企業と法律
eビジネスの法律問題
不正アクセス禁止法について
(eビジネス・ローより抜粋)
弁護士 中島 章智
1. 不正アクセス禁止法とは
ネットワークに接続し、アクセス制御されているコンピュータに対し、「他人のID・パスワード等」を入力して(つまり、他人になりすまして)不正に利用する行為や、いわゆるセキュリティホール(アクセス制御機能のプログラムの欠陥、アクセス管理者の設定上のミス等のコンピュータ・システムにおける安全対策上の不備)を突いて不正に利用する行為等を禁止する「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」が、平成12年2月13日から施行された。
昭和62年の刑法改正により、電算機損壊等業務妨害罪等が新設され、一定のコンピュータ犯罪に対する対応はされたが、データの改ざんや消去等を伴わない単なる不正アクセス行為については、何ら立法的手当がされていなかった。
不正アクセス禁止法は、下記のとおり禁止される行為を列挙し、それらについての罰則を用意するとともに、アクセス管理者(利用権を誰に認めるかを決定している企業や、自宅でサーバーを立ち上げて、掲示板の閲覧・書き込みという利用権を誰に認めるかを決定している個人など)の側にも不正アクセスからの防御措置に努めるよう規定し、さらに、公安委員会が不正アクセスを受けた者の申出に対し援助等の措置をとることができることを定めている。
2. 不正アクセス禁止法によって規制される禁止行為
[1] 不正アクセス禁止法によって禁止される行為は、まず、他人のID・パスワード等を盗用してアクセスが制御されているコンピュータを不正に利用する行為(いわゆるなりすまし行為)である(法3II[1])。
[2] また、アクセスが制御されているコンピュータ等のセキュリティホールを突いて、アクセス制御されているコンピュータを不正に利用する行為についても、不正アクセス行為として禁止されている(法3II[2][3])。
[3] さらに、同法は、他人のID・パスワード等を第三者に提供して不正アクセス行為を助長する行為についても禁止している。法文上は、「アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。」とされている(法4)。
上記のうち、[1]および[2]は、「不正アクセス行為」とされ、その違反は、1年以下の懲役又は50万円以下の罰金の刑罰が用意されている(法8)。また、[3](不正アクセス行為を助長する行為)についても、30万円以下の罰金に処せられることとされている(法9)。
3. アクセス管理者による防御措置
不正アクセス行為の発生を防止するためには、それを禁止し、違反行為に罰則を用意するだけでは不充分で、不正アクセス行為そのものが行われにくい環境を整備することが必要になる。そこで、アクセス管理者に防御措置の実施を促すため、アクセス管理者に不正アクセス行為からの防御措置を講ずべき責務があることが法律上明確にされている(法5)。
したがって、アクセス制御機能をコンピュータに付加したアクセス管理者は、ID・パスワードといった識別符号等の適正な管理に努めるとともに、常にアクセス制御機能の有効性を検証し、必要があると認めるときにはアクセス制御機能の高度化その他必要な措置を講ずるよう努めなければならない。
4. 都道府県公安委員会による援助
都道府県公安委員会及び方面公安委員会(以下「公安委員会」という。)は、不正アクセス行為が行われたと認められる場合において、不正アクセス行為が行われたコンピュータのアクセス管理者から援助を受けたい旨の申出があり、その申出を相当と認めるときは、申出者に対して不正アクセス行為の再発防止のための援助を行うこととされている(法6)。公安委員会が行う援助の内容は、申出者が再発防止措置を講ずることができるよう、その具体的方法について資料の提供、助言、指導等を行うことである。
なお、アクセス管理者が公安委員会による援助を受けるにあたっては、いくつか要件がある。
まず、本法に規定する不正アクセス行為を受けた者である必要があり、多量にメールを送りつけられたといったこと自体は、本法でいう不正アクセス行為には該当しないので援助の対象とはならない。また、不正アクセス行為の分析に必要な資料は申出を行ったアクセス管理者から提出される必要があり、これを拒んだ場合にも援助の対象とならず、さらに、不正アクセス行為の再発防止のための応急措置に必要と考えられる範囲を逸脱するような援助をアクセス管理者が要求するようであれば、やはり援助の対象とはならない。