く攻撃を指します。攻撃者は、セキュリティ・ホールを悪用することにより、本来権限のない操作を実行したり、データを盗んだり、編集権限のないデータを改変、削除したり、他のシステムへの侵入や攻撃の踏み台にしたりすることができるようになります。この攻撃は、コンピュータウイルスやインターネットワームのように自動化されている場合もありますので、ユーザーも知らない間に損害を被ったり、他のシステムへ感染を広げてしまったりする可能性があります。

不正アクセス行為を行った場合、三年以下の懲役又は百万円以下の罰金が科されます。

不正アクセス行為を助長する行為とは

不正アクセス禁止法では、不正アクセス行為だけでなく、不正アクセス行為を助長する行為も禁止されています。不正アクセス行為を助長する行為とは、他人のIDやパスワードなどの識別符号を、本人の同意なく第三者に知らしめ、そのアカウントなどに無断でログインできる状態にすることです。

違反した場合、1年以下の懲役又は50万円以下の罰金が科されます。

他人の識別符号を不正に取得・保管する行為とは

他人の識別符号を不正に取得する行為とは、「不正アクセス行為を行うために、他人のIDやパスワードなどを取得する行為」です。

また、他人の識別符号を不正に保管する行為とは、「不正アクセス行為を行うために、不正に取得された他人のIDやパスワードなどを保管する行為」です。

たとえ不正アクセス行為を行わなかったとしても、不正アクセス行為につながる行為自体が禁止されているのです。

どちらの行為を行った場合でも、1年以下の懲役又は50万円以下の罰金が科されます。

他人の識別符号の入力を不正に要求する行為とは

他人の識別符号(IDやパスワード)の入力を不正に要求する行為とは、いわゆる「フィッシング行為」です。フィッシング行為とは、通信販売サイトや金融機関などになりすましてメールを送り、本物のサイトによく似た偽のサイトに被害者を誘導し、IDやパスワード、クレジットカードなどの個人情報を入力させるものです。英語では「phising」と表記され、「釣る(fishing)」と「洗練された手口(sophisticated)」の2つの単語を組み合わせて作られた造語です。

たとえ個人情報を入力させなかったとしても、偽のサイトの開設自体がフィッシング行為とみなされ、規制の対象となっています。

フィッシング行為を行った場合、1年以下の懲役又は50万円以下の罰金が科されます。

アクセス管理者の義務

不正アクセス禁止法により、サーバ等の管理者(アクセス管理者)は不正アクセスを防止するための防御措置を講じるよう求められています。(第8条)

管理者には、「識別符号を適正に管理すること」「常にアクセス制御機能の有効性を検証すること」「必要に応じてアクセス制御機能を高度化すること」など不正アクセス行為を防ぐための措置を取ることが義務付けられています。ただ、この三つは努力義務ですので、これらの義務に違反したとしても罰則はありません

不正アクセス禁止法違反の事例

サイバー犯罪の中でも、不正アクセス禁止法違反に該当する事例は、増加傾向にあります。PCだけでなくスマホが普及し、インターネットバンキングやスマホ決済(PayPayなど)などインターネット上での金銭のやりとりが増えていることも背景にあると考えられます。

ニュースでは、サイバー攻撃による個人情報の流出やSNSアカウントへの不正ログインなどが日々報じられています。中には、多額の損害をもたらす事例もあります。不正アクセス禁止法違反にあたる事件には、どのようなものがあるのでしょうか。

以下、具体的な事件をご紹介します。

ゲームアカウントの乗っ取り

他人のスマホのゲームアカウントを乗っ取ったとして、埼玉県警は、遺失物横領と不正アクセス禁止法違反などの疑いで会社員の男(23)を逮捕しました。

男は、被害者が置き忘れたスマホを持ち去り、インストールされていたスマホゲームを起動し、自分のスマホにデータを移し替えた疑いがあるとのことです。

Facebookへの不正ログイン

芸能人らのFacebookなどに不正ログインしたとして、警視庁サイバー犯罪対策課は会社員(29)を不正アクセス禁止法違反容疑で逮捕しました。

容疑者は、芸能人や一般人のFacebookやiCloudに不正ログインした疑いがあります。生年月日などの情報を元に、IDとパスワードを推測してログインし、保存されている写真を自分のPCにダウンロードしていたとのことです。

容疑者のPCには、芸能人本人しか見られないはずの約25万7000枚のプライベート写真などが保存されていたということで、画像だけでなく電話帳なども勝手に見ていたようです。

オークションサイトに不正アクセス

神奈川県警サイバー犯罪対策課と南署などは、不正アクセス禁止法違反私電磁的記録不正作出・同供用の疑いで、少年(19)を逮捕しました。
 
逮捕容疑は、自宅のPCから他人のIDとパスワードを使ってオークションサイトに不正ログインし、メールアドレスや送付先を書き換えた、というものです。
 
少年は、「IDやパスワードはネット掲示板にのっていた。50回以上不正ログインした」と供述しているとのことで、少年がオークションサイトでパソコン部品などを不正に入手していたとみて調べを進めています。

勤務先のサーバに不正侵入

長崎県庁のサーバに複数の同僚のIDとパスワードを無断で入力し不正に侵入したとして、県職員を不正アクセス禁止法違反の疑いで長崎地検に書類送検しました。
 
県職員は同僚のIDとパスワードを使ってサーバに侵入し、それぞれの業務内容などを盗み見ていたとのことです。この県職員による不正アクセスは数万回にのぼり、ダウンロードされたファイルは百万件以上に達するとみられていますが、外部への情報の流出などは確認されていないとのことです。

不正アクセスでクレジットカード情報流出

スポーツ用品の通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が流出した可能性があることがわかりました。

同サイトの運営者によると、同サイトを利用して商品を購入した顧客のクレジットカード情報が流出し、そのうち一部のカード情報が不正利用された可能性があるとのことです。サイト運営者は、システムの脆弱性が突かれ、決済用のアプリが改ざんされたことが不正アクセスの原因となったと説明しています。

スマホ決済システムに不正ログイン

スマホ決済の不正アクセス問題で、福岡県警は、男2人を不正アクセス禁止法違反と詐欺の疑いで逮捕しました。容疑者は、他人名義のIDとパスワードを使ってスマホ決済システムに不正にログインし、コンビニエンスストアで電子たばこのカートリッジなど190点(9万5千円相当)を買った疑いが持たれています。

被害者のスマホ決済にはもともと5千円が入金されていましたが、さらに男性のクレジットカードから9万円が入金されていたとのことです。

このスマホ決済は、この他にも多くの不正アクセスや不正使用の被害があり、2019年7月末までに判明した被害者の人数は約800人、被害総額は約3,860万円に上るとのことです。その後、2019年9月にサービスが廃止されました。

まとめ

不正アクセスによる被害は、インターネットを利用している個人や企業であれば、誰しも受ける可能性があります。また、その被害は、SNSへの不正ログイン、個人情報の流出、スマホ決済やクレジットカードの不正使用など多岐にわたり、被害額が甚大になるケースもあります。

不正アクセス禁止法違反による被害を被った場合、刑事告訴や民法に基づく損害賠償請求を行うことができます。ただ、どちらの手続も高度な専門知識が必要となりますので、不正アクセスに強い弁護士へ相談するのがおすすめです。

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る