一般企業法務CATEGORY
一般企業法務
代表弁護士 中川 浩秀

不正アクセス禁止法とは?規制対象となる行為・改正の概要・違反事例も解説

インターネットが普及し、キャッシュレス化が推進される中、不正アクセス禁止法の規制対象となる不正アクセス行為による被害を受ける企業が増えています。

不正アクセス禁止法の規制対象や不正アクセス行為を防ぐための防御策などをしっかり理解しておきたいという方もいらっしゃるのではないでしょうか?

今回は不正アクセス禁止法の概要、規制対象となる不正アクセス行為、不正アクセス禁止法の違反事例、罰則規定や時効、被害を受けた際の対処法、アクセス管理者の義務や不正アクセス行為の予防策などについて解説します。

不正アクセス禁止法とは

不正アクセス行為の禁止等に関する法律(以下、「不正アクセス禁止法」という)は1999年8月に公布され、2000年より施行された情報セキュリティ関連の法律です。不正アクセス禁止法には以下の2つの側面があります。

  • インターネットなどのネットワーク経由の不正アクセス行為や、IDやパスワードの不正入手など、不正アクセス行為につながる行為の禁止・処罰規定
  • 不正アクセス行為を受ける側のアクセス管理者が的確な防御措置を講じられるよう、行政が援助するという防御側の対策の規定

上記2つの側面から不正アクセス行為を防止して、高度情報通信社会の健全な発展に貢献することが不正アクセス禁止法の目的です(同法第1条)。

2012年法改正の概要と背景

不正アクセス禁止法は2012年に行われた改正により、規制対象が拡大し、罰則が強化されました。改正の背景には、大手企業に対するサイバー攻撃やインターネットバンキングにおける不正送金などの重大な事件が多発したことから、サイバー犯罪への取締強化が求められていたことがあります。主な改正内容について説明します。

1. フィッシング行為の禁止・処罰

改正法により、フィッシング行為が禁止され、違反者には1年以下の懲役又は50万円以下の罰金が科されると定められました(同法第7条及び第12条第4号)。フィッシング行為とは、知名度の高い大手企業などの実在する組織が運営しているサイトを装った「フィッシングサイト」と呼ばれる偽サイトに、メールのリンクなどから誘導し、氏名やユーザー名、ID、パスワード、クレジットカード番号、金融機関の暗証番号などの個人情報を騙し取る行為です。大手企業が運営しているサイトと誤認させることにより、個人情報を騙し取ることを目的とした非常に悪質な不正行為です。しかし、2012年以前は、フィッシング行為に対する法規制が存在しませんでした。法改正により、個人情報を騙し取る行為だけではなく、偽サイトの開設自体も規制対象となったため、被害発生の抑止につながったと評価されています。

2.IDやパスワードの不正取得・不正保管の禁止・処罰

改正法では、不正アクセス行為を禁止することの実効性確保を目的として、処罰の対象となる行為を不正アクセス行為につながる危険性がある行為にまで拡大しています。
具体的には以下の規定が新設されました。

  • 不正取得(同法第4条):不正アクセス行為のために正当な理由なく他人のIDやパスワードなどの情報を取得する行為
  • 不正保管(同法第6条):他人のIDやパスワードなどの情報を不正に保管する行為

どちらも、違反者には、1年以下の懲役又は50万円以下の罰金が科されます(同法第12条第1号及び第3号)。

規制対象となる不正アクセス行為

不正アクセス禁止法により禁止されている不正アクセス行為とは具体的にどのような行為なのでしょうか?具体的な事例を挙げて説明します。

1.不正アクセス行為の典型的な例

不正アクセス行為とは、コンピュータやネットワークのセキュリティを侵害して、本来アクセスする権限のないコンピュータを故意に利用する行為のことです。以下は、不正アクセス行為の典型例です。

  • ウェブサイトのセキュリティの脆弱性を悪用し、ログイン認証を回避して不正にアクセスするハッキング行為
  • 大手銀行や企業など実在する組織名を使用した偽サイトに誘導して個人情報を騙し取るフィッシング行為
  • 個人のメールアカウントに不正ログインし、スパムメールなどの踏み台として悪用する行為
  • 特定の組織をターゲットとして、その組織のサーバーに不正に侵入して情報の取得などを試みる攻撃
  • 閲覧することで利用したPC をマルウエアに感染させるサイトの運営
  • 大量のパケットやデータを送信し、ネットワークやホストのサービス運用を妨害する行為

2.被害の有無に関わらず不正アクセス行為となる

不正アクセス行為が成立する要件には、個人情報などのデータを盗んだり、スパムメールを送ったりなどの不正行為は含まれていません。つまり、誰にも被害を与えていない場合でも、不正アクセス禁止法に違反したとされるのです。

例えば、不正に入手した他人のIDとパスワードを使用してサーバーに侵入しただけでも不正アクセス禁止法第2条第4項第1号で定められている不正アクセス行為に該当し、処罰の対象となります(同法第3条及び第11条)。また、妻が夫の浮気を疑って相手のメールやLINEに不正にアクセスするなど夫婦・家族間で行われたとしても本来アクセス権を持たない場合は、不正アクセス行為に該当します。

不正アクセス禁止法の罰則規定と時効

不正アクセス禁止法に違反した者に対する罰則規定と時効について説明します。

1.3年以下の懲役又は100万円以下の罰金

不正アクセス禁止法に違反した者に対しては、3年以下の懲役又は100万円以下の罰金が科されます(同法第11条)。2012年度の改正前は、1年以下の懲役又は50万円以下の罰金とされていましたが、改定により法定刑が引き上げられました。

また、他人のIDやパスワードなどの不正取得・保管や不正アクセス行為を助長する行為など不正アクセスに準ずる行為に対しては、1年以下の懲役又は 50万円以下の罰金刑が科されます(同法第12条)。

2.不正アクセス禁止法違反の時効は?

不正アクセス禁止法違反は、「長期五年未満の懲役若しくは禁錮又は罰金に当たる罪」に該当するため、公訴時効は3年です(刑事訴訟法第250条2項6号)。公訴時効というのは、刑事手続上の概念で、犯罪行為が終わった時点から起算して公訴提起が可能な期間のことです。

不正アクセス禁止法の違反事例

不正アクセス禁止法の違反事例について、被害額が数千万円以上に上るような大規模な事例も珍しくありません。一方、10代の若者が些細な動機により違反する事例も増えています。2019年後半に報道された不正アクセス禁止違反の事例の中から両者の事例をご紹介します。

1.被害額3千万円を超えたスマホ決済サービスの事例

2019年後半に発生した不正アクセス禁止違反事件の中でも、特に大きな注目を集めたのがコンビニ大手セブンーイレブンのスマホ決済サービス「7pay(セブンペイ)」の事件です。
7payは2019年7月1日にサービスを開始しましたが、開始直後から不正なアクセスによりクレジットカードから勝手にチャージされて商品を購入されるなどの被害が相次ぎました。2019年7月末までに判明した被害者の人数は808人、被害総額は約3,860万円に上るそうです。

事件の原因をセブンーイレブンが調査したところ、「リスト型アカウントハッキング」と呼ばれる攻撃を受けた可能性が高いとのことです。「リスト型アカウントハッキング」とは、
事前に入手したIDとパスワードを用いて、利用者になりすまして不正アクセスを行う手口です。経済産業省から、「キャッシュレス推進協議会の定めるガイドラインが遵守されていなかった」という指摘を受け、セブンーイレブン側はガイドラインを準拠した対策を講じる方針を示したものの、2019年9月末にはサービス終了となりました。

2.中学3年生の男子生徒によるハッキングの事例

2019年12月、新潟県長岡市の中学3年生の男子生徒が不正アクセス禁止法違反の疑いで書類送検されたという報道がありました。この男子生徒は、自分のスマートフォンから遠隔操作で教職員用のサーバーに不正に侵入し、自身の成績表を改ざんしたそうです。10代の若者の一部には、ハッキングはカッコいいという価値観が浸透しています。この男子生徒のように学校内のサーバーに簡単に不正アクセスできる能力を持つ生徒は珍しくありません。不正アクセスの目的として全世代を通して多いのは、「顧客データの収集等、情報を不正に入手するため」「不正に経済的利益を得るため」などです。しかし、10代の若者の場合は、オンラインゲームやSNSなどで他人になりすまして不正行為をするなど、上記目的以外の目的で行うことが多いようです。

被害を受けた際の対処法

不正アクセスによる被害が発覚した場合、できる限り早めに警察に相談することが大切です。不正アクセス禁止法違反は、被害者などの告訴が必要とされない非親告罪ではありますが、そもそも警察が事件の発生を知らないと、捜査を開始することは不可能です。
前述の中学3年生の男子生徒による不正アクセス禁止法違反も、不正アクセスに気づいた学校側が警察に相談したことにより犯行が発覚し、書類送検につながりました。

不正アクセス行為の防御策とアクセス管理者の義務

不正アクセスによる被害は発生後に対処しても既に手遅れという場合も多いため、防御策を講じることも重要です。不正アクセス禁止法で規定されている防御側の義務や具体的な防御策について説明します。

1. 防御策としてのアクセス管理者の義務

不正アクセス禁止法では、不正アクセス行為を受ける側のアクセス管理者に対して以下のような義務を課しています(同法第8条)。

  • 識別符号等(ログインIDやパスワードなど)の適切な管理
  • アクセス制御機能の検証および高度化
  • その他不正アクセス行為から防御するために必要な措置

ただし、これらの義務を怠った場合の罰則規定はありません。

2. アクセス管理者=システム管理者ではない

アクセス管理者という言葉から、企業のシステム管理者をイメージする方もいらっしゃるようですが、不正アクセス禁止法でいうアクセス管理者は、システムを所有する法人自体を指しています。つまり、企業などでシステム管理者という立場で働いている一個人が不正アクセス禁止法で定める義務を負うことはありません。

3. 具体的な防御策

具体的な防御策として特に重要なIDとパスワードの管理、セキュリティ・ホール攻撃への対応について説明します。

①ID、パスワードの適切な管理

不正アクセス行為の被害の原因として最も多いのは、ID、パスワード管理の不備だと言われています。パスワードが初期設定(デフォルト)のまま利用されているなど、セキュリティ意識の低い運用が行われているサイトは、悪意を持つ犯人にとって格好の標的となります。最低限、初期設定のパスワードの変更を必須とする、ログイン情報の使い回しを厳重に注意するという点を徹底することが大切です。
また、IDとパスワードの組合せを次々と試すブルートフォースアタック(総当たり攻撃)は原始的な手口ですが、今でも、確実性の高い攻撃手法として用いられています。ブルートフォースアタックを回避するためには、試行回数の制限や二段階認証の導入を検討すると効果的だと言われています。

②セキュリティホール攻撃への対応

WEBサーバーの脆弱性をつくセキュリティホール攻撃への対策の基本は、定期的な点検です。また、様々なセキュリティースキャンを元に、重要度別の対策をレポートしてもらえるセキュリティースキャンツールも効果的です。
ただし、新しいセキュリティホールが発見され、そのセキュリティホールに対する対策が公表される前に行われるゼロデイアタックなど、防御しようがない攻撃を受ける場合もあります。そのため、IDS(不正侵入検知システム)を導入するなど、攻撃を受けた際に迅速な対応ができる体制を構築しておくことも大切です。

まとめ

今回は、会社の不正アクセス禁止法の概要、規制対象となる不正アクセス行為、不正アクセス禁止法の違反事例、罰則規定や時効、被害を受けた際の対処法、アクセス管理者の義務や不正アクセス行為の予防策について解説しました。

不正アクセスの手口は年々、巧妙化しており、また大規模組織による犯罪も増えているため、完全に防御するのは不可能です。

万が一、不正アクセスの被害に遭った場合は、すぐに警察に相談しましょう。また、取引先や顧客にも被害が及んだ場合は、迅速かつ適切な対応をとるためにも、サイバー犯罪等に精通した法律事務所に相談することをおすすめします。

東京スタートアップ法律事務所には、不正アクセス禁止法違反をはじめとするサイバー犯罪に精通した弁護士が在籍しております。

サイバー犯罪について専門家に相談したい方、是非、東京スタートアップ法律事務所にご相談ください。

代表弁護士中川 浩秀 東京弁護士会
2010年司法試験合格。2011年弁護士登録。弁護士法人東京スタートアップ法律事務所の代表弁護士。同事務所の理念である「Update Japan」を実現するため、日々ベンチャー・スタートアップ法務に取り組んでいる。