不正アクセス行為の禁止等に関する法律

日本の法律

不正アクセス行為の禁止等に関する法律(ふせいアクセスこういのきんしとうにかんするほうりつ、平成11年法律128号)は、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為(クラッキング)とその助長行為を規制する日本法律。略称は不正アクセス禁止法など。

不正アクセス行為の禁止等に関する法律
日本国政府国章(準)
日本の法令
通称・略称 不正アクセス禁止法
法令番号 平成11年法律第128号
種類 刑法
効力 現行法
成立 1999年8月6日
公布 1999年8月13日
施行 2000年2月13日
主な内容 インターネット上の不正アクセス行為の禁止
条文リンク e-Gov法令検索
ウィキソース原文
テンプレートを表示

1999年平成11年)8月13日公布、2000年(平成12年)2月13日施行。

以下、本法については条数のみを記載する。

概要 編集

目的は、不正アクセス行為の禁止とともに、その罰則及びその再発防止のための都道府県公安委員会による援助措置等を定め、電気通信回線を通じて行われる電子計算機に係る犯罪防止及びアクセス制御機能により実現される電気通信に関する秩序維持を図り、もって高度情報通信社会の健全な発展に寄与することである(1条)。

本法の処罰対象は故意犯であり、過失犯は対象外である。また、未遂犯も対象外である。

大きな改正として平成24年改正がある。

平成24年改正 編集

他人の識別符号を不正に取得する行為の禁止、いずれの特定電子計算機の特定利用に係るものであるかが明らかでない識別符号を提供する行為の禁止、他人の識別符号を不正に保管する行為の禁止、識別符号の入力を不正に要求する行為の禁止が新たに規定された。

不正アクセス行為の禁止 編集

何人も、不正アクセス行為をしてはならない(3条)。これに違反した者は、3年以下の懲役又は100万円以下の罰金に処せられる(11条)。不正アクセス行為とは以下の行為である(2条4項)。

  1. 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
  2. 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (2号)
  3. 電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)

他人の識別符号を不正に取得する行為の禁止 編集

不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはならない(4条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条1号)。

平成24年改正で新たに追加された。

不正アクセス行為を助長する行為の禁止 編集

何人も、業務その他正当な理由による場合を除いては、他人の識別符号(パスワード等)を、アクセス管理者及び利用権者以外の者に提供してはならない(5条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条2号)。

平成24年改正で、どの特定電子計算機の特定利用に係るものであるかが明らかでない識別符号を提供する行為も新たに禁止された。

他人の識別符号を不正に保管する行為の禁止 編集

何人も、不正アクセス行為の用に供する目的で、不正に取得された他人の識別符号を保管してはならない(6条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条3号)。

平成24年改正で新たに禁止された。

識別符号の入力を不正に要求する行為の禁止 編集

フィッシングサイト構築(7条1号)と電子メール送信(7条2号)によるフィッシング行為を禁止する。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条4号)。

平成24年改正で新たに禁止された。

アクセス管理者による防御措置 編集

アクセス管理者は、以下の措置を行う努力義務がある(8条)。罰則はない。

  1. 識別符号等の適切な管理
  2. アクセス制御機能の検証および高度化
  3. その他不正アクセス行為から防御するために必要な措置

事例 編集

ACCS裁判 編集

ACCS裁判の判決によると[1]Webサーバーへのファイルアクセスに通常は認証機能のあるFTPを用いている場合、認証機能の備わっていないHTTP経由でCGIの脆弱性を利用してアクセスした場合は、通常想定されている認証機能を迂回したとして不正アクセス行為に当たる、としている。プロトコルごとに認証機能の有無を判断するのではなく、管理者の想定している通常のアクセス行為により考えるべきとしている(なお脆弱性とされたHTTP経由によるファイルへのアクセスはCGIの引数にファイル名を指定する形式であり、これはCGIの一般的なつくりでパラメータとして任意の文字列を指定可能である)。

条文 編集

  • 第1条(目的)
  • 第2条(定義)
  • 第3条(不正アクセス行為の禁止)
  • 第4条(他人の識別符号を不正に取得する行為の禁止)
  • 第5条(不正アクセス行為を助長する行為の禁止)
  • 第6条(他人の識別符号を不正に保管する行為の禁止)
  • 第7条(識別符号の入力を不正に要求する行為の禁止)
  • 第8条(アクセス管理者による防御措置)
  • 第9条(都道府県公安委員会による援助)
    不正アクセス行為が行われたと認められる場合において、援助を受けたい旨の申出があり、その申出を相当と認めるときは、必要な資料の提供、助言、指導その他の援助を行うものとする。
  • 第10条(国による広報啓発活動)
  • 第11条(罰則)
  • 第12条
  • 第13条
  • 第14条
  • 附則

関連書籍 編集

  • 園田寿・野村隆昌・山川健「ハッカーvs.不正アクセス禁止法」(日本評論社)

脚注 編集

  1. ^ ITmediaニュース - 「不正アクセス」の司法判断とは ACCS裁判

関連項目 編集

外部リンク 編集