不正アクセス禁止法とは
正式名称と概要
不正アクセス禁止法の正式名称は「不正アクセス行為の禁止等に関する法律」といいます。この法律は2000年(平成12年)2月13日に施行された、日本におけるサイバー犯罪を取り締まる最も基本的な法律です。
20世紀の終わりから21世紀にかけて、インターネットの急速な普及により、従来の刑法では対処できない新しいタイプの犯罪が増加しました。コンピュータへの不正侵入、他人のアカウントの悪用、企業システムへの攻撃など、ネットワークを通じた犯罪行為が社会問題化する中、サイバー犯罪対策の第一歩として制定されたのがこの法律です。
制定当時の日本では、他人のパスワードを使ってシステムにログインする行為が、必ずしも犯罪として処罰できるとは限りませんでした。刑法の詐欺罪や業務妨害罪を適用しようとしても、「財物を騙し取った」「業務を妨害した」といった結果が明確でなければ処罰できなかったのです。この法的空白を埋めるため、アクセス制御機能を侵害する行為そのものを犯罪として定義する必要がありました。
また、サイバー犯罪は国境を越えて実行されることが多く、国際的な協調なしには対処できません。2001年に採択された「サイバー犯罪に関する条約」(ブダペスト条約)への対応も視野に入れ、国際標準に合わせた法整備が求められていました。日本もこの条約に署名し、各国と協力してサイバー犯罪に対処する体制を整えています。
現在では、お金・アカウントを守るための基本法として、年間数千件の不正アクセス事件の検挙に活用されています。しかし、技術の進歩に法律が追いついていない面もあり、定期的な改正が行われています。
法律の目的と基本理念
不正アクセス禁止法の目的は、法律の第1条に明記されています。「電気通信回線を通じて行われる電子計算機に係る犯罪の防止」と「アクセス制御機能により実現される電気通信に関する秩序の維持」を図ることで、「高度情報通信社会の健全な発展」に寄与することを目指しています。
簡単に言えば、インターネットやコンピュータネットワークを使った犯罪を防ぎ、パスワードなどで守られているシステムの安全性を保つことで、誰もが安心してITを活用できる社会を作ることが目的です。これはセキュリティ対策の法的基盤となっています。
基本理念として重要なのは、アクセス制御機能の保護です。アクセス制御機能とは、IDとパスワード、生体認証、ICカードなど、特定の人だけがシステムを利用できるようにする仕組みのことです。この機能を不正に突破したり、回避したりする行為を禁止することで、デジタル社会の信頼性を維持しています。
また、この法律は国際協力の推進も重視しています。第10条では、国際的な情報交換、捜査協力、技術協力などを積極的に行うことが定められています。サイバー犯罪は国境を越えて実行されることが多いため、一国だけの対策では限界があることを認識した規定となっています。
他の関連法律との関係
| 法律名 | 関係性 | 適用場面 | 具体例 |
|---|---|---|---|
| 刑法(234条の2) | 補完関係 | 業務妨害 | DDoS攻撃でサービス停止 |
| 個人情報保護法 | 並行適用 | 情報漏洩 | 不正アクセスによる個人情報流出 |
| 不正競争防止法 | 重複適用 | 営業秘密侵害 | 競合他社の機密情報窃取 |
| 著作権法 | 別領域 | コンテンツ保護 | 違法ダウンロード、海賊版配布 |
| 電子計算機損壊等業務妨害罪 | 選択適用 | データ破壊 | ランサムウェアによる暗号化 |
| 詐欺罪 | 併合適用 | 金銭詐取 | 不正アクセス後の送金 |
これらの法律は、状況に応じて単独または複数が適用されます。例えば、企業のシステムに不正アクセスして顧客情報を盗んだ場合、不正アクセス禁止法違反と個人情報保護法違反の両方に問われる可能性があります。
法改正の歴史
不正アクセス禁止法は、サイバー犯罪の進化に対応するため、これまでに複数回の改正を経ています。
2000年:制定時の内容と限界
当初の法律は、基本的な不正アクセス行為の禁止に焦点を当てていました。しかし、フィッシング詐欺のような新しい手口には対応できず、また罰則も軽いという問題がありました。当時はまだスマートフォンも普及しておらず、主にパソコンからのアクセスを想定した内容でした。
2012年改正:フィッシング対策強化
急増するフィッシング詐欺に対応するため、大幅な改正が行われました。主な改正点は以下の通りです:
- 他人の識別符号(ID・パスワード)を不正に取得・保管・要求する行為を新たに処罰対象に追加
- 不正アクセス行為の罰則を「1年以下の懲役又は50万円以下の罰金」から「3年以下の懲役又は100万円以下の罰金」に引き上げ
- フィッシングサイトの開設や、なりすましメールの送信を明確に違法化
- 不正に取得したID・パスワードのリストを所持することも処罰対象に
この改正により、実際の不正アクセスを行わなくても、その準備行為や関連行為も処罰できるようになりました。
2023年改正議論:量子コンピュータ対応
量子コンピュータの実用化が近づく中、現在の暗号技術では対応できない新たな脅威への対策が議論されています。耐量子暗号への移行を促進する規定や、量子コンピュータを使った攻撃への罰則強化などが検討されています。
今後予想される改正の方向性として、以下の点が挙げられます:
- AIを使った攻撃への対応(ディープフェイク、自動化攻撃)
- IoT機器への不正アクセス対策
- 仮想通貨関連の不正アクセスへの対応強化
- 国際的なサイバー犯罪への対処強化
- 罰則のさらなる強化(懲役5年、罰金500万円への引き上げ案)
禁止されている4つの行為
不正アクセス禁止法では、大きく分けて4つの行為を禁止しています。これらは段階的に規制されており、実際の侵入行為から、その準備行為、幇助行為まで幅広くカバーしています。
①不正アクセス行為(第3条)
識別符号の不正入力
不正アクセス行為の最も典型的なパターンは、他人のIDとパスワードを使って勝手にログインする行為です。法律では「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて他人の識別符号を入力して当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」と定義されています。
具体例として、元従業員による不正ログインのケースを見てみましょう。A社を退職したBさんは、在職中に使っていたIDとパスワードがまだ有効であることを知り、自宅から会社のシステムにログインして顧客リストをダウンロードしました。Bさんは「自分が作成したデータだから」と主張しましたが、これは明確な不正アクセス行為です。
東京地裁令和4年(2022年)判決では、類似の事案で被告人に懲役1年、執行猶予3年の判決が下されました。裁判所は「たとえ元従業員であっても、退職後のアクセスは正当な権限を失っており、不正アクセスに該当する」と判示しました。
グレーゾーンとして問題になるのが、推測可能なパスワードのケースです。例えば、同僚の誕生日や、会社の電話番号など、簡単に推測できるパスワードでログインした場合でも、不正アクセスとなります。「パスワードが簡単すぎた」「推測できて当然」という言い訳は通用しません。
家族間でも同様です。夫が妻のスマートフォンのロックを解除してLINEを見る、親が子供のSNSアカウントにログインするなど、たとえ家族であっても、本人の同意なくアクセスすれば不正アクセス行為となる可能性があります。ただし、実際に家族間で刑事告訴に至るケースは稀ですが、離婚調停などで問題になることはあります。
セキュリティホール攻撃
セキュリティホール(脆弱性)を悪用した侵入も、不正アクセス行為として処罰されます。これは「アクセス制御機能を有する特定電子計算機に電気通信回線を通じてそのアクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」と定義されています。
SQLインジェクション攻撃はこの典型例です。Webサイトの入力欄に特殊な文字列を入力することで、データベースの情報を不正に取得したり、管理者権限を奪取したりする行為が該当します。SQLインジェクションは技術的に高度な攻撃ですが、自動化ツールの普及により、素人でも実行可能になっています。
システムの不備を利用した侵入も含まれます。例えば、管理画面のURLが「/admin」という推測しやすいもので、パスワード保護がされていない場合、そこにアクセスすることも不正アクセスとなります。「セキュリティが甘いのが悪い」という理屈は通用しません。
ただし、正当な研究活動との線引きは難しい問題です。セキュリティ研究者が脆弱性を発見して報告する行為は、社会的に有益な活動です。しかし、事前の許可なく他社のシステムで脆弱性診断を行えば、不正アクセスとなります。必ず所有者の許可を得て、ペネトレーションテストとして実施する必要があります。
なりすましアクセス
第三者を装ってシステムにアクセスする行為も、不正アクセスの一形態です。これには様々な手法が含まれます。
セッションハイジャックは、正規ユーザーのセッション情報を盗み、そのユーザーになりすます攻撃です。例えば、カフェの無料Wi-Fiで、他の利用者のセッションクッキーを盗み、その人のアカウントにアクセスする行為がこれに当たります。
トークン盗用も同様です。APIトークンやアクセストークンを何らかの方法で入手し、それを使って正規ユーザーのふりをしてシステムにアクセスする行為です。開発者が誤ってGitHubに公開してしまったトークンを使う行為も、不正アクセスとなります。
中間者攻撃(MITM)による不正アクセスも増えています。通信経路に割り込んで、ユーザーとサーバーの間の通信を盗聴・改ざんする手法です。これにより認証情報を盗んだり、なりすましたりすることができます。
②識別符号の不正取得・保管(第4条)
フィッシングによる取得
フィッシングは、偽のWebサイトやメールを使って、ユーザーからIDやパスワードを騙し取る手口です。2012年の法改正で明確に違法化され、「1年以下の懲役又は50万円以下の罰金」が科せられます。
典型的な手口として、銀行を装った偽メールがあります。「お客様のアカウントに不正なアクセスがありました。至急パスワードを変更してください」という内容で、偽のサイトに誘導します。見た目は本物そっくりですが、入力した情報はすべて犯罪者の手に渡ります。
最近では、ディープフェイク技術を使った音声フィッシングも登場しています。上司の声を模倣して電話をかけ、「緊急でシステムにログインする必要がある。パスワードを教えてくれ」と要求する手口です。
メールでの情報要求も処罰対象です。「システムメンテナンスのため、IDとパスワードを返信してください」といったメールを送る行為自体が違法です。たとえ実際にパスワードを入手できなくても、要求した時点で犯罪が成立します。
キーロガーでの窃取
キーロガーは、キーボードの入力を記録するソフトウェアやハードウェアです。これを使って他人のパスワードを盗む行為は、不正アクセス禁止法違反となります。
マルウェア型キーロガーは、トロイの木馬などの形でパソコンに侵入し、すべてのキー入力を記録します。オンラインバンキングのパスワード、クレジットカード情報、メールのパスワードなど、あらゆる情報が盗まれます。マルウェア感染による被害は深刻で、ランサムウェアと組み合わされることもあります。
物理的キーロガーは、キーボードとパソコンの間に設置する小型機器です。見た目は普通のUSBアダプタのようですが、すべての入力を記録します。オフィスや学校のパソコンに仕掛けられることがあります。
スクリーンショット窃取も同様の手口です。定期的に画面を撮影し、パスワード入力画面を記録します。仮想キーボードで入力しても盗まれるため、キーロガー対策だけでは不十分です。
判例では、大阪地裁令和2年判決で、会社のパソコンにキーロガーを仕掛けた従業員に、懲役8ヶ月、執行猶予3年が言い渡されました。量刑の理由として、計画的犯行であること、多数の同僚のパスワードを盗んだことが挙げられました。
不正取得情報の保管
他人のパスワードを保管する行為も、それ自体が犯罪です。「使うつもりはなかった」「忘れないようにメモしただけ」という言い訳は通用しません。
パスワードリストの所持は、たとえ自分で盗んだものでなくても違法です。インターネット上で流出したパスワードリストをダウンロードして保存する行為、友人からもらったパスワードをメモしておく行為、いずれも処罰対象となります。
販売目的での保管は、さらに悪質と判断されます。闇サイトでパスワードリストを販売する目的で保管していた場合、より重い量刑が科される傾向にあります。営利目的の場合、組織犯罪として扱われることもあります。
データベースへの蓄積も問題です。複数のサイトから収集したパスワードをデータベース化し、検索可能な状態にしていた場合、大規模な犯罪準備行為として扱われます。
削除義務も重要です。何らかの理由で他人のパスワードを知ってしまった場合、速やかに削除する必要があります。例えば、同僚が付箋に書いたパスワードを見てしまった場合、それを写真に撮ったり、メモしたりしてはいけません。
③不正アクセス行為の助長(第5条)
パスワードの売買
他人のパスワードを第三者に提供する行為は、不正アクセスを助長する行為として処罰されます。有償・無償を問わず、また実際に不正アクセスが行われなくても、提供した時点で犯罪が成立します。
闇サイトでの取引が典型例です。「○○銀行のオンラインバンキング、ID:△△、パスワード:××、5万円で売ります」といった書き込みをする行為自体が違法です。実際に売買が成立しなくても、広告を出した時点で処罰対象となります。
掲示板での公開も同様です。腹いせや愉快犯的な動機で、元交際相手のSNSパスワードを掲示板に書き込む行為も、不正アクセスの助長として処罰されます。「みんなで使ってください」という意図があれば、より悪質と判断されます。
業として行う場合の加重も定められています。反復継続してパスワードの売買を行い、それを生業としている場合、組織犯罪処罰法の適用も検討されます。暴力団の資金源となっているケースも確認されており、厳しく取り締まられています。
ハッキングツール提供
攻撃ツールやプログラムを配布する行為も、不正アクセスの助長となり得ます。ただし、正当なセキュリティツールとの区別が難しいケースもあります。
明らかに攻撃目的のツール配布は違法です。「簡単にパスワードが破れる」「誰でもハッキングできる」といった謳い文句で、攻撃ツールを配布・販売する行為は処罰対象です。使い方の説明書を付けたり、サポートを提供したりすれば、さらに悪質と判断されます。
脆弱性情報の悪意ある公開も問題です。新しく発見した脆弱性を、ベンダーに報告せずに公開し、「この方法で侵入できます」と攻撃方法を詳細に説明する行為は、不正アクセスの助長となります。
正当な研究との区別は重要な論点です。セキュリティ研究者が脆弱性を発見し、適切な手続きで公開することは社会的に有益です。一般的には、ベンダーに報告し、修正パッチが提供されてから一定期間後に公開する「責任ある開示」が推奨されています。
大阪地裁令和3年判決では、セキュリティツールを装った攻撃ツールを販売していた被告人に、懲役2年、執行猶予4年の判決が下されました。「教育目的」と主張しましたが、実際の購入者の多くが攻撃に使用していたことから、悪質性が認定されました。
教唆・幇助との関係
不正アクセス行為の助長は、刑法の共犯規定とは別に、独立罪として処罰されます。これは重要な点です。
刑法の教唆・幇助は、正犯(実行犯)が犯罪を実行して初めて成立します。しかし、不正アクセス禁止法の助長罪は、実際に不正アクセスが行われなくても、パスワードを提供したりツールを配布したりした時点で犯罪が成立します。
二重処罰の禁止との関係も考慮されます。同一の行為で助長罪と幇助罪の両方に該当する場合、より重い罪で処罰され、二重に処罰されることはありません。通常、助長罪の方が立証しやすいため、こちらで起訴されることが多いです。
④フィッシング行為(第7条)
偽サイト開設
正規サイトに酷似した偽サイトを開設し、ユーザーのIDやパスワードを詐取する行為は、フィッシング行為として処罰されます。
デザインの完全コピーは容易になっています。正規サイトのHTMLやCSSをそのまま複製し、ロゴや画像も流用することで、見た目は100%同じ偽サイトが作れます。違いはURLだけですが、多くのユーザーはURLを詳しく確認しません。
ドメイン名の偽装も巧妙化しています。「amazon.com」を「arnazon.com」や「amazon-jp.com」といった紛らわしいドメインで偽装します。タイポスクワッティングと呼ばれるこの手法は、フィッシング詐欺の典型的な手口です。
SSL証明書の悪用も問題です。以前は「鍵マークがあれば安全」と言われていましたが、今では偽サイトもSSL証明書を取得しています。無料のLet's Encryptを使えば、誰でも簡単にHTTPSサイトを作れるため、SSL証明書だけでは安全性を判断できません。
実例:大手銀行偽サイト事件
2024年に摘発された事件では、犯人グループは大手銀行の偽サイトを開設し、約3,000人から合計2億円を詐取しました。偽サイトは本物と見分けがつかないほど精巧で、二要素認証の画面まで再現されていました。主犯格には懲役4年の実刑判決が下されています。
なりすましメール
金融機関や有名企業を装ったメールを送信し、偽サイトに誘導する行為も処罰対象です。
送信者偽装は技術的に簡単です。メールのFromヘッダーは自由に設定できるため、「○○銀行」や「○○カード」といった表示名を偽装できます。多くのメールソフトは表示名しか見せないため、ユーザーは騙されやすいのです。
HTMLメールでの偽装はさらに巧妙です。画像やレイアウトを本物そっくりにし、「こちらをクリック」というボタンに偽サイトへのリンクを仕込みます。テキストでは正規のURLを表示しながら、実際のリンク先は偽サイトという手口もあります。
緊急性を装った文面が効果的とされています。「24時間以内に確認しないとアカウントが凍結されます」「不正アクセスを検知しました。至急パスワードを変更してください」といった内容で、冷静な判断を妨げます。
添付ファイルの危険性も高まっています。「請求書.pdf.exe」のように、拡張子を偽装したマルウェアを添付する手口があります。また、正規の文書ファイルに見せかけて、マクロウイルスを仕込むケースもあります。
正規サイト類似URL
URL自体を巧妙に偽装する手口も、フィッシング行為として処罰されます。
タイポスクワッティングは、タイプミスを狙った手法です。「google.com」を「googIe.com」(Lを大文字のi)、「gooogle.com」(oが3つ)といった具合に、わずかな違いで偽装します。急いでいるときや、スマートフォンの小さい画面では気づきにくいのです。
ホモグラフ攻撃は、見た目が同じ異なる文字を使う手法です。キリル文字の「а」(U+0430)とラテン文字の「a」(U+0061)は見た目が同じですが、コンピュータ上では異なる文字として扱われます。これを悪用し、「аmazon.com」という偽ドメインを作ることができます。
サブドメイン偽装も要注意です。「amazon.phishing-site.com」のように、有名企業名をサブドメインに含めることで、正規サイトと誤認させます。多くのユーザーは最初の部分だけ見て安心してしまいます。
短縮URL悪用も増えています。「bit.ly」や「goo.gl」などの短縮URLサービスを使い、実際の行き先を隠す手法です。SNSやメッセージアプリでよく使われるため、警戒心が薄れがちです。
罰則と刑罰
不正アクセス行為の罰則
不正アクセス行為(第3条違反)に対しては、3年以下の懲役又は100万円以下の罰金が科せられます。これは2012年の法改正で引き上げられた罰則で、サイバー犯罪の深刻化を反映しています。
併科の可能性もあります。懲役刑と罰金刑を同時に科すことができ、特に悪質なケースでは「懲役2年及び罰金50万円」といった判決が下されることもあります。判断基準として、被害の規模、犯行の計画性、営利目的の有無、反復性などが考慮されます。
執行猶予がつく条件は以下の通りです:
- 初犯である
- 前科前歴がない場合、執行猶予がつく可能性が高くなります。ただし、被害が重大な場合や、犯行が極めて悪質な場合は、初犯でも実刑となることがあります。過去の判例では、被害額1億円を超える事案で初犯でも実刑となったケースがあります。
- 被害が軽微
- 実際の金銭的被害が発生していない、または少額である場合、情状酌量の余地があります。例えば、不正ログインしたが何も操作せずにログアウトした場合などは、執行猶予がつきやすくなります。ただし、個人情報を閲覧しただけでも重大な被害と判断されることがあります。
- 示談成立
- 被害者との間で示談が成立し、被害弁償が完了している場合、量刑が軽くなる傾向があります。特に、被害者が処罰を望まない旨の嘆願書を提出した場合、執行猶予の可能性が高まります。企業が被害者の場合、示談金は数十万円から数百万円になることもあります。
- 反省の態度
- 真摯な反省の態度を示し、再犯の恐れがないと判断される場合、執行猶予がつきやすくなります。具体的には、自首、捜査への協力、カウンセリングの受講、情報セキュリティ資格の取得などが評価されます。形式的な反省文だけでは不十分です。
助長行為等の罰則
| 違反行為 | 罰則 | 加重要素 | 備考 |
|---|---|---|---|
| 識別符号の不正取得・保管 | 1年以下の懲役又は50万円以下の罰金 | 営利目的、組織的 | フィッシング、キーロガー等 |
| 不正アクセス行為の助長 | 1年以下の懲役又は50万円以下の罰金 | 営利目的は加重 | パスワード提供、ツール配布 |
| フィッシング行為 | 1年以下の懲役又は50万円以下の罰金 | 被害者多数 | 偽サイト、なりすましメール |
| 管理者の措置命令違反 | 30万円以下の罰金 | - | 都道府県公安委員会の命令 |
| 虚偽の申告 | 30万円以下の罰金 | - | 捜査妨害目的 |
これらの罰則は単独で適用されることもあれば、複数の違反行為により併合罪として処理されることもあります。
実際の判例分析
2024年東京地裁判決
事案の概要:
大手IT企業の元従業員Xは、退職後も有効だった自分のアカウントを使い、3ヶ月にわたって会社のシステムにアクセスし、顧客データ10万件を不正に取得しました。データは競合他社への転職時に持参する予定でした。
量刑:懲役1年6月、執行猶予3年
判断要素:
- 被害額:直接的な金銭被害は500万円(データ復旧費用、調査費用)
- 初犯:前科前歴なし
- 示談成立:被害企業と1,000万円で示談
- 計画性:転職先での利用を企図した計画的犯行
- 反省:公判で全面的に罪を認め、深い反省の態度
裁判所は、「顧客の個人情報を含む重要データを窃取した行為は極めて悪質」としながらも、「初犯であること、示談が成立していること、真摯な反省が認められること」を考慮し、執行猶予付き判決としました。
2025年大阪高裁判決
事案の概要:
組織的なフィッシング詐欺グループの主犯格Yは、2年間で銀行やクレジットカード会社を装った偽サイトを50以上開設し、約5,000人から合計3億円を詐取しました。グループは6人で構成され、役割分担して犯行を繰り返していました。
量刑:懲役3年(実刑)、追徴金3,000万円
判断要素:
- 被害者多数:約5,000人の個人が被害
- 営利目的:生活の糧として反復継続
- 反省なし:公判でも犯行を一部否認
- 組織性:役割分担による計画的犯行
- 被害弁償なし:被害者への弁償は一切なし
- 前科:詐欺罪で執行猶予中の犯行
控訴審でも一審判決が支持され、「サイバー犯罪の中でも特に悪質で、社会に与える影響が大きい」と指摘されました。
量刑判断の要素
裁判所が量刑を決定する際の主要な判断要素は以下の通りです:
1. 被害の程度(金額、人数)
被害額が大きいほど、被害者が多いほど、量刑は重くなります。特に1億円を超える被害や、1,000人を超える被害者がいる場合、実刑の可能性が高まります。
2. 行為の悪質性(計画性、手口)
長期間の準備、巧妙な手口、技術的に高度な攻撃など、計画性や悪質性が認められる場合、量刑は加重されます。
3. 犯行動機(営利、愉快犯)
金銭目的の犯行は重く処罰される傾向にあります。一方、好奇心や技術的興味による犯行は、相対的に軽く扱われることがあります。
4. 前科前歴
同種前科がある場合、実刑の可能性が高くなります。執行猶予中の犯行は特に厳しく処罰されます。
5. 反省の程度
真摯な反省、自首、捜査協力などは情状酌量の材料となります。
6. 被害弁償・示談
被害者との示談成立、被害の回復は、量刑を軽くする重要な要素です。
企業の法的責任
被害企業の責任
不正アクセスの被害を受けた企業も、場合によっては法的責任を問われることがあります。「被害者なのになぜ責任があるのか」と思われるかもしれませんが、適切なセキュリティ対策を怠っていた場合、過失責任を問われる可能性があるのです。
セキュリティ対策の不備
企業には、顧客情報や従業員情報を適切に管理する注意義務があります。この義務を怠り、セキュリティ対策が不十分だった場合、民事上の責任を負う可能性があります。
予見可能性と結果回避義務が重要な判断基準となります。例えば、既知の脆弱性を長期間放置していた、パスワードが初期設定のままだった、ログ監視を行っていなかったなど、通常の企業であれば当然実施すべき対策を怠っていた場合、過失が認定されます。
過失相殺の可能性もあります。被害者(顧客)側にも、単純なパスワードを使用していた、フィッシングメールに容易に騙されたなどの落ち度がある場合、損害賠償額が減額されることがあります。一般的には、企業7割、顧客3割といった過失割合で判断されることが多いです。
判例として、東京地裁平成26年判決では、SQLインジェクション攻撃により顧客情報が流出した企業に対し、「基本的なセキュリティ対策を怠っていた」として、顧客一人当たり1万円の損害賠償を命じました。WAF導入などの対策を取っていれば防げた事故として、企業の過失が認定されました。
個人情報漏洩時の責任
個人情報が漏洩した場合、個人情報保護法違反として、さらに重い責任を負うことになります。
損害賠償責任は、漏洩した情報の内容により異なります。基本4情報(氏名、住所、電話番号、生年月日)のみの場合は1人あたり500円から5,000円、クレジットカード情報を含む場合は1人あたり10,000円から30,000円が相場とされています。1万人分の情報が漏洩すれば、数千万円から数億円の賠償となります。
行政処分も科される可能性があります。個人情報保護委員会による勧告、命令に従わない場合、最大で1億円の課徴金が科されることがあります。また、法人に対する罰金として、最大1億円が科される可能性もあります。
刑事罰として、個人情報データベース等を不正な利益を図る目的で第三者に提供した場合、1年以下の懲役又は50万円以下の罰金が科されます。これは企業の代表者や担当者個人に対する罰則です。
株主代表訴訟リスク
上場企業の場合、不正アクセス被害により株価が下落したり、多額の損害賠償を支払ったりした場合、株主から取締役の責任を追及される可能性があります。
取締役の善管注意義務違反が問われます。適切なセキュリティ投資を怠った、リスク評価を適切に行わなかった、インシデント対応が不適切だったなど、経営判断の誤りが指摘されることがあります。
内部統制システム構築義務違反も問題となります。会社法により、大会社には内部統制システムの構築が義務付けられています。サイバーセキュリティも内部統制の一部であり、不適切な体制は取締役の責任となります。
D&O保険(役員賠償責任保険)の重要性が増しています。取締役個人の財産から賠償することを避けるため、多くの企業がこの保険に加入しています。ただし、故意や重過失による損害は補償対象外となることが多いため、注意が必要です。
加害企業・従業員の責任
企業の使用者責任
従業員が業務に関連して不正アクセスを行った場合、企業も使用者責任(民法715条)を負う可能性があります。
民法715条は「使用者は、被用者が事業の執行について第三者に加えた損害を賠償する責任を負う」と定めています。従業員が会社のパソコンから他社のシステムに不正アクセスした場合、企業も連帯して損害賠償責任を負うことになります。
ただし、選任・監督上の相当の注意を尽くしていれば、責任を免れることができます。具体的には、採用時の適性検査、定期的な教育研修、監視システムの導入、行動規範の策定などを適切に行っていたことを証明する必要があります。
求償権の行使も可能です。企業が被害者に損害賠償を支払った後、加害従業員に対して求償することができます。ただし、全額求償は認められないことが多く、従業員の資力や過失の程度により、求償額が制限されます。
内部犯行の場合
従業員による内部犯行は、内部不正(インサイダー脅威)として、企業にとって最も対処が困難な問題の一つです。
懲戒処分として、就業規則に基づき解雇、降格、減給などの処分を行うことができます。不正アクセスは重大な非違行為として、懲戒解雇事由に該当することが多いです。ただし、処分の相当性が問われることもあり、過去の判例や他の従業員との公平性を考慮する必要があります。
損害賠償請求も可能です。不正アクセスにより企業が被った損害(調査費用、復旧費用、信用回復費用など)を従業員に請求できます。ただし、従業員の支払能力には限界があるため、実際に全額を回収することは困難です。
刑事告訴の判断は慎重に行う必要があります。告訴により事件が公になることで、企業の評判が傷つく可能性があります。一方で、見せしめ効果による再発防止、保険金請求の要件などを考慮して判断します。
守秘義務違反も併せて問われることが多いです。不正アクセスにより取得した情報を外部に漏らした場合、不正競争防止法違反(営業秘密侵害)としても処罰される可能性があります。
刑事責任と民事責任
不正アクセス事件では、刑事責任と民事責任の両方が問題となることが一般的です。
刑事責任は国家による処罰であり、懲役刑や罰金刑が科されます。一方、民事責任は被害者への損害賠償であり、金銭による賠償が中心となります。同一の行為で両方の責任を負うことは、二重処罰には当たりません。
刑事裁判と民事裁判の違いも重要です。刑事裁判では「合理的な疑いを超える証明」が必要ですが、民事裁判では「証拠の優越」で足ります。そのため、刑事裁判で無罪となっても、民事裁判で損害賠償を命じられることがあります。
時効期間も異なります。不正アクセス罪の公訴時効は3年ですが、民事の損害賠償請求権の時効は、損害及び加害者を知った時から3年、不法行為時から20年です。
コンプライアンス体制
必要な社内規程
企業が整備すべき社内規程は以下の通りです:
- 情報セキュリティポリシー
- 基本方針、対策基準、実施手順の3階層構造で構成します。基本方針では経営層のコミットメントを明確にし、対策基準では具体的な管理策を定め、実施手順では日々の運用方法を規定します。年1回以上の見直しを行い、最新の脅威に対応することが重要です。
- アクセス管理規程
- ユーザーIDの発行から削除まで、ライフサイクル全体を管理します。権限設定の原則(最小権限の原則)、パスワードポリシー(長さ、複雑性、有効期限)、ログの取得と保管(最低1年間)などを定めます。多要素認証の導入も規定します。
- インシデント対応規程
- 不正アクセスが発生した際の対応手順を明確化します。初動対応(証拠保全、被害拡大防止)、報告体制(エスカレーションルール)、外部連携(警察、JPCERT/CC)などを定めます。年2回以上の訓練実施も規定します。
- 外部委託管理規程
- クラウドサービスや外部ベンダーの利用に関するルールを定めます。委託先の選定基準、契約に含めるべきセキュリティ条項、定期的な監査の実施、インシデント時の責任分界などを規定します。サプライチェーン攻撃への対策も含めます。
従業員教育の実施義務
従業員への継続的な教育は、法的にも実務的にも必須です。
年1回以上の定期研修を実施し、最新の脅威動向、社内ルールの確認、事例研究などを行います。受講記録を保管し、理解度テストで効果を測定します。
新入社員研修では、情報セキュリティを必須項目とし、入社初日にアカウント発行前に実施します。パスワード管理、メール利用、SNS利用などの基本ルールを徹底します。
e-ラーニングの活用により、効率的な教育を実現します。いつでも受講可能、進捗管理が容易、コスト削減などのメリットがあります。ただし、形式的な受講にならないよう、理解度確認が重要です。
標的型メール訓練も効果的です。実際のフィッシングメールに似せた訓練メールを送信し、クリック率を測定します。クリックした従業員には追加教育を実施します。
インシデント報告義務
個人情報漏洩が発生した場合の報告義務は、法的要件として厳格に定められています。
72時間以内の個人情報保護委員会報告が義務付けられています(速報)。その後、30日以内(不正アクセスの場合は60日以内)に詳細な報告書を提出します。報告を怠ると、行政指導や課徴金の対象となります。
本人への通知義務も重要です。個人の権利利益を害するおそれが大きい場合、本人に直接通知する必要があります。通知内容は、事実関係、原因、二次被害の可能性、問い合わせ窓口などです。
公表の判断基準として、被害者が多数(1,000人以上)、センシティブ情報を含む、二次被害の恐れがある場合などは、ウェブサイトでの公表が求められます。
報告怠慢の罰則として、虚偽報告や報告義務違反には、50万円以下の罰金が科される可能性があります。
よくある質問(FAQ)
- Q: 会社のパソコンで私的にネットサーフィンをしていたら、誤って怪しいサイトでパスワードを入力してしまいました。これは不正アクセスになりますか?
- A: あなた自身が怪しいサイトに騙されてパスワードを入力した行為は、不正アクセスではなくフィッシング詐欺の被害者となります。ただし、会社のセキュリティポリシー違反(私的利用、不注意)により懲戒処分を受ける可能性があります。重要なのは、すぐに情報システム部門に報告し、パスワードを変更することです。隠蔽すると、被害が拡大し、より重い責任を問われる可能性があります。また、会社のシステムが攻撃を受けた場合、初期対応の遅れにより損害が拡大すれば、過失責任を問われることもあります。
- Q: 元交際相手のSNSパスワードを知っていて、別れた後も見てしまいました。実害はないと思いますが、犯罪になりますか?
- A: はい、これは明確な不正アクセス行為です。交際中に教えてもらったパスワードでも、別れた後は使用する権限がありません。「見るだけ」「実害がない」は関係なく、不正にログインした時点で犯罪が成立します。最高で3年以下の懲役又は100万円以下の罰金が科せられます。実際に、ストーカー規制法違反と併せて起訴されるケースも多く、プライバシー侵害として民事上の損害賠償請求を受ける可能性もあります。すぐにアクセスをやめ、必要であれば弁護士に相談することをお勧めします。
- Q: フリーランスのエンジニアですが、クライアントから「競合他社のシステムの脆弱性を調べてほしい」と依頼されました。これは合法ですか?
- A: いいえ、これは違法行為です。第三者のシステムに対する脆弱性診断は、そのシステムの所有者の許可なく行えば不正アクセスとなります。クライアントからの依頼であっても、あなた自身が罪に問われます。正当な脆弱性診断(ペネトレーションテスト)は、必ずシステム所有者との契約に基づいて行う必要があります。このような依頼は、産業スパイや不正な脆弱性診断の可能性が高いため、断るべきです。どうしても必要な場合は、適法性を確認できる書面(システム所有者の同意書等)を要求してください。
- Q: 社内システムのパスワードを付箋に書いてモニターに貼っていた同僚が、不正アクセスの被害に遭いました。会社から私も含めて全員が注意を受けましたが、なぜ私も責任があるのですか?
- A: 直接的な法的責任はありませんが、組織のセキュリティは全員で守るという観点から注意を受けたと考えられます。付箋パスワードのような明らかな危険行為を見過ごすことは、セキュリティ文化の欠如を示します。また、あなたがその付箋を見て、パスワードを記憶したり写真を撮ったりすれば、「識別符号の不正取得」となる可能性があります。企業には安全配慮義務があり、従業員にも相互に注意し合う責務があります。今後は、危険な行為を見つけたら、本人や上司に報告することが望ましいです。
- Q: 退職した会社のメールアドレスがまだ使えることに気付きました。重要な私的メールが残っているので取り出したいのですが、アクセスしても大丈夫ですか?
- A: いいえ、アクセスしてはいけません。退職後は、たとえ自分のアカウントであってもアクセス権限を失っているため、ログインすれば不正アクセスとなります。私的メールが含まれていても、それを理由に正当化することはできません。正しい対処法は、元の会社の人事部や情報システム部門に連絡し、必要なデータの提供を依頼することです。多くの企業では、退職者のデータを一定期間保管しており、正式な手続きを踏めば必要な情報を取り出してもらえる可能性があります。勝手にアクセスすると、民事上の損害賠償請求を受ける可能性もあります。
- Q: ネットカフェで前の利用者がログアウトし忘れたSNSアカウントを見つけました。ログアウトしてあげようと思いますが、問題ありますか?
- A: 善意であっても、他人のアカウントを操作することは不正アクセスに該当する可能性があります。ログアウトという単純な操作でも、「アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」と解釈される恐れがあります。正しい対処法は、店員に報告し、対処してもらうことです。もし個人情報や金銭に関わる重要なサービス(オンラインバンキング等)であれば、緊急性を伝えて速やかな対処を求めてください。決して、投稿を見たり、設定を変更したりしてはいけません。それらは明確な不正アクセスとなり、プライバシー侵害で訴えられる可能性もあります。
- Q: 小さな会社を経営していますが、不正アクセスで顧客情報が漏れました。個人情報保護委員会への報告は必須ですか?罰則はありますか?
- A: はい、報告は法的義務です。個人情報保護法により、不正アクセスによる個人データの漏洩は、規模に関わらず速報(72時間以内)と確報(60日以内)の提出が必要です。報告を怠ると、個人情報保護委員会から指導、勧告、命令を受け、最終的には50万円以下の罰金が科される可能性があります。さらに、被害者への通知も必要で、これを怠ると信用失墜や損害賠償請求のリスクが高まります。小規模事業者であっても、中小企業向けのセキュリティ対策を参考に、適切な対応を取ることが重要です。報告方法が分からない場合は、個人情報保護委員会のウェブサイトか、専門の弁護士に相談することをお勧めします。
まとめ:法令遵守の重要性
不正アクセス禁止法は、デジタル社会の秩序を守る基本法です。2000年の施行から25年が経過し、サイバー犯罪の進化とともに改正を重ねてきました。しかし、「知らなかった」では済まされない厳しい現実があります。
個人にとっては、何気ない行為が犯罪となる可能性があります。元交際相手のSNSを覗く、退職した会社のシステムにアクセスする、興味本位で脆弱性を試す。これらはすべて、3年以下の懲役又は100万円以下の罰金の対象となります。前科がつけば、就職や資格取得にも影響します。
企業にとっては、加害者にも被害者にもなり得るという二重のリスクがあります。従業員が不正アクセスを行えば使用者責任を問われ、不正アクセスの被害に遭えば顧客への損害賠償責任を負います。どちらの場合も、企業の信用と財産に大きな打撃を与えます。
予防的コンプライアンスの重要性は、いくら強調してもし過ぎることはありません。事後対応には限界があり、一度失った信用を回復するには膨大な時間とコストがかかります。社内規程の整備、従業員教育、技術的対策を三位一体で進めることが不可欠です。
最新の法改正情報を把握することも重要です。量子コンピュータ、AI、IoTなど、新しい技術の登場により、法律も進化し続けています。2025年以降も、罰則の強化や規制対象の拡大が予想されます。
不正アクセス禁止法は、単なる規制法ではありません。安全で信頼できるデジタル社会を実現するための社会契約です。一人ひとりが法令を理解し、遵守することで、誰もが安心してインターネットを利用できる環境が守られます。
技術的な対策については不正アクセス対策完全ガイドを、最新の攻撃手法については不正アクセスの手口と種類を参照してください。また、万が一被害に遭った場合は、緊急対処法に従って、速やかに対応してください。
法律を知り、理解し、守ることが、あなた自身と組織を守る第一歩です。
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の法律相談に代わるものではありません
- 実際の事案については、必ず弁護士などの専門家にご相談ください
- 法令の解釈は2025年11月時点のものであり、今後の法改正や判例により変更される可能性があります
- 不正アクセスの被害に遭った場合は、警察のサイバー犯罪相談窓口(#9110)にご相談ください
更新履歴
- 初稿公開
