不正アクセス禁止法が禁止する行為・事例を弁護士が解説
不正アクセス禁止法(正式名称「不正アクセス行為の禁止等に関する法律」)は、2000年2月に施行され、2012年5月に改正されたものが、現在有効になっています。 サイバー犯罪を防止し、また電気通信に関する秩序を維持することを目的とした法律で、全14条からなります。
「不正アクセス行為の禁止等に関する法律」(目的)
第1条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。
不正アクセス禁止法は、具体的にはどのような行為を禁止しているのでしょうか。また、現実にどのような事例があり、刑事・民事上でどのような対策を行うべきでしょうか。不正アクセス禁止法の概要や、被害を受けてしまった場合の対策について解説します。
この記事の目次
不正アクセス禁止法で禁止される行為
不正アクセス禁止法で禁止、処罰されるのは、大きく分けると、次の3つです。
- 不正アクセス行為の禁止(第3条)
- 不正アクセス行為を助長する行為の禁止(第5条)
- 他人の識別符号を不正に取得・保管・入力要求する行為の禁止(第4,6,7条)
なお、ここでいう識別符号とは、特定電子計算機の特定利用をすることについてアクセス管理者の利用権限の許諾を得た者及びアクセス管理者ごとに定められている符号で、アクセス管理者がその利用権者を他の利用権者と区別するために用いられるものをいいます(第2条第2項)。
識別符号の典型例は、IDと組み合わせて利用されるパスワードです。これに加えて、最近では指紋や目の虹彩により本人を識別する仕組みも普及しつつありますが、これらも識別符号にあたります。このほか、署名の形状や筆圧等により本人であるかの識別をする場合にも、その署名を数値化して符号化したものが識別符号となります。
不正アクセス行為とは
具体的には第2条4項が規定していますが、不正アクセス行為とは、他人の識別符号を悪用する「なりすまし行為」とコンピュータプログラムの不備を衝く「セキュリティ・ホール攻撃行為」です。不正アクセス禁止法では、これらの方法により他人のコンピュータに不正にアクセスする行為が禁止されます。
他人の識別符号を悪用する行為
いわゆる「なりすまし行為」とは、他人の識別符号を悪用することにより、本来アクセスする権限のないコンピュータを利用することをいいます。
要するに、あるコンピュータシステムを利用する際にパソコン上にIDやパスワード等の識別符号を入力しなければなりませんが、このときに、正規の利用権限を持つ他人の識別符号を本人に無断で入力する行為をいいます。
少し分かりにくいですが、ここでいう「他人の」というのは、既に他人が作成(し利用)しているIDやパスワードのことで、「なりすまし行為」とは、端的に言えば、他人が既に利用している、例えばTwitterなどのSNSのアカウント等を「乗っ取る」行為のことです。
なお、本人に無断で識別符号を入力したことが要件となるため、例えば出張中に会社にいる同僚に自分のパスワード等を教えて自分に代わってメールなどの確認をしてもらうようなケースでは本人から承諾を得ているので不正アクセス防止法には抵触しないことになります。
一般に「なりすまし」というと、他人の氏名や顔写真などを用いて新たにアカウントを作成し、その他人のフリをしてTwitter等のSNSを利用する行為のことを指しますが、不正アクセス禁止法で禁止されている行為はこれとは異なります。一般的な意味の「なりすまし」に関しては、下記記事にて詳細に解説しています。
コンピュータプログラムの不備を衝く行為
「セキュリティ・ホール攻撃行為」とは、他人のコンピュータのセキュリティ・ホール(安全対策上の不備)を攻撃し、そのコンピュータを利用できるようにする行為です。攻撃用プログラム等を使って識別符号以外の情報や指令を攻撃対象に与えて、他人のコンピュータのアクセス制御機能を回避し、無断でコンピュータを利用します。
ここでいうアクセス制御機能とは、特定電子計算機の特定利用を正規の利用権者以外の者ができないように制限するために、アクセス管理者が特定電子計算機又は特定電子計算機と電気通信回線で接続されている電子計算機に持たせている機能をいいます(第2条第3項)。
分かりやすく説明すると、コンピュータシステムにアクセスしようとする者に対してネットワーク上でIDおよびパスワード等を入力させ、正しいIDおよびパスワード等が入力された場合にのみ利用可能とする仕組みのことです。
つまり、「セキュリティ・ホール攻撃行為」とは、この仕組みを無効化することにより、正しいIDおよびパスワード等の入力なしに当該コンピュータシステムを利用できるようにすることといえます。
不正アクセス行為の2類型
以上のように不正アクセス行為には2つの類型があります。
注意したいのは、いずれの類型においても不正アクセス行為といえるためには、コンピュータ・ネットワークを通じて行われることが要件となっている点です。したがって、ネットワークに接続されていない、いわゆるスタントアロンのコンピュータについて無断でパスワード等を入力して利用したとしても不正アクセス行為には該当しません。
もっとも、コンピュータ・ネットワークについてはインターネットなどオープンネットワークだけでなく、社内LANのようなクローズドのものでも対象となります。
また、不正アクセスによって行われる不正利用の内容に制限はなく、例えば無断発注、データ閲覧、ファイル転送などのほか、ホームページの書き換えなどをする場合にも不正アクセス禁止法に抵触することになります。
これらの2つの不正アクセス行為を行うと、「3年以下の懲役または100万円以下の罰金」を課される可能性があります(第11条)。
不正アクセス行為を助長する行為とは
不正アクセス禁止法で禁止される不正アクセス行為を助長する行為とは、他人のIDやパスワードを、本人に無断で第三者に提供することです。電話やメール、ホームページを通じて等手段を問わず、「〇〇のIDは××、パスワードは△△」などと他人に教えたり告知したりして、他人が勝手に人のデータにアクセスできるようにしたりすると、不正アクセス助長行為に該当します。
不正アクセス行為を助長する行為を行うと、「1年以下の懲役又は 50万円以下の罰金」を課される可能性があります(第12条2号)。
なお、不正アクセスという目的を知らずにパスワードを提供したときも、30万円以下の罰金となる可能性があります(第13条)。
他人の識別符号を不正に取得・保管・入力要求する行為とは
不正アクセス禁止法では、他人の識別符号(ID・パスワード)を不正に取得・保管、入力要求する行為は禁止されます。
- 第4条 他人の識別符号を不正に取得する行為の禁止
- 第6条 他人の識別符号を不正に保管する行為の禁止
- 第7条 他人の識別符号を不正に入力要求する行為の禁止
この禁止行為の代表的なものが「入力要求行為」で、いわゆるフィッシング行為です。例えば、金融機関になりすまして、本物そっくりの偽のホームページに被害者を誘導し、その偽のホームページにおいて被害者のパスワードやIDなどを入力させるものです。
フィッシング行為によって取得した識別番号を用いて、オークション詐欺に利用され、また預金が勝手に別口座に振り込まれるなどの詐欺被害が多発しています。
これらの行為を行うと、1年以下の懲役または50万円以下の罰金が科されます(12条4号)。
不正アクセス行為以外のサイバー犯罪を取り締まる法律とは
このように、不正アクセス禁止法は、いわゆるサイバー犯罪の中の一部の類型に対応するための法律です。「サイバー犯罪」の全体に関して言えば、電子計算機損壊等業務妨害罪や偽計業務妨害罪、名誉毀損罪など、その他の法律も問題になるケースがあります。サイバー犯罪の全体像に関しては下記記事にて詳細に解説しています。
アクセス管理者の義務
不正アクセス禁止法により定義されている義務について説明していきます。アクセス管理者とは、電気通信回線に接続している電子計算機の利用について特定電子計算機の動作を管理する者です(第2条第1項)。
ここでいう管理とは、特定電子計算機をネットワーク経由で利用させる際に、誰に利用させるか及びその利用の範囲について決定することをいいます。このような利用者や利用範囲を決める権限を有する者が不正アクセス禁止法上のアクセス管理者ということになります。
例えば、企業があるコンピュータシステムを運用している場合には、従業員の中からシステム担当者を選任して管理を行わせますが、個々のシステム担当者はあくまでも企業の意思に従って管理をしているにすぎません。したがって、このようなケースでアクセス管理者とは、システム担当者ではなくコンピュータシステムを運用する企業となります。
不正アクセス禁止法は、不正アクセス行為と罰則を定義するだけではなく、サーバ等の管理にも不正アクセスを防止する管理者の義務を課しています。
アクセス管理者による防御措置
第8条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする
「識別符号を適正に管理すること」「常にアクセス制御機能の有効性を検証すること」「必要に応じてアクセス制御機能の高度化」が義務付けられているわけですが、これらは、努力義務であるため、これらの措置を怠ったからといって罰則はありません。
しかし、管理者はIDやパスワードが流出した形跡があれば、速やかにアカウント削除やパスワード変更などのアクセス制御を行わなければなりません。
不正アクセスを受けた場合の対策
メールやSNSなどを利用している場合、他人からの不正アクセス被害を受けることがあります。この場合、どのような対処が可能でしょうか。
刑事告訴する
まず、不正アクセスした相手を刑事告訴することが可能です。不正アクセスは犯罪であり、不正アクセスした人は刑事罰を受けることになります。上で解説したように、本人は3年以下の懲役又は100万円以下の罰金刑を受ける可能性がありますし、助長した人がいたら、1年以下の懲役又は 50万円以下の罰金刑を受ける可能性があります。
なお、不正アクセス禁止法違反は非親告罪なので、告訴がなくても警察がその事実を知ったら捜査を開始して、犯人を逮捕することが可能です。また、不正アクセスを受けた本人でなくても、その事実を知った人は警察に告発することができます。
また、業務妨害罪についての記事でも触れましたが、親告罪は「被害者による刑事告訴がないと起訴できない犯罪」ですが、「親告罪でなければ告訴できない」わけではありません。非親告罪の場合にも、被害者は犯人を告訴することができます。
非親告罪であっても、被害者が刑事告訴していると被疑者の情状は悪くなり、処罰が重くなる可能性があります。もし不正アクセスされたと気づいたら、弁護士に相談し、警察に被害届や告訴状を提出するとよいでしょう。被害届を受理したら、警察は速やかに捜査を進め、被疑者を逮捕したり送検したりしてくれます。
民事賠償を請求する
不正アクセスによる被害を受けた場合、加害者に対して民事的には、民法709条にもとづいて、損害賠償を請求することが可能です。
民法 第709条
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
加害者が不正アクセスして、そこで得た個人情報を拡散した場合、ソーシャルゲームのアイテムを盗んだ場合、クレジットカードや銀行口座などのデータにアクセスして、財産的被害を発生させた場合等には、慰謝料などを求めて損害賠償請求を行いましょう。 もちろん、クレジットカードや銀行口座などのデータにアクセスされて、実際に財産的被害が発生した場合には、それらの賠償請求も可能です
ただ、加害者に損害賠償請求をするためには、犯人を特定しなければなりませんし、その犯人が本当に不正アクセスをしたという証拠を集める必要があるので、高度に専門的な知識が必要となります。不正アクセスによる被害を受けたら、ネット問題の経験が豊富な弁護士に相談して手続きを依頼することが必要です。
まとめ
不正アクセス禁止法は、今後IT化が進む現代社会においてますます重要な意義を持ちます。ただし、実際に不正アクセスの被害を受けた場合でも被害者自身が犯人を特定することは技術的に困難であることが多々あります。
また、不正アクセス禁止法違反は刑事罰の対象であるため警察に被害届を出すこともありますが、新しい犯罪類型であるため必ずしも警察がすぐに事案を理解してくれるものではありません。このため、被害届を出す際には警察の理解を助けるために法的観点と技術的観点の両面から丁寧な説明をする必要があります。この意味で、不正アクセス禁止法の対応については非常に専門性が高いため、ITの技術的側面にも詳しい弁護士に相談することが重要となります。
