セミナー情報不正アクセス禁止法とは?事例で理解する違反行為と罰則
不正アクセスとは、本来アクセス権限のないコンピュータへ他人の識別符号を無断入力したり、脆弱性を突いたりして内部へ入り込む行為を指します。
この記事では、不正アクセスを禁止する法律についての解説や、法的に規制される具体的な違反例、違反した場合の罰則について分かりやすく説明いたします。
・法律制定に至った経緯と必要性
・不正アクセス禁止法で罰せられる5つの違反行為
・違反した場合の罰則は?懲役や罰金の重さを解説
・実際にあった不正アクセス禁止法違反の検挙事例
・組織が不正アクセス被害を防ぐために実施すべき対策
・まとめ
不正アクセス禁止法について
不正アクセス禁止法とは、正式名称を「不正アクセス行為の禁止等に関する法律」といい、ネットワーク社会の安全を維持するために定められた法律です。この法律の中心的な規定は、アクセス制御機能により制限されているコンピュータやネットワークサービスに対し、正当な権限なくアクセスする行為を禁止する点にあります。
具体的には、他人のID・パスワード(識別符号)を無断で使用する行為や、システムの脆弱性を悪用してアクセス制限を回避する行為などが該当します。
違反した場合には、懲役や罰金などの刑事罰が科されます。
また、アクセス管理者に対しても適切な防御措置を講じる努力義務が課されており、組織と個人の情報資産を保護するための法律的な枠組みとして重要な位置づけとなっています。
法律制定に至った経緯と必要性
不正アクセス禁止法が制定された背景には、インターネットの利用が急速に拡大した1990年代後半の社会状況があります。当時は他人のIDやパスワードを悪用した不正ログインが問題化し、ネットワーク経由の侵入への対応が大きな課題となっていました。
それ以前も刑法の規定による対処は可能でしたが、アクセス制御を回避してログインする行為そのものを直接処罰する規定はありませんでした。そのため、実害が出る前の取り締まりや認証情報の不正入手への対応には限界があったといえます。
このような背景から、2000年に本法律は施行されました。不正アクセス行為に加え、識別符号の不正取得などの助長行為も規制対象としたことで、組織の安全を守るための法的な線引きが明確になりました。
不正アクセス禁止法で罰せられる5つの違反行為
不正アクセス禁止法では、「何人も、不正アクセス行為をしてはならない(第三条)」と定められています。しかし、処罰の対象は実際の不正侵入だけではありません。不正アクセスにつながる準備行為や、第三者を手助けする行為も処罰の対象です。
ここでは、違反となる代表的な5つの類型を解説します。
1.他人のID・パスワードを用いた不正侵入行為(不正ログイン)
他人のIDやパスワードといった識別符号を、正当な理由なく使用してコンピュータやサービスへログインする行為は、不正アクセスにおける最も典型的な例です。
一般的に「なりすまし」と呼ばれ、たとえ家族や知人から一時的な許可を得ていたとしても、サービスの利用規約で本人以外の利用を禁じている場合は違反に問われる可能性があります。
自分以外の誰かの識別符号を無断で用いて、制限された機能を利用することは法律で明確に禁止されています。
昨今は、悪意がない操作であっても、組織のルールや法律に抵触するリスクがあるため十分に注意しなければなりません。
個人の情報資産を守るうえでも、他人の情報を預かったり安易に共有したりしない姿勢が求められます。
2.セキュリティの欠陥(脆弱性)を攻撃してシステムに侵入する行為
IDやパスワードなどを入力することなく、コンピュータのアクセス制御機能を回避して内部に侵入する行為も、不正アクセスとみなされます。これは、プログラムの設計上のミスや不具合であるセキュリティホール(脆弱性)を悪用する攻撃です。
例えば、Webサイトのアプリケーションに特殊な文字列を送りつけて認証をすり抜け、データベースに不正にアクセスするような手口がこれに該当します。識別符号を使わない場合でも、システムの防御機能を無力化して侵入すれば処罰の対象となります。
3.不正な目的で他人の識別符号を取得する行為
不正アクセスをおこなう目的で、他人のIDやパスワードといった識別符号を不正に取得する行為も禁止されています。
この代表例が、実在する組織を装った電子メールを送りつけ、偽のウェブサイトへ誘導して情報を盗み取るフィッシング詐欺です。
メールの内容を信じ込ませ、IDやパスワード、クレジットカード情報などを入力させる手口がこれにあたります。このように、他者を欺いて重要な情報を取得する行為は、不正アクセスをおこなうための準備行為として処罰されます。
4.不正アクセスをさせる目的で他人に識別符号を提供する行為
不正アクセスをおこなうことを知ったうえで、業務などの正当な理由なく、他人のIDやパスワードを第三者に教えたり、販売したりする行為も処罰の対象です。これは不正アクセス行為を助長する行為とみなされます。
例えば、不正に取得したアカウント情報をリスト化し、犯罪者に販売するようなケースが該当します。自身が直接不正アクセスをおこなわなくても、犯罪を手助けした時点で罪に問われることになり、第4条の不正取得や第6条の不正保管と並んで厳しく規制されています。
5.不正に取得した他人の識別符号を保管する行為
不正アクセスに利用する目的がある場合に、フィッシングなどで不正に得た他人のIDやパスワードを、自身のコンピュータや記録媒体に保管する行為も禁止されています。
実際に不正アクセスをおこなう前の準備段階であっても、この保管行為自体が処罰の対象です。のちに不正ログインする目的で、盗み取ったIDとパスワードのリストをテキストファイルに保存しておくようなケースがこれにあたります。
犯罪の実行を未然に防ぐため、準備行為である保管も規制の対象に含まれます。
違反した場合の罰則は?懲役や罰金の重さを解説
不正アクセス禁止法に違反した際、その行為の内容によって科される罰則の重さが変わります。具体的には懲役や罰金が規定されており、不正アクセスを直接おこなった場合と、それを助長する行為とでは区別されます。
これらの違反により被害者が発生すると、刑事罰だけでなく民事上の損害賠償責任を問われる可能性も否定できません。
組織の信頼を維持するためにも、どのような行為が抵触するのかを正しく把握しておく必要があります。
不正アクセス行為をおこなった場合の罰則
他人のID・パスワードを利用したなりすましや、システムの脆弱性を突いて侵入するなどの不正アクセス行為を直接おこなった場合、「3年以下の懲役または100万円以下の罰金」が科されます。これは不正アクセス禁止法における最も重い罰則です。
情報漏洩や金銭的被害など、社会に与える損害が大きいことから、厳しい処罰が規定されています。
実際に不正な操作をしなかったとしても、ログインした時点でこの罪が成立する可能性があります。
不正アクセスを助長する行為などをおこなった場合の罰則
不正アクセスをおこなう目的で他人のIDやパスワードを不正に取得したり、第三者に提供したり、あるいはそれらを保管したりといった助長行為には、「1年以下の懲役または50万円以下の罰金」が科されます。金融機関などを装って情報を入力させるフィッシング行為もこの罰則の対象です。
これらの行為は、不正アクセスという重大な犯罪の準備や手助けとみなされるため、直接的な侵入行為でなくとも処罰の対象とされています。
不正アクセス禁止法の公訴時効は何年?
不正アクセスの罰則は、最も重いもので3年以下の懲役と定められており、刑事訴訟法の規定に基づき時効期間も3年となります。ただし、不正アクセスを助長する行為の一部については、より短い時効が適用される場合がある点に注意が必要です。
組織として被害に遭った際、時効を過ぎると法的追及が困難になるため、不正を検知した場合は速やかな対応が求められます。
実際にあった不正アクセス禁止法違反の検挙事例
不正アクセス禁止法は、サイバー空間におけるさまざまな犯罪を取り締まるために、実際の事件で数多く適用されています。
法律の条文だけではイメージしにくい部分も、具体的な検挙事例をみることで、どのような行為が違反となるのかがより明確に分かります。
ここでは、実際に報道された事例を紹介します。
元従業員が退職後に社内システムへ不正ログインしたケース
2023年1月、電気機器会社において、退職した元従業員が在職中に知り得た元同僚や上司のID・パスワードを用いて、以前勤務していた企業の社内ネットワークへ不正にログインした事例がありました。
当該人物は、退職後も有効なままだったアカウント情報を悪用し、社内サーバーに保存されていた業務データへアクセスし、一部のファイルを削除するなど、業務に支障を与える行為をおこなっていたとされています。企業側が不審な通信ログを確認したところ、退職済みの人物に関連する通信履歴が発覚しました。
IPアドレスの照合などから不正アクセスが判明し、警察への相談を経て検挙に至ったとのことです。
フィッシングサイトで得た情報でネットバンキングに不正アクセスしたケース
実在する金融機関を装った偽のウェブサイトを作成し、不特定多数に偽のメールを送信してサイトへ誘導、IDやパスワードなどを不正に取得する被害が近年急増しています。
実際に逮捕されたケースでは、その情報を使って他人のインターネットバンキングに不正アクセスし、預金を自分たちの口座へ不正に送金していました。
この場合、不正アクセス禁止法違反だけでなく、詐欺罪や窃盗罪など、複数の罪で起訴されることが一般的です。
他人のSNSアカウントを乗っ取るケース
SNSに不正にログインされると、スパムメッセージの送信やギフトカードの詐取、不正取引による金銭的損害など、深刻な被害を招きます。
悪意のある第三者が知人を装って電話番号を聞き出し、認証情報を聞き出す手口は定番です。
また、DMからフィッシングサイトへ誘導したり、悪質なアプリと連携させたりしてアカウントを乗っ取る手法も増えています。
組織が不正アクセス被害を防ぐために実施すべき対策
組織は不正アクセスの被害に遭うだけでなく、セキュリティ対策の不備から自組織のサーバーが攻撃の踏み台にされ、加害者側になるリスクも抱えています。そのため、アクセス管理者には法律のうえでも防御措置を講じる努力義務が課せられました。
巧妙化するサイバー攻撃から組織を守るためには、技術的な対策とあわせて運用面の整備も欠かせません。万が一問題がおこると、組織の信頼失墜や多額の損害賠償につながる恐れがあります。
また、不正アクセスを認知した際は、速やかに警察等へ通報をおこなう体制を整えておきましょう。ここでは、管理者として最低限実施すべき具体的な手法について説明します。
パスワード管理の徹底と多要素認証の導入
最も基本的な対策は、従業員のパスワード管理を徹底することです。容易に推測できるパスワードを禁止し、定期的な変更を義務付けるルールを整備します。
しかし、パスワードだけに頼る認証には限界があるため、IDとパスワードに加えて、スマートフォンアプリやSMSで送られる確認コードなどを組み合わせる多要素認証(MFA)の導入が非常に効果的です。この仕組みは、万が一パスワードが漏れても不正ログインを防ぐ強力な手段です。
システムの脆弱性を定期的に診断し、速やかに修正する
利用しているOSやソフトウェアにセキュリティ上の欠陥(脆弱性)が発見された場合、それを放置すると攻撃者に侵入の足がかりを与えてしまいます。
ソフトウェアの提供元から修正プログラム(セキュリティパッチ)が公開された際は、速やかに適用することが不可欠です。
さらに、自社のシステムに未知の弱点がないかを確認するため、定期的に専門家による脆弱性診断を受け、客観的な評価のもとで計画的にセキュリティレベルを向上させていく姿勢が求められます。
弊社が提供しているIT資産管理ツール「SS1」では、組織内のPCにおける更新プログラムの適用状況を一覧で把握できます。未適用の端末を抽出して一斉にパッチを配信できるため、作業漏れを防ぎ、常に最新の安全な状態を維持することが可能です。詳細は参考ページよりご覧ください。
全従業員を対象とした情報セキュリティ研修の実施
不正アクセスの多くは、従業員の不注意や知識不足がきっかけでおこります。
そのため、最新のツールを導入する技術的な対策とあわせて、人的な対策も欠かせません。迷惑メールの見分け方や、安全なパスワードの作成・管理方法、公共Wi-Fiの危険性など、情報セキュリティに関する知識を全従業員に浸透させるための研修を定期的に実施します。
これにより、組織全体のセキュリティ意識を高め、うっかりミスによるインシデントのリスクを低減させます。
まとめ
不正アクセス禁止法は、ネットワーク社会における安全と信頼を支える重要な法律です。なりすましや脆弱性攻撃といった直接的な侵入行為だけでなく、識別符号の不正取得や提供、保管などの助長行為も処罰対象となります。
違反すれば懲役や罰金といった刑事罰が科されるだけでなく、組織としての社会的信用を大きく損なう恐れがあるため、十分な注意が必要です。
IT資産管理ツールSS1
では、OSやソフトウェア情報の一元管理、更新プログラムの配布、操作ログの取得、デバイス制御など、不正アクセス対策に有効な機能を備えています。
法令遵守と情報資産保護を両立するためにも、組織全体でのセキュリティ体制強化をご検討ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
