Magazine
Quantsマガジン
不正アクセス禁止法とは?禁止行為・罰則内容や事例と対策方法を解説!
不正アクセス禁止法は他人のID・パスワードを不正に入手・ログインする行為を取り締まる法律です。インターネットを利用するうえで禁止行為を把握し、対策する必要があります。
本記事では不正アクセス禁止法とはどのようなものであるかや事例、罰則、対策を解説します。
目次
不正アクセス禁止法とは
「不正アクセス禁止法」とは、不正アクセス行為と不正アクセス行為に繋がる活動を禁止する法律です。不正アクセス禁止法には罰則が設けられており、違反した場合は懲役や罰金を科せられます。
そもそもの不正アクセスとは、アクセス権限がないサーバやパソコンに侵入することです。情報漏洩や改ざんしない場合でも、アクセスしたことが認められれば不正アクセス行為とみなされます。
不正アクセス行為だけではなく、IDやパスワードの取得・保管などの不正アクセスするための準備行為に該当する場合も規定が設けられています。
不正アクセス禁止法が制定された背景と目的
不正アクセス禁止法は、サーバなどのコンピューター全般を利用した犯罪の防止と安全な利用を目的として2000年に制定されました。
1990年代のインターネットの普及に伴って起こるインターネット攻撃やアカウントの不正利用などの犯罪を防止して、安全な利用を促す狙いがあります。
そのため、罰則で不正アクセスを取り締まるだけでなく、不正アクセスされる側の対策について努力義務も示されています。
不正アクセス禁止法の禁止行為
不正アクセス禁止法では不正アクセス行為を禁止する法律のほかに、不正アクセスするための準備行為も禁止しています。本項目では不正アクセス行為の準備行為についての規定を説明します。
【第四条】他人の識別符号を不正に取得する行為の禁止
第四条では、他人の識別符号を不正に取得してはならないと定められています。識別符号とはIDやパスワード、電話番号などの個人を特定できる文字や番号、記号などのこと。
たとえば、フィッシングや盗聴などでログインに必要な情報を入手することは不正アクセス禁止法の違反対象です。技術的な手段でなくても、ログインしている社員の後ろからIDやパスワードを勝手に盗み見て覚えることも本項目に該当します。
【第五条】不正アクセス行為を助長する行為の禁止
取得した経緯にかかわらず、IDやパスワードを第三者に渡すことは、不正アクセス禁止法の第五条に抵触します。
たとえば、不正アクセスに使う意図があることを知ったうえで、IDやパスワードを売買することは違反にあたります。
権限のある管理者以外の人間にIDやパスワードを許可なく教えて作業してもらうことも違反となります。ただし、業務上で使用する許可を得ているなどの正当な理由がある場合は、本項目に該当しません。
【第六条】他人の識別符号を不正に保管する行為の禁止
不正アクセスを目的として、不正に取得した他人のID・パスワードなどを保管しておくことは不正アクセス行為の準備行為とみなされ禁止されています。保管方法は問わず、USBやICカード、紙媒体でも違反対象です。
保管したIDやパスワードで不正アクセスしていない場合でも、保管すること自体が取り締まりの対象となります。
【第七条】識別符号の入力を不正に要求する行為の禁止
不正アクセス禁止法の第七条ではフィッシング行為を禁止しています。フィッシング行為とは偽のホームページに誘導し、アカウント情報や個人情報などを入力させて盗む行為です。また、電子メールを送りつけ、情報を入力させる行為も同様に禁止されています。
たとえば、大手ショッピングサイトになりすましたり、再配達を通知する偽メールからアカウント情報の再入力を促したりする行為は本項目に該当します。
不正アクセス禁止法の罰則
不正アクセス禁止法に違反すると罰則が科せられます。違反した内容によって罰則の内容は異なりますが、不正アクセス行為をした背景や被害状況によっては、不正アクセス禁止法の罰則が科されるだけではありません。
刑法も科せられる場合があることも覚えておきましょう。
不正アクセス行為に該当する場合
不正アクセス行為をした場合、3年以下の懲役もしくは100万円以下の罰金が科されます。
不正アクセス行為とは、インターネットに接続されているサーバーやパソコンなどに対して他人の認証情報を入力し、ログインする行為です。
他人の認証情報を利用しない場合でも、セキュリティの脆弱性を攻撃してアクセス制御を免れた場合も、不正アクセス行為としてみなされます。
不正アクセスの準備行為に該当する場合
不正アクセスの準備行為に該当する場合は、1年以下の懲役もしくは50万円以下の罰金が科されます。不正アクセスの準備行為とは、不正に他人のIDやパスワードを取得することや保管することなどです。
不正アクセスの準備行為に該当するかどうかは、不正アクセスする目的があるかが重要です。
ただし、「不正アクセス行為を助長する行為の禁止」では、不正アクセス行為を目的とした意図がなく、他人のID・パスワードを他の誰かに提供した場合も30万円以下の罰金が科されます。
不正アクセス禁止法で書類送検になった事例3選
不正アクセス禁止法に抵触した事例は少なくありません。本項目では、直近で書類送検に至った不正アクセス禁止法を違反した事例を紹介します。
プロスポーツ選手のSNS情報を売買した29歳男を書類送検
2023年5月、プロスポーツ選手や美容師のSNSアカウントのID・パスワードを売買して書類送検されたことが発表されました。
公表されている氏名や生年月日からパスワードを推測し、2020年7月~2022年6月に約150個のアカウントを売買したことが明かされています。また、狙ったアカウントについてはIDの文字列が短く、単純なものであったことも供述。
本事例では、SNSアカウントを販売した26歳男のほか、アカウントを購入した6人も書類送検されています。
参考:朝日新聞デジタル
人気スマホゲームに不正ログインしてアカウントを転売した会社員男性を書類送検
2023年10月、人気スマホゲーム「ドラクエウォーク」に不正ログインし、ゲームデータを自身のアカウントに移し替えて転売したとして会社員男性が書類送検されました。
送検された男性はオンラインでの事前のやりとりで、アカウント所持者のプレイを代行し、ID・パスワードを入手していました。
代行を依頼された期間が終わった後もID・パスワードが変更されていなかったため、不正ログインしたうえ、データを移行し売却したとのこと。
本事例は、アカウント所持者がゲームデータを利用できなくなったことに気が付き、警察へ相談したことで発覚しました。
ほかにも、20数件のデータ転売が確認されています。
参考:京都新聞
他人のSNSに不正ログインした高校1年生を書類送検
2022年3月、ライブ配信中に表示されたSMS認証を見て、不正にアカウントを作成した容疑で、高校1年の男子生徒が書類送検されました。
SMS認証とはIDやパスワードのほかに、SMSで送信された認証コードを入力することで、本人であることを確認する仕組みのこと。
ライブ配信中にX(旧Twitter)のパスワードリセット機能を使い、配信者のユーザー名を入力のうえ、SMS認証を送信。ゲーム配信画面上でSMS認証の通知を確認し、パスワードを再設定することでXのアカウントを乗っ取ったとのことです。
さらに、Xに連携するゲームアカウントから電話番号も割り出し、不正にフリマアプリを作成したうえ、50万円を売り上げました。
本事例では高校1年の男子生徒のほか、アカウントの取得した3人も書類送検されています。
参考:神奈川新聞
不正アクセスへの対策方法
本項目では不正アクセスの被害を防ぐための対策方法を紹介します。企業での不正アクセス行為の被害を防ぐためにも、本項目を確認しておきましょう。
強力なパスワードを設定する
不正アクセスを防ぐには、強力なパスワードを設定しましょう。強力なパスワードとは、長い文字列かつ、文字列の組み合わせが推測しにくいパスワードのことです。
内閣サイバーセキュリティセンターでは、英大文字小文字、数字、記号を使い、10桁以上で設定することを推奨しています。ほかにも、単語など意味をなさない羅列で並べられたものを使用すると特定されにくくなります。
ただし、上記の条件を満たしているパスワードが設定されているからといって、初期パスワードをそのまま利用すると、推測されやすいため危険です。初期パスワードからの変更は必ず実施しましょう。
IDやパスワードの管理を厳重にする
利用しているサーバや社員のログインIDやパスワードが第三者に知られないよう管理を厳重にしましょう。
自社のシステムへのログイン情報や、サーバへのアクセス情報は閲覧できる人数を制限したり、一括ではなく分散して管理したりするなど厳重な管理が必要です。
ログイン情報は個別に割り当てて管理することが理想です。しかし、ライセンスの都合などで複数人が同じアカウントを利用する場合は、誰がどのアカウントを利用する権限があるのかも併せて管理する必要があります。
また、ウェブブラウザの自動入力を使ってパスワードを覚えさせないなど、各自のパスワード保管方法について啓蒙することも重要です。
セキュリティ対策ソフトの導入をする
セキュリティ対策ソフトを導入し、盗聴や外部からの攻撃を防ぐことは重要です。
セキュリティ対策ソフトには、マルウェアや悪意のあるプログラムの挙動を防ぐほかにも、フィッシングや安全性が低いWebサイトをブロックする機能など備えられています。
ログイン情報や社外秘の資料などへの不正アクセスを防止するためにも、セキュリティ対策ソフトを導入しましょう。
セキュリティ対策ソフトを導入した後はこまめなアップデートが不可欠です。アップデートすることで、新しく作られたマルウェアに対応できるようになります。
また、セキュリティ対策ソフトを導入していても、怪しいメールやサイトを開かない意識を個々に持つなどの対策は必要です。
不要なアカウントは削除する
使わなくなったアカウントを残しておくと不正アクセスの可能性が高く、認知しにくいリスクがあるため削除する必要があります。
たとえば、退職した社員のログインIDやパスワード、権限を残した場合、退職した社員がログインし、アカウントを不正利用するリスクがあります。
不要なアカウントや用途がわからないアカウントが残っていないかどうかを定期的に確認し、削除しましょう。
不正アクセス禁止法を知っておこう
本記事では、不正アクセス禁止法と事例や対策について詳しく解説しました。
悪用の意思の有無に関係なく、不正アクセス行為をすれば違反です。不正なID・パスワードの入手はもちろん、社内でのID・パスワードの使いまわしは不正アクセスを助長するリスクがあるので注意しましょう。
また、パスワードを強化したり、ID・パスワードを徹底的に管理したりすることは不正アクセスを防ぐために重要です。
組織全体で不正アクセス禁止法を理解し、不正アクセス行為しない・させないようにすることが求められます。
コンサルティングのご相談ならクオンツ・コンサルティング
コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。
クオンツ・コンサルティングが選ばれる3つの理由
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス
クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。
関連記事
サイバーセキュリティ
多層防御とは?仕組みや多重防御との違いと導入メリットを解説!
多層防御とは入口だけでなく、侵入された後の経路でも防御を施策する手法です。不正アクセスされたとしても、出口を対策することで情報漏洩のリスクが防げます。本記事では、多層防御の仕組みや具体的な対策内容を紹介するので、ぜひ参考にしてください。
サイバーセキュリティ
アンチウイルスとは?被害防止の仕組み・機能や必要性と選び方を解説!
アンチウイルスとは、悪意あるプログラムから自社を守るための対策全般を指します。ウイルスに感染すると、金銭被害や情報漏洩、信用の失墜といった重大な損失を被り、企業活動ができなくなるおそれがあります。アンチウイルスは、現代において必須ともいえる対策です。
サイバーセキュリティ
ダークウェブとは?アクセスの危険性・違法性と仕組みや対策を解説!
ダークウェブは匿名性の高い特殊なインターネット空間です。言論の自由の場であると同時に、違法な活動や犯罪行為の温床としても知られています。ダークウェブへのアクセスの危険性と違法性やダークウェブの仕組みを理解し、十分な対策を行うことが重要です。
サイバーセキュリティ
エンドポイントセキュリティとは?種類ごとの特徴や対策の仕組みを解説!
エンドポイントセキュリティは、ネットワークに接続するエンドポイント(パソコン、スマートフォンなど)の保護対策です。データ漏洩やサイバー攻撃の増加に伴い、エンドポイントセキュリティの主な種類や特徴、仕組みについて詳しく解説します。
サイバーセキュリティ
ボットネットとは?仕組みや感染経路と被害にあわないための対策を解説!
本記事では、ボットネットについて解説しています。仕組みや感染経路、被害にあわないための対策を詳しく説明しています。サイバー犯罪が複雑化する現代において、企業のセキュリティ対策の参考になる内容となっていますので、ぜひ役立ててください。
サイバーセキュリティ
IPスプーフィングとは?IPアドレス偽装攻撃の仕組みや被害事例と対策を解説!
IPスプーフィングとは、本来のIPアドレスを偽造して、別のIPアドレスになりすます違法行為です。正常な送信元IPアドレスになりすますため、フィルタリングの検知を回避して攻撃します。本記事では、IPスプーフィングの仕組み、被害事例、対策について解説します。
サイバーセキュリティ
ワームとウイルスの違いとは?ワームの被害事例や対策方法も解説!
この記事では、ワームの特徴や被害、予防策について解説しています。ワームは自己複製して、操作不要で迅速に拡散するマルウェアです。本記事ではワームに対する具体的な予防対策を提案しており、これにより大規模なセキュリティリスクの防止が可能です。
サイバーセキュリティ
BlueBorne(ブルーボーン)とは?Bluetoothから乗っ取り遠隔操作する攻撃の特徴と対策を解説!
BlueBorneとは、Bluetoothに関する脆弱性を総称したものです。BlueBorneを悪用されると端末の乗っ取りや遠隔操作の被害にあう可能性があり、身近なサイバー攻撃です。本記事では、BlueBorneの特徴や被害、対策についてわかりやすく解説します。
サイバーセキュリティ
ゼロトラストとは?セキュリティの仕組みや7要素と導入メリットを解説!
この記事ではゼロトラストについて説明しています。セキュリティの仕組みや7つの要素、導入するメリットについて詳しく解説しています。企業のセキュリティ対策に役立つ内容となっていますので、ぜひ参考にしてください。
サイバーセキュリティ
ドライブバイダウンロードとは?攻撃の仕組みや被害事例と対策を解説!
ドライブバイダウンロードの攻撃は、ウェブサイトの閲覧時、自動的にパソコンへマルウェアをダウンロードさせる仕組みです。この攻撃により個人情報の盗難や金銭被害などのリスクがあります。これらの手口や有効な対策について、事例を用いて解説します。
サイバーセキュリティの人気記事
サイバーセキュリティ
無害化とは?メール・ファイル無害化の仕組みやメリットとおすすめサービス6選を紹介!
サイバーセキュリティ
マクロウイルスとは?オフィス製品に感染する仕組みと対策を解説!
サイバーセキュリティ
サイバーセキュリティ基本法とは?制定の背景や概要と改正内容についても解説!
サイバーセキュリティ
不正アクセスとは?手口や被害事例7選ととるべき対策7選を解説!
サイバーセキュリティ
ホワイトリストとは?対策の仕組みやセキュリティのメリットを解説!
サイバーセキュリティ
VPNのセキュリティは安全?仕組みやメリットとリスクを解説!
サイバーセキュリティ
身代金要求型ウイルス(ランサムウェア)の手口とは?データを守るための対策も紹介!
サイバーセキュリティ
サイバー攻撃とは?攻撃の目的・種類や手口と被害事例から対策を紹介!
サイバーセキュリティ
ネットワークセキュリティとは?リスクと取るべき対策まとめ
サイバーセキュリティ
スパイウェアとは?仕組みや感染経路と被害事例から対策を解説!
人気ランキング
専門用語
タイムラインとは?意味やビジネスでの使い方、LINE・Googleマップの機能まで解説
DX
【2025年最新】物流効率化の手法とは?2024年問題の対策からDX活用事例まで解説
DX
スマートファクトリーの成功事例12選!大企業の先進DXから中小企業の低コストIoTまで
PMO
プロジェクトとは?意味をわかりやすく解説|業務やタスクとの違いも紹介
DX
GX(グリーン・トランスフォーメーション)とは?DXとの違いから企業の取り組み事例・課題まで解説
サイバーセキュリティ
ダークウェブとは?アクセスの危険性・違法性と仕組みや対策を解説!
専門用語
エコシステムとは?ビジネスにおける意味や仕組み、GAFAの事例から学ぶ構築戦略
AI
教育現場のAI活用事例16選|学習の個別化と指導の質を上げる仕組みを紹介
専門用語
PoC(概念実証)とは?意味やプロトタイプとの違い、失敗を防ぐ進め方を徹底解説
AI
