MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Mikä on kolme luokkaa 'japanilaisen kyberrikollisuuden'? Asianajaja selittää jokaisen mallin vahingon torjuntatoimenpiteet

IT

Mikä on kolme luokkaa 'japanilaisen kyberrikollisuuden'? Asianajaja selittää jokaisen mallin vahingon torjuntatoimenpiteet

“Kyberrikollisuus” on termi, joka on jo jonkin verran levinnyt jokapäiväisessä kielenkäytössä, mutta kansainvälisesti se määritellään “rikokseksi, jossa väärinkäytetään tietokone- ja sähköisen viestinnän teknologiaa”. Niin sanottu “hakkerointi (krakkaus)” ja muut kyberrikokset voivat kohdistua myös yrityksiin, ja jos yritys joutuu tällaisen rikoksen uhriksi, on tärkeää miettiä, miten tilanteeseen tulisi reagoida.

Tässä artikkelissa jaamme kyberrikollisuuden kolmeen yleisesti Japanissa käytettyyn luokkaan ja selitämme, minkä tyyppisiä rikoksia kukin luokka kattaa ja mitä toimenpiteitä voidaan toteuttaa, jos joudutaan niiden uhriksi. Tämä luokittelu on tärkeä, koska

  • jos et ole “uhri” lain merkityksessä, voit ilmoittaa rikoksesta, mutta on vaikea saada poliisia tutkimaan asiaa rikosilmoituksen tai syytteen perusteella
  • jos kyseessä on rikos, johon on olemassa siviilioikeudellisia toimenpiteitä, ei tarvitse luottaa poliisin tutkimukseen, vaan voit pyytää asianajajaa tunnistamaan rikollisen ja vaatimaan häneltä vahingonkorvausta siviilioikeudellisin keinoin
  • jos olet uhri rikoksessa, johon ei ole siviilioikeudellista ratkaisua, sinun on pyydettävä poliisia tutkimaan asia

eli “toimenpiteet” vaihtelevat luokittain.

Kyberrikollisuuden kolme luokkaa

Yleisesti ottaen, kyberrikollisuus voidaan luokitella kolmeen eri tyyppiin.

Kuten yllä mainittiin, kyberrikollisuus voidaan yleisesti ottaen luokitella kolmeen eri tyyppiin.

  • Tietokonerikollisuus: Tarkempi määritelmä selitetään myöhemmin, mutta yksinkertaisesti sanottuna, se on rikollinen toiminta, joka häiritsee yrityksen toimintaa.
  • Verkkorikollisuus: Rikollinen toiminta, joka hyödyntää internetiä.
  • Luvaton käyttö kielletty -lain (japanilainen ‘Fushō na akusesu kinshi-hō’) rikkominen: Esimerkiksi luvaton kirjautuminen.

Alla selitämme nämä yksitellen.

Mitä tietokonerikollisuus on

Mikä on tietokoneen vahingoittamiseen liittyvä liiketoiminnan häirintärikos

Rikoslaissa määritelty tietokoneen vahingoittamiseen liittyvä liiketoiminnan häirintärikos on tämän tyyppisen rikoksen tyypillinen esimerkki.

Joka vahingoittaa liiketoiminnassa käytettävää tietokonetta tai sen sähkömagneettista tallennusta, antaa liiketoiminnassa käytettävälle tietokoneelle väärää tietoa tai epäasiallista ohjetta, tai saa tietokoneen toimimaan muulla tavalla kuin sen käyttötarkoituksen mukaisesti tai sen käyttötarkoitusta vastaan, ja siten häiritsee liiketoimintaa, tuomitaan enintään viideksi vuodeksi vankeuteen tai enintään miljoonan jenin sakkoon.

Rikoslaki, pykälä 224-2

Tämä on vaikeaselkoinen lause, mutta yksinkertaisesti sanottuna,

  • liiketoiminnassa käytettävän tietokoneen tai sen sisältämän datan vahingoittaminen
  • liiketoiminnassa käytettävälle tietokoneelle väärän tiedon tai ei-odotetun tiedon lähettäminen

johtavat rikokseen, jos ne saavat kyseisen tietokoneen toimimaan odottamattomasti ja häiritsevät liiketoimintaa.

Tämän rikoksen tyypillisiä esimerkkejä ovat esimerkiksi turvallisuusaukkojen hyödyntäminen tai muiden ihmisten tilien luvaton käyttöönotto, jotta voidaan lisätä online-pankin tilin saldoa. Samoin, yrityksen verkkosivuston muokkaaminen turvallisuusaukkojen hyödyntämisen tai kirjautumistietojen luvattoman hankkimisen avulla kuuluu tähän. “Luvaton kirjautuminen” itsessään on myöhemmin mainittavan “Luvattoman pääsyn kieltävä laki” (Japanin luvattoman pääsyn kieltävä laki) rikkomus, mutta tämän tyyppinen rikos kattaa luvattoman toiminnan, väärentämisen, poistamisen tai datan luvattoman muokkaamisen.

Mikä ero on luvattomaan pääsyyn?

Tämän tyyppinen rikos ei välttämättä edellytä luvatonta kirjautumista. Esimerkiksi tyypillinen tapaus on niin sanottu DoS-hyökkäys. Tällaisessa tapauksessa lähetetään suuri määrä sähköposteja aiheuttaen vikaa sähköpostipalvelimessa tai tehdään suuri määrä yhteydenottoja verkkosivustoon aiheuttaen vikaa verkkopalvelimessa. Vaikka yksittäiset sähköpostit tai yhteydenotot ovat laillisia, niiden suuri määrä saa palvelimen (PC:n) toimimaan odottamattomasti ja aiheuttaa vahinkoa yritykselle, kuten estää sähköpostin käytön tai verkkosivuston avaamisen. Siksi, vaikka se ei riko “Luvattoman pääsyn kieltävää lakia” (Japanese Unauthorized Access Prohibition Law), se täyttää “Tietokoneen vahingoittamisen ja liiketoiminnan häirinnän rikoksen” (Japanese Computer Damage and Business Interference Crime) kriteerit. Lisäksi tämäntyyppisissä rikoksissa “Petollisen liiketoiminnan häirinnän rikos” (Japanese Fraudulent Business Interference Crime) voi myös tulla kyseeseen.

Poliisin tutkinnan edistämiseksi

Miten tietokonerikoksen uhri voi saada poliisin pidättämään rikoksentekijän?

Nämä teot ovat rikoksia, kuten yllä mainittiin, ja koska kyseessä oleva yritys on uhri, on mahdollista pyytää poliisin tutkintaa. Kuitenkin, käytännössä, Japanin poliisin toiminta näitä rikoksia vastaan ei ole kovin tehokasta. Tämä johtuu osittain teknisistä ongelmista. Esimerkiksi, yllä mainittiin yksinkertaisesta DoS-hyökkäyksestä, mutta todelliset hyökkäykset eivät ole yksinkertaisia, kuten miljoona sähköpostia tai yhteydenottoa yhdestä IP-osoitteesta, vaan usein hyökkäykset tulevat monista IP-osoitteista, eli hyökkäyksen lähde on hajautettu. Tällaisia hyökkäyksiä kutsutaan “DDoS”-hyökkäyksiksi.

Jos suuri määrä sähköposteja tai yhteydenottoja tulee samasta IP-osoitteesta, on selvää, että ne ovat saman henkilön suorittamia ja “odottamattomia tietoja”. Mutta jos IP-osoitteet ovat hajautettuja, jokainen sähköposti tai yhteys itsessään on laillinen, joten ellei ole todisteita siitä, että ne on suorittanut sama henkilö, niitä ei voida pitää laittomana tietojen lähettämisenä. Joten, miten voidaan todistaa, että “suuri määrä sähköposteja tai yhteydenottoja on saman henkilön tekemiä” tiukan rikosoikeudenkäynnin alla? Tämä on todellakin ongelma poliisille ja syyttäjälle.

Lisäksi rikosoikeudenkäynnissä ei riitä, että “rikoksen mukainen viestintä (esimerkiksi suuri määrä sähköposteja) on lähetetty epäillyn omistamalta PC:lta” saadakseen syyllisen tuomion. Rikosoikeudenkäynnissä vaaditaan “kuka teki sen”, ei “miltä PC:ltä se tehtiin”. Todellisuudessa rikosoikeudenkäynnin päätöksissä tätä osaa, eli “rikos on epäilemättä tehty epäillyn PC:ltä, mutta onko se todella tehty epäillyn omalla kädellä”, tutkitaan huolellisesti. Tämä todistustaakka on tärkeä “väärän syytöksen estämiseksi”, mutta se saattaa myös saada poliisin ja syyttäjän epäröimään kyberrikosten tutkinnassa.

Kuitenkin, jos tapahtuma on tapahtunut äskettäin, on mahdollista, että palvelinlokin yksityiskohtainen analyysi paljastaa “todennäköisesti saman henkilön tekemän” ja “se on epäilemättä epäillyn tekemä” todisteita. IT-teknologian tutkimus ja oikeudellinen analyysi siitä, mitä tutkimuksessa on havaittu, voidaan muuntaa merkittäväksi oikeudelliseksi materiaaliksi. Jos nämä kaksi osaa ovat paikallaan, on olemassa tapauksia, joissa poliisin tutkintaa voidaan edistää.

Siviilioikeudellinen ratkaisu on vaikeaa

Olisi hyvä, jos poliisin apua ei tarvittaisi ja siviilioikeudellinen ratkaisu olisi mahdollinen, mutta rehellisesti sanottuna, tämäntyyppisissä rikoksissa siviilioikeudelliset toimenpiteet ovat vähäisiä.

Esimerkiksi, jos suuri määrä sähköposteja on lähetetty, sähköpostin (sähköpostin otsikon) sisällä on lähettäjän IP-osoite. Tämän IP-osoite käyttäjän osoitteen ja nimen haluaisit saada palveluntarjoajalta. Kuitenkin, Japanin siviilioikeuden mukaan, tätä tietoa ei ole oikeudellisesti mahdollista vaatia. Kuten myöhemmin mainitaan, internetissä tapahtuvan herjauksen tapauksessa, voit käyttää “Japanin palveluntarjoajan vastuunrajoituslain” mukaista oikeutta vaatia lähettäjän tietojen paljastamista, mutta yksinkertaisesti sanottuna, tämä oikeus on rajoitettu vain

viestintään, joka on tarkoitettu suurelle yleisölle (tyypillisesti, viestintä, joka on tarkoitettu herjaavien viestien lähettämiseen julkisille internet-foorumeille)

ja sitä ei tunnusteta muissa tapauksissa.

Käytännössä, monimutkaisten kyberrikosten tapauksessa, poliisin tutkinnan edistämiseksi tarvitaan usein yksityiskohtaisempia raportteja kuin oikeudenkäynnin tapauksessa. Lisäksi, ensimmäisestä yhteydenotosta poliisiin todelliseen tutkintaan tai pidätykseen voi kulua jopa vuosi. Toisaalta, siviilioikeudellinen ratkaisu voi olla helpompi, vaatia vähemmän työtä ja aikaa… mutta tämäntyyppiset rikokset ovat pääsääntöisesti mahdottomia tai erittäin vaikeita ratkaista siviilioikeudellisesti. Jos rikollinen voidaan tunnistaa, voit vaatia korvauksia vahingoista, jotka johtuvat rikollisesta toiminnasta, kuten web-palvelimen toimintahäiriöstä, mutta tähän ei ole olemassa erityistä menetelmää.

https://monolith.law/corporate/denial-of-service-attack-dos[ja]

Verkkorikollisuus

Vahingot internetissä tapahtuvasta herjaamisesta

Maineeseen kohdistuvat vahingot ovat myös osa kyberrikollisuutta.

Tämä on rikollisuutta, joka tapahtuu tietokoneiden tai verkon avulla, mutta ei liity suoraan tietokonerikollisuuteen. Esimerkiksi internetissä tapahtuva herjaaminen ei vahingoita dataa, lähetä odottamattomia tietoja tai aiheuta tietokoneen odottamattomia toimintoja, mutta se tapahtuu internetin kautta.

Herjaavia viestejä voidaan luokitella seuraavasti:

  • Rikosoikeudellisesti ja siviilioikeudellisesti laittomat (tyypillinen esimerkki on kunnianloukkaus)
  • Rikosoikeudellisesti lailliset, mutta siviilioikeudellisesti laittomat (tyypillisiä esimerkkejä ovat yksityisyyden loukkaus ja oikeuden loukkaus kuvaan)

Jos kyseessä on rikosoikeudellisesti laiton teko, voit pyrkiä tunnistamaan lähettäjän siviilioikeudellisin keinoin, kuten pyytämällä palveluntarjoajaa paljastamaan lähettäjän tiedot palveluntarjoajan vastuunrajoituslain mukaisesti, tai voit pyytää poliisia tutkimaan asiaa ja pidättämään lähettäjän.

Kuitenkin, riippuen sisällöstä, poliisi ei välttämättä tutki näitä viestejä aktiivisesti, koska he noudattavat niin sanottua “siviiliasioihin puuttumattomuuden” periaatetta. Lisäksi yksityisyyden loukkaus ja oikeuden loukkaus kuvaan eivät ole rikoslain mukaisia rikoksia, joten siviilioikeudellinen ratkaisu on välttämätön.

https://monolith.law/practices/reputation[ja]

Vahingot, jotka johtuvat yksityisestä viestinnästä, kuten sähköpostista

Sähköpostin lähettäjän tunnistaminen siviilioikeudellisesti on erittäin vaikeaa.

Haastavaa on, kun kyseessä on sopimattomien viestien lähettäminen yksityisen viestinnän, kuten sähköpostin tai Twitterin DM:n, kautta. Esimerkiksi tyypillinen esimerkki on uhkaava tai kiristävä sähköposti. Palveluntarjoajan vastuunrajoituslain mukainen lähettäjän tietojen paljastamispyyntö voidaan käyttää vain, jos kyseessä on

viestintä, joka on tarkoitettu monien ihmisten nähtäväksi (tyypillinen esimerkki on herjaava viesti, joka on lähetetty internetin keskustelupalstalle, joka on avoinna monille ihmisille)

Joten näissä tapauksissa ei ole olemassa siviilioikeudellisia ratkaisuja, ja ainoa vaihtoehto on toivoa poliisin tutkintaa. Kuitenkin, vaikka sisältö olisi kunnianloukkaus, jos sitä levitetään yksityisen viestinnän kautta, kunnianloukkaus ei ole rikos. Lyhyesti sanottuna, kunnianloukkaus on rikos vain, jos se on suunnattu suurelle joukolle ihmisiä tai määrittelemättömälle joukolle ihmisiä. Yksityisen viestinnän kautta kunnianloukkaus ei yleensä ole rikos. Tämä ongelma on selitetty yksityiskohtaisesti toisessa artikkelissa.

https://monolith.law/reputation/email-sender-identification[ja]

Vahingot, jotka johtuvat sopimattomista kuvista tai laittomista sivustoista

Lisäksi on olemassa rikoksia, joissa ei ole uhreja tai joissa yritykset, jotka todellisuudessa kärsivät vahinkoa, eivät ole uhreja. Esimerkkejä ovat:

  • Sensuroimattomien kuvien tai videoiden julkaiseminen aikuisviihdesivustoilla (julkisen siveettömyyden esittäminen)
  • Laittomien kasinosivustojen mainostaminen
  • Huijaussivustot, jotka väittävät myyvänsä tuotemerkkituotteita, mutta eivät toimita tuotteita

Esimerkiksi, jos yrityksen naisten pukuhuoneessa on tehty salakuvausta ja kuvat on julkaistu internetissä, kuvat loukkaavat selvästi kuvattujen naisten yksityisyyttä (ja oikeutta kuvaan), mutta kuten aiemmin mainittiin, yksityisyyden loukkaus (ja oikeuden loukkaus kuvaan) ei ole rikos, ja vaikka salakuvaus itsessään on rikos, kuvien julkaiseminen ei ole automaattisesti rikos, joten poliisilta on vaikea pyytää tutkintaa.

Lisäksi, vaikka laittomien kasinosivustojen tai huijaussivustojen olemassaolo saattaa vähentää yrityksen myyntiä tai heikentää sen mainetta, nämä teot ovat rikoksia yhteiskunnan hyväksi, vaikka niillä ei olisi erityisiä uhreja (tyypillisiä esimerkkejä ovat nopeusrajoitusten ylittäminen tai huumeiden käyttö), tai ne ovat rikoksia, joissa on vain suoria uhreja (esimerkiksi kuluttajat, jotka ovat maksaneet rahaa huijaussivustolle), joten vaikka yritys valittaisi vahingosta, se olisi vain kolmannen osapuolen ilmoitus, joka ei ole uhri. Lisäksi, koska he eivät ole “uhreja”, he eivät voi pyytää lähettäjän tietojen paljastamista.

Kuitenkin, jos kyseessä on esimerkiksi väärennettyjen tuotemerkkituotteiden myynti, joka loukkaa yrityksen immateriaalioikeuksia (kuten tavaramerkkioikeutta tai tekijänoikeutta), yritys voi “uhriksi” pyytää poliisin tutkintaa tai pyrkiä tunnistamaan myyjän siviilioikeudellisin keinoin.

Laittomien tietoverkkohyökkäysten kieltävä laki

Mitä laiton tietoverkkohyökkäysten kieltävä laki kieltää

Lopuksi, tarkastellaan laittomien tietoverkkohyökkäysten kieltävää lakia (Japanin laki). Tämä laki kieltää seuraavat toimet:

  1. Laittomat tietoverkkohyökkäykset
  2. Laittomien tietoverkkohyökkäysten edistäminen
  3. Laittomat hankinnat ja muut vastaavat toimet

Näistä ensimmäinen, laittomat tietoverkkohyökkäykset, voidaan jakaa kahteen pääluokkaan:

  • Henkilöllisyyden väärinkäyttö: Toisen henkilön tunnistetietojen, kuten käyttäjätunnuksen tai salasanan, käyttäminen ilman lupaa kirjautumiseen
  • Tietoturva-aukkojen hyödyntäminen: Tietoturva-aukkojen hyödyntäminen kirjautumiseen toisen henkilönä ilman tunnistetietojen syöttämistä

Toinen luokka, laittomien tietoverkkohyökkäysten edistäminen, tarkoittaa toisen henkilön tilin tietojen (käyttäjätunnus, salasana jne.) luvatonta jakamista tai myymistä toisille.

Tämä luokka sisältää esimerkiksi salasanojen varastamisen ns. phishing-sivustoilla.

Kolmas luokka, laittomat hankinnat ja muut vastaavat toimet, tarkoittaa toisen henkilön tilin tietojen hankkimista esimerkiksi phishing-sivustojen avulla tai näin hankittujen tietojen säilyttämistä.

Laittomien tietoverkkohyökkäysten kieltävästä laista on lisätietoa seuraavassa artikkelissa:

https://monolith.law/reputation/unauthorized-computer-access[ja]

Poliisin rooli ongelman ratkaisemisessa

Jos olet joutunut laittoman tietoverkkohyökkäyksen kohteeksi, sinun tulee pyytää poliisia tutkimaan asia. Kuitenkin, koska kyseessä on usein teknisesti erittäin monimutkainen ongelma, tarvitaan usein henkilöä, jolla on sekä IT- että lakiosaamista, jotta poliisi voi todella aloittaa tutkinnan. Tämä on samanlainen tilanne kuin aiemmin mainittujen tietokonerikosten kanssa.

Jos rikoksentekijä voidaan tunnistaa, on mahdollista vaatia häneltä vahingonkorvausta. Kuitenkin, kuten aiemmin mainittujen tietokonerikosten kanssa, rikoksentekijän tunnistaminen siviilioikeudellisin keinoin on usein erittäin vaikeaa.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

TOPへ戻る