SuperTAINS News No.21 [Page.6]

不正アクセス行為の禁止等に関する法律
—逐条解説—

TAINS 利用研究会ネットワーク法律問題研究グループ金谷吉成
`kanaya@law.tohoku.ac.jp`

TAINS 利用研究会ネットワーク法律問題研究グループ芹澤英明
`serizawa@law.tohoku.ac.jp`

1 はじめに

　コンピュータ犯罪といわれるものには，実に多種多様なものが考えられます。

コンピュータ本体や，周辺環境の破壊
磁気テープ，磁気ディスク，光ディスク等の記録メディアの損壊
コンピュータの動作を誤らせるためのデータやプログラムの入力，改竄（かいざん）
データやプログラムの不正入手
ハードウェアの不正使用
わいせつ画像の公開
ネットワークを使ったねずみ講

　我が国では，1987年の刑法改正で，電子計算機損壊等業務妨害罪（刑法234条の2），電子計算機使用詐欺罪（刑法246条の2），電磁的記録不正作出・供用罪（刑法161条の2）が規定され，一定の犯罪に対しては手当がなされました。これは諸外国に比べても決して遅いものではありません。
　しかし，刑法のこれらの規定は，コンピュータに侵入してただ内部の情報をのぞき見たり持ち出したりする行為を処罰の対象としておらず，その結果，国際的クラッカーが日本のコンピュータを抜け穴（ループホール）として利用する問題や海外からの捜査共助（捜査機関が互いに必要な協力をすること）の要請に応えられないという問題(*1)が生じました。今日のように世界中のコンピュータがネットワークでつながるようになると，他のコンピュータに侵入する行為は，それだけでネットワークに対する重大な脅威になります。クラッカーは，自己のアクセス経路の追跡をかわすために二重三重の「踏み台」を用意することが普通ですし，侵入した証拠すら隠滅してしまうことが多いからです。
　1997年のデンバー・サミットでハイテク犯罪に対する技術的・法的対応の強化が指摘されるなど，日本は諸外国から法整備を迫られていたという背景もあって，コンピュータネットワークへの不正アクセス自体を犯罪として処罰する「不正アクセス行為の禁止等に関する法律」が，第145回国会において可決成立し，平成11年8月13日に公布されました。本法の中心となる，不正アクセス行為の禁止とその処罰規定は平成12年2月13日からの施行となります。
　以下では，同法の概要について条文一つ一つに解説を加えるとともに，いくつかの問題点について検討します。

(*1) 国際捜査共助法２条２号は，日本で行われた行為が日本の法令によって罪に当たらなければ，共助をすることができないと規定しています。

2 逐条解説

「不正アクセス行為の禁止等に関する法律」を条文に沿って解説します。本稿の末尾に実際の条文を添付しましたので，そちらと併せてお読み下さい。

2.1 目的（１条）

この法律は，

ネットワークを通じて行われるコンピュータ犯罪の防止
アクセス制御機能により実現されるネットワークの秩序の維持
上記をもって高度情報通信社会の健全な発展に寄与すること

を目的として（１条後段），

不正アクセス行為の禁止
違反者に対する罰則
再発防止のための都道府県公安委員会による援助措置等

を定めたものです（１条前段）。コンピュータをネットワークに接続する場合，アクセスを何らかのかたちで制限することが通常であり，これを正しく運用することがネットワークの秩序の維持に不可欠です。それは，システムの問題であり，管理者の問題であり，利用者の問題でもあります。ネットワークに携わるすべての人が，不正アクセスを行う又は受ける可能性があることにまず注意しなければなりません。

2.2 定義（２条）

　本法で用いられるキーワードについて，次のような定義規定が置かれています。
　「アクセス管理者」とは，ネットワークに接続しているコンピュータの利用に関して，その動作を管理する者をいいます（２条１項）。ここでは，ネットワークに接続しているということが重要な意味を持ちます。つまり，利用者が何千人もいる大型計算機であっても，ネットワークに接続していなければこの法律の適用範囲外ですし，逆に利用者が一人だけのコンピュータでも，ネットワークに接続しさえすれば，不正アクセス行為の対象となり得ることになります。具体的には，UNIX でいう root や Windows NT でいう Administrator，自らのホームページで会員制のサービスを行う個人や組織などがアクセス管理者にあたります。
　「識別符号」とは，ネットワークを通じたコンピュータの利用に関して，利用者を他の利用者と区別するための符号であって，パスワード（２条２項１号），音声・指紋・網膜などのバイオメトリクス情報（２条２項２号），署名（２条２項３号），及びそれらと組み合わせて用いられるユーザID・利用者番号のことをいいます。基本的には，IDとパスワードの組み合わせと考えて構いません。
　「アクセス制御機能」とは，利用者が入力した識別符号（ID・パスワード等）によって，コンピュータの利用制限を解除する機能をいいます（２条３項）。アクセス制御という言葉は，コンピュータ一般の世界では，ファイアウォールによるパケットフィルタリングやルーティング制限，ファイルの利用パーミッション等を含む広い概念を指しますが，本法にいうアクセス制御は，識別符号による利用の制限に意味が限定されています。なお，ここで言うアクセス制御機能には，通常のログイン手続きの他，RADIUS や Kerberos など，目的とするコンピュータ以外のコンピュータによる認証も含まれます。

2.3 不正アクセス行為の禁止（３条），罰則（８条）

　何人も不正アクセス行為をしてはならないとして（３条１項），次の三類型が規定されました。違反者は，一年以下の懲役又は五十万円以下の罰金に処せられます（８条１号）。

アクセス制御機能のあるコンピュータに対し，他人の識別符号を入力して，制限されている利用を可能にする行為（３条２項１号）。
アクセス制御機能のあるコンピュータに対し，特殊な情報又は指令を入力して，制限されている利用を可能にする行為（３条２項２号）。
ネットワークで接続された他のコンピュータのアクセス制御機能によって利用が制限されているコンピュータに対し，特殊な情報又は指令を入力して，制限されている利用を可能にする行為（３条２項３号）。

　第一の類型は，他人のID・パスワードによる不正ログイン行為を，第二第三の類型とは，セキュリティホールを突いてシステムに侵入する行為を規定したものです。第二の類型と第三の類型は，アクセス管理機能が攻撃の対象となるコンピュータに備わっているかいないかという点で異なります。
　不正アクセスを論じるためには，不正アクセスを受ける側が一定のセキュリティレベルを持っていることがまず前提となります。その第一は，コンピュータにアクセス制御機能が存在すること。第二は，コンピュータに直接アクセス制御機能が存在していなくとも，ネットワーク上の他のコンピュータにアクセス制御機能が存在し，コンピュータの利用を制限していることです。第三の類型はこのうちの後者にあたり，認証サーバを迂回（うかい）して目的のコンピュータを直接攻撃する行為を規定したものと考えることができます。
　セキュリティコントロールを全く行っていないプロバイダ，組織においては，そもそも全てのアクセスが適法なアクセスになると考えるのが適当です。例えば，root のパスワードをシステムの導入時から変更していない，パスワードが設定されていないアカウント，利用者IDが``guest''でパスワードが``guest''といったアカウントがあるなどの場合は，アクセス制御機能がないと判断され，そもそも不正アクセスの問題にならない可能性もあります。意図せぬアクセス，情報の漏洩（ろうえい）・削除・改竄（かいざん）・破壊，なりすまし，業務妨害などの被害を避けるためにも，セキュリティ対策には充分な注意が必要です。
　なお，管理者が行うもの，管理者又は利用者の承諾を得て行うものは，不正アクセスには該当しません。したがって，セキュリティチェックのためのクラッキング・テスト，ペネトレーション・テストに伴う行為は，本法の規制の対象外となります。

2.4 不正アクセス行為を助長する行為の禁止（４条），罰則（９条）

　本法では，不正アクセス行為そのものだけではなく，不正アクセス行為を助長する行為も処罰の対象となります。すなわち，他人の識別符号を，それがどのコンピュータで使えるかを明示した上で，管理者や正規の利用者以外の者に提供してはならず（４条），これに違反した者は三十万円以下の罰金に処されると規定されました（９条）。
　これは，他人の識別符号を売るなどのいわゆる「ID屋」対策の規定です。識別符号を個人情報としてとらえれば，本規定は利用者にとってのプライバシー権の保護という側面もあるように思われます。しかし，管理者がする場合，管理者若しくは利用者の承諾を得てする場合が除かれていますので，やはり不正アクセスにつながる行為の規制に重点がおかれているものと理解すべきです。
　ところで，知人の電子メールアドレスを他の第三者に教えてしまうというのはよくあることだと思います。電子メールアドレスは一般に「名前@所属」の形式で表され，名前部分が識別符号におけるIDを，所属部分がコンピュータを特定する情報を示すとされる可能性もないわけではありません。友人の電子メールアドレスを教える行為が直ちに不正アクセス行為を助長する行為になるわけではありませんが，安全のためにも，やはり本人に一声掛けて承諾を得ることが大切です。

2.5 アクセス管理者による防御措置（５条）

　アクセス制御機能をコンピュータに付加したアクセス管理者は，次のような一定の努力義務を負います（５条）。

識別符号又はそれを確認するために用いる符号を適正に管理すること
アクセス制御機能の有効性を常に検証すること
必要に応じてその機能を高度化すること
その他不正アクセス行為を防御するために必要な措置を講ずること

　識別符号の適正な管理とは，具体的には，利用者に対する適切な指導（パスワードがIDと同じであったり，簡単な英単語であったりということのないよう指導する），パスワード管理ファイルの暗号化，ソーシャル・エンジニアリング対策などが考えられます。また，アクセス制御機能の有効性を検証するために，不正アクセス行為に関する情報収集，各種ツールを利用したクラッキング・テストなどが求められ，セキュリティ問題が見つかった場合は，コンピュータベンダから提供される修正プログラムを適用したり，ソフトウェア／ハードウエアをバージョンアップしたりすることが必要になります。
　しかし，この規定はあくまで努力規定にとどまっており，極言すれば「やってもやらなくても」刑事法上は処罰の対象にはなりません。（民事法上はこの規定を根拠として不法行為責任，契約責任に問われる可能性があります。）３条・４条の規定では，アクセス管理者の行為は処罰の対象とならず，本条にも処罰規定はありませんが，これらについては刑法の背任罪（刑法247条）などで対応していくものと思われます。

2.6 都道府県公安委員会による援助措置等（６条，７条）

　都道府県公安委員会は，アクセス管理者から援助を受けたい旨の申出があり，その申出を相当と認めるときは，必要な資料の提供，助言，指導その他の援助を行います（６条１項）。つまり，不正アクセスを受けた管理者は，都道府県公安委員会から一定の援助が受けられるということです。しかし，援助を受けるためには，

不正アクセス行為が行われた際のコンピュータの作動状況，管理状況，その他の参考となるべき事項に関する書類（ログやシステム構成図，利用者名簿など）
その他の物件（場合によってはコンピュータ本体やハードディスクなど）

の提出が必要であり，しかも申出が相当と認められなければ援助が受けられませんから，この規定が犯罪捜査機関によるログ収集に使われる危険性を指摘しておきたいと思います。プライバシー情報の保護の観点から，提出書類や提出物件は，事例分析後は速やかに返還・消去・廃案等の処分がされなければなりません。また，援助と犯罪捜査は別個の手続きによるべきものですから，混同かつ職権濫用がないよう，都道府県公安委員会には特段の配慮が求められます。
　なお，援助を行うために必要な事例分析の実施は，都道府県公安委員会から他の者に委託することができます（６条２項）。また，実際に事例分析に従事した者は，その実施に関して守秘義務を負い（６条３項），これに違反した場合は一年以上の懲役又は五十万円以下の罰金に処せられます（８条２号）。　なお，国家公安委員会，通商産業大臣及び郵政大臣によって，毎年少なくとも一回，

不正アクセス行為の発生状況
アクセス制御機能に関する技術の研究開発の状況

が公表されること（７条１項），国は不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならないこと（７条２項）がそれぞれ規定されています。

3 ログ保存をめぐる議論

　ログとは，システムを適正かつ安全に運用する上で参照されるべき，ログイン情報・アクセス情報・課金情報・管理情報・エラー情報などの記録のことをいいます。不正アクセス行為が行われた場合，アクセスの元になったコンピュータのログ，実際にアクセスが行われた先のコンピュータのログ，アクセスの経路上にあるネットワークのログなどが，不正アクセス行為の検知，事実の確認，被害の認定，さらには再発の防止に欠かすことのできない情報となります。実際，多くの企業やインターネット・サービス・プロバイダで，システム管理や課金の目的のためにログを一定期間保存し，使用しています。
　しかし，一方でログには利用者の個人情報や，誰とメールをやりとりしたか，いつどこの WWW サービスを利用したかなどのプライバシー情報が記録されていることが考えられるため，ログの取り扱いには充分な注意が必要になります。
　不正アクセス禁止法の法案は，警察庁，郵政省，通産省の３省庁が共同してその策定作業を務めましたが，警察庁は当初，ログインの日時，ID，IPアドレスなどの識別情報に関するログについて，３か月間の保存を義務づけるべきと主張しました。これに対し，郵政省は通信の秘密の観点から難色を示して対立し，最終的にはログ保存の義務化規定は法案には盛り込まれませんでした。警察庁は今後の義務化に意欲を示していますが，ログの取り扱いに関しては，ネットワークにおけるプライバシー情報の保護に配慮した更なる議論が期待されます。

4 具体的事例の検討---不正アクセス禁止法との関係---

4.1 ポートスキャン攻撃

　不正アクセス禁止法には，未遂や予備の規定がありません。したがって，TCP/UDPポートを総当り的に調査して起動しているサービスを調べるポートスキャン攻撃や，ID・パスワードの組み合せを総当り的に試すブルート・フォース攻撃があっても，実際に不正アクセスの三類型に当てはまらなければ処罰されることはありません。

4.2 使用不能攻撃 (Denial of Service)

　使用不能攻撃とは，攻撃者が本来の目的とは異なる使い方でコンピュータの資源（CPU，メモリ，ネットワークなど）を食い潰すことで，通常の使用を妨害する攻撃をいいます。攻撃目標となるコンピュータに直接アクセスする場合は本法の適用の可能性がありますが，無差別的に大量のパケットを送信する行為や不正なコマンドを入力してサービスを意図的に停止させるなどの行為は，本法にいう不正アクセスには当らず，むしろ刑法の電子計算機損壊等業務妨害罪（刑法234条の2）の問題となります。

4.3 迷惑メール (spam)

　電子メールを使っていると，何かの宣伝や勧誘のメールが送られて来ることがよくあります。現実世界でも，家のポストにダイレクトメールやチラシが入っていることがありますが，ネットワークの世界では送信する側のコストがほとんどかからず，受信する側の開いたり捨てたりするコストばかりがかかるので，最近では spam が大きな問題となってきています。一通や二通だけなら無視すれば済む問題ですが，これが無差別大量にばらまかれたり，一度に何千通ものメールを受け取ったりする場合は，コンピュータの管理者にとっても利用者にとっても大変困った問題となります。
　これらの問題はもちろん不正アクセスの問題ではありませんが，何らかの法的な措置が必要と思われますし，実際にアメリカのいくつかの州では，spam 行為を禁止する新しい立法もなされているようです。
　また，電子メールの発信元を詐称するために電子メールを不正に中継させるといった問題もあります。電子メールの中継に関しては，それがオープンサービスとなっておらず，アクセス管理者によって中継機能が適切に制限されている場合は，本法の適用の可能性があります。

4.4 コンピュータウイルス

　コンピュータウイルスにはたくさんの種類があり，不正アクセスにあたるかあたらないかを一概に論ずることはできません。ワームのように，コンピュータからコンピュータに感染して増殖するだけのものを不正アクセスと解するのは難しいと思いますが，アクセス制御機能による利用の制限を免れるようなウイルスであれば，本法の適用の可能性があります。

4.5 セキュリティホール攻撃

　セキュリティホール攻撃とは，システムプログラム等に含まれるセキュリティ上の弱点を突き，管理者権限を得たり許可されていないコマンドを実行可能とするような行為を指し，多くはまさに本法３条２項２号の対象となるべきものです。
　セキュリティホール攻撃の具体例としては，最近ではIMAPサーバやPOP3サーバに関するもの，amdサーバやstatdサーバ，mountdサーバに関するもの，ドメインネームサーバに関するもの，Webサーバのcgi-binプログラムに関するものなどがあります。

4.6 組織内犯罪

　不正アクセス防止法では，不正アクセスがあったとされるために二つの条件が必要です。すなわち，1不正アクセスの対象となるコンピュータにアクセス制御機能が存在すること，2ネットワークを通じたアクセスであることです。
　不正アクセス防止法に言うネットワークすなわち「電気通信回線」が，公衆回線や専用線などの電気通信事業法に基づく回線に限定されるのか，外部回線に接続されている組織内部のLANまでを含むのかは，今のところはっきりわかっていません。コンピュータ犯罪のうち内部犯罪が最も数が多い犯罪と言われており，この点，どのような司法判断が下されるのか興味深いところです。
　なお，組織としては，内部であらかじめセキュリティポリシーを策定して，内部規定で処理できるようにしておくことが肝要です。

　コンピュータやネットワークに関しては，上記以外にもさまざまな問題がありますが，実際に訴訟になってみないと境界的な問題の判断は困難です。今後の裁判例の蓄積が期待されます。

5 不正アクセス対策

　不正アクセス対策としてまず考えられるのは，ファイアウォールによるパケットフィルタリングです。これは，サブネットと外部ネットワークとの間にゲートウェイを設置して，一定の条件（送信元アドレスやサービスポートを限定する）によってデータの送受信を制限するもので，セキュリティの向上に大変効果があります。
　しかし，パケットフィルタリングでは相手コンピュータのIPアドレス，サービスポート番号などを特定することはできますが，アクセスの行為者を特定することまでは難しく，更にパケットそのものを改竄（かいざん）されるおそれもあるので，これだけで万全というわけではもちろんありません。また，ファイアウォールはあくまで外部ネットワークとの通信を制限するもので，内部者からの不正アクセスを防止することはできません。
　不正アクセスを受けないためには，セキュリティ情報を収集してセキュリティホールにはバージョンアップなどで対応する，必要のないサービスを停止する，通信を暗号化する，ワンタイム・パスワードなどより安全性の高いアクセス制御機能を利用するなどの複数の対策を併用することが大切です。また，自らの管理するコンピュータから不正アクセスが行われないよう，利用者の啓蒙（けいもう），アクセスログの解析なども併せて行う必要があります。

6 不正アクセスの踏み台とされた組織・管理者の責任

　不正アクセスは，受ける側だけの問題では決してありません。逆にこちらから不正アクセスをしてしまうということも充分に考えられることです。管理者には，利用者に対しては不正アクセス行為を行わないような充分な啓蒙（けいもう）が，外部に対しては不正アクセスの踏み台にならないようなシステムの適切な運用が求められます。
　なお，具体的な被害の発生を認知したときには，それ以上不正アクセス行為が行われないよう，速やかな対策が講じられるべきです。不正アクセス行為を認識した上で敢えて何の対応も行わなかった場合は，管理者にも何らかの責任が発生し，不正アクセス行為の幇助（ほうじょ）犯（刑法62条）となる可能性もあるからです。

7 国際的な適用関係

　いかなる国の裁判所が刑事裁判をすることができるか，いかなる国の刑事法を適用するかといった問題が，広く国際刑法の問題と言われるものです。公法上は，日本国内で行われた犯罪に我が国の法を適用するのが原則（公法の属地性の原則）ですから，犯罪地または被告人の住所・居所・現在地が国内にあれば，日本の裁判所で裁判が行われ，日本法が適用されることになります（刑事訴訟法２条１項，刑法１条１項）。
　国内犯か国外犯かの基準となる犯罪地は，構成要件に該当する事実の少なくとも一部が存在する地と考えられていますが，ネットワーク犯罪のように国境を越えて行為が行われる場合の実際の適用範囲の画定は容易ではありません。しかし，不正アクセスが行われた地（不正アクセス禁止法上の法益侵害があった地）には重要な構成要件の一部が存在すると言えますので，被害にあった場所が日本国内であれば日本の裁判所が裁判管轄を有すると解するのが相当です。また，逆に日本国内から国外に不正アクセスを行ったような場合は，その国の刑法規定に違反し，かつその国に裁判管轄がある限りにおいて，そこで処罰される可能性があります。

8 おわりに

　不正アクセス禁止法によって，情報の不正入手や漏洩（ろうえい），コンピュータの無権限利用に一定の法的対策が施されたことは評価できますが，それで，冒頭に挙げたようなコンピュータ犯罪のすべてに対応できたわけではありません。
　例えば，

ネットワークに接続されていないコンピュータに侵入する行為
アクセス管理者や正規利用者による情報の不正入手や漏洩（ろうえい）

などは本法の規制の対象から除外されますし，サイバーテロリズムのような大規模なコンピュータ犯罪に対応することも難しい状況にあります。
　現代において，コンピュータは我々の生活に欠かすことのできない重要な役割を担い，ネットワークは電気水道ガスと並んでライフラインの一部と考えられるまでになりました。コンピュータネットワークの秩序を守り，そこにある情報一般を保護することは，個人のプライバシーや組織の秘密を守ることにもつながります。それは，一方では情報科学技術の発展により，他方では法的対応の強化により行われるべきで，決して一面的に解決すべき問題ではないと考えます。技術と法律とのより密接な相互協力が期待されます。

参考文献

[1] 北村滋：「不正アクセス行為禁止法」の概要と課題，日経コンピュータ 1999年11月22日号 No.483，pp. 26--33，1999年．
[2] 高橋郁夫：コンピューターの無権限アクセスの法的覚書---英国・コンピューターミスユース法1990の示唆，判例タイムズ No.1006，pp. 81--95，1999年．
[3] 高橋郁夫：サイバーセキュリティーの国際的法律問題．
<URL:http://www.netsec.gr.jp/summit.htm>
[4] 須川賢洋：「不正アクセス禁止法」の制定に際して，新潟大学総合情報処理センター年報 Vol.10，1999年．

不正アクセス行為の禁止等に関する法律（平成十一年法律第百二十八号）

　　（目的）
第一条 この法律は，不正アクセス行為を禁止するとともに，これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより，電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り，もって高度情報通信社会の健全な発展に寄与することを目的とする。

　　（定義）
第二条 この法律において「アクセス管理者」とは，電気通信回線に接続している電子計算機（以下「特定電子計算機」という。）の利用（当該電気通信回線を通じて行うものに限る。以下「特定利用」という。）につき当該特定電子計算機の動作を管理する者をいう。
２この法律において「識別符号」とは，特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者（以下「利用権者」という。）及び当該アクセス管理者（以下この項において「利用権者等」という。）に，当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって，次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
一当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
二当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
三当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
３この法律において「アクセス制御機能」とは，特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって，当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号（識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。）であることを確認して，当該特定利用の制限の全部又は一部を解除するものをいう。

　　（不正アクセス行為の禁止）
第三条 何人も，不正アクセス行為をしてはならない。
２前項に規定する不正アクセス行為とは，次の各号の一に該当する行為をいう。
一アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ，当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）
二アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報（識別符号であるものを除く。）又は指令を入力して当該特定電子計算機を作動させ，その制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。）
三電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ，その制限されている特定利用をし得る状態にさせる行為

　　（不正アクセス行為を助長する行為の禁止）
第四条 何人も，アクセス制御機能に係る他人の識別符号を，その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして，又はこれを知っている者の求めに応じて，当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし，当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は，この限りでない。

　　（アクセス管理者による防御措置）
第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は，当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに，常に当該アクセス制御機能の有効性を検証し，必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

　　（都道府県公安委員会による援助等）
第六条 都道府県公安委員会（道警察本部の所在地を包括する方面（警察法（昭和二十九年法律第百六十二号）第五十一条第一項本文に規定する方面をいう。以下この項において同じ。）を除く方面にあっては，方面公安委員会。以下この条において同じ。）は，不正アクセス行為が行われたと認められる場合において，当該不正アクセス行為に係る特定電子計算機に係るアクセス管理者から，その再発を防止するため，当該不正アクセス行為が行われた際の当該特定電子計算機の作動状況及び管理状況その他の参考となるべき事項に関する書類その他の物件を添えて，援助を受けたい旨の申出があり，その申出を相当と認めるときは，当該アクセス管理者に対し，当該不正アクセス行為の手口又はこれが行われた原因に応じ当該特定電子計算機を不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう，必要な資料の提供，助言，指導その他の援助を行うものとする。
２都道府県公安委員会は，前項の規定による援助を行うため必要な事例分析（当該援助に係る不正アクセス行為の手口，それが行われた原因等に関する技術的な調査及び分析を行うことをいう。次項において同じ。）の実施の事務の全部又は一部を国家公安委員会規則で定める者に委託することができる。
３前項の規定により都道府県公安委員会が委託した事例分析の実施の事務に従事した者は，その実施に関して知り得た秘密を漏らしてはならない。
４前三項に定めるもののほか，第一項の規定による援助に関し必要な事項は，国家公安委員会規則で定める。

第七条 国家公安委員会，通商産業大臣及び郵政大臣は，アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため，毎年少なくとも一回，不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする。
２前項に定めるもののほか，国は，アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。

　　（罰則）
第八条 次の各号の一に該当する者は，一年以下の懲役又は五十万円以下の罰金に処する。
一第三条第一項の規定に違反した者
二第六条第三項の規定に違反した者

第九条 第四条の規定に違反した者は，三十万円以下の罰金に処する。

　　附　則 　この法律は，公布の日から起算して六月を経過した日から施行する。ただし，第六条及び第八条第二号の規定は，公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

www-admin@tohoku.ac.jp
pub-com@tohoku.ac.jp

不正アクセス行為の禁止等に関する法律 —逐条解説—

TAINS 利用研究会 ネットワーク法律問題研究グループ 金谷吉成 kanaya@law.tohoku.ac.jp

TAINS 利用研究会 ネットワーク法律問題研究グループ 芹澤英明 serizawa@law.tohoku.ac.jp