不正アクセス禁止法とは?|違反要件、罰則・刑罰について
ハイテク犯罪に対する技術的・法的対応の強化が指摘され、国際社会からも法整備を迫られていたという背景の中で、コンピュータ・ネットワークへの不正アクセス自体を犯罪として処罰する「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)が、平成12年2月13日から施行されました。
一般の方からしても、情報技術の発展に伴い、インターネット(電気通信回線)を中心としたコンピュータ・ネットワークを正しく運用することが必要とされます。
以下では、不正アクセス禁止法について解説していきます。
1.「不正アクセス行為」の種類と罰則
まず、「不正アクセス行為」はどのようなもので、どんな刑罰が科されるのかを確認していきます。
(1) 不正アクセス罪(第3条)
不正アクセス罪は、不正アクセス行為をした場合に成立する犯罪です。
不正アクセス罪を犯した者は、3年以下の拘禁刑又は100万円以下の罰金に処せられます。
不正アクセス禁止法は、不正アクセス行為について、3つの類型を規定しています。
1つ目は、自身や共用の他人の特定電子計算機(コンピュータなど)から、他人のID・パスワードを本人に無断で入力する、いわゆる「他人なりすまし型」と呼ばれるもので、もっとも単純な不正ログイン行為です。
2つ目と3つ目は、共にセキュリティ・ホール攻撃行為です。攻撃用プログラム等を用いて特殊なデータを入力し、誰とも識別できないようにしてアクセス制御機能を回避し、本来はID・パスワードにより制限されているはずのコンピュータの機能を利用する行為です。
これは、機能を利用される攻撃対象サーバ自体がアクセス制御機能を有するサーバである場合と、攻撃対象サーバとアクセス制御機能を有するサーバが異なる場合の2類型に分けられます。
令和7年の警察庁の発表によると、令和6年における不正アクセス行為の認知件数は5,358件です。
(2) 不正取得罪(第4条)
不正取得罪は、他人になりすまし不正アクセス行為を行う目的で他人のID・パスワードを取得した場合に成立する犯罪です。
不正取得罪を犯した者は、1年以下の拘禁刑又は50万円以下の罰金に処せられます(法12条1号)。
条文にある「識別符号」とは、ネットワークを通じたコンピュータの利用に関して、利用者を他の利用者と区別するための符号です。ID・パスワード、音声・指紋・虹彩・網膜等、署名、及びそれらと組み合わせて用いられるユーザID・利用者番号のことをいいます。
識別符号(ID・パスワード)の「取得」とは、抽象的にはID・パスワードの情報を自己の支配下に移す行為で、具体例は次の場合です。
- ID・パスワード情報が記載された紙を受け取る行為
- ID・パスワード情報が記録されたUSBメモリ等の電磁的記録媒体を受け取る行為
- 自分が使用するスマホやPCの画面にID・パスワード情報を表示させる行為
- ID・パスワードを暗記する行為
(3) 不正助長罪(第5条)
不正アクセスを実行しようとする者に、それと知りながら他人のID・パスワードを提供すれば、当然に不正アクセス行為を手助けする幇助犯であり、刑法上の共犯として処罰されます。
しかし、そのような事実を認識していなかったとしても、そもそも他人のID・パスワードを別の他人に教えるという行為それ自体が、不正アクセス行為を助長する危険性が高い行為であり、これを禁圧する必要性があります。
そこで本罪は、不正アクセス行為を助長する認識の有無を問わず、このような危険な行為を禁止したものです。
このため、法定刑は行為者の認識内容に応じた軽重が定められています。
提供者が提供行為を行うに当たり、提供の相手方に不正アクセス行為の用に供する目的があることを知りながら不正助長罪を犯した者は、1年以下の拘禁刑又は50万円以下の罰金に処せられ(法12条2号)、その認識なしに不正助長罪を犯した者は30万円以下の罰金に処せられます(法13条)。
「業務その他正当な理由による場合」とは、例えば、以下の行為がこれに該当します。
- 情報セキュリティ会社ネット上に流出しているID・パスワードのリストを顧客企業に提供する行為
- ネット上に流出している他人のID・パスワードを発見した者が、これを情報セキュリティ会社や公的機関に届け出る行為
- 情報セキュリティに関するセミナーの資料等において、実際に流出したID・パスワードのリストを掲載する行為
- ありがちな単純なID・パスワードを、使うべきでない例として示す行為
「提供」とは、ID・パスワードを第三者が利用できる状態に置くことをいいます。要するに他人のID・パスワードを別の者に教えることです。
教える方法は、口頭、電話、電子メール、文書、ホームページなど、その手段・方法は問いません。
(4) 不正保管罪(第6条)
不正取得罪(第4条)と同様に、不正アクセス行為の予備的行為を処罰するものです。
不正保管罪を犯した者は、1年以下の拘禁刑又は50万円以下の罰金に処せられます。
「不正に取得された」とは、具体的には、5条に該当する行為(不正取得罪)や5条に該当する行為(不正助長罪)により提供されたID・パスワード等がこれに該当します。
「保管」とは、ID・パスワードが記載された紙、記録されたUSBメモリ、ICカード等の電磁的記録媒体を保有する行為、自らが使用するスマホやPCに保存する行為等がこれに該当します。
(5) 不正入力要求罪(第7条)
正規のアクセス管理者のように装って、ID・パスワード情報を「だまし取る行為(いわゆるフィッシング行為)」を禁止する規定です。
主に「管理者になりすまして、パスワードを入れさせる偽サイトをつくる行為」「管理者になりすまして、パスワードを入れさせる偽メールを送る行為」の2つが対象となっています。
アクセス管理者とは、ネットワークに接続しているコンピュータの利用に関して、その利用権(ID・パスワード等)を誰に付与するかを決定する権限を有する者のことをいいます。
利用権者とは、当該コンピュータのアカウント(使用する権利)を、そのコンピュータのアクセス管理者から付与されている利用者のことです。
不正入力要求罪を犯した者は、1年以下の拘禁刑又は50万円以下の罰金に処せられます。
不正アクセス禁止法違反の不正入力要求罪については、次のような裁判例があります。
東京地判平29.4.27
A銀行の偽サイトを作り、サイト構築型フィッシング行為により、被害者BのID・パスワード等を不正取得したうえ、これを用いてA銀行のサーバに不正アクセスし、B名義の口座から金銭を取得するなど複数の犯罪で、懲役8年に処せられた裁判例です。
2.不正アクセス禁止法違反で逮捕後の流れ
(1) 逮捕・勾留
不正アクセス禁止法違反の疑いで被疑者が逮捕されると、一般の事件と同様、逮捕から48時間以内に検察官に送致されます。
検察官は、被疑者を受け取ってから24時間以内かつ逮捕から72時間以内に裁判官に対し勾留の請求をすることになります。
裁判官が勾留を認めると、原則10日間身柄拘束が続き、更に10日以内の延長が認められることもあります。
検察官は、この間の捜査の結果を踏まえ、通常、勾留満期までに被疑者を不起訴処分にするか公訴提起(起訴)するかを決めます。
さらに、被疑者が起訴された場合には、保釈が認められない限り、身体の拘束が続くことになります。
→刑事事件解決の流れ
不正アクセス禁止法違反による起訴率は、法律が施行された当初の平成13年は88.6%と高率でしたが、漸次低下し、平成30年は28.5%と報告されています(※令和元年「犯罪白書」)。
(2) 示談
被疑者が不正アクセス禁止法違反の罪で逮捕された以上、不正アクセスをされた「被害者」がいます。
被疑者に有利な処分結果が得られるためには、できるだけ早い段階での謝罪や示談の成立が必要になります。
不正アクセス禁止法違反は特殊な案件ですので、刑事弁護・示談交渉に精通している弁護士に委ねるのが望ましいです。
示談交渉について、詳しくは以下のコラムをご覧ください。
[参考記事]
弁護士なしでの示談はリスク大!示談交渉を弁護士に依頼すべき理由
3.不正アクセスをしたら弁護士に相談を
インターネットの利用が日常的になった現在、不正アクセス禁止法違反は誰にでも起こし得る犯罪です。
仮に罰金で終わったとしても前科がつくことになりますので、違反行為をしてしまったならば弁護士に早期に相談してください。弁護活動により不起訴となり、前科がつかないで済む可能性があります。
泉総合法律事務所は、初回相談料が無料となっております。罪を犯してしまったかもしれないという方は、お早めに当事務所にご相談ください。
