2019.06.13

不正アクセス禁止法について

不正アクセス禁止法について

弁護士 森田 芳玄

 

 

情報漏えい問題やサイバー攻撃など、企業活動における情報セキュリティの重要性が訴えられて久しく、関連する法律も整備されています。
そこで、本稿では、不正アクセス行為の禁止等に関する法律(以下「不正アクセス禁止法」といいます。)について概観しつつ、事業運営上起こり得る注意点について解説します。

 

1.不正アクセス禁止法の概説

 不正アクセス禁止法は、不正アクセス行為を禁止することなどにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする法律です(同法第1条)。
 不正アクセス行為とは、他人のID・パスワードなどを不正使用したりする行為や、コンピュータプログラムの脆弱性を衝いた攻撃をしたりなどして本来アクセスできないコンピュータにアクセスすることなどを指します(同法第2条第4項)。具体的には以下の行為が該当することになります。なお、第1号の行為を不正ログイン型、第2号及び第3号の行為をセキュリティホール攻撃型などと呼ぶこともあります。

不正アクセス禁止法第2条第4項

第1号:アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

第2号:アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

第3号:電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

 不正アクセス禁止法では、このような不正アクセス行為を禁止するとともに(同法第3条)、パスワード等の入力を不正に要求する行為(いわゆるフィッシング行為)も禁止しています(同法第7条)。これに違反した場合には罰則があり、前者は3年以下の懲役又は100万円以下の罰金(同法第11条)、後者は1年以下の懲役又は50万円以下の罰金とされています(同法第12条第4号)。
 ちなみに、不正アクセス行為については、アクセスされた被害者側に実際上の被害が生じていなくても、不正アクセスをしただけで処罰の対象となります。ですので、被害が生じていないからとか、覗き見するだけだから問題はないのではないかという主張は通用しません。ちなみに、実際上の被害が生じている場合には、別途民事訴訟等において被害の回復が図られることになります。
 日常の企業活動の中で、上記のように意図的に不正にアクセスしたりフィッシング行為をしたりするような、いわば犯罪行為を行うことは通常あり得ないため、一般にはあまり馴染みのない、(少なくとも加害者側としては)無関係な法律だと思われがちですが、後述するとおり身近に発生しうる問題も含まれているため、十分に注意が必要となります。
 なお、アクセス管理者においては、パスワードなどの適正な管理に努めるとともに、常にアクセス制御機能の有効性を検証し、必要と認めるときは速やかにその機能の高度化その他不正アクセス行為から防御するために必要な措置を講じるよう努めることとされています(同法第8条)。これは、努力義務であり、本条違反については罰則もありません。しかしながら、ずさんな管理をしている企業については、民事的にその管理責任が問われる可能性もあり得ることには留意が必要です。

 

 不正アクセス禁止法では、不正アクセス行為自体を行わなくても、その目的で利用者からパスワードなどの情報を集める行為が禁止されており(同法第4条)、また、不正アクセス行為に利用する目的で、不正に取得されたパスワードなどを保管する行為も禁止されています(同法第6条)。すなわち、不正アクセスのためのパスワードの収集や保管のような事前の準備段階にあたるような行為も規制されているということになります。これらの行為についても罰則があります(同法第12条第1号、第3号。1年以下の懲役又は50万円以下の罰金)。
 さらに、他人のパスワードなどをアクセス管理者や利用権者以外の者に業務や正当な理由なくして提供する行為も不正アクセスを助長する行為として禁止されています(同法第5条)。これは、不正アクセス行為のいわば幇助的な行為も規制の対象としているということになります。これについては、とくに他人のパスワードなどの認証情報をうっかり本来管理するべき利用権者やアクセス管理者以外の第三者に教えてしまうようなことはあり得ることですので注意が必要です。したがって、安易に他人のパスワードを教えることは厳に慎まなければならないということになります。ただし、第三者に提供するすべての場合が罰則の対象となるわけではなく、そもそも業務や正当な理由がなく提供する場合であり、なおかつ「相手方に不正アクセス行為の用に供する目的があることの情を知って」提供した場合がこれに該当することになります(同法第12条第2号。1年以下の懲役又は50万円以下の罰金)。

 

 

2.企業において注意するべき事例~アカウントの共有について

 ところで、多様なインターネット上のサービスが普及している現在では、会社の同僚や取引先との間でインターネット上のサービスを業務管理やコミュニケーションツールなどとして利用しながら事業活動を進めることが避けられないと思います。
 その際に、例えば実際に当該サービスのアカウントを保有している担当者(A)が、同じ社内の別の従業員(B)との間でアカウントを共有するような行為(すなわち、AのアカウントにログインするためのID・パスワードをBにも教え、BもAのアカウントを利用できるようにする行為)は、不正アクセス禁止法の規制の対象になるのでしょうか。
 これについては、BがAに無断でAのアカウントを利用している場合はもちろん規制の対象となります。一方で、Aの承諾のもとにBと共用しているような場合には、利用権者であるAの承諾があるものとして、不正アクセス行為の対象除外事由に該当しそうではあります(上記の同法第2条第4項1号では、アクセス管理者又は利用権者の承諾を得てする者を不正アクセス行為の対象外としています)。
 ただし、同法で主に想定されているのは、例えば外出中のAが自分の代わりにメールのチェックをBに依頼するときのような一時的な場合であると考えられ、そのような行為が同法の規制の対象外であることは問題ないものと考えられます。しかしながら、恒常的・包括的にAのアカウントをBがA同様に利用することまで想定されているかは解釈の余地がありそうです。というのも、Aは当該サービス上のいかなる利用行為についてもBに承諾を与えているとまでは考えられないためです(上記の例でいうと、AはBに対して、メールチェックのための承諾は与えたけれども、メールの送信や当該サービスの登録・設定内容の変更までの承諾を与えたとは認められ難いと思います。)。したがって、個別具体的な事情においては不正アクセス行為に該当する可能性があり得ると考えられます。
 なお、通常は当該サービス提供企業において、アカウントの共有は禁止されていることが多いため、サービス利用契約(利用規約)違反とされる場合がほとんどだと思われます。したがって、このようなアカウントの共有行為は不正アクセス行為に該当するか否かとは関係なく、基本的には避けるべきということになります。実務上よくあり得る例かと思われますので、くれぐれも留意が必要です。

 

 

3.まとめ

 社内において不正アクセス事案が発覚した場合、管理者は速やかに対処することが必要です。従業員における不正アクセスである場合には、その不正アクセス行為者を特定し、就業規則等に基づき厳正に対処しなければなりません。また、外部からの犯行である場合には、犯人特定のために場合によっては刑事告訴・告発をすることも検討の対象となります。そして、いずれの場合にも、情報漏えいなどにより被害の対象が社外に広がる場合には、企業として社会的な信用の失墜、さらには事業の性質によっては企業の存続そのものに影響しかねない事態に発展するため、慎重かつ迅速に対応することが求められます。
 情報が漏えいしたことにより企業に損害が発生している場合には、民事事件として不正アクセス行為者に対して損害賠償請求することを視野に入れることになります。反対に、社内から外部への情報漏えいの場合には、被害者からの損害賠償請求に対応する必要に迫られます。この場合の損害には、財産的な損害だけではなく、個人情報が漏えいしてしまったような場合の慰謝料なども含まれることになります。漏えいの対象となる被害者が大多数に及ぶ場合には、集団訴訟に発展することも想定されます。
 これらのことに適切・迅速に対応するためには、不正アクセス行為を防止するための情報管理体制を強化するだけではなく、万一事故が発生していた場合にどのように行動するかのマニュアル・行動指針等の策定も重要になります。このような事態は、決して他人事ではなく、すべての企業において早急な対策が必要なものといってよいと思います。