コンテンツにスキップ
フライトパス ITパスポート試験

不正アクセス行為の禁止等に関する法律

サイバーセキュリティ基本法が施策の基本方針を定める法律であるのに対し、不正アクセス行為の禁止等に関する法律(通称:不正アクセス禁止法)は、不正アクセス行為そのものを禁止し、処罰する法律です。この法律の大きな特徴は、実際に情報を盗んだり破壊したりする被害が発生していなくても、不正アクセス行為自体が処罰の対象になるという点です。

不正アクセス行為とは

Section titled “不正アクセス行為とは”

不正アクセス行為とは、ネットワークを通じて、アクセス制御機能を持つコンピュータに対し、他人のID・パスワードを無断で使用したり、セキュリティ上の弱点(脆弱性)を突いたりして、本来アクセスする権限のないコンピュータを利用する行為です。

ここで最も重要なキーワードは「ネットワークを通じて」です。不正アクセス禁止法は、ネットワーク(インターネットや社内LANなど)を介したアクセスを対象としています。

禁止されている行為

Section titled “禁止されている行為”

不正アクセス禁止法では、主に次の3つの行為が禁止されています。

1. 不正アクセス行為

Section titled “1. 不正アクセス行為”

他人のID・パスワードを無断で使用して、ネットワークを通じてコンピュータにアクセスする行為です。たとえば、他人のIDとパスワードを使ってネットワーク経由でサーバーにログインし、データを閲覧する行為がこれに該当します。

2. 不正助長行為(他人の識別符号の不正提供)

Section titled “2. 不正助長行為(他人の識別符号の不正提供)”

他人のID・パスワードなどの識別符号を、正当な理由なく第三者に提供する行為です。自分自身が不正アクセスをしなくても、他人の不正アクセスを助ける行為として禁止されています。

たとえば、他人のショッピングサイトのIDとパスワードを、無断で別の人に教える行為がこれに該当します。

3. 不正取得行為(識別符号の不正取得・保管)

Section titled “3. 不正取得行為(識別符号の不正取得・保管)”

不正アクセスを行う目的で、他人のID・パスワードを不正に取得したり保管したりする行為です。

たとえば、フィッシング詐欺で他人のID・パスワードを騙し取る行為や、不正に入手したID・パスワードのリストを保管する行為がこれに該当します。

不正アクセス禁止法の対象となる行為・ならない行為

Section titled “不正アクセス禁止法の対象となる行為・ならない行為”

試験では「どの行為が不正アクセス禁止法の禁止行為に該当するか」を判別する問題が頻出です。判別のポイントは、ネットワークを介しているかどうかと、他人のID・パスワードに関わる行為かどうかです。

対象となる行為の例

Section titled “対象となる行為の例”
行為該当する禁止行為
他人のID・パスワードを無断で使い、ネットワーク経由でサーバーにログインした不正アクセス行為
他人のメールのID・パスワードを無断で使い、メールサーバー上の電子メールを閲覧した不正アクセス行為
他人のID・パスワードを正当な理由なく無断で第三者に提供した不正助長行為
不正アクセスの目的で他人のID・パスワードを不正に入手し、手帳に記録した不正取得行為

対象とならない行為の例

Section titled “対象とならない行為の例”
行為対象外の理由
同僚が席を離れた際に、同僚のPC画面に表示されていた情報を覗き見たネットワークを介していない(画面の覗き見
USBメモリを無断で持ち出し、自分のPCに直接接続してデータを閲覧したネットワークを介していない(物理的な接続
自分のPCに自分のパスワードのメモを貼り付けた他人のID・パスワードに関わる行為ではない
業務を代行してもらうために自分のID・パスワードを同僚に伝えた自分自身の識別符号であり、他人のものではない

試験で出るポイント

不正アクセス禁止法の出題では「ネットワークを介しているか」が最大の判断基準です。USBメモリを直接接続してデータを見る行為や、画面を覗き見する行為は不正アクセス禁止法の対象外です(別の法律や社内規則で問題になる可能性はあります)。また、他人のID・パスワードを正当な理由なく第三者に提供する行為も禁止されていることを覚えましょう。

アクセス管理者の防御措置

Section titled “アクセス管理者の防御措置”

不正アクセス禁止法は、不正アクセス行為を禁止するだけでなく、コンピュータやネットワークの管理者(アクセス管理者)に対しても、不正アクセスを防ぐための防御措置を講じる努力義務を定めています。

具体的には、次のような措置が求められます。

  • ID・パスワードの適切な管理
  • アクセス制御機能の有効性の検証と必要に応じた高度化
  • その他の不正アクセスを防止するために必要な措置

不正アクセス禁止法と他の法律の違い

Section titled “不正アクセス禁止法と他の法律の違い”

不正アクセス禁止法は、ネットワークを通じた不正なアクセス行為を規制する法律です。情報の取扱いに関連する他の法律との違いを整理しておきましょう。

法律規制の対象
不正アクセス禁止法ネットワークを通じた不正アクセス行為、ID・パスワードの不正提供・取得
不正競争防止法営業秘密の不正取得・使用、コピープロテクトの回避装置の販売など
個人情報保護法個人情報の不適切な取扱い
刑法(不正指令電磁的記録に関する罪)コンピュータウイルスの作成・提供

試験で出るポイント

「不正アクセス禁止法で禁止されている行為はどれか」という問題では、ネットワークを介しているかどうかで判断します。物理的なデータの持ち出しや画面の覗き見は、不正アクセス禁止法ではなく別の法律や規則の問題です。また、実際に被害がなくても不正アクセス行為自体が違法であることも重要なポイントです。

アプリで問題を解こう!

App Store Google Play