不正アクセス禁止法は、不正アクセス行為やログイン情報の不正な取得や保管を禁止した法律です。
不正アクセス禁止法について詳しく知りたくても、法律は専門用語や難しい言い回しが多く、理解するのが難しいのではないでしょうか。
そこで、不正アクセス禁止法についてわかりやすくまとめました。
- 不正アクセス禁止法とは?
- 不正アクセス禁止法の目的
- 不正アクセス禁止法の対象となる行為
- 不正アクセス禁止法による罰則と時効
- 不正アクセス禁止法への対策
本記事を読むことで、不正アクセス禁止法に対する理解を深め、対策ができるようになります。
不正アクセス禁止法を理解し、法律に抵触しないように業務を行いたい方は、ぜひ、最後まで記事をご覧ください。
あわせて読みたい
不正アクセスについて、詳しくは「不正なアクセスとは?現在の発生状況や原因、4つの対策まで解説」で解説しておりますので、ぜひあわせてご参考ください。
不正アクセス禁止法とは
不正アクセス禁止法とは、簡単に言えば人になりすましてログインするなどの不正行為および、不正行為を手助けするような行為などを禁止する法律です。
不正アクセス禁止法で定めている主な行為は以下のとおりです。
|
不正アクセス禁止法で定めている禁止行為 |
|
|
識別符号の取得および保管行為 |
|
|
不正アクセス行為 |
|
|
不正アクセス助長行為 |
|
不正アクセス禁止法は、その気がなくても該当する可能性があることを意識しておきましょう。
不正アクセス禁止法の目的
不正アクセス禁止法の目的は、このように定められています。
(目的)
第一条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
第一条の内容を簡単にまとめたものが、以下の3つです。
- インターネットを通じて行われる不正行為の防止
- アクセスを成業することによりインターネット上の秩序を維持する
- 情報化社会が安全かつ問題なく発展していくことに貢献する
情報化社会は、非常に高度で利便性が高いものです。
しかし、身勝手に行動する者がいるため、規則を定めないと秩序が乱れてしまいます。
そのため、不正アクセス禁止法で一定の規則を定め、違反した者に対しては処罰を科す必要があるのです。
法律で規則を定め行動の制限をすることにより、安心してインターネットを活用できるようにするのが不正アクセス禁止法の目的と言えます。
不正アクセス禁止法の対象となる行為
不正アクセス禁止法の対象となる行為は以下の5つです。
- なりすましによるアクセス
- アクセス制御機能への攻撃
- ログイン情報の不正な取得・保管
- 不正なアクセスを助長する行為
- ログイン情報を不正に要求する行為
それぞれの行為がどのようなものなのか、法律の内容とともに詳しく見ていきましょう。
(1)なりすましによるアクセス
なりすましによるアクセスは、本来アクセス権を持たない者が第三者のログイン情報を使用して、不正にサイトやサービスにアクセスしようとするものです。
不正アクセス禁止法第2条4項に、なりすましによるアクセスの定義があります。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
なりすましとなる行為は、以下のようなものがあります。
- 不正に取得した他人のIDやパスワードを利用してサイトやサービスにログインする
- 他人を名乗ってSNSなどで誹謗中傷などをする
- 第三者を名乗って金銭に関する情報を聞き出したり、金銭を要求したりする
なりすましによる不正アクセスは、見知らぬ第三者にログイン情報を利用されるケースはもちろん、家族や友人間でも該当する場合があります。
例えば、契約者のみ利用可能なサービスを家族が本人の許可なく利用した場合も、なりすましと判断される可能性があるのです。
たまたま知り得た家族や友人のログイン情報を、勝手に利用するのはやめましょう。
(2)アクセス制御機能への攻撃
アクセス制御機能への攻撃も、不正アクセス禁止法に該当します。
アクセス制御機能とは、アクセス権やログイン情報を用いたアクセス制限など、さまざまな方法でアクセスを制限する機能のことを言います。
不正アクセス禁止法第4条2項および3項で定められている、アクセス制御の攻撃は以下のとおりです。
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
簡単にまとめると、以下のような行為はアクセス制御機能への攻撃に該当し、不正アクセス禁止法の対象になります。
- アクセス制御機能に対して攻撃を仕掛ける
- 不正にアクセスした上でシステムを不正操作する
- 不正にアクセス制御機能にアクセスしなければ得られない情報を、盗んだり他に漏らしたりする
アクセス制御機能への攻撃は、ブルートフォース攻撃(英数字と桁数の組み合わせで該当するパスワードを片っ端から試しログインを試みる攻撃)など多数あります。
サイバー攻撃が巧妙化している現在では、いつ攻撃に遭ってもおかしくありません。
ログイン情報を守るためにも、セキュリティへの対策は怠らないようにしましょう。
あわせて読みたい
アクセス制御について、詳しくは「アクセス制御とは?基本機能から実装の目的、導入時に選ぶポイントまで解説」で解説しておりますので、ぜひあわせてご参考ください。
(3)ログイン情報の不正な取得・保管
ログイン情報の不正な取得や保管も不正アクセス禁止法に該当します。
不正アクセス禁止法第4条および第6条には以下のように記載されています。
(他人の識別符号を不正に取得する行為の禁止)
第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
(他人の識別符号を不正に保管する行為の禁止)
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
つまり、いかなる場合でも、本人許可なしにIDやパスワードなどのログイン情報の取得や保管をしてはならないのです。
ログイン情報の不正な取得・保管は以下のような場合を指します。
- 情報漏えいなどによりIDやパスワードを取得する行為
- 他人がログイン情報を入力している画面を盗み見る行為
- 紙に書かれたログイン情報をたまたま取得し、そのまま保管している場合
故意や過失でなくても、ログイン情報を取得してそのまま保管していると、不正アクセス禁止法の対象となることがあります。
もし、何らかの方法でログイン情報を取得した場合は、速やかに本人に返却するようにしましょう。
(4)不正なアクセスを助長する行為
不正なアクセスを助長する行為とは、ログイン情報を他人に渡す行為などを指します。
直接関わらなくても、不正アクセスに繋がるような行為をした場合は、不正アクセス禁止法で罰せられるケースがあります。
例えば、利用者本人からログイン情報を教えられたからと言って、その情報を許可なく他人に知らせてはならないのです。
このことは、不正アクセス禁止法第5条に記載してあります。
(不正アクセス行為を助長する行為の禁止)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
業務提携や複数人で同じプロジェクトを稼動している場合、ログイン情報を共有していることもあるでしょう。
そのような場合でも、新しくログイン情報を知らせたい人がいる場合は、責任者に許可を取ってから行わなければなりません。
小さな気の緩みから不正アクセスに繋がる可能性があります。
ログイン情報の取り扱いは慎重かつ厳重に行いましょう。
(5)ログイン情報を不正に要求する行為
ログイン情報を不正に要求するのも、不正アクセス禁止法に反した行為に該当します。
不正アクセス禁止法第7条では、ログイン情報を不正に要求する行為について定められています。
第七条 何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
ログイン情報を不正に要求する行為の手段は、ネットのみではありません。
電話や口頭でログイン情報を要求した場合も、不正アクセス禁止法で禁止している行為です。
例えば、これらの行為はすべて不正アクセス禁止法違反となります。
- 公式サイトになりすました偽サイトにて、ログイン情報を入力させる
- 電話や会話の中でログイン情報を要求する
- 不正アクセスの目的で、書面にログイン情報を書かせる
不正アクセス禁止法による罰則と時効
不正アクセス禁止法で罰せられる内容と時効について理解すると、不正アクセスへの対策がよりできるようになります。
- 不正アクセス禁止法の罰則
- 不正アクセス禁止法の時効
罰則と時効について詳しく説明します。
(1)不正アクセス禁止法の罰則
不正アクセス禁止法に違反した場合の罰則は、不正アクセス禁止法第11条から第13条に記載されています。
第十一条 第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
第十二条 次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一 第四条の規定に違反した者
二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者
三 第六条の規定に違反した者
四 第七条の規定に違反した者
五 第九条第三項の規定に違反した者
第十三条 第五条の規定に違反した者(前条第二号に該当する者を除く。)は、三十万円以下の罰金に処する。
引用元 : e-GOV法令検索 不正アクセス行為の禁止等に関する法律
簡単に言うと、不正アクセス禁止法に違反した場合は3年以下の懲役、または30万〜100万の罰金が科せられると言うことが記されています。
法律で定められている違反行為は以下のとおりです。
|
法律で記されている内容 |
備考 |
|
|
第3条 |
不正アクセス行為 |
|
|
第4条 |
ログイン情報の不正な取得 |
|
|
第5条 |
不正なアクセスを助長する行為 |
不正アクセスが目的で第三者に情報を提供した者 |
|
第6条 |
ログイン情報の不正な保管 |
|
|
第7条 |
ログイン情報の不正な要求 |
|
|
第9条3項 |
都道府県公安委員会から委託された業務に関する情報漏えい |
不正アクセスの調査や再発防止のために都道府県公安委員会より業務を依頼された場合、知り得た情報を漏らしてはならない |
|
第13条 |
不正なアクセスを助長する行為 |
不正アクセスが目的と知らずに第三者に情報を提供した者 |
特に注意しなければならないのは、不正アクセスが目的だと知らずに第三者にログイン情報などを提供した場合でも、不正アクセス禁止法の処罰対象になることです。
ログイン情報を提供する場合は、「誰が」「どのような用途で使用するのか」「提供した際のリスク」を十分に理解した上で行うようにしましょう。
(2)不正アクセス禁止法の時効
不正アクセス禁止法の時効は3年です。
刑事訴訟法第250条には、以下のように記載されています。
時効は、人を死亡させた罪であつて禁錮以上の刑に当たるもの以外の罪については、次に掲げる期間を経過することによつて完成する。
一 死刑に当たる罪については二十五年
二 無期の懲役又は禁錮に当たる罪については十五年
三 長期十五年以上の懲役又は禁錮に当たる罪については十年
四 長期十五年未満の懲役又は禁錮に当たる罪については七年
五 長期十年未満の懲役又は禁錮に当たる罪については五年
六 長期五年未満の懲役若しくは禁錮又は罰金に当たる罪については三年
七 拘留又は科料に当たる罪については一年
引用元 : e-GOV法令検索 刑事訴訟法第250条②
不正アクセス禁止法の懲役は3年以下なので、第6項に該当します。
そのため、不正アクセス禁止法の時効は3年になるのです。
時効の起算日は不正アクセスに関する一連の行為が終了したときになります。
起算日から3年が経過すると起訴ができなくなるので、不正アクセスを受けた形跡が見られる場合は速やかな対応が必要になります。
不正アクセス禁止法に準ずる対策
不正アクセスされないための対策を3つ紹介します。
- 安全なパスワードを設定する
- 内部不正への対策
- SSO+多要素認証の導入
上記の対策は、他のサイバー攻撃の防止にも役立つため、ぜひとも取り入れるようにしましょう。
(1)安全なパスワードを設定する
不正アクセスに準ずる対策として、初めに行うことは安全なパスワードの設定です。
安全なパスワードを設定しないと以下のようなことを引き起こす可能性があります。
- パスワードを簡単に解読されて不正アクセスされる
- パスワードの管理が不十分であると、不正アクセスされたときに被害が拡大する
近年では技術の発達により、簡単なパスワードはほんの数分で解読されてしまいます。
また、複数のサイトでパスワードを使い回すと、1つのサイトでID・パスワードが流出したときに、同じパスワードを使用していた他のサイトも被害を受けるのです。
不正アクセス禁止法があるからと安心せずに、ID・パスワードの設定や管理は厳重に行うようにしましょう。
あわせて読みたい
安全なパスワードの設定について、詳しくは「安全なパスワード作成の5つのポイント、間違った3つの習慣まで解説」で解説しておりますので、ぜひあわせてご参考ください。
(2)内部不正への対策
内部不正を防止していくことも、不正アクセスへの対策になります。
不正アクセスが起こるのは外部からだけではありません。
社員が悪意を持ってアクセスしたり、元社員のアカウントがそのまま使えるようになっていたために不正アクセスを受けることもあります。
このようなヒューマンエラーは、社内教育によって大幅にリスクを下げられます。
内部不正について1人ひとりが理解し、予防策をとった結果、内部不正への対策が強化されるのです。
退職者のアカウントの削除や社員教育などの内部不正への対策は、定期的に行うようにしましょう。
あわせて読みたい
内部不正について、詳しくは「内部不正対策の基本と3つの強化策、過去の事例から現在の実態まで解説」で解説しておりますので、ぜひあわせてご参考ください。
(3)SSO+多要素認証の導入
SSO(シングルサインオン)+多要素認証の導入も、不正アクセス禁止法に則る対策です。
SSOは一度のログインで複数のサイトやアプリを利用できる方法で、パスワードをいくつも覚えなくていいメリットがあります。
しかし、SSOで利用しているID・パスワードが流出すると複数のサイトで被害を受けてしまいます。
その時に多要素認証を導入しておくと、万が一ID・パスワードが盗まれた際でも違う要素の認証方法でログインが求められるため、不正アクセスを防げるのです。
弊社が提供する「メタップスクラウド」は、SSO+多要素認証が設定できるIDaaS(ID管理)およびSaaS管理ツールです。
メタップスクラウドで管理しているクラウドサービスには、一度ログインするだけで利用できるようになるため、ID・パスワード管理の負担が軽減します。
200以上のクラウドサービスと連携可能なため、安全にID・パスワードを管理して簡単にSaaSを利用したい方は、導入を検討してみてはいかがでしょうか。
あわせて読みたい
SSO(シングルサインオン)について、詳しくは「シングルサインオン(SSO)とは?基本やメリット・デメリットをわかりやすく解説」で解説しておりますので、ぜひあわせてご参考ください。
あわせて読みたい
多要素認証について、詳しくは「多要素認証とは?必要性と導入時のポイント3つを解説」で解説しておりますので、ぜひあわせてご参考ください。
まとめ
不正アクセス禁止法とは、他人になりすましてログインする、利用者の許可なくログイン情報を教えるなどの不正行為を禁止した法律です。
不正アクセスの対象となる行為は主に5つあります。
- なりすましによるアクセス
- アクセス制御機能への攻撃
- ログイン情報の不正な取得・保管
- 不正なアクセスを助長する行為
- ログイン情報を不正に要求する行為
これらの行為は、故意・過失関係なく不正アクセス禁止法違反になる可能性があるので、十分な注意が必要です。
不正アクセスを防止して行くには、外部からの攻撃への対策はもちろん、社員教育などの社内対策も必要不可欠です。
不正アクセス禁止法を把握して、不正アクセスされないよう対策していきましょう。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。