こんな方へ
- 不正アクセス禁止法でどのような行為が禁止されているか確認したい
- 「不正アクセス」に当たるかどうかグレーゾーンを判断したい
- 他人のパスワードを教えてもらって使用した場合の問題を確認したい
- フィッシングサイト・不正ID取得行為が禁止されているか確認したい
- 不正アクセス行為の罰則を確認したい
この記事でわかること
- 不正アクセス禁止法の「不正アクセス行為」の定義と要件
- アクセス制御機能の突破・識別符号の不正取得・不正助長行為の違い
- 「権限なし」の判断基準(認証情報があっても権限外の操作はアウト)
- 罰則の内容
- 典型的なグレーゾーン(共有アカウント・退職後のアクセス等)
- 関連法令(刑法・不正競争防止法・個人情報保護法)との接続
結論:不正アクセス禁止法は「アクセス制御機能を突破する行為」を主軸とする
ポイント: 不正アクセス禁止法は「アクセス制御機能の突破」を主軸とする法律です。情報の管理・漏えいを主軸とする個人情報保護法、データ・記録の改ざんを主軸とする刑法(電子計算機損壊等業務妨害罪・電磁的記録不正作出罪等)、営業秘密の保護を主軸とする不正競争防止法とは規制対象が異なります。本記事はこの「アクセス制御機能の突破該当性」の判断を中心とします。
根拠条文:不正アクセス禁止法 第2条・第3条
| 禁止行為の類型 | 内容 | 条文 |
|---|---|---|
| 不正アクセス行為 | アクセス制御機能を突破してコンピュータ等を利用する行為 | 第3条 |
| 不正取得行為 | 不正アクセスに利用する目的での識別符号(ID・パスワード等)の取得・保管 | 第4条 |
| 不正助長行為 | 正当な理由なく他人の識別符号を第三者に提供する行為 | 第5条 |
| フィッシング行為 | 識別符号の入力を誘致するための偽サイト作成等(平成24年(2012年)改正で新設) | 第7条 |
重要: 不正アクセス行為が成立するには、対象システムに「アクセス制御機能」が設定されていることが前提です。アクセス制御機能のないシステムへのアクセスは本法の対象外となる場合がありますが、刑法(電子計算機損壊等業務妨害罪等)・不正競争防止法(営業秘密の不正取得等)・個人情報保護法(安全管理措置違反)等の他の法律が問題となる場合があります。
本記事の主軸:不正アクセス禁止法第3条の「不正アクセス行為」に該当するかの判断。本記事は不正アクセス行為の適用判断を中心とし、関連する禁止行為(不正取得・不正助長・フィッシング)の概要と、関連法令(刑法・不正競争防止法・個人情報保護法)との横断整理を扱います。個別事案の刑事罰の適用は警察・検察の捜査や司法判断によりますので、被害を受けた場合や具体的判断に迷う場合は警察(サイバー犯罪相談窓口)または弁護士への相談を推奨します。
今すぐやること
- 対象システムに「アクセス制御機能」が設定されているか確認する(ログイン認証等の有無)
- 自身のアクセス権限の範囲を確認する(利用規約・職務権限・委任の範囲)
- 不正アクセスの被害を受けた場合は速やかに警察(サイバー犯罪相談窓口)に通報する
- 企業・組織の場合は社内規程・インシデント対応手順に従って初動対応を行う
- 判断に迷うグレーゾーン(共有アカウント・退職後アクセス等)は弁護士に相談する
判断フロー:第3条の「不正アクセス行為」に該当するか
第3条の「不正アクセス行為」に該当するか?
NOTE: 詳細は本文へ。アクセス制御機能の定義は「① 不正アクセス禁止法の目的と対象」、突破行為の 3 類型(識別符号入力型・脆弱性攻撃型・機能無効化型)は「② 不正アクセス行為の類型」、グレーゾーン事案(共有アカウント・退職後アクセス・脆弱性検証等)は「④ 典型的なグレーゾーン」、本法適用がない場合の刑法・不正競争防止法等との関係は「⑥ 関連法令との横断整理」を参照してください。
① 不正アクセス禁止法の目的と対象
→ 不正アクセス禁止法は、コンピュータネットワークを通じた不正アクセス行為を禁止し、電気通信回線に接続した電子計算機に係る情報の適正な管理を確保することを目的としています。
根拠条文:不正アクセス禁止法 第1条・第2条
対象となるシステム
「特定電子計算機」とは、電気通信回線に接続している電子計算機をいいます。インターネットに接続されたサーバー・パソコン・スマートフォン等が対象となりますが、ネットワークに接続されていないスタンドアローンの機器は対象外とされています。
「アクセス制御機能」とは
アクセス制御機能とは、特定の者のみが利用できるよう設定された識別符号(ID・パスワード等)その他の方法によるアクセスの制限をいいます。ログインIDとパスワードによる認証がその典型例です。
② 不正アクセス行為の類型(第3条)
→ 第3条は、アクセス制御機能を不正に突破する行為を3つの類型で禁止しています。
根拠条文:不正アクセス禁止法 第3条
類型①:識別符号を入力する行為(いわゆる「なりすまし」)
アクセス制御機能により制限されているシステムに、権限なく他人の識別符号(ID・パスワード等)を入力してアクセスする行為です。
例: 他人のSNSアカウントのIDとパスワードを無断で入力してログインする行為
類型②:脆弱性を突く攻撃行為
識別符号以外の情報や指令を入力して、アクセス制御機能を突破する行為です。
例: SQLインジェクション・バッファオーバーフロー等の手法でシステムに侵入する行為
類型③:識別符号の入力を不要とさせる行為
攻撃プログラムを送信する等して、アクセス制御機能を機能させなくすることでアクセスする行為です。
権限外アクセスの重要点
「アクセスできる状態」でも「権限の範囲を超えた操作」は不正アクセスと評価される可能性があります(アクセス制御の態様・技術的制御の有無等によって判断されます)。 例えば、通常ユーザーとして認証されたにもかかわらず、管理者権限が必要な領域に不正にアクセスした場合等が該当し得ます。
③ 不正取得行為・不正助長行為・フィッシング行為(概要)
→ 不正アクセス行為の準備段階・周辺行為についても規制があります。詳細は警察庁の運用基準を参照してください。
根拠条文:不正アクセス禁止法 第4条・第5条・第7条
不正取得行為(第4条)
不正アクセスに利用する目的で、他人の識別符号を取得・保管する行為が禁止されています。
注意: 「利用する目的」という主観的な要素が必要とされています。目的の立証は個別の事情によります。
不正助長行為(第5条)
アクセス管理者・本人以外の者に対し、正当な理由なく識別符号を提供する行為が禁止されています。
例: 知人が他人のシステムに不正アクセスしようとしているのを知りながら、そのシステムのパスワードを教える行為
フィッシング行為(第7条・平成24年(2012年)改正で新設)
識別符号の入力を誘致するための偽サイト作成・メール送信等の行為が禁止されています。本規定は平成24年(2012年)改正により新設され、フィッシング詐欺の準備段階を独立して規制対象としました。
④ 典型的なグレーゾーン
→ 不正アクセスの成否は「権限の有無・範囲」の解釈が問題となる場面で判断が複雑になります。
退職者・元従業員によるアクセス
在職中に付与されていたIDとパスワードを、退職後も使用してシステムにアクセスした場合、アクセス権限が消滅した後のアクセスとして不正アクセスと評価される可能性があります。
権限は雇用関係・委託関係の終了によって消滅することが一般的とされており、その後の使用は「権限なし」のアクセスと評価されることがあります。
共有アカウント
複数人で共有するアカウントを、共有対象外の者が使用した場合の評価は、アカウント所有者の同意・利用規約の定め等の個別事情によって変わるとされています。なお、本人の同意があっても、利用規約や管理者の定めに反する場合は問題となることがあります。
「脆弱性の検証・テスト」行為
セキュリティ研究・脆弱性診断等の目的で、本来の権限外の操作を行った場合の評価は、対象システムの管理者からの正式な委託・許諾の有無が重要な判断要素とされています。管理者の許諾なく行った「善意の脆弱性調査」であっても、不正アクセスと評価される可能性がある点に注意が必要です。
⑤ 違反時の措置(罰則の概要)
→ 不正アクセス行為等への違反には刑事罰が定められています。
根拠条文:不正アクセス禁止法 第11条・第12条
| 違反行為 | 罰則の概要 |
|---|---|
| 不正アクセス行為(第3条違反) | 3年以下の懲役または100万円以下の罰金 |
| 不正取得行為(第4条違反) | 1年以下の懲役または50万円以下の罰金 |
| 不正助長行為(第5条違反) | 30万円以下の罰金 |
| フィッシング行為(第7条違反) | 1年以下の懲役または50万円以下の罰金 |
適用の実際: 実際の刑事罰の適用は事案の悪質性・被害の規模・影響等を踏まえて判断されます。各罰則の細かい運用や量刑基準は警察庁・検察の運用ガイドラインを参照してください。
民事上の責任: 不正アクセス行為によって損害が生じた場合、不法行為(民法第709条)として損害賠償請求の対象となる場合があります。
⑥ 関連法令との横断整理
→ 不正アクセス禁止法でカバーされない事案も、刑法・不正競争防止法・個人情報保護法等で規制される場合があります。
| 関連法令 | 主軸 | 不正アクセス禁止法との関係 |
|---|---|---|
| 刑法(140AC0000000045) | データ・記録の改ざん | アクセス制御機能のないシステムへの侵入や、データの改ざん・破壊行為(電子計算機損壊等業務妨害罪・電磁的記録不正作出罪・私電磁的記録不正作出罪等)は刑法の対象。不正アクセスと併合罪となる場合あり |
| 不正競争防止法(405AC0000000047) | 営業秘密の保護 | 不正アクセスにより営業秘密を取得した場合、営業秘密侵害罪としても処罰対象。不正アクセスとの併合罪 |
| 個人情報保護法(415AC0000000057) | 個人情報の管理 | 不正アクセスにより個人情報が漏えいした場合、事業者には個人情報保護委員会への報告義務(法第26条)が発生 |
| 電子計算機使用詐欺罪(刑法第246条の2) | 財産的被害 | 不正アクセスを利用して財産的利益を得た場合は別途処罰対象 |
実務上の整理: 同一の事案に複数の法律が適用されることが多く、刑事罰・行政措置・民事責任が並行して問題となる場合があります。被害を受けた場合は速やかに警察への通報・弁護士への相談を行ってください。
このテーマで使う条文一覧
| 条文 | 法令 | 区分 | 内容 |
|---|---|---|---|
| 第2条 | 不正アクセス禁止法 | 中核 | 定義(不正アクセス行為・識別符号・アクセス制御機能) |
| 第3条 | 不正アクセス禁止法 | 中核 | 不正アクセス行為の禁止(3類型) |
| 第4条 | 不正アクセス禁止法 | 中核 | 不正取得行為の禁止 |
| 第5条 | 不正アクセス禁止法 | 中核 | 不正助長行為の禁止 |
| 第7条 | 不正アクセス禁止法 | 中核 | フィッシング行為の禁止(平成24年改正で新設) |
| 第1条 | 不正アクセス禁止法 | 周辺 | 目的 |
| 第11条 | 不正アクセス禁止法 | 周辺 | 罰則(不正アクセス行為) |
| 第12条 | 不正アクセス禁止法 | 周辺 | 罰則(不正取得・不正助長・フィッシング) |
まとめ
- 不正アクセス禁止法は「アクセス制御機能を突破する行為」を主軸として禁止します(第3条)
- 「他人のパスワードを使わなければセーフ」は誤りです。 脆弱性を突く攻撃・権限外アクセスも不正アクセスと評価される可能性があります
- 「認証情報があっても権限範囲外の操作は違反となる可能性があります」。退職後のアクセス・権限外領域へのアクセスは要注意です
- 不正アクセスの「準備行為」(識別符号の不正取得・提供・フィッシング)も別途禁止されています(第4条・第5条・第7条)
- 不正アクセスの成否は「アクセス制御機能の存在」「権限の有無・範囲」「アクセスの態様」を3 ステップで総合的に判断します
- 適法となる目安: 管理者・権利者からの正式な許諾があり、付与された権限内でアクセスし、利用規約に準拠している場合は問題にならないとされます(ただし、形式的に権限が付与されていても、目的外利用が問題となる場合があります)
- 「善意の脆弱性調査」であっても、管理者の許諾なく行った場合は不正アクセスと評価される可能性がある点に注意が必要です
- 違反した場合は3年以下の懲役または100万円以下の罰金の対象となる可能性があります(第11条)
- アクセス制御機能のないシステムへの侵入や、データ改ざん・営業秘密取得・個人情報漏えい等は、刑法・不正競争防止法・個人情報保護法の対象となる場合があります
- 判断が難しいケースや被害を受けた場合は、警察(サイバー犯罪相談窓口)または弁護士への相談を推奨します
自分の行為が不正アクセスに当たるかどうかの具体的な判断は個別の事情によって異なるため、弁護士への相談をおすすめします。