不正アクセス禁止法の目的
不正アクセス禁止法の正式名は「不正アクセス行為の禁止等に関する法律」です。
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html
刑法にも電磁的記録への不正行為に関する罰則規定がありますが、近年、ネットワークを介した犯罪が増加、多様化しており、不正アクセス禁止法はそれに対処するために制定されました。
- (目的)第1条
この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。
- (不正アクセス行為の禁止)第3条
何人も、不正アクセス行為をしてはならない。
不正アクセスの対象
ネットワークに接続されたコンピュータを特定電子計算機といいます。不正アクセス行為の対象は、アクセス制御機能をもつ特定電子計算機に対して、ネットワークを介して行われる不正行為です。
不正アクセス行為
不正アクセス禁止法は、次の3つを「不正アクセス」だと定義しています(第2条の2)。
ここで「アクセス制限特定利用」とは、アクセス機能により制限されている機能のことで、あるファイルの閲覧、更新など、ソフトウェア(ウイルス等も含む)の登録、実行、変更などを指します。
- 他人の認識符号(IDやパスワードなど)により、アクセス制限特定利用ができる状態にすること
- アクセス制限を回避する情報や指令を入力して、アクセス制限特定利用ができる状態にすること
- 2により、特定電子計算機のネットワークを介して、他の特定電子計算機のアクセス制限特定利用ができる状態にすること
不正アクセス禁止法の適用・非適用
次のような場合は、不正アクセス禁止法が適用されます。
- 実際に不正行為による被害が発生しなくても、「できる状態にすること」だけで不正アクセス行為として罰せられます。
例えば、アクセス可能な認識符号を何らかの手段で取得すると、実際にその認識符号を使って不正アクセスをしなくても、対象になります。
- 部外者がサーバのセキュリティホールを探して、それを利用して不正ができることを見つけたような場合も対象になります。
- 内部不正も対象になります。社内ネットワークを介して、接続している自社サーバに、他人になりすましてアクセスしたり、アクセスする権限はあっても自分には許されていないファイル盗見やデータ改ざんをしたりすることです。
次のような不正行為は、不正アクセス禁止法の対象にはなりません。刑法などが適用されます。
- USBメモリなどの外部記憶装置のデータを盗んだり改ざんするのは、特定電子計算機ではないし、ネットワークを介していないので、対象になりません。
- 対象がアクセス制御機能をもっていないと対象になりません。
ウイルス付きの電子メールを送付することは、通常のパソコンは電子メール受信自体は制限していないので、アクセス制御機能を回避したとはいえません。
- 無線のインターネット接続で接続制御をしていないと、他人にタダ乗りされることがありますが、これもアクセス制御機能をしていないことから対象になりません。
- 権限のない者による行為が対象ですから、例えば、給与システムの入力担当者が、不正に自分の給与を高く改ざんするのは対象外です。
- 自分のWebサーバに利用者を誘導してウイルスに感染させた場合、対象が自分のWebサーバであり、利用者が自らウイルスを取り込んだのですから対象外です。
付帯禁止事項
他人の認識符号の取得や提供について、次のことが禁止されています。
- 不正アクセスを行う目的で、他人の認識符号を取得(第4条)、保管(第6条)すること。
- 正当な理由なしに他人の認識符号を第三者に教えること(不正アクセス行為を助長する行為)(第5条)
- アクセス管理者になりすまして、識別番号を入力させて、不特定者が閲覧できる状態(Webページへの登録など)にすること。(第7条)
アクセス管理者の努力義務(第8条)
アクセス管理者に対しては、識別符号の適切な管理、アクセス制御機能の維持向上などを努力義務としています。
「努力義務」とは、罰則のない規定ですが、努力が不足していると認められると、不正アクセスにより損害を受けても裁判などで不利になることがあります。