不正アクセス禁止法で禁止される行為
不正アクセス禁止法(正式名称「不正アクセス行為の禁止等に関する法律」)は、2000年2月に施行され、2012年5月に改正されたものが、現在有効になっています。 サイバー犯罪を防止し、また電気通信に関する秩序を維持することを目的とした法律で、全14条からなります。
「不正アクセス行為の禁止等に関する法律」(目的)
第1条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。
不正アクセス禁止法は、具体的にはどのような行為を禁止しているのでしょうか。また、現実にどのような事例があり、刑事・民事上でどのような対策を行うべきでしょうか。不正アクセス禁止法の概要や、被害を受けてしまった場合の対策について解説します。
この記事の目次
不正アクセス禁止法で禁止される行為
不正アクセス禁止法で禁止、処罰されるのは、大きく分けると、次の3つです。
- 不正アクセス行為の禁止(第3条)
- 不正アクセス行為を助長する行為の禁止(第5条)
- 他人の識別符号を不正に取得・保管・入力要求する行為の禁止(第4,6,7条)
不正アクセス行為とは
具体的には第2条4項が規定していますが、「なりすまし行為」と「セキュリティ・ホール攻撃行為」です。不正アクセス禁止法では、他人のコンピュータに不正にアクセスする行為が禁止されます。
「なりすまし行為」とは、プロバイダを利用する際、パソコン上にIDやパスワード等の識別符号を入力しなければなりませんが、このときに、他人の識別符号を本人に無断で入力する行為をいいます。
少し分かりにくいですが、ここでいう「他人の」というのは、既に他人が作成(し利用)しているIDやパスワードのことで、「なりすまし行為」とは、端的に言えば、他人が既に利用している、例えばTwitterなどのSNSのアカウント等を「乗っ取る」行為のことです。
一般に「なりすまし」というと、他人の氏名や顔写真などを用いて新たにアカウントを作成し、その他人のフリをしてTwitter等のSNSを利用する行為のことを指しますが、これとは異なります。この意味の「なりすまし」に関しては、下記記事にて詳細に解説しています。
「セキュリティ・ホール攻撃行為」とは、他人のコンピュータのセキュリティ・ホール(安全対策上の不備)を攻撃し、そのコンピュータを利用できるようにする行為です。攻撃用プログラム等を使って識別符号以外の情報や指令を攻撃対象に与えて、他人のコンピュータのアクセス制御機能を回避し、無断でコンピュータを利用します。
これらの不正アクセス行為を行うと、「3年以下の懲役または100万円以下の罰金」を課される可能性があります(第11条)。
不正アクセス行為を助長する行為とは
不正アクセス禁止法で禁止される不正アクセス行為を助長する行為とは、他人のIDやパスワードを、本人に無断で第三者に提供することです。電話やメール、ホームページを通じて等手段を問わず、「〇〇のIDは××、パスワードは△△」などと他人に教えたり告知したりして、他人が勝手に人のデータにアクセスできるようにしたりすると、不正アクセス助長行為に該当します。
不正アクセス行為を助長する行為を行うと、「1年以下の懲役又は 50万円以下の罰金」を課される可能性があります(第12条2号)。
なお、不正アクセスという目的を知らずにパスワードを提供したときも、30万円以下の罰金となる可能性があります(第13条)。
他人の識別符号を不正に取得・保管・入力要求する行為とは
不正アクセス禁止法では、他人の識別符号(ID・パスワード)を不正に取得・保管、入力要求する行為は禁止されます。
第4条 他人の識別符号を不正に取得する行為の禁止
第6条 他人の識別符号を不正に保管する行為の禁止
第7条 他人の識別符号を不正に入力要求する行為の禁止
この禁止行為の代表的なものが「入力要求行為」で、いわゆるフィッシング行為です。例えば、金融機関になりすまして、本物そっくりの偽のホームページに被害者を誘導し、その偽のホームページにおいて被害者のパスワードやIDなどを入力させるものです。
フィッシング行為によって取得した識別番号を用いて、オークション詐欺に利用され、また預金が勝手に別口座に振り込まれるなどの詐欺被害が多発しています。
これらの行為を行うと、1年以下の懲役または50万円以下の罰金が科されます(12条4号)。
不正アクセス行為以外のサイバー犯罪を取り締まる法律とは
このように、不正アクセス禁止法は、いわゆるサイバー犯罪の中の一部の類型に対応するための法律です。「サイバー犯罪」の全体に関して言えば、電子計算機損壊等業務妨害罪や偽計業務妨害罪、名誉毀損罪など、その他の法律も問題になるケースがあります。サイバー犯罪の全体像に関しては下記記事にて詳細に解説しています。
アクセス管理者の義務
不正アクセス禁止法は、不正アクセス行為と罰則を定義するだけではなく、サーバ等の管理にも不正アクセスを防止する管理者の義務を課しています。
アクセス管理者による防御措置
第8条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする
「識別符号を適正に管理すること」「常にアクセス制御機能の有効性を検証すること」「必要に応じてアクセス制御機能の高度化」が義務付けられているわけですが、これらは、努力義務であるため、これらの措置を怠ったからといって罰則はありません。
しかし、管理者はIDやパスワードが流出した形跡があれば、速やかにアカウント削除やパスワード変更などのアクセス制御を行わなければなりません。
不正アクセス禁止法違反の事例
女子に人気の男子生徒のTwitterを乗っ取り
同級生の男子生徒のTwitterアカウントを乗っ取り、本人になりすまして、女子高生らに300回以上メッセージを送ったとして、兵庫県警は2017年1月30日、同県の高校3年男子生徒(18)を不正アクセス禁止法違反の疑いで逮捕しました。
逮捕容疑は前年9月から11月にかけて、女子生徒に人気のある男子生徒(18)のTwitterの認証サーバにパスワードを入力して、計63回ログインし、アカウントをフォローする他校の女子生徒らに「体を見せ合おう」「エッチな話をしよう」などとわいせつなメッセージを送ったというものです。
Facebook等に不正アクセス
Facebook等に不正アクセスを繰り返して個人情報を入手したなどとして、不正アクセス禁止法違反が問われた事案で、東京地方裁判所は2016年8月3日、被告(29)に、女性7人のFacebook等に238回にわたり不正にアクセスしたとし、犯行は常習的で執拗であり、不正アクセス成功時の達成感を得たい等の動機に酌量の余地はないとして、懲役2年6月の判決を下しました。ただし、覗き見た情報を流出させてはいないこと、前科がない等の事情を考慮し、執行猶予4年としました。
勤務する会社の顧客情報を不正に取得
東京地方裁判所は、2009年11月12日、勤務する会社の情報システムの開発、運用、一般ユーザーの支援等の業務を担当していた会社員(45)が、会社が保有する顧客情報を不正に取得し売却しようと企て、不正アクセス行為及びCD-Rを窃取した事案につき、懲役2年の実刑判決を言い渡しました。
情報の売却により35万円弱の利益を得た点を見過ごすことはできないとし、見るべき前科はなく、勤務先を懲戒解雇される等一定の社会的制裁を受けているという事情を最大限考慮しても、刑の執行を猶予すべき事案ということはできない、ということです。
サイバー攻撃犯に懲役8年の実刑判決
東京地方裁判所は2017年4月27日、フィッシングメールや遠隔操作ウイルス等を利用して複数企業のインターネットバンキングの識別符号を不正に取得し、不正ログインやそれに引き続く不正送金を行い、その他にも、データベースへの攻撃によりメールアドレスを取得したり、遠隔操作ウイルスを送信して実行可能な状態にさせたりした被告(32)に、不正アクセス行為の禁止等に関する法律違反、電子計算機使用詐欺、私電磁的記録不正作出・同供用、不正指令電磁的記録供用、電波法違反で有罪とし、懲役8年の実刑判決を言い渡しました。
様々な手法を用いてサイバー攻撃を行い、その上、犯行の発覚を免れるためにあらかじめ不正に取得した暗号化鍵を用いて他人の無線LANアクセスポイントへ接続し、ときには中継サーバも経由させて接続元を隠し、また、不正送金の前には連絡用メールアドレスを変更するなどしており、本件犯行の態様が巧妙で悪質であり、さらに、不正送金による財産的被害は合計519万円余りになること、しかも同種前科による前刑の仮釈放後間もなく本件各犯行に及んでいることから、こうした重い罪となったものです。
なお、こうしたタイプの攻撃の過程で犯人が送信した電子メールがある場合、その電子メールを足がかりにして犯人を特定する、という方法が、可能なケースもあります。ただ、民事レベルでは、これは一般論としては困難です。この点に関しては下記記事でも触れています。
不正アクセスを受けた場合の対策
メールやSNSなどを利用している場合、他人からの不正アクセス被害を受けることがあります。この場合、どのような対処が可能でしょうか。
刑事告訴する
まず、不正アクセスした相手を刑事告訴することが可能です。不正アクセスは犯罪であり、不正アクセスした人は刑事罰を受けることになります。上で解説したように、本人は3年以下の懲役又は100万円以下の罰金刑を受ける可能性がありますし、助長した人がいたら、1年以下の懲役又は 50万円以下の罰金刑を受ける可能性があります。
なお、不正アクセス禁止法違反は非親告罪なので、告訴がなくても警察がその事実を知ったら捜査を開始して、犯人を逮捕することが可能です。また、不正アクセスを受けた本人でなくても、その事実を知った人は警察に告発することができます。
また、業務妨害罪についての記事でも触れましたが、親告罪は「被害者による刑事告訴がないと起訴できない犯罪」ですが、「親告罪でなければ告訴できない」わけではありません。非親告罪の場合にも、被害者は犯人を告訴することができます。
非親告罪であっても、被害者が刑事告訴していると被疑者の情状は悪くなり、処罰が重くなる可能性があります。もし不正アクセスされたと気づいたら、弁護士に相談し、警察に被害届や告訴状を提出するとよいでしょう。被害届を受理したら、警察は速やかに捜査を進め、被疑者を逮捕したり送検したりしてくれます。
民事賠償を請求する
不正アクセスによる被害を受けた場合、加害者に対して民事的には、民法709条にもとづいて、損害賠償を請求することが可能です。
民法 第709条
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
加害者が不正アクセスして、そこで得た個人情報を拡散した場合、ソーシャルゲームのアイテムを盗んだ場合、クレジットカードや銀行口座などのデータにアクセスして、財産的被害を発生させた場合等には、慰謝料などを求めて損害賠償請求を行いましょう。 もちろん、クレジットカードや銀行口座などのデータにアクセスされて、実際に財産的被害が発生した場合には、それらの賠償請求も可能です
ただ、加害者に損害賠償請求をするためには、犯人を特定しなければなりませんし、その犯人が本当に不正アクセスをしたという証拠を集める必要があるので、高度に専門的な知識が必要となります。不正アクセスによる被害を受けたら、ネット問題の経験が豊富な弁護士に相談して手続きを依頼することが必要です。
