【JAPiCO】 一般社団法人 日本個人情報管理協会



第23回 不正アクセス禁止法

「不正アクセス行為の禁止等に関する法律」は1999年に成立した。インターネットが普及し始めて国境を越えて行われるサイバー犯罪が急増してきたため、主要国首脳会議(サミット)で、主要各国が協調して防衛に当たることを決め、日本も警察庁が中止になって成立させた。インターネットが中心だが、コンピュータネットワークを使った通信で、アクセス権限がない人がコンピューターにアクセスする(不正アクセス)ことを禁止するとともに、不正アクセスを助長する行為を規制した。

当時の通産省や郵政省など関係する省庁も多く、調整には時間がかかったが、国際協調案件で期限が決められていたことから、警察庁の意見が通って刑事罰が科せられることになった。特に、不正アクセス犯の捜査のためには攻撃に利用された経路を特定しなければならないので、ISP事業者にログを保存する期間を延長するように決めたが、一方で郵政省側からは、通信の秘密保護の観点から保存期間を短くするように求められており、そうした調整が手間取った。罰則は「3年以下の懲役又は100万円以下の罰金」となった。

では、「不正アクセス行為」とはどういう行為か。
「電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為」
あるいは、
「電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為」
あるいは、
「電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為」というものである。法律にすると正確を期すために表現が難しくなる。

さらに、2012年の改定で、他人のパスワードなどを取得する行為も禁止されている。
「不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはならない」。違反者には不正アクセスそものよりはやや軽い処罰があって、「1年以下の懲役又は50万円以下の罰金」が規定されている。

不正アクセスを予防するため、パスワードなどを権利のない人に提供することも禁じられた。「業務その他正当な理由による場合を除いては、他人の識別符号(パスワード等)を、アクセス管理者及び利用権者以外の者に提供してはならない」。罰則は「1年以下の懲役又は50万円以下の罰金」である。

同様に、不正アクセスを予防するため、不正に取得されたパスワードなどの保管も禁止された。「不正アクセス行為の用に供する目的で、不正に取得された他人の識別符号を保管してはならない」。罰則は、同様に、「1年以下の懲役又は50万円以下の罰金」である。

また偽サイトなどでパスワードなどを収集することも明示的に禁止された。

「識別符号の入力を不正に要求する行為の禁止」で「フィッシングサイト構築及び電子メール送信によるフィッシング行為を禁止する」とされ、「違反者は1年以下の懲役又は50万円以下の罰金に処せられる」とされた。

犯罪者側だけではなく、正当なサイト管理者にも「防御義務」が課せられている。
「アクセス管理者は、識別符号等の適切な管理、アクセス制御機能の検証および高度化、その他不正アクセス行為から防御するために必要な措置を行う努力義務がある」とされている。ただし、努力義務で、罰則はない。

不正アクセスは犯罪である。自分の技術を試すために、といって、他人になりすましてサイトをのぞき込む、などの行為は厳に慎まなければならない。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization