警察庁
不正アクセス行為の禁止等に関する法律の概要
1 法の目的、基本構成(第1条関係)
(1) 法の目的
不正アクセス行為の禁止等に関する法律(以下「本法」といいます。)は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のため不正アクセス行為を受けたアクセス管理者に対する都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪(注)の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的としています。
(注)「電気通信回線を通じて行われる電子計算機に係る犯罪」とは、電子計算機使用詐欺、電子計算機損壊等業務妨害などコンピュータ・ネットワークを通じて、これに接続されたコンピュータを対象として行われる犯罪と、コンピュータ・ネットワークを通じて、これに接続されたコンピュータを利用して行われる詐欺、わいせつ物頒布、銃器・薬物の違法取引などの犯罪の両方を指しています。
(2) 法の基本構成
本法は、不正アクセス行為等の禁止・処罰という行為者に対する規制と、不正アクセス行為を受ける立場にあるアクセス管理者に防御措置を求め、アクセス管理者がその防御措置を的確に講じられるよう行政が援助するという防御側の対策という2つの側面から、不正アクセス行為の防止を図ろうとするものです。
2 定義
(1) アクセス管理者(第2条第1項関係)
アクセス管理者とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」といいます。)の利用(電気通信回線を通じて行うものに限ります。以下「特定利用」といいます。)について特定電子計算機の動作を管理する者です。「管理」の主たる内容は、特定電子計算機をコンピュータ・ネットワーク経由で他人に利用させるか否か、利用させる場合にはどの範囲の利用をさせるかということを決定することで、これらのことを決定する権限を有している者がアクセス管理者ということになります。アクセス管理者は個人、法人の別を問いません。
ここで注意を要するのは、法人がコンピュータを運用している場合です。企業・学校等の法人の場合には、その職員の中からシステム管理者(一般に、「管理者」、「ルート」、「スーパーユーザ」などと呼ばれています。)を任命して「管理」の業務を行わせていますが、それらのシステム管理者は自分を任命した法人の意思に基づいて「管理」の業務を行っている者です。本法でいうアクセス管理者は、これらのシステム管理者ではなく、あくまで当該法人自体ということになります。
また、アクセス管理者は、コンピュータの動作を「管理」していればよく、そのコンピュータを所有しているかどうかは無関係です。ですから、例えば、サーバ・コンピュータを所有していないインターネットのエンドユーザであっても、インターネット・サービス・プロバイダのサーバの一部を利用してホームページを開設し、そのホームページの閲覧を誰に認めるかということなどを「管理」する権限を有していれば、アクセス管理者となります(ただし、この場合、インターネット・サービス・プロバイダのサーバ上に存在するホームページの閲覧という特定利用に限ってのアクセス管理者であることに注意する必要があります。)。1つのコンピュータに対して2以上のアクセス管理者(例えば、そのコンピュータ全体のアクセス管理者と、そのコンピュータの一部を利用して開設されているホームページの閲覧についてのアクセス管理者など)が存在することもあり得ます。
なお、特定電子計算機という概念には、インターネット等のオープンネットワークに接続されているコンピュータ・ネットワーク上のコンピュータのほか、一部の企業内LANのように外部から独立したネットワークを構築しているコンピュータも含まれます。したがって、アクセス管理者には、インターネットに接続されておらず外部から独立している企業内LANを有している企業なども含まれることになります。
(2) 識別符号(第2条第2項関係)
識別符号とは、特定電子計算機の特定利用をすることについてアクセス管理者の許諾を得た者(簡単にいえば、当該コンピュータのアカウントを、そのコンピュータのアクセス管理者から付与されている利用者のことです。この付与のされ方については、文書で行う、口頭で行うといった付与手段を問いません。明示的な付与手続によらずアクセス管理者の暗黙の了解によって付与されたものであっても構いません。以下「利用権者」といいます。)及びアクセス管理者(以下、利用権者とアクセス管理者を「利用権者等」とします。)ごとに定められている符号で、アクセス管理者がその利用権者等を他の利用権者等と区別して識別するために用いるものです。本法では、次のいずれかに該当する符号又は次のいずれかに該当する符号とその他の符号を組み合わせたものを識別符号としています。
ア アクセス管理者によって、その内容をみだりに第三者に知らせてはならないものとされている符号(第1号)。
一般によく用いられているID・パスワードのうちのパスワードがこの代表例です。
なお、ID・パスワードの場合、第1号の符号に該当するパスワードのみでは識別符号の用をなさず、IDと組み合わせて初めて識別符号としての役割を果たすことになります。そのため、IDは、第1号の符号に該当する符号(パスワード)と組み合わせて用いられる「その他の符号」になります。IDとパスワードを組み合わせることによって、第1号の符号に該当するパスワードとその他の符号であるIDを「組み合わせた」識別符号になります。
イ 利用権者等の身体の全部若しくは一部の影像又は音声を用いてアクセス管理者が定める方法により作成される符号(第2号)。
ここでいう影像の例としては、指紋や虹彩などがあります。アクセス管理者が定める方法とは、例えば指紋の場合でいえば、解像度いくらで読み取り特徴点の数やその位置関係をどのように数値化し符号化するかといったこと、音声の場合でいえば、周波数スペクトラムの時間的変化からどのように特徴を取り出して数値化し符号化するかといったことです。もちろん、この数値化及び符号化の方式はアクセス管理者が考案したものである必要はなく、既存の製品等を採用したものでよいのです。
なお、この第2号の場合には、第2号に該当する符号のみで識別符号となっているもの(例えば、指紋による認証システムなど)もありますし、第2号に該当する符号とその他の符号(IDなど)を組み合わせて識別符号となっているものもあります。
ウ 利用権者等の署名を用いてアクセス管理者が定める方法により作成される符号(第3号)。
署名の形状やその筆圧、動態等から特徴を取り出して数値化し符号化するようなものを指しています。アクセス管理者が採用した方法で署名を数値化し符号化したものが識別符号となります。
この第3号の場合についても、第2号と同様、第3号に該当する符号のみで識別符号となっているものもありますし、第3号に該当する符号とその他の符号(IDなど)を組み合わせて識別符号となっているものもあります。
(3) アクセス制御機能(第2条第3項関係)
アクセス制御機能とは、特定電子計算機の特定利用を正規の利用権者等以外の者ができないように制限するために、アクセス管理者が特定電子計算機又は特定電子計算機と電気通信回線で接続されている電子計算機に持たせている機能です。具体的には、特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号ではなかった場合には利用を拒否するコンピュータの機能をいいます。
この機能を持たせる電子計算機は、その特定利用を制限しようとする特定電子計算機自体でも、その特定電子計算機と電気通信回線で接続されている他の電子計算機(例えば、別に設けた認証サーバ)であっても構いません。ですから、いわゆる認証サーバのように企業等のネットワークの内部に特定利用の制限及び制限の解除の指令を一元的に行うコンピュータを設置してこれによりアクセス制御を行うようなシステムであっても、いわゆるゲートウェイ・サーバのように企業等のネットワークの入り口に1台のコンピュータを設置してアクセス制御を一元的に行わせているようなシステムであってもよいことになります。
「識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号」とは、公開鍵暗号方式を用いて利用権者等の認証を行っている場合に入力される、認証機関が発行する利用権者等の電子証明書(公開鍵証明書、ディジタル証明書ともいい、ID情報、公開鍵情報を含んだものです。)と利用権者等の秘密鍵を用いて生成された電子署名とを組み合わせたもの等を指しています。公開鍵暗号方式による認証システムにおいて、ID・パスワード方式におけるパスワードに当たるもの(すなわち、本法第2条第2項第1号に当たる符号)はそれぞれの利用権者等が持っている秘密鍵であり、識別符号としては電子証明書と秘密鍵の組み合わせということになりますが、識別符号それ自体(秘密鍵)をアクセス制御機能が付された特定電子計算機に入力してはいません。 そこで、本法第2条第2項にいう「識別符号」に「識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号」を含めることとしました。ここで、「アクセス管理者の定める方法」とは具体的にはRSA、楕円暗号などの暗号化の方式を指し、「作成される符号」とは公開鍵暗号方式による電子署名を、「当該識別符号の一部」とは公開鍵暗号方式における電子証明書を指しています。
3 不正アクセス行為の禁止、処罰(第3条、第8条関係)
不正アクセス行為とは、アクセス制御機能による利用制限を免れて特定電子計算機の特定利用をできる状態にする行為です。
不正アクセス行為には、他人の識別符号を無断で入力する行為(第3条第2項第1号)と、識別符号以外の情報又は指令を入力する行為(同項第2号、第3号)の2つの類型があります。
なお、不正アクセス行為の禁止に違反した者は、1年以下の懲役又は50万円以下の罰金に処せられることとなっています(第8条第1号)。
(1) 他人の識別符号を無断で入力する行為(第3条第2項第1号)
正規の利用権者等である他人の識別符号を無断で入力することによって利用制限を解除し、特定利用ができる状態にする行為です。
なお、アクセス管理者が行う場合及びアクセス管理者又は入力する識別符号を付与されている利用権者の承諾を得て行う場合は禁止の対象から除外しています。これは、正当な利用形態(例えば、コンピュータのセキュリティ・チェックを実施する場合や、会社の同僚に対して自分の代わりに電子メールが着信していないかどうかのチェックを依頼する場合など。)が考えられるためです。
(2) アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力する行為(第3条第2項第2号、第3号)
いわゆるセキュリティ・ホール(アクセス制御機能のプログラムの瑕疵、アクセス管理者の設定上のミス等のコンピュータ・システムにおける安全対策上の不備)を攻撃する行為です。
セキュリティ・ホールがあるシステムに対して、特殊な情報又は指令を入力することにより、本来は識別符号を入力しなければ行うことができない特定利用が、これを入力することなしに行うことができるようになってしまう場合があります。この特殊な情報又は指令を入力して、特定利用ができる状態にする行為が第3条第2項第2号及び第3号に該当する不正アクセス行為です。ここで、「情報」とは電子計算機による処理の対象となるデータを、「指令」とは電子計算機に一定の動作をさせるためのコマンドのことを指していますが、ここでいう「情報又は指令」には、これらのそれぞれを単独で入力する場合のほか、この2つを組み合わせて入力するものも含んでいます。
なお、アクセス管理者又はその承諾を得た者が行う場合は禁止の対象から除外しています。これは、正当な利用形態(例えば、コンピュータのセキュリティ・チェックを行う場合など。)が考えられるためです。
不正アクセス行為には以上の2類型がありますが、いずれも「電気通信回線を通じて」行われるもの、すなわちコンピュータ・ネットワークを通じて行われるものに限定されています。したがって、スタンドアロンのコンピュータ(ネットワークに接続されていないコンピュータ)を無断で使用する行為や、ネットワークに接続されアクセス制御機能により特定利用が制限されているコンピュータであっても当該コンピュータのキーボード(コンソール)を直接操作して無断で使用する行為は、「電気通信回線を通じて」行われているわけではないため、不正アクセス行為には該当しないこととなります。
以上のことから、不正アクセス罪が成立するためには、
- 特定電子計算機、すなわちコンピュータ・ネットワークに接続されているコンピュータに対して行われたものであること。
- コンピュータ・ネットワークを通じて特定電子計算機へのアクセスが行われたものであること。
- 他人の識別符号又はアクセス制御機能による特定利用の制限を免れることができる情報又は指令が入力されたものであること。
- アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(一部のセキュリティ・ホール攻撃のように、特定利用をすることができる状態に止まらず、特定利用をしてしまう行為をも含む。)であること。
が必要となります。この条件を満たせば不正アクセス行為となり、識別符号はどんな種類のもの(ID・パスワード、指紋、虹彩、音声、署名など)でもよく、特定利用についてはホームページの書き換え、インターネットショッピングの注文、データの閲覧、ファイル転送、ダイヤルアップ接続などその利用の内容に制限はありません。特定電子計算機は個人のものでも法人のものでもよく、対象となるコンピュータ・ネットワークにはインターネットなどのオープンネットワークのほか、企業内LANのように外部と接続していないものなども含まれます。識別符号を入力する端末機も必ずしもコンピュータである必要はなく、電話機からプッシュボタンを用いて他人の口座番号と暗証番号を入力し銀行のコンピュータに対してアクセスを行う行為なども不正アクセス行為に含まれることになります。
4 不正アクセス行為を助長する行為の禁止、処罰(第4条、第9条関係)
他人の識別符号を第三者に提供する行為、例えば、「○○システムを利用するためのIDは△△、パスワードは□□である。」と他人に口頭や電子メール、文書などで教えたり、電子掲示板などに掲示したりする行為は、その識別符号を利用すれば誰でも容易に不正アクセス行為を行うことが可能となる点で不正アクセス行為を助長するものですから、これを放置することは、不正アクセス行為を禁止することの実効性を著しく損なうこととなります。
そこで、他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるか(すなわち、どのコンピュータ(のサービス)に対する識別符号であるのかということ。)を明らかにして、又はこれを知っている者の求めに応じて、アクセス管理者や当該識別符号を付与されている利用権者に無断で第三者に提供する行為を禁止、処罰することとしています。
この不正アクセス行為助長罪が成立するためには、
- 識別符号が、それが付与された者に無断で提供されたこと。
- どの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて提供されたこと。
が必要です。識別符号の提供手段には限定がなく、電子掲示板に掲示する、電子メールで送付するといったオンラインで行うもののほか、口頭で伝達したり紙に印刷して手渡したりフロッピーディスクに記録して渡したりといったオフラインでの提供であっても犯罪は成立します。また、提供行為によって金銭的な利益を得たかどうかは犯罪の成立には無関係ですので、他人のID・パスワードを販売しても、無料で提供しても罪に問われます。
不正アクセス行為を助長する行為の禁止に違反した者は、30万円以下の罰金に処せられることとなっています(第9条)。
なお、アクセス管理者が行う場合及びアクセス管理者又は当該識別符号を所有している利用権者の承諾を得て行う場合については、これらの場合には他人の識別符号を入力しても不正アクセス行為には当たらないこととしていることから、不正アクセス行為を助長するおそれが認められないので、禁止の対象から除外しています。
5 アクセス管理者による防御措置(第5条関係)
不正アクセス行為の発生を防止するためには、その禁止・処罰に頼るのみではなく、不正アクセス行為が行われにくい環境を整備することが必要となります。そのためには、個々のアクセス管理者が自ら防御措置を講じることが必要となりますが、その実施状況は必ずしも十分ではないのが現状です。
そこで、アクセス管理者に防御措置の実施を促すため、アクセス管理者に不正アクセス行為からの防御措置を講ずべき責務があることを法律上明確にしました。そして、アクセス制御機能を特定電子計算機に付加したアクセス管理者は、ID・パスワードといった識別符号等の適正な管理に努めるとともに、常にアクセス制御機能の有効性を検証し、必要があると認めるときにはアクセス制御機能の高度化その他必要な措置を講ずるよう努めるものとしています。
アクセス管理者に求められる防御措置の主な内容としては、
- 利用権者の異動時における識別符号の確実な追加・削除、長期間利用されていない識別符号の確実な削除、パスワード・ファイルの暗号化といった識別符号の適正な管理
- アクセス制御機能として用いているシステムのセキュリティに関する情報(セキュリティ・ホール情報、バージョン・アップ情報など)の収集といったアクセス制御機能の有効性の検証
- パッチプログラムによるセキュリティ・ホールの解消、アクセス制御プログラムのバージョン・アップ、指紋・虹彩などを利用したアクセス制御システムの導入といったアクセス制御機能の高度化
- コンピュータ・ネットワークの状態を監視するのに必要なログを取得しその定期的な検査を行う、ログを利用して前回アクセス日時を表示し利用権者にその確認を求めるといったログの有効活用
- ネットワーク・セキュリティ責任者の設置
といったことが挙げられます。
具体的にシステムに対してどのような防御措置を講ずべきかについては、アクセス管理者が個々に判断することとなりますが、国家公安委員会(警察庁)、通商産業省及び郵政省からネットワーク・セキュリティに関するガイドラインが公表されておりますので、これらを参考として措置を講じてください。
各省庁から公表されているネットワーク・セキュリティに関するガイドライン
- 情報システム安全対策指針(平成9年国家公安委員会告示第9号)
http://www.npa.go.jp/cyber/policy/antai_sisin/kokuji.htm] - コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)
http://www.miti.go.jp/press-j/past/c60806a2.html] - 情報システム安全対策基準(平成7年通商産業省告示第518号)
- 情報通信ネットワーク安全・信頼性基準(昭和62年郵政省告示第73号)
6 都道府県公安委員会による援助等
(1) 都道府県公安委員会による援助(第6条関係)
都道府県公安委員会及び方面公安委員会(以下「公安委員会」といいます。)は、不正アクセス行為が行われたと認められる場合において、不正アクセス行為が行われた特定電子計算機のアクセス管理者から援助を受けたい旨の申出があり、その申出を相当と認めるときは、申出者に対して不正アクセス行為の再発防止のための援助を行うこととしています(第1項)。公安委員会が行う援助の内容は、申出者が再発防止措置を講ずることができるよう、その具体的方法について資料の提供、助言、指導等を行うことです。ここで注意しなければならないのは、公安委員会が行うのはあくまで再発防止措置(例えば、ソフトウェアの設定を適切なものに変更したりといったことなど。)についての資料提供や助言、指導のみであり、実際にそれらの再発防止措置を実施するのは申出人であるアクセス管理者自身であるということです。
公安委員会は、援助を行うために、不正アクセス行為の手口、不正アクセス行為を受けた原因、不正アクセス行為の再発防止措置のメニュー等を申出者から提出された資料等を基に解明し(これを「事例分析」といっています。)、その結果を踏まえて援助を行います。
アクセス管理者が公安委員会による援助を受けるに当たっては、いくつか要件があります。まず、本法に規定する不正アクセス行為を受けた者である必要があります。多量にメールを送りつけられた、過負荷攻撃を受けたといったことそのものは、多くは本法でいう不正アクセス行為には該当しませんから、援助の対象とはなりません(仮に、公安委員会に対して申出を行ったとしても、受理されません。)。また、不正アクセス行為の分析に必要な資料は申出を行ったアクセス管理者から提出される必要があり、これを拒んだ場合にも援助の対象とはなりません。さらに、公安委員会による援助は不正アクセス行為の再発防止のための応急措置に必要と考えられるものに限られますので、この範囲を逸脱するような援助をアクセス管理者が要求するようであれば、やはり援助の対象となりません。
(2) 国による広報啓発活動(第7条関係)
アクセス管理者はもとより、ソフトウェア事業者、ハードウェア事業者、エンドユーザ等のコンピュータ・ネットワークに関係する者すべてが不正アクセス行為の危険性を正しく認識するとともに、それぞれの立場で不正アクセス行為を防御するための活動を行うことが、不正アクセス行為が行われにくい環境を整備するためには必要です。そこで、このようなそれぞれの立場で行われる活動に資することができるように、国家公安委員会、通商産業大臣及び郵政大臣が、毎年少なくとも1回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表することとしています(第1項)。
また、国は、不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならないこととしています(第2項)。
7 施行期日
本法は、公布の日(平成11年8月13日)から起算して6箇月を経過した日(平成12年2月13日)から施行されます。ただし、6(1)項で説明した事項(公安委員会による、不正アクセス行為を受けたアクセス管理者に対する援助に関する規定)については公布の日から起算して1年を超えない範囲内において政令で定める日(平成12年7月1日)から施行されます。
8 その他
本法の全条文やその他不正アクセス行為対策に関する情報は、次の各省庁のホームページから得ることができます。
- 警察庁ホームページ
- http://www.npa.go.jp
- 経済産業省ホームページ
- http://www.meti.go.jp/
- 総務省ホームページ
- http://www.soumu.go.jp/
本ページには、エイチツーソフト製、「マスタークリップ」のクリップアートを使用しています。