不正アクセス禁止法とは?不正アクセス対策と事例をわかりやすく解説
知らないうちに自分のLINEやTwitterが乗っ取られていた、パソコンを操作されていた、という経験はありませんか?
もしくは、そのような被害にあったという話を聞いたことがある方も多いかもしれません。
このような行為は「不正アクセス禁止法」違反に該当する可能性があります。
「不正アクセス禁止法」という名前は聞いたことがあるけど、具体的にどんな法律なのか知らない方も多いでしょう。
今回は、不正アクセス禁止法の基本知識から対策まで、詳しくご説明していきます!
不正アクセス禁止法とは?
不正アクセス禁止法は、正式名称を「不正アクセス行為の禁止等に関する法律」といいます。
この法律の目的は、コンピューター通信に関する犯罪防止やアクセス制御によって通信秩序の安全を守り、情報化社会の発展を目指すことにあります。
簡単にいえば、インターネットの安全な利用を守り、サイバー犯罪・サイバー攻撃を取り締まるための法律です。
そして、上記の目的を達するために、他者からの不正アクセス行為や不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為などを禁止しています。
不正アクセス告発に時効はあるの?
不正アクセスの告発に時効はありません。
ただ、不正アクセス禁止法違反の公訴(検察官が犯人を起訴すること)は犯罪が終わった後から3年と決められており(刑事訴訟法250条2項6号)、行為が終わってから3年が過ぎている場合は、その行為について処罰することはできません。
不正アクセスで禁止される行為
不正アクセス禁止法で禁止されている行為は、大きく分けて以下の4つがあげられます。
- ①不正アクセスをする行為(不正アクセス禁止法3条)
- ②不正アクセス目的で他人のパスワード等を取得する行為(同法4条)
- ②不正アクセスを助長する行為(同法5条)
- ③他人の識別符号を不正に取得・保管・入力要求する行為(同法6条、7条)
それぞれについて詳しく見ていきましょう。
①不正アクセス行為(不正アクセス罪・不正取得罪)
まず1つ目は、他人のコンピューターに不正にアクセスする行為の禁止です。
具体的には、主に「なりすまし行為」と「セキュリティ・ホールを攻撃する行為」の2つの様態があります。
このような不正アクセス行為を行った場合、3年以下の懲役又は100万円以下の罰金が科される可能性があります(同法11条)。
なりすまし行為
一般的な「なりすまし行為」というと、他人があたかも本人かのように装うことをイメージされる方が多いと思います。
しかし、ここでいう行為は「他人のIDやパスワードを勝手に使用して、他人の情報にアクセスすること」を指します。
例えば、Twitterに他人のIDとパスワードでログインすれば、それはなりすまし行為として不正アクセスにあたり得ます。
セキュリティホールを攻撃する行為
他人のコンピューターのセキュリティホールを攻撃し、そのコンピューターを利用できるようにする行為をいいます。
攻撃用のプログラム等を使って特殊なデータを入力し、相手のコンピューターのアクセス権限を外すことで無断で利用することなどが該当します。
DDoS攻撃は不正アクセス行為?
DoS攻撃またはDDoS攻撃(Webサービスを実施しているサーバなどに意図的に負荷をかけることでサービスを利用不能にしたり、妨害すること)は単なる攻撃手段ですので、通常はそれだけでは不正アクセス行為にはあたりません。
ただ、業務を妨害することにはなるので、業務妨害罪といった別の罪に該当する可能性はあります。
また、DoS攻撃を行うことによってアクセス防御を停止させ、保護されたデータにアクセスすると不正アクセス禁止法違反になる可能性があります。
②不正アクセス目的で他人のパスワード等を取得する行為
上記の不正アクセス行為に用いるため、他人の識別符号を取得する行為も禁止されています。
識別符号とは、パスワードだけでなくIDなども含まれます。
簡単にいえば、不正アクセス行為の準備が禁止されているということです。
これに違反した場合、1年以下の懲役または50万円以下の罰金が科される可能性があります(同法12条1号)。
③不正アクセス行為を助長する行為(不正助長罪)
3つ目は、他人のIDやパスワードを本人に無断で第三者に提供する行為の禁止です。
IDやパスワードを教える方法は手段を問いません。匿名掲示板などで公開したり、電子メールで送付する行為もこれに該当します。
提供相手がIDやパスワードを不正アクセスに用いることを知っていながら提供した場合、1年以下の懲役又は50万円以下の罰金が科される可能性があります(同法12条2号)。
また、相手が不正アクセスに用いることを知らなかったとしても、30万円以下の罰金が科される可能性があります(同法13条)。
④他人の識別符号を不正に保管・入力要求する行為
他人のIDやパスワードを不正アクセス目的で保管すること(不正保管罪)、IDやパスワードを入手するために情報を不正に入力させる行為(不正入力要求罪)も禁止されています。
不正入力を要求をする典型的な例としては、銀行のDMと装って口座と暗証番号を入力させるようなフィッシングがあげられます。
これらの行為を行った場合、1年以下の懲役又は50万円以下の罰金が科される可能性があります(同法12条3号、4号)。
不正アクセス禁止法のその他の規定
アクセス管理者に「防御措置」の努力義務(8条)
不正アクセス禁止法は、不正アクセスを防止するために以下のような義務をサーバー等の管理者に課しています。
- 識別符号(ID、パスワード等)を適正に管理すること
- 常にアクセス制御機能の有効性を検証すること
- 必要に応じてアクセス制御機能の高度化
ただし、これらは努力義務(任意で行う)であるため、この措置を怠ったからといって刑罰が科されるわけではありません。
都道府県公安委員会による援助措置(9条)
また、都道府県公安委員会にも不正アクセス行為の被害者に援助をするよう定めています。
この規定により、被害者から援助の要求があった場合、必要な資料の提供・助言・指導その他の援助を行うことになっています。
不正アクセス禁止法違反事例
それでは、実際にどのような事例が不正アクセス法違反として扱われるのか、見ていきましょう。
Twitter、Facebookなどの乗っ取り・なりすまし
他人のTwitterやFacebookアカウントにログインして乗っ取りをしたり、なりすまして利用したりした場合、不正アクセス禁止法に該当する可能性があります。
これは、有名人に限らず多くの人が被害にあっています。
最近では、Twitterでレイバンのサングラスを宣伝する「偽レイバン」のスパムによる乗っ取りが再発しているようです。
被害を受けた場合は、早急にパスワードを変更するようにしましょう。
ソーシャルゲームのログイン
他人のソーシャルゲームにログインし、そのデータを利用することは不正アクセスに該当する可能性があります。
2020年3月にも、他人のパズドラを起動し、自分のスマホにデータを移し替えてゲームアカウントを乗っ取ったとして、男性会社員が逮捕されています。
スマホ覗き見は不正アクセスになるか?
例えば、恋人の浮気を疑って携帯メールをチェックするなどの覗き見は不正アクセスになるのでしょうか。
不正アクセスとは「通信回線を利用して」データなどに不正にアクセスする行為を禁止しているものです。
つまり、本人が置いて行ったスマホ本体の中に既にあるデータを単純に見ただけでは、不正アクセスとはなりません。
もちろんそれでもプライバシー侵害の問題はあります。
ただ、「クローン携帯」といって、パソコンにバックアップしたスマホのデータを別のスマホに復元して全く同じ携帯を作る手法があります。
クローン携帯をつくった後に届いた新着メッセージを見た場合は、通信回路を利用しているといえるので、不正アクセス行為に該当します。
Zoom爆弾は不正アクセスになるか?
最近ではテレワークなどにZoomを使う方も多いのではないでしょうか。
Zoomは手軽に使うことができますが、第三者が入り込み、性的画像や動画によって妨害をするZoom爆弾(Zoom Bombing)が問題になりました。
この場合、URLを公開しているサーバーが一般に向けてアクセスを許していたりすると、不正アクセスとみなすことは困難であると言われています。
ただ、業務妨害罪といった他の罪が成立する可能性は十分にありますので、当該行為にはこのような規定に沿って対処することも1つの手です。
不正アクセスを受けた場合の対策
もし不正アクセスによる被害を受けた場合、どのように対処すればいいのでしょうか。
法的な対処としては、刑事告訴と損害賠償請求の2種類の方法があります。
刑事告訴、告発をする
まず、不正アクセス行為等をした相手を告訴することができます。
不正アクセス行為等は犯罪です。
先述したように、不正アクセス禁止法違反をした場合は「3年以下の懲役又は100万円以下の罰金」や「1年以下の懲役又は 50万円以下の罰金」、「30万円以下の罰金」が科される可能性があります。
また、不正アクセスは親告罪ではないので、自分が被害を受けたわけではないとしても不正アクセスを警察に告発し、具体的に捜査してもらうことが可能です。
損害賠償請求をする
また、不正アクセスによって損害を受けた場合には、民事裁判によって損害賠償請求をすることも可能です(民法709条)。
ただ、その場合はまず犯人を特定することや、その犯人が不正アクセスをした証拠を集める必要があります。
まとめ
以上が不正アクセスとその対処法についての解説です。
不正アクセスは誰でもできると同時に、誰でも被害にあう可能性があります。
このような行為を行わないことは勿論、いざ被害にあったときに対処ができるようにしておくと安心です。
また、被害にあったときに警察が動いてくれないケースや、特定を行う際に複雑な手続きを必要とするケースもあるので、そのような場合は一度弁護士に相談することをお勧めします。