不正アクセス行為の禁止等に関する法律
サイバーセキュリティ基本法が施策の基本方針を定める法律であるのに対し、不正アクセス行為の禁止等に関する法律(通称:不正アクセス禁止法)は、不正アクセス行為そのものを禁止し、処罰する法律です。この法律の大きな特徴は、実際に情報を盗んだり破壊したりする被害が発生していなくても、不正アクセス行為自体が処罰の対象になるという点です。
不正アクセス行為とは
Section titled “不正アクセス行為とは”不正アクセス行為とは、ネットワークを通じて、アクセス制御機能を持つコンピュータに対し、他人のID・パスワードを無断で使用したり、セキュリティ上の弱点(脆弱性)を突いたりして、本来アクセスする権限のないコンピュータを利用する行為です。
ここで最も重要なキーワードは「ネットワークを通じて」です。不正アクセス禁止法は、ネットワーク(インターネットや社内LANなど)を介したアクセスを対象としています。
禁止されている行為
Section titled “禁止されている行為”不正アクセス禁止法では、主に次の3つの行為が禁止されています。
1. 不正アクセス行為
Section titled “1. 不正アクセス行為”他人のID・パスワードを無断で使用して、ネットワークを通じてコンピュータにアクセスする行為です。たとえば、他人のIDとパスワードを使ってネットワーク経由でサーバーにログインし、データを閲覧する行為がこれに該当します。
2. 不正助長行為(他人の識別符号の不正提供)
Section titled “2. 不正助長行為(他人の識別符号の不正提供)”他人のID・パスワードなどの識別符号を、正当な理由なく第三者に提供する行為です。自分自身が不正アクセスをしなくても、他人の不正アクセスを助ける行為として禁止されています。
たとえば、他人のショッピングサイトのIDとパスワードを、無断で別の人に教える行為がこれに該当します。
3. 不正取得行為(識別符号の不正取得・保管)
Section titled “3. 不正取得行為(識別符号の不正取得・保管)”不正アクセスを行う目的で、他人のID・パスワードを不正に取得したり保管したりする行為です。
たとえば、フィッシング詐欺で他人のID・パスワードを騙し取る行為や、不正に入手したID・パスワードのリストを保管する行為がこれに該当します。
不正アクセス禁止法の対象となる行為・ならない行為
Section titled “不正アクセス禁止法の対象となる行為・ならない行為”試験では「どの行為が不正アクセス禁止法の禁止行為に該当するか」を判別する問題が頻出です。判別のポイントは、ネットワークを介しているかどうかと、他人のID・パスワードに関わる行為かどうかです。
graph TB
Start["ある行為が<br>発生した"]:::primary
Q1{"ネットワークを<br>通じた行為か?"}:::primary
Q2{"他人のID・パスワードに<br>関わる行為か?"}:::primary
Q3{"行為の内容は?"}:::base
A1["不正アクセス行為"]:::alert
A2["不正助長行為"]:::alert
A3["不正取得行為"]:::alert
Out["不正アクセス禁止法の<br>対象外"]:::base
Start --> Q1
Q1 -->|いいえ| Out
Q1 -->|はい| Q2
Q2 -->|いいえ| Out
Q2 -->|はい| Q3
Q3 -->|"他人のID・PWで<br>ログイン"| A1
Q3 -->|"他人のID・PWを<br>第三者に提供"| A2
Q3 -->|"他人のID・PWを<br>不正に取得・保管"| A3
classDef base fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#333;
classDef primary fill:#eff6ff,stroke:#2563eb,stroke-width:2px,color:#1e40af;
classDef alert fill:#fef2f2,stroke:#dc2626,stroke-width:2px,color:#991b1b;
対象となる行為の例
Section titled “対象となる行為の例”| 行為 | 該当する禁止行為 |
|---|---|
| 他人のID・パスワードを無断で使い、ネットワーク経由でサーバーにログインした | 不正アクセス行為 |
| 他人のメールのID・パスワードを無断で使い、メールサーバー上の電子メールを閲覧した | 不正アクセス行為 |
| 他人のID・パスワードを正当な理由なく無断で第三者に提供した | 不正助長行為 |
| 不正アクセスの目的で他人のID・パスワードを不正に入手し、手帳に記録した | 不正取得行為 |
対象とならない行為の例
Section titled “対象とならない行為の例”| 行為 | 対象外の理由 |
|---|---|
| 同僚が席を離れた際に、同僚のPC画面に表示されていた情報を覗き見た | ネットワークを介していない(画面の覗き見) |
| USBメモリを無断で持ち出し、自分のPCに直接接続してデータを閲覧した | ネットワークを介していない(物理的な接続) |
| 自分のPCに自分のパスワードのメモを貼り付けた | 他人のID・パスワードに関わる行為ではない |
| 業務を代行してもらうために自分のID・パスワードを同僚に伝えた | 自分自身の識別符号であり、他人のものではない |
試験で出るポイント
不正アクセス禁止法の出題では「ネットワークを介しているか」が最大の判断基準です。USBメモリを直接接続してデータを見る行為や、画面を覗き見する行為は不正アクセス禁止法の対象外です(別の法律や社内規則で問題になる可能性はあります)。また、他人のID・パスワードを正当な理由なく第三者に提供する行為も禁止されていることを覚えましょう。
アクセス管理者の防御措置
Section titled “アクセス管理者の防御措置”不正アクセス禁止法は、不正アクセス行為を禁止するだけでなく、コンピュータやネットワークの管理者(アクセス管理者)に対しても、不正アクセスを防ぐための防御措置を講じる努力義務を定めています。
具体的には、次のような措置が求められます。
- ID・パスワードの適切な管理
- アクセス制御機能の有効性の検証と必要に応じた高度化
- その他の不正アクセスを防止するために必要な措置
不正アクセス禁止法と他の法律の違い
Section titled “不正アクセス禁止法と他の法律の違い”不正アクセス禁止法は、ネットワークを通じた不正なアクセス行為を規制する法律です。情報の取扱いに関連する他の法律との違いを整理しておきましょう。
| 法律 | 規制の対象 |
|---|---|
| 不正アクセス禁止法 | ネットワークを通じた不正アクセス行為、ID・パスワードの不正提供・取得 |
| 不正競争防止法 | 営業秘密の不正取得・使用、コピープロテクトの回避装置の販売など |
| 個人情報保護法 | 個人情報の不適切な取扱い |
| 刑法(不正指令電磁的記録に関する罪) | コンピュータウイルスの作成・提供 |
試験で出るポイント
「不正アクセス禁止法で禁止されている行為はどれか」という問題では、ネットワークを介しているかどうかで判断します。物理的なデータの持ち出しや画面の覗き見は、不正アクセス禁止法ではなく別の法律や規則の問題です。また、実際に被害がなくても不正アクセス行為自体が違法であることも重要なポイントです。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 情報の取扱いに関する不適切な行為 a~c のうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。
a オフィス内で拾った手帳に記載されていた他人のIDとパスワードを無断で使い,ネットワークを介して自社のサーバにログインし,サーバに格納されていた人事評価情報を閲覧した。
b 自分には閲覧権限のない人事評価情報を盗み見するために,他人のネットワークIDとパスワードを無断で入手し,自分の手帳に記録した。
c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCに直接接続してその人事評価情報をコピーした。
- ア a
- イ a,b
- ウ a,b,c
- エ b,c
解答(令和2年)
正解: イ
Q. 不適切な行為 a~c のうち,不正競争防止法で規制されているものだけを全て挙げたものはどれか。
a キャンペーンの応募者の個人情報を,応募者に無断で他の目的のために利用する行為
b 他人のIDとパスワードを不正に入手し,それらを使用してインターネット経由でコンピュータにアクセスする行為
c 不正な利益を得ようとして,他社の商品名や社名に類似したドメイン名を使用する行為
- ア a
- イ a,c
- ウ b
- エ c
解答(令和3年)
正解: エ
Q. 情報の取扱いに関する不適切な行為 a~c のうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。
a オフィス内で拾った手帳に記載されていた他人の利用者IDとパスワードを無断で使って,自社のサーバにネットワークを介してログインし,格納されていた人事評価情報を閲覧した。
b 同僚が席を離れたときに,同僚のPCの画面に表示されていた,自分にはアクセスする権限のない人事評価情報を閲覧した。
c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCで人事評価情報を閲覧した。
- ア a
- イ a,b
- ウ a,b,c
- エ a,c
解答(令和3年)
正解: ア
Q. 不適切な行為 a〜c のうち,不正アクセス禁止法において規制されている行為だけを全て挙げたものはどれか。
a 他人の電子メールの利用者IDとパスワードを,正当な理由なく本人に無断で第三者に提供する。
b 他人の電子メールの利用者IDとパスワードを本人に無断で使用して,ネットワーク経由でメールサーバ上のその人の電子メールを閲覧する。
c メールサーバにアクセスできないよう,電子メールの利用者IDとパスワードを無効にするマルウェアを作成する。
- ア a,b
- イ a,b,c
- ウ b
- エ b,c
解答(令和4年)
正解: ア
Q. パスワードに関連した不適切な行為 a~d のうち,不正アクセス禁止法で規制されている行為だけを全て挙げたものはどれか。
a 業務を代行してもらうために,社内データベースアクセス用の自分のIDとパスワードを同僚に伝えた。
b 自分のPCに,社内データベースアクセス用の自分のパスワードのメモを貼り付けた。
c 電子メールに添付されていた文書をPCに取り込んだ。その文書の閲覧用パスワードを,その文書を見る権利のない人に教えた。
d 人気のショッピングサイトに登録されている他人のIDとパスワードを,無断で第三者に伝えた。
- ア a,b,c,d
- イ a,c,d
- ウ a,d
- エ d
解答(令和5年)
正解: エ
Q. 不正な販売行為を防ぐために,正当な理由なく映像ソフトのコピープロテクトを無効化するプログラムの販売行為を規制している法律はどれか。
- ア 商標法
- イ 特定商取引に関する法律
- ウ 不正アクセス行為の禁止等に関する法律
- エ 不正競争防止法
解答(令和5年)
正解: エ
Q. 他人の電子メールの利用者IDとパスワードの取扱いに関する記述のうち,不正アクセス禁止法で規制されている行為だけを全て挙げたものはどれか。
a 正当な理由なく本人に無断で第三者に提供する。
b 他人の電子メールの利用者IDとパスワードを無効にするマルウェアを作成する。
c 本人に無断で使用して,メールサーバ上の電子メールを閲覧する。
- ア a,b,c
- イ a,c
- ウ b,c
- エ c
解答(令和7年)
正解: イ