🧑‍💻Literacy / HR

《 iパス用語解説》不正アクセス行為の禁止等に関する法律とは何か。大まかな説明付き。IT / ICT Glossary「IT担当者からのファーストリポート」

Kawamura
不正アクセス行為の禁止等に関する法律
SHARE:

「IT / ICT Glossary」シリーズでは、主に国家資格「ITパスポート(iパス)」に関連した用語を解説致します。

iパスの学習範囲は「企業と法務」など、システム以外の分野も含まれていますので、業種・職種に関わらず、社会生活を送る上で、とても参考になると考えています。

今回のキーワードは「不正アクセス行為の禁止等に関する法律」です。

大まかに説明すると

「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」は、他人のIDやパスワード(=識別符号)を無断で使用し、ネットワーク経由でコンピュータに侵入する行為を禁止する法律です。

主に3つの行為が罰則の対象となります。

  • 他人のIDでSNSにログインするなどの「不正アクセス行為」そのもの。
  • 他人のIDやパスワードを第三者に教える「不正アクセスを助長する行為」。
  • フィッシング詐欺などでIDやパスワードを盗み取る「不正取得行為」や、それを保存する「不正保管行為」。

これら3つの禁止行為と「識別符号(IDやパスワード)」という用語の理解が重要です。

はじめに

皆さんの身近にも潜む危険なIT犯罪を取り締まる法律、「不正アクセス行為の禁止等に関する法律」(通称:不正アクセス禁止法)について解説します。

サイバー犯罪に関する基本知識として非常に重要です。

不正アクセス禁止法とは?

皆さんは、友人や知人のSNSやメールのアカウントに、こっそりログインしようとしたことはありませんか?

もしIDやパスワードを知っていたとしても、本人に許可なくログインする行為は、この「不正アクセス禁止法」によって禁止されている犯罪行為です。

この法律は、簡単に言えば、他人のIDやパスワード(専門用語で「識別符号」と言います)を無断で使って、インターネット経由でコンピュータやシステムに侵入(アクセス)することを禁止する法律です。

現実世界で、他人の家の鍵を盗んで勝手に入ったら「住居侵入罪」になるのと同じように、デジタル世界で他人のアカウントに勝手に入ることを罰するために作られました。

なぜこの法律が必要になったの?

インターネットが普及し始めた頃、他人のアカウントに侵入する「なりすまし」行為や、企業サーバーへの不正侵入が社会問題となりました。

しかし、当時はそれらを直接取り締まる法律が十分ではありませんでした。

そこで1999年に、こうしたデジタル世界の「不法侵入」を明確に犯罪として定義し、罰則を設けるために、この法律が作られたのです。

法律の重要なポイント3つ

この法律が禁止している行為で、特に以下3つのパターンを紹介します。

不正アクセス行為そのもの(第3条)

これが最も基本的な禁止行為です。

具体的には、以下の2つのケースが「不正アクセス行為」と定義されています。

  • なりすまし:他人のIDとパスワードをネットワーク経由で入力し、その人になりすましてシステムを利用する行為。(例:他人のSNSに勝手にログインして投稿する)
  • セキュリティホールの攻撃:IDやパスワードを使わなくても、プログラムの弱点(セキュリティホール)を突いて、制限されている機能や情報にアクセスする行為。(例:企業のウェブサイトの弱点を見つけて、非公開の顧客情報データベースに侵入する)

これらに違反すると、「3年以下の懲役または100万円以下の罰金」という重い罰が科されます。

不正アクセス行為を「助長」する行為(第5条)

不正アクセスを直接行わなくても、それを手助けする行為も禁止されています。

最も分かりやすい例が、他人のIDやパスワードを、本人に無断で第三者(不正アクセスをしようとする人など)に教える行為です。

例えば、「AさんのSNSのパスワードはこれだよ」とBさんに教える行為です。

これも「1年以下の懲役または50万円以下の罰金」の対象となります。

他人のID・パスワードを不正に「取得・保管」する行為(第4条、第6条)

不正アクセスをする目的で、他人のIDやパスワードを盗み出す行為(取得)や、盗み出したID・パスワードを保存しておく行為(保管)も罰せられます。

  • 不正取得(第4条):例として「フィッシング詐欺」が挙げられます。本物のサイトそっくりの偽サイトを作り、そこにIDやパスワードを入力させて盗み取る行為です。
  • 不正保管(第6条):盗み出したIDとパスワードのリストを、自分のパソコンや手帳に保存しておく行為です。

これらも「1年以下の懲役または50万円以下の罰金」の対象です。

管理者側の「防護措置」

この法律は、犯罪者を罰するだけでなく、IDやパスワードを管理する「管理者側」(企業やサービスの運営者)に対しても、不正アクセスからシステムを守るための努力(防護措置)を講じるよう求めています(第8条)。

例えば、パスワードを暗号化して保存する、アクセスログ(通信の記録)を監視する、などの対策です。

まとめ

不正アクセス禁止法は、デジタル社会の安全を守るための重要な法律です。

ITパスポート試験では、「禁止されている3つの行為(①不正アクセス、②助長行為、③不正取得・保管)」と、ID・パスワードを指す「識別符号」というキーワードを必ず覚えてください。

軽い気持ちで他人のアカウントにログインする行為が、重大な犯罪になることをしっかり認識しておきましょう。

本キーワードの関連情報

今回のキーワードは、ITパスポート試験シラバスの、以下カテゴリに分類されています。
試験のご参考にもなれば幸いです。

カテゴリ:ストラテジ系 / 大分類1「企業と法務」 / 中分類2「法務」

5. セキュリティ関連法規

目標「代表的なセキュリティ関連法規の概要を理解する。」

説明1「我が国のサイバーセキュリティに関する施策の基本となる事項等を定めたサイバーセキュリティ基本法があることを知り、その概要を理解する。」
説明2「実際に被害がなくても罰することができる、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)があることを知り、その概要を理解する。」
説明3「パーソナルデータ、個人情報、個人データの違いを理解する。」
説明4「その他、情報セキュリティに関連する各種法律の概要を理解する。」

(2) 不正アクセス行為の禁止等に関する法律

  • 不正アクセスとはどのような行為であるか、不正アクセスを防ぐにはどうすべきか。
  • 不正アクセス禁止法の基本的な考え方。

参考・引用元資料

【ITパスポート試験】試験内容・出題範囲
https://www3.jitec.ipa.go.jp/JitesCbt/html/about/range.html

ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。

System Teams
あなたへのおすすめ