セキュリティ
不正アクセス禁止法とは? 押さえておきたいポイントを解説

いまや誰もが当たり前にインターネットを利用し、インターネットを介して重要な情報をやり取りしています。そんな中で、インターネットを安全に利用するために欠かせない法律の一つが「不正アクセス禁止法」です。インターネットを利用する上で、不正アクセス禁止法に関する知識を身に付けておくことは必須といえるでしょう。
この記事では、不正アクセス禁止法の基本的な知識と併せて、主要な内容や企業における対策について解説します。
不正アクセス禁止法の基本概念
不正アクセス禁止法は通称であり、正式には「不正アクセス行為の禁止等に関する法律」となります。この記事では「不正アクセス禁止法」に統一して解説を進めます。
不正アクセス禁止法とは何か?
不正アクセス禁止法とは、不正なアクセス行為やアクセスのための情報を不正に取得・保管する行為、不正アクセス行為を助長する行為などを禁止する法律です。分かりやすく例えるなら、他人の家に勝手に押し入ったり、合鍵を勝手に作ったりすることが禁止されているように、インターネット上でも同様の行為を禁止する法律と捉えることができるでしょう。
通常であれば、私たちはさまざまなサービスを利用する際に利用者を識別するIDやパスワードなどを使ってアクセスしています。これは公正なアクセス行為であり、反対に許可されていない方法でアクセスする、他人のIDやパスワードを勝手に利用する、といったことが不正アクセスに該当します。
制定された背景と目的
不正アクセス禁止法は2000年に施行され、2012年に改正されました。この法律が制定された背景や目的は、次のように記されています。
「電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与すること」
引用元:不正アクセス行為の禁止等に関する法律(e-GOV)
つまり、安全にインターネットを利用できるようにすること、より発展できるようにすることを目的とした法律ということです。2000年はインターネットが普及し始めた時期であり、これらの目的を達成するために欠かせない法律として定められました。
不正アクセス禁止法の主要な内容
不正アクセス禁止法の主な内容と併せて、違反時の罰則についても見ていきましょう。
禁止されている行為の範囲
不正アクセス禁止法では次の5つの行為を禁止しています。
- 不正アクセス行為の禁止
- 他人の識別符号を不正に取得する行為の禁止
- 不正アクセス行為を助長する行為の禁止
- 他人の識別符号を不正に保管する行為の禁止
- 識別符号の入力を不正に要求する行為の禁止
これもアクセスする場所を「家」に置き換えると分かりやすいでしょう。「他人の家に勝手に入ってはならない」「他人の家の鍵を勝手に取得・保管してはならない」などのように考えられます。
識別符号(ID/パスワードなど)の入力を不正に要求する行為の例としては、フィッシング詐欺が該当します。フィッシング詐欺は正規のWebサイトだと利用者に勘違いさせることで、識別符号を盗み取る行為です。そのため、フィッシング詐欺も不正アクセス禁止法に抵触します。
法律における罰則
「不正アクセス行為の禁止」に違反した場合、3年以下の懲役または100万円以下の罰金に処されます。また、その他の禁止行為に違反した場合は、1年以下の懲役または50万円以下の罰金に処されます。このとき「不正アクセス行為を助長する行為の禁止」では、不正アクセス行為を目的としていることを知らなかったとしても、識別符号を提供した場合は30万円以下の罰金に処されるため注意が必要です。
そのほかの注意点として、禁止行為以外にも罰則が存在していることを覚えておきましょう。例えば、不正アクセス行為の事例分析事務に従事した上で、知り得た秘密を漏らしてしまうと1年以下の懲役または50万円以下の罰金に処される可能性があります。
企業における不正アクセス対策
不正アクセスは企業にさまざまなリスクをもたらします。不正アクセスから社内の機密情報や顧客の個人情報などの盗取や、データの破壊や改ざん、サイバー攻撃への踏み台とされる可能性が考えられます。そのため、しっかりとした対策を取ることが重要です。
企業の不正アクセス対策としては、次のようなものが挙げられるでしょう。
- OSやソフトウェアなどを最新に保つ
- ID/パスワードの徹底的な管理
- 多要素認証などによる認証強化
- FWやWAFなどのセキュリティソリューションの導入
- 従業員に対するセキュリティ教育
OSなどの脆弱性を狙って不正アクセスが行われるケースが多いため、常に最新に保ち脆弱性を排除することが重要です。また、近年ではクラウドサービスの業務利用も増え、従業員一人ひとりが管理すべきID/パスワードの数が増えています。システム的な対策としては、シングルサインオンによる管理工数の削減や、多要素認証などによる認証強化が有効です。
これらのシステム的な対策と併せて、従業員一人ひとりのセキュリティ意識を向上させることも重要であり、定期的なセキュリティ教育も欠かせない対策の一つとなっています。
不正アクセス禁止法は、不正アクセスやそのための情報を不正に取得することなどを禁止する法律です。誰もが当たり前にインターネットを利用する現在、なくてはならない法律の一つとなっています。しかし、法律で禁止されていても、企業が持つ情報資産は非常に価値が高く、常に狙われています。不正アクセス対策は、企業におけるセキュリティ対策として欠かせません。
日立ソリューションズ・クリエイトでは、個人と組織の両面からインシデント対応能力向上を強力に支援する「サイバーセキュリティトレーニング」を提供しています。サイバー攻撃の高度化、巧妙化が進む昨今、システム的な対策だけでなく人的な対策も必要です。サイバーセキュリティトレーニングでは、当社のホワイトハットハッカーによる実践的なカリキュラムで、情報セキュリティの基礎からセキュリティ人材の育成まで対応可能なコースを多数用意しています。従業員のセキュリティ教育やセキュリティ人材の育成を検討されている場合は、ぜひ一度ご相談ください。