不正アクセス禁止法 ふせいあくせすきんしほう
簡単に言うとこんな感じ!
「他人の家の鍵を無断で使って勝手に入ったら犯罪」と同じで、他人のIDやパスワードを使って無断でシステムにログインしたり、セキュリティの穴をついて侵入したりするのを禁止した法律だよ!違反すると逮捕・罰金もあり得るんだ。
不正アクセス禁止法とは
不正アクセス行為の禁止等に関する法律(通称:不正アクセス禁止法)は、2000年2月に施行された日本の法律で、正式名称は「不正アクセス行為の禁止等に関する法律」です。コンピュータや情報通信ネットワークへの不正なアクセス行為を禁止し、罰則を定めることを目的としています。
インターネットが急速に普及した1990年代後半、他人のIDやパスワードを盗んでシステムに侵入する事件が社会問題化しました。当時は明確な法律がなく、被害を受けても取り締まりが難しかったため、この法律が制定されました。その後、2012年の改正でフィッシング行為の禁止や不正アクセスを助長する行為の規制が追加され、現代のサイバー犯罪にも対応できる内容に強化されています。
ビジネスの観点では、「うちのシステムが不正アクセスされた」場合に被害届を出せるだけでなく、自社の従業員が他社のシステムに無断でアクセスする行為も処罰対象になります。システム発注・運用に関わる立場では、加害者にも被害者にもなりえる法律として、しっかり理解しておく必要があります。
禁止される行為の種類
| 行為の種類 | 具体例 | 罰則(最大) |
|---|---|---|
| 不正アクセス行為 | 他人のID・パスワードで無断ログイン | 3年以下の懲役または100万円以下の罰金 |
| 不正アクセスを助長する行為 | 他人のID・パスワードを第三者に教える | 1年以下の懲役または50万円以下の罰金 |
| フィッシング行為 | 偽サイトを作ってID・パスワードを詐取する | 1年以下の懲役または50万円以下の罰金 |
| 不正取得・保管行為 | 他人のID・パスワードを無断で収集・保管する | 1年以下の懲役または50万円以下の罰金 |
「不正アクセス」の3つのパターン
法律上、不正アクセス行為は大きく以下の3つに分類されます。
-
なりすまし型
他人のIDとパスワードを使って、許可なくシステムにログインする行為。フィッシング詐欺で入手した認証情報を使うケースが代表例。 -
セキュリティホール攻撃型
プログラムのバグや脆弱性(セキュリティの穴)を悪用して、認証を回避してシステムに侵入する行為。 -
権限外アクセス型
アクセス権限はあるが、与えられた権限を超えて他の情報にアクセスする行為。たとえば一般ユーザーが管理者権限を不正取得するケース。
「アクセス制御機能」がある場合のみ対象
重要なのは、この法律が適用されるのはアクセス制御機能(ログイン認証など)が設けられているシステムに対する行為に限られる点です。誰でも閲覧できる公開Webページを見るだけでは不正アクセスにはなりません。
歴史と背景
- 1987年頃 — 日本でもハッカーによるシステム侵入事件が発生し始める。当時は刑法の「電子計算機損壊等業務妨害罪」などで対応するしかなく、侵入しただけでは罪に問えないケースも多かった
- 1999年8月 — 不正アクセス禁止法が成立
- 2000年2月 — 施行。日本初のサイバー犯罪専門立法として注目される
- 2000年〜 — 警察庁による不正アクセス行為の届出・相談制度がスタート
- 2004年 — 最初の改正。罰則強化(懲役1年→3年に引き上げなど)
- 2012年5月 — 大幅改正。フィッシング行為の禁止、ID・パスワードの不正取得・保管行為の禁止が新たに追加される
- 2013年頃〜 — スマートフォンアプリやクラウドサービスへの不正アクセス事件が急増し、法律の重要性がさらに高まる
- 現在 — 毎年数千件規模の届出があり、SNSアカウントへの不正ログインが最多を占める
関連する法律・規制との関係
不正アクセス禁止法は単独で機能するのではなく、複数の法律と連携してサイバーセキュリティ全体を守る仕組みになっています。
被害届の流れ
不正アクセス被害を受けた場合、以下の手順で対応します。
【被害発生】
↓
① ログ・証拠の保全(削除・上書きしないこと!)
↓
② 都道府県警察のサイバー犯罪相談窓口へ相談
↓
③ 被害届の提出(捜査機関による調査開始)
↓
④ 必要に応じてIPAセキュリティセンターへも届出
↓
⑤ 再発防止策の実施(パスワード変更・脆弱性修正など)企業が注意すべきポイント
- 委託先・取引先のアクセス権限管理も自社の責任範囲。退職者のアカウントを放置すると被害に遭っても「管理が甘い」と判断されるケースも
- ペネトレーションテスト(侵入テスト)を業者に依頼する場合は、書面で明示的な許可を得ておかないと、テスト業者が不正アクセス禁止法違反になる可能性がある
- クラウドサービスのAPI認証情報をGitHubなどに誤って公開してしまい、第三者が悪用するとその第三者が不正アクセスに問われる(公開した側も別途問題になりうる)
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| 不正アクセス行為の禁止等に関する法律(平成11年法律第128号) | 本法律の条文。e-Gov法令検索で参照可能 |
| NIST SP 800-63B | デジタルアイデンティティ・認証に関するガイドライン(米国標準)。パスワード管理の国際的なベストプラクティス |
関連用語
- フィッシング — 偽サイト・偽メールでID・パスワードを詐取する攻撃手法。不正アクセスの主な「入口」
- 多要素認証(MFA) — パスワード以外の認証要素を追加し、不正アクセスリスクを下げる技術
- ペネトレーションテスト — 許可を得た上でシステムへの侵入を試みるセキュリティ検査
- サイバーセキュリティ基本法 — 国・地方公共団体・企業のサイバーセキュリティ対策義務を定めた法律
- 個人情報保護法 — 不正アクセスで漏えいした個人情報の取り扱いに関する法律
- アクセス制御 — ユーザーの権限を管理し、不正アクセスを防ぐセキュリティの基本概念
- インシデントレスポンス — 不正アクセス被害発生時の対応手順・体制のこと
- IPA(情報処理推進機構) — 不正アクセス被害の届出先・セキュリティ情報の発信機関