電子系の法律について考える(不正アクセス禁止法)

  • Facebook
  • Twitter
  • はてなブックマーク
  • Delicious
  • Evernote
  • Tumblr

全国で初めてミクシィへの不正アクセスの摘発
http://www.asahi.com/national/update/1204/NGY200612040014.html
とのことなので、今までちゃんと読んだことがなかった不正アクセス禁止法に目を通してみました。
IT系の用語は横文字が多いのに、法律だとムリに日本語にしようとするので、IT系が不得意な方のみならず、IT系に詳しい方にも ようわからん単語が出てきます。
古文書を解読しているような楽しさがあるかと思いますので、お時間のある方は読んでみられるのもよろしいかと。
(以下、上記の事件とは直接 関係ないですが、)

不正アクセス行為の禁止等に関する法律
(目的)
第一条  この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

横文字はすべて日本語に置き換えられているのに、なぜか「アクセス」だけは、カタカナのままなんですね。「サーバ」とか「パスワード」とかいった用語に比べて、「アクセス」というのは、普通の人がピンと来る言葉じゃないと思うんですが・・・なぜこれだけカタカナなのか・・・興味深いですね。

(定義)
第二条  この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。

つまり、ここでいう「アクセス」とは、ネット経由のものに限られ、スタンドアロンのパソコンに侵入する、といったことは、この法律の対象になってない、ということですね。
(キーボードのコードは、「電気通信回線」にはあたらない、ということでいいんですよね?)
どうせなら「不正アクセス」も日本語にして、「不正遠隔接続」といった名前にした方が、ITをよくご存知の方にとっても、ここでいう「アクセス」という用語のイメージがはっきりするのでは・・・とも思いますが・・・。
物理的にアクセス制御されたところに置いてあるスタンドアロンのコンピュータに外部の人間が侵入する場合は(古典的な)不法侵入になることが多いでしょうけど、例えば掃除のおばさん(実は産業スパイ)が会社の机の上に置いてある個人パソコンに直接侵入するようなケースは、何か、別の法律で刑事罰が手当てされているんでしたっけ?

2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
一  当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

「パスワード」のことですね。IDにメールアドレスを使うようなサービスはともかく、「みだりに第三者に知らせてはならない」と言われていれば、「ID」も含まれるかも知れませんね。

二  当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号

「生体認証」ですね。
でも、「影像又は音声」ということだと、「ガタカ」みたいに、毎回「血」や「DNA」自体を採ったりするのは、これにはあたらない・・・のか。(どーでもいいですが。)

三  当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号

この「署名」というのは、「電子署名」のことでしょうね。
でも、通常、法律用語で「署名」といったら、人間が手で書くサインのことじゃないでしょうか。(IT系に疎い方には、イメージがよくわかないんじゃないかと。)
上記には、電子署名された認証鍵が入ったICカードなどは含まれるでしょうけど、(パスワードなど他の「符号」を用いず)、電子署名されてない情報が入ったICカードだけでアクセスするようなケース(あまりないでしょうけど)は、この法律では保護されない、ということでしょうか?
それらはこの第3号ではなく第1号(みだりに第三者に知らせてはならない符号)に該当するんでしょうか?
つまり、1号に該当しなくて3号に該当する固有のケースというのは、「当該利用権者等」のID等で「第三者に教えてもかまわない」とされているものを当該利用権者等の秘密鍵で署名したようなもの?になるかと思いますが、パスワードと組み合わせず、それしか使わない認証方式って使われてるのかな?
(サーバから送られる文字列等のハッシュを取ったものに電子署名したものを返す、という認証は、技術的にありえなくはないと思いますが。)

3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

ここは、わかりやすいかと思います。

(不正アクセス行為の禁止)
第三条  何人も、不正アクセス行為をしてはならない。
2  前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

普通に、他人のID・パスワードなどでログインする場合ですね。
「特定利用をし得る状態にさせる行為」とありますので、ユーザーしかできないはずの「特定利用」自体をしなくても、ログインするだけで「犯罪」だ、ということになります。

二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

「当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令」というのは、セキュリティ・ホールなどのことでしょうね。
「セキュリティ・ホール等(アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令をいう。)を利用して・・・」
といった書き方をしていただいた方が、わかりやすいですよねえ。

三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

他のサーバを「踏み台」にするケース、などでしょうね。

(不正アクセス行為を助長する行為の禁止)
第四条  何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

他人のパスワード等を、他の第三者に教える、という場合ですね。

(アクセス管理者による防御措置)
第五条  アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

この努力規定は、(やるべきなのは当然として)、罰則もないんですが、法律上はどういう意味があるんでしょうか。アクセス制御を適切にアップグレードしてなかったり、パッチを当てていなかった場合には、不正アクセスしたものの量刑に影響するよ、ということでしょうか?(つまり、ヘボい管理者のサーバに侵入した者は、ガチガチのサーバに侵入した者より、罪が軽くなったりするのかしらん???)

(都道府県公安委員会による援助等)
第六条  都道府県公安委員会(略)は、不正アクセス行為が行われたと認められる場合において、当該不正アクセス行為に係る特定電子計算機に係るアクセス管理者から、その再発を防止するため、当該不正アクセス行為が行われた際の当該特定電子計算機の作動状況及び管理状況その他の参考となるべき事項に関する書類その他の物件を添えて、援助を受けたい旨の申出があり、その申出を相当と認めるときは、当該アクセス管理者に対し、当該不正アクセス行為の手口又はこれが行われた原因に応じ当該特定電子計算機を不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう、必要な資料の提供、助言、指導その他の援助を行うものとする。

公安委員会が助けてくれるんですね。実際問題、民間のセキュリティ専門家に依頼するのに比べて、どのくらい役に立ってくださるのかしらん。
(当然、メジャーなネット事業者ではなく、零細な企業等に対する支援を念頭においてるんでしょうね。)

2  都道府県公安委員会は、前項の規定による援助を行うため必要な事例分析(当該援助に係る不正アクセス行為の手口、それが行われた原因等に関する技術的な調査及び分析を行うことをいう。次項において同じ。)の実施の事務の全部又は一部を国家公安委員会規則で定める者に委託することができる。

実際には、民間のセキュリティ専門家がやる、ということなんでしょうね。

3  前項の規定により都道府県公安委員会が委託した事例分析の実施の事務に従事した者は、その実施に関して知り得た秘密を漏らしてはならない。
4  前三項に定めるもののほか、第一項の規定による援助に関し必要な事項は、国家公安委員会規則で定める。
第七条  国家公安委員会、総務大臣及び経済産業大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なくとも一回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする。
2  前項に定めるもののほか、国は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。

(罰則)
第八条  次の各号の一に該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一  第三条第一項の規定に違反した者
二  第六条第三項の規定に違反した者

第九条 第四条の規定に違反した者は、三十万円以下の罰金に処する。

・・・という罰則になってます。
(ではまた。)

[PR]
メールマガジン週刊isologue(毎週月曜日発行840円/月):
「note」でのお申し込みはこちらから。