著作権もないんでしょうからUPしときます。
平成12年1月21日
警察庁
丙生企発第3 1号
丙生環発第2号
丙技発第1号
警察庁生活安全局長
警察庁情報通信局長
不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について
不正アクセス行為の禁止等に関する法律(平成11年法律第128号。以下「法」という。)及び不正アクセス行為の再発を防止するための都道府県公安委員会による援助に関する規則(平成11年国家公安委員会規則第12号。以下「規則」という。)の制定の趣旨及び要点等については、「不正アクセス行為の禁止等に関する法律等の施行について(依命通達)」(平成12年1月21日付け警察庁乙生発第1号、乙官発第1号、乙情発第1号)のとおりであるが、これらの概要、運用上の留意事項は下記のとおりであるので、遺漏のないようにされたい。
記
第1 法等の概要
1 法の目的について(法第1条関係)
他人の識別符号(ID・パスワード等)を窃用等して電気通信回線を通じて電子計算機にアクセスする不正アクセス行為は、誰が当該電子計算機を利用しているかわからないという状態を作り出し、ネットワークを利用した犯罪を助長するとともに、ネットワークを無秩序な状態にして国民が安心してネットワークを利用できない事態を招くこととなる。
そこで、このような不正アクセス行為の問題点に着目し、電気通信回線を通じて行われれる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的として、法が制定されたものである。
2 定義について(法第2条関係)
(1)アクセス管理者(同条第1項)
ア概要
アクセス管理者とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者である。
イ特定電子計算機
「電気通信回線」とは、電気通信を行うために設定される回線のことであり、有線に限定されるものではなく、無線も含まれる。「電気通信回線に接続している」とは、電気通信が可能な状態に構成されていることを指す。
「電子計算機」とは、コンピュータのことである。本法においては、一定の独立性を有するものに限られ、各種機器に内蔵されているマイクロ・コンピュータは含まれない。
ウ動作の管理
特定利用につき「特定電子計算機の動作を管理する」とは、特定電子計算機の特定利用を誰にどのような範囲で行わせるかを決定することを意味する。したがって、アクセス管理者は、単に特定電子計算機に係るシステムの運用管理を行っている者ではなく、当該システムを誰に利用させるか等を決定する権限のある者(企業等の法人であれば、法人そのもの)である。
また、「動作を管理する」者であることから、特定電子計算機を所有するかどうか、物理的に管理しているかどうかは問わない。
エ特定利用インターネットへの接続(インターネット接続事業者(以下「プロバイダ」という。)のダイアルアップルータの利用)、電子メールの送受信(プロバイダ等のメールサーバの利用)、ホームページの閲覧(企業、プロバイダ等のWWWサーバの利用)、ホームページを通じて行うインターネット・ショッピング(企業のWWWサーバの利用、注文等の処理を行うサーバの利用)等が具体
例として挙げられる。
特定電子計算機の利用であっても、当該特定電子計算機のキーボードを直接操作することによって行うものは特定利用ではない。
(2)識別符号(同条第2項)
ア概要
識別符号とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付された符号である。
イ利用権者
「許諾」とは、その内容として何らかの権利設定を含む必要はない。その方式も、文書又は口頭、明示又は黙示を問わない。
利用権者の具体例としては、プロバイダの会員、LANを構築している企業において当該LANを通じてホスト・コンピュータを利用することを認められている社員等が挙げられる。個人だけでなく、法人も利用権者となり得る。
ウ 識別符号を付す主体
識別符号を利用権者等に付す主体は、アクセス管理者には限定されていない。
アクセス管理者が、利用権者や第三者が付した符号を識別符号とすることを妨げるものではない。
エ 符号の形式
法では、その形式について、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものとしている。
① アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(パスワード等)
② 利用権者等の身体の全部若しくは一部の影像又は音声を用いてアクセス管理者が定める方法により作成される符号(指紋、虹彩、音声等を数値化したもの)
③ 利用権者等の署名を用いてアクセス管理者が定める方法により作成される符号(署名の形態、筆圧、動作等を数値化したもの)
一般的に用いられているID・パスワードの場合は、パスワードが①に該当する符号、IDがその他の符号であり、IDとパスワードの組合せが「次のいずれかに該当する符号とその他の符号を組み合わせたもの」として識別符号に該当することとなる。
カ留意点
(ア)企業や同一部署に属する者が共同で利用することが認められている識別符号(いわゆるグループID)については、その態様にもよるが、アクセス管理者の直接の許諾を得た代表者を利用権者とし、他の者は利用権者から承諾を得て利用している(法第3条第2項第1号参照)ものと解することができる。
(イ)次のようなID・パスワードは、いずれも利用権者等に付されている符号ではないか、利用権者等を区別して識別することができるように付されていないため、識別符号には該当しない。
○ アクセス管理者が特定電子計算機のパスワード・ファイルから消去し忘れている利用権者等でなくなった者のID・パスワード
○ アクセス管理者に無断で特定電子計算機のパスワード・ファイルに追加されたID・パスワード
○ コンピュータの出荷時に初期設定としてパスワード・ファイルに登録されているID・パスワード
○ アクセス制御機能により会員のみに特定電子計算機の特定利用を制限しているプロバイダ等のアクセス管理者が、入会希望者の「お試し利用」等のために公にし、不特定多数の者が用いることができることとしているID ・パスワード
(3)アクセス制御機能(同条第3項)
ア概要
アクセス制御機能とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号等であることを確認して、当該特定利用の制限の全部又は一部を解除するものである。
アクセス制御機能は、アクセス管理者が特定電子計算機の動作の管理を実現するための手段である。
イアクセス制御機能を付加する主体
アクセス制御機能を付加する主体は、特定利用に係るアクセス管理者である。「付加する」とは、パスワード・ファイルの設定を行って特定電子計算機の特定利用を制御するためのプログラムを機能するように設定したり新たに追加すること等によって、特定電子計算機が特定利用に係る識別符号が入力された場合に当該特定利用の制限を解除するという動作をし得る状態にすることである。
ウアクセス制御機能が付加される特定電子計算機
アクセス制御機能は、特定利用に係る特定電子計算機又は当該特定電子計算機と電気通信回線を介して接続した他の特定電子計算機に付加される。複数の電子計算機で構成されるシステムにおいては、一般的に、識別符号の照合を一元的に行う電子計算機(認証サーバ)を設置等しており、これが「特定電子計算機と電気通信回線を介して接続した他の特定電子計算機」に該当することとなる。
エ入力
法においては、特定利用に係る特定電子計算機に識別符号等の情報が伝達されることをとらえて「入力」としている。
オ識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号
「識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号」をアクセス制御機能による利用権者等の識別に用いる例としては、公開鍵暗号技術を利用した特定利用の制限の方式が挙げられる。
公開鍵暗号技術を利用したアクセス制御機能においては、利用権者を区別して識別できるよう付されているのは秘密鍵(法第2条第2項第1号の符号に該当)及び電子証明書(公開鍵及びそれが誰のものであるかを明らかにするデータを含むもの。IDの機能を有する。)である(秘密鍵と電子証明書の組合せが識別符号となる。)が、アクセス制御機能を付加された特定電子計算機に入力されるのは当該秘密鍵により作成された電子署名(秘密鍵で一定のデータを暗号化したもの。入力の都度、内容が変わる。)と公開鍵証明書となる。
そこで、公開鍵暗号技術を利用したものもアクセス制御機能となるよう、法第2条第3項において、「識別符号」を「識別符号を用いて当該アクセス管理者の定める方法により作成される符号(秘密鍵により作成される電子署名)と当該識別符号の一部(電子証明書)を組み合わせた符号を含む。」としたものである。
ク留意点
(ア)アクセス制御機能による特定利用の制限が完全なものである必要はない
(このことは、法第3条第2項第2号及び第3号の規定があることからも明らかである。)。特定利用を行う場合に、通常、当該特定利用の制限を解除するための識別符号を入力するようになっていれば、アクセス制御機能による特定利用の制限がなされていると解してよい。したがって、既に利用権者でなくなった者のID・パスワード等の識別符号以外の符号(2(2)カ(イ)参照)がパスワード・ファイルに登録されていること等をもって、アクセス制御機能による特定利用の制限がないこととはならない。
(イ)識別符号がホームページで公開等されており、利用権者等でない第三者が当該識別符号を入力できるような場合であっても、アクセス制御機能により特定利用の制限がされていることには変わりはない。
3 不正アクセス行為の禁止、処罰(法第3条及び第8条第1号関係)
(1)概要
法においては、次の3つの類型を不正アクセス行為として禁止、処罰することとしている。
① アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(法第3条第2項第1号)
② アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(同項第2号)
③ 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(同項第3号)
(2)他人の識別符号を無断で入力して行う行為((1)①)
「他人の識別符号」とは、自分に付されていない識別符号である。他人名義や架空名義でプロバイダと契約する等して入手したID・パスワードはその入手した本人に付された識別符号であり、これを入手した本人が入力したとしても、不正アクセス行為には該当しない。
2(2)カ(イ)で例示した識別符号に該当しないID・パスワードを入力する場合は、当該ID・パスワードが「アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)」に該当するため、
(1)②(第3条第2項第2号)に該当することとなる。
なお、アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号が付されている利用権者の承諾を得てするものは、禁止の対象から除外されている。
(3)アクセス制御機能による特定利用の制限を免れることができるその他の情報又は指令を入力して行う行為((1)②、③)
セキュリティホール(アクセス制御機能のプログラムの瑕疵、アクセス管理者の設定上のミス等)やアクセス管理者に無断でパスワード・ファイルに追加したID・パスワード等を悪用して、アクセス制御機能による特定利用の制限を免れることができる識別符号以外の情報又は指令を入力して行うものである。
複数の特定電子計算機でシステムが構成され、識別符号の照合を一元的に行う認証サーバが設けられている場合には、いわゆるセキュリティ・ホールを攻撃する方法として、認証サーバのセキュリティ・ホールを攻撃するものと、特定利用に係る特定電子計算機のセキュリティ・ホールを攻撃するものとが想定されるため、前者については(1)②、後者については③で規定したものである。
なお、アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを禁止の対象から除外している。
(4)制限されている特定利用をし得る状態にさせる
法においては、不正アクセス行為をアクセス制御機能による特定利用の制限に対する侵害行為として捉えて禁止することとしているため、これを「特定利用をし得る状態にさせる」行為と規定したものである。
識別符号等が入力されれば、単に特定利用をし得る状態となるだけでなく、特定利用がされてしまう場合もあるが、このような場合にも観念的には「特定利用をし得る状態」を経て特定利用がされたものと解することができるため、このような場合も含めて「特定利用をし得る状態にさせる」と規定した。
(5)留意点
ア電気通信回線を通じて行われるものに限定されており、アクセス制御機能を有する特定電子計算機や、他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に、そのキーボードを直接操作して識別符号又はアクセス制御機能による制限を免れることができる情報若しくは指令を入力する場合は、不正アクセス行為には該当しない。
イ 識別符号の入力元の入力装置は、電子計算機に限定されていない。したがって、電話機から識別符号を入力する場合や、識別符号が指紋である場合の読取装置(スキャナ等)のような入力装置から入力する場合も対象となる。
(6)罰則
不正アクセス行為の禁止に違反した者は、1年以下の懲役又は50万円以下の罰金に処せられることとなる(法第8条第1号)。
なお、不正アクセス行為罪は、不正アクセス行為によりし得る状態になった特定利用を制限していたアクセス制御機能を単位として成立するが、アクセス制御機能の単位はこれを付加したアクセス管理者ごとに判断されることとなる。
また、不正アクセス行為後に引き続いて電子計算機損壊等業務妨害罪、詐欺等の他の犯罪が行われた場合の両者の関係は、併合罪となると考えられる。
4 不正アクセス行為を助長する行為の禁止、処罰(法第4条及び第9条関係)
(1)概要
アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、第三者に無断で提供する行為を禁止、処罰することとしている。
(2)趣旨
他人の識別符号を無断で提供する行為は、その提供を受けた者の知識、技術に係わらず、容易に不正アクセス行為の実行を可能とするものであり、不正アクセス行為を助長する危険性が極めて高く、これを放置すれば不正アクセス行為を禁止する実効性を損なうこととなりかねない。そこで、他人の識別符号を無断で提供する行為を禁止、処罰することとしたものである。
(3)提供の形態
「その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして」とは、提供される識別符号の入力先を明らかにすることを指す。特定電子計算機の名称や設置場所まで明らかにする必要はなく、例えば、「ID××、パスワード○○をhttp://www.□□□.co.jpで入力すれば、□□□データベースが利用できます。」とか、「プロバイダ△△のアカウント、ID××、パスワード○」というように、提供する識別符号の入力先のURL(ホームページの場所)や、ダイアルアップ接続の電話番号が公表されている場合の識別符号に係るプロバイダ名を示すなど、一般人にとって容易にどの特定電子計算機の特定利用に係るものか、どこに識別符号を入力すればよいかを特定することができる情報を提供すれば、「明らかにして」提供したこととなる。
「これを知っている者の求めに応じて」とは、提供される識別符号がどの特定電子計算機の特定利用に係るものであるかを知っている者からの求めに応じて提供することを指す。
(4)識別符号の提供
「提供」とは、識別符号を第三者が利用できる状態に置くことをいう。特定の者に提供する場合だけでなく、インターネットのホームページで公開する等不特定多数の者に提供する場合も含む。その手段、方法は問わず、口頭で教示する、紙に書いて渡す、電子メールで送信する、ホームページや電子掲示板で公開する、識別符号が記録されたフロッピーディスク等の電磁的記録媒体を渡す行為等も
「提供」に当たる。
提供する識別符号に係るアクセス管理者及び利用権者に対する提供は禁止されていない。また、識別符号に係るアクセス管理者による提供及び当該アクセス管理者又は識別符号に係る利用権者の承諾を得て行う提供は禁止の対象から除外されている。
(5)留意点
ア他人名義や架空名義でプロバイダと契約する等して入手したID・パスワードはその入手した本人に付された識別符号であり、これを入手した本人が第三者に提供したとしても、禁止に違反しない。また、2(2)カ(イ)に例示したID・パスワードの提供は、識別符号の提供に該当しない。
イ識別符号がIDとパスワードからなる場合に、その一部のみ(例えばパスワードのみ)を提供しても原則として本条には違反しないが、次のような場合にはパスワードのみ(識別符号の一部のみ)の提供であっても識別符号を提供していると評価でき、本条に違反したこととなる。
○ パスワードに対応するIDを知っている者に、当該パスワードを提供する場合
○ パスワードとそれに対応するIDを特定することができる情報を併せて提供する場合
(6)罰則
助長行為の禁止に違反した者は、30万円以下の罰金に処せられることとなる。
なお、識別符号の提供行為が不正アクセス行為の教唆、幇助に該当する場合には、本罪は不正アクセス行為の教唆罪、幇助罪に吸収されることとなる。続く
