不正アクセス行為の禁止等に関する法律
出典: フリー百科事典『ウィキペディア(Wikipedia)』
| この項目は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。 |
| 不正アクセス行為の禁止等に関する法律 | |
|---|---|
日本の法令 | |
| 通称・略称 | 不正アクセス禁止法 |
| 法令番号 | 平成11年8月13日法律128号 |
| 効力 | 現行法 |
| 種類 | 法律 |
| 主な内容 | ネット上の不正アクセス行為の禁止 |
| 条文リンク | 総務省法令データ提供システム |
不正アクセス行為の禁止等に関する法律(ふせいあくせすこういのきんしとうにかんするほうりつ)は、日本の法律。目的は、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為とその助長行為の禁止にある。略称は不正アクセス禁止法など。
1999年(平成11年)8月13日公布、2000年(平成12年)2月13日施行。最近改正は1999年(平成11年)12月22日で、その施行は2001年(平成13年)1月6日。以下、本法については条数のみを記載する。
目次 |
構成
- 第1条(目的)
- 第2条(定義)
- 第3条(不正アクセス行為の禁止)
- 第4条(不正アクセス行為を助長する行為の禁止)
- 第5条(アクセス管理者による防御措置)
- 第6条(都道府県公安委員会による援助等)
- 不正アクセス行為が行われたと認められる場合において、援助を受けたい旨の申出があり、その申出を相当と認めるときは、必要な資料の提供、助言、指導その他の援助を行うものとする。
- 第7条(国による援助等)
- 第8条(罰則)
- 第9条(罰則)
概要
目的は、不正アクセス行為の禁止とともに、その罰則及びその再発防止のための都道府県公安委員会による援助措置等を定め、電気通信回線を通じて行われる電子計算機に係る犯罪防止及びアクセス制御機能により実現される電気通信に関する秩序維持を図り、もって高度情報通信社会の健全な発展に寄与することである(1条)。
本法の処罰対象は故意犯であり、過失犯は対象外である。また、未遂犯も対象外である。
- 1年以下の懲役、または50万円以下の罰金
- 「不正アクセス行為」に対する罰則 (8条1号)
- 「秘密をもらす行為」に対する罰則 (8条2号)
- 30万円以下の罰金
- 「不正アクセス行為を助長する行為」に対する罰則 (9条)
不正アクセス行為
何人も、不正アクセス行為をしてはならない(3条1項)。不正アクセス行為とは以下の行為である(3条2項)。
- 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
- 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (2号)
- 電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)
1号は、他人のユーザーIDとパスワード等を使用した入力方法が想定されている。2号は、セキュリティーホール等の脆弱性やコンピュータウィルス等を利用した入力方法が想定されている。3号は、第2号と入力方法は同じだが、不正アクセスの対象となる電子計算機のバックエンドに認証サーバーがある場合が想定されている。
対象となる電子計算機へのアクセスには「電気通信回線」を経由する必要があるため、直接電子計算機の前で認証を突破する行為は不正アクセス行為とならない。本来なら制限されている機能を利用可能な状態にすればよく、データを盗み出したり改ざんしたりする必要はない。アクセス制御機能がない場合 (例えばリンクしてない単なる隠しディレクトリ)や識別符号が不要な場合(匿名ログイン等)は、管理者が想定しているアクセス行為であるならば、不正アクセス行為とはならない。電子計算機の利用を管理する管理者(アクセス管理者)や、その管理者からアクセスを許諾されている人は、不正アクセス行為の主体とはならない。
ポートスキャンは、それにより通常想定されている認証機能を破ることがなければ、不正アクセス行為とはならない。仮に不正アクセスの準備段階の行為だとしても、本法には予備罪や未遂罪が規定されていないため、抵触しない。ただしポートスキャンにより故意にサービスの低下を招く行為を行うと、電子計算機損壊等業務妨害罪に該当する可能性がある。
具体例
- インターネットを通じて、ブラウザで認証用のページから他人のユーザー名とパスワードを勝手に使ってログインする行為
- インターネットを通じて、Telnetなどで他人のユーザー名とパスワードを勝手に使ってサーバーにログインする行為
- インターネットを通じて、コンピュータの脆弱性を利用して認証機能を突破する行為
ACCS裁判
ACCS裁判の判決によると[1]、Webサーバーへのファイルアクセスに通常は認証機能のあるFTPを用いている場合、認証機能の備わっていないHTTP(CGIの脆弱性を利用)経由でアクセスした場合は、通常想定されている認証機能を迂回したとして不正アクセス行為に当たる、としている。プロトコルごとに認証機能の有無を判断するのではなく、管理者の想定している通常のアクセス行為により考えるべきとしている。
助長行為
他人の識別符号(パスワード等)を、それが利用可能な電子計算機を分かっていて、その者以外の者(アクセス管理者等を除く)に提供すること(4条)。アクセス管理とは無関係な第三者に特定電子計算機のアカウント情報を提供する行為や、特定の電子計算機にアクセスするためのユーザー名やパスワードを匿名電子掲示板に書き込む行為がこれに当たる。
防御措置
アクセス管理者は、以下の措置を行う努力義務がある(5条)。罰則はない。
- 識別符号等の適切な管理
- アクセス制御機能の検証および高度化
- その他不正アクセス行為から防御するために必要な措置
脚注
- ^ ITmediaニュース - 「不正アクセス」の司法判断とは ACCS裁判
関連項目
外部リンク
- 警察庁 - 不正アクセス行為の禁止等に関する法律の概要
| ||||||||||||
A windows (pop-into) of information (full-content of Sensagent) triggered by double-clicking any word on your webpage. Give contextual explanation and translation from your sites !
Boggle