MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Toiminnot, jotka on kielletty 'Japanin luvattoman tietojärjestelmään pääsyn estämislain' mukaan

IT

Toiminnot, jotka on kielletty 'Japanin luvattoman tietojärjestelmään pääsyn estämislain' mukaan

Laiton tietojärjestelmään tunkeutuminen -laki (virallinen nimi “Laki laittoman tietojärjestelmään tunkeutumisen kieltämisestä ja muista toimenpiteistä”) astui voimaan helmikuussa 2000 (Heisei 12) ja sitä muutettiin toukokuussa 2012 (Heisei 24). Tämä laki on edelleen voimassa. Se on laki, jonka tarkoituksena on estää kyberrikollisuus ja ylläpitää järjestystä sähköisen viestinnän alalla, ja se koostuu 14 pykälästä.

“Laki laittoman tietojärjestelmään tunkeutumisen kieltämisestä ja muista toimenpiteistä” (Tarkoitus)
1 § Tämän lain tarkoituksena on estää laiton tietojärjestelmään tunkeutuminen ja määrätä rangaistukset siitä sekä alueellisten turvallisuuskomiteoiden tukitoimet sen uusiutumisen estämiseksi. Tämä laki pyrkii estämään rikoksia, jotka tehdään tietokoneiden kautta sähköisen viestinnän linjoja pitkin, ja ylläpitämään järjestystä sähköisessä viestinnässä, joka toteutetaan pääsynvalvontatoimintojen avulla. Tämän tavoitteena on edistää korkean tason tieto- ja viestintäyhteiskunnan terveellistä kehitystä.

Mitä laiton tietojärjestelmään tunkeutuminen -laki konkreettisesti kieltää? Mitä todellisia tapauksia on ollut, ja mitä toimenpiteitä pitäisi toteuttaa rikosoikeudellisesti ja siviilioikeudellisesti? Selitämme laittoman tietojärjestelmään tunkeutumisen kieltämisen lain yleiskatsauksen ja toimenpiteet, jotka on toteutettava, jos olet joutunut sen uhriksi.

Toimet, jotka on kielletty Japanin laittoman tietojenkäsittelyn estämistä koskevassa laissa (Japanese Unauthorized Computer Access Law)

Japanin laittoman tietojenkäsittelyn estämistä koskevassa laissa kielletyt ja rangaistavat toimet voidaan pääosin jakaa seuraaviin kolmeen kategoriaan:

  • Laittoman tietojenkäsittelyn kieltäminen (3. pykälä)
  • Laittoman tietojenkäsittelyn edistämisen kieltäminen (5. pykälä)
  • Muiden tunnistetietojen laiton hankkiminen, säilyttäminen tai syöttäminen (4., 6. ja 7. pykälät)

Mitä luvaton tietokoneen käyttö tarkoittaa

Erityisesti laki määrittelee sen 2. pykälän 4. momentissa “henkilöllisyyden väärinkäyttönä” ja “tietoturva-aukon hyödyntämisenä”. Japanin laki luvattomasta tietokoneen käytöstä (Japanese Unauthorized Computer Access Law) kieltää luvattoman pääsyn toisen henkilön tietokoneeseen.

“Henkilöllisyyden väärinkäyttö” tarkoittaa sitä, että kun käytät palveluntarjoajaa, sinun on syötettävä tunnistetiedot, kuten ID ja salasana, tietokoneellesi. Tässä yhteydessä se tarkoittaa toisen henkilön tunnistetietojen syöttämistä ilman hänen lupaa.

Se saattaa olla hieman vaikeaselkoista, mutta tässä yhteydessä “toisen henkilön” tarkoittaa ID:tä tai salasanaa, jonka joku muu on jo luonut (ja käyttää), ja “henkilöllisyyden väärinkäyttö” tarkoittaa yksinkertaisesti toisen henkilön jo käyttämän, esimerkiksi Twitterin tai muun sosiaalisen median tilin “kaappaamista”.

Yleisesti ottaen “henkilöllisyyden väärinkäyttö” viittaa toimintaan, jossa luodaan uusi tili käyttäen toisen henkilön nimeä tai valokuvaa ja käytetään Twitteriä tai muuta sosiaalista mediaa ikään kuin olisi kyseinen henkilö. Tämä on kuitenkin eri asia. Tämän merkityksen “henkilöllisyyden väärinkäyttö” on selitetty yksityiskohtaisesti alla olevassa artikkelissa.

https://monolith.law/reputation/spoofing-dentityright[ja]

“Tietoturva-aukon hyödyntäminen” tarkoittaa toisen henkilön tietokoneen tietoturva-aukon (turvallisuuspuutteen) hyödyntämistä siten, että tietokonetta voidaan käyttää. Hyökkäyskäyttöön tarkoitettuja ohjelmia jne. käytetään antamaan tietoja tai ohjeita tunnistetietojen ulkopuolella hyökkäyksen kohteelle, ohittamaan toisen henkilön tietokoneen pääsynvalvontatoiminto ja käyttämään tietokonetta ilman lupaa.

Näiden luvattoman tietokoneen käytön toimien suorittaminen voi johtaa “enintään kolmen vuoden vankeusrangaistukseen tai enintään miljoonan jenin sakkojen” määräämiseen (11. pykälä).

Mitä tarkoitetaan toiminnalla, joka edistää luvatonta pääsyä

Japanin luvatonta pääsyä estävä laki (Japanese Unauthorized Access Prohibition Law) kieltää toiminnan, joka edistää luvatonta pääsyä. Tällaista toimintaa on esimerkiksi toisen henkilön tunnusten tai salasanojen luovuttaminen kolmannelle osapuolelle ilman tunnusten omistajan lupaa. Riippumatta siitä, tapahtuuko tämä puhelimitse, sähköpostitse tai verkkosivuston kautta, jos kerrot toiselle henkilölle esimerkiksi “Henkilön XX tunnus on YY ja salasana on ZZ”, ja tämän seurauksena joku pääsee luvattomasti käsiksi toisen henkilön tietoihin, kyseessä on luvatonta pääsyä edistävä toiminta.

Jos syyllistyt luvatonta pääsyä edistävään toimintaan, sinua voidaan rangaista enintään vuoden vankeudella tai enintään 500 000 jenin (noin 4 000 euron) sakolla (lain 12 §:n 2 momentti).

Huomaa, että jopa jos luovutat salasanan tietämättä, että se johtaa luvattomaan pääsyyn, sinua voidaan rangaista enintään 300 000 jenin (noin 2 400 euron) sakolla (lain 13 §).

Mitä tarkoittaa toisen henkilön tunnistetietojen luvaton hankkiminen, säilyttäminen tai syöttöpyynnöt

Japanin luvattoman tietojenkäsittelyn estämistä koskevassa laissa (Japanese Unauthorized Computer Access Law) kielletään toisen henkilön tunnistetietojen (ID, salasana) luvaton hankkiminen, säilyttäminen tai syöttöpyynnöt.

4 §: Toisen henkilön tunnistetietojen luvaton hankkiminen on kielletty
6 §: Toisen henkilön tunnistetietojen luvaton säilyttäminen on kielletty
7 §: Toisen henkilön tunnistetietojen luvattomat syöttöpyynnöt on kielletty

Tämän kiellon tyypillinen esimerkki on “syöttöpyyntö”, joka on niin sanottu phishing-yritys. Esimerkiksi, huijari saattaa esiintyä pankkina ja houkutella uhri väärennetylle kotisivulle, joka näyttää aivan aidolta. Tällä väärennetyllä sivulla uhria pyydetään syöttämään salasanansa ja ID:nsä.

Phishing-yrityksen avulla hankittuja tunnistetietoja voidaan käyttää esimerkiksi huutokauppahuijauksissa tai varastamaan uhrin pankkitililtä rahaa siirtämällä se toiselle tilille.

Näiden tekojen seurauksena voidaan määrätä enintään vuoden vankeusrangaistus tai enintään 500 000 jenin sakko (12 § 4 kohta).

Mikä laki säätelee kyberrikollisuutta, joka ei liity luvattomaan tietojärjestelmään tunkeutumiseen?

Kuten mainittu, luvattoman tietojärjestelmään tunkeutumisen kieltävä laki (Japanese Unauthorized Access Prohibition Law) on laki, joka on suunniteltu käsittelemään tiettyjä tyyppejä niin sanotuista kyberrikoksista. Kun puhutaan ‘kyberrikollisuuden’ kokonaisuudesta, muita lakeja, kuten tietokoneiden vahingoittamista tai liiketoiminnan häirintää koskeva rikoslaki (Japanese Computer Damage and Business Interference Law), petollisen liiketoiminnan häirinnän rikoslaki (Japanese Fraudulent Business Interference Law) ja kunnianloukkausrikoslaki (Japanese Defamation Law), saattavat tulla kyseeseen. Kyberrikollisuuden kokonaiskuvaa käsitellään yksityiskohtaisesti seuraavassa artikkelissa.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Pääsynvalvojan velvollisuudet

Käsittelemme tässä luvussa luvattoman pääsyn estämislain (japanilainen ~) määrittelemiä velvollisuuksia.

Luvattoman pääsyn estämislaki (japanilainen ~) ei ainoastaan määrittele luvatonta pääsyä ja siihen liittyviä rangaistuksia, vaan se myös asettaa velvollisuuksia pääsynvalvojille palvelimien ja muiden vastaavien laitteiden hallinnassa luvattoman pääsyn estämiseksi.

Pääsynvalvojan puolustustoimenpiteet

8 § Pääsynvalvojan, joka on lisännyt pääsynvalvontatoiminnon tiettyyn tietokoneeseen, tulee pyrkiä asianmukaisesti hallitsemaan tunnuskoodia tai koodia, jota käytetään kyseisen pääsynvalvontatoiminnon tarkistamiseen, sekä jatkuvasti tarkistamaan pääsynvalvontatoiminnon tehokkuutta ja tarvittaessa nopeasti parantamaan sen toimintoja tai toteuttamaan muita tarvittavia toimenpiteitä kyseisen tietokoneen suojaamiseksi luvattomalta pääsyltä.

“Tunnuskoodin asianmukainen hallinta”, “pääsynvalvontatoiminnon tehokkuuden jatkuva tarkistaminen” ja “tarvittaessa pääsynvalvontatoiminnon parantaminen” ovat velvoitteita, mutta koska ne ovat pyrkimysvelvoitteita, niiden laiminlyönnistä ei seuraa rangaistusta.

Kuitenkin, jos hallinnoijalla on merkkejä siitä, että tunnus tai salasana on vuotanut, hänen on välittömästi suoritettava pääsynvalvontatoimenpiteitä, kuten tilin poistaminen tai salasanan vaihtaminen.

Esimerkkejä luvattoman tietojärjestelmään tunkeutumisen kieltävästä laista (Japanese Unauthorised Access Prohibition Law) rikkomisesta

Valloitti suositun poikakoululaisen Twitter-tilin

Hyōgon prefektuurin poliisi pidätti 30. tammikuuta 2017 (Heisei 29) erään prefektuurin lukion kolmannen vuoden poikaopiskelijan (18), joka oli ottanut haltuunsa luokkatoverinsa Twitter-tilin ja lähettänyt yli 300 viestiä tyttökoululaisille esiintyen tilin omistajana. Häntä epäiltiin luvattoman tietojärjestelmään tunkeutumisen kieltävän lain (Japanese Unauthorised Access Prohibition Law) rikkomisesta.

Epäilty oli syyskuusta marraskuuhun edellisenä vuonna kirjautunut 63 kertaa suositun poikakoululaisen (18) Twitter-tilin tunnistuspalvelimeen syöttämällä salasanan. Hän oli lähettänyt sopimattomia viestejä, kuten “näytetään toisillemme vartalomme” ja “puhutaan tuhmia”, muille koulujen tyttöopiskelijoille, jotka seurasivat tätä tiliä.

Luvaton pääsy Facebookiin ja muihin palveluihin

Tokion alioikeus tuomitsi 3. elokuuta 2016 (Heisei 28) syytetyn (29), joka oli toistuvasti tunkeutunut luvattomasti Facebookiin ja muihin palveluihin hankkiakseen henkilötietoja. Syytetty oli tunkeutunut luvattomasti seitsemän naisen Facebookiin ja muihin palveluihin yhteensä 238 kertaa. Rikokset olivat toistuvia ja sinnikkäitä, eikä syytetyn motiiville, halulle saavuttaa onnistumisen tunne luvattoman pääsyn yhteydessä, annettu lieventäviä seikkoja. Syytetty tuomittiin kahden vuoden ja kuuden kuukauden vankeusrangaistukseen. Kuitenkin, koska syytetty ei ollut levittänyt urkkimiaan tietoja ja hänellä ei ollut aiempia rikoksia, tuomioon sisällytettiin neljän vuoden ehdollinen vankeus.

Luvaton asiakastietojen hankinta työpaikalta

Tokion alioikeus tuomitsi 12. marraskuuta 2009 (Heisei 21) työntekijän (45), joka oli vastuussa yrityksensä tietojärjestelmän kehittämisestä, ylläpidosta ja yleisestä käyttäjätuesta. Työntekijä oli hankkinut luvattomasti yrityksen asiakastietoja myydäkseen ne ja varastanut CD-R-levyn. Hänelle langetettiin kahden vuoden vankeusrangaistus.

Tuomioistuin totesi, että työntekijän saamaa noin 350 000 jenin voittoa tietojen myynnistä ei voida sivuuttaa. Vaikka työntekijällä ei ollut aiempia rikoksia ja hän oli saanut työpaikaltaan rangaistuksen, kuten irtisanomisen, tuomioistuin katsoi, että rangaistuksen lykkääminen ei ollut mahdollista.

Kahdeksan vuoden vankeusrangaistus kyberhyökkäyksen tekijälle

Tokion alioikeus tuomitsi 27. huhtikuuta 2017 (Heisei 29) syytetyn (32), joka oli käyttänyt phishing-sähköposteja ja etäkäyttöviruksia hankkiakseen luvattomasti useiden yritysten internetpankin tunnuskoodeja. Syytetty oli kirjautunut luvattomasti järjestelmiin ja tehnyt luvattomia rahansiirtoja. Lisäksi hän oli hankkinut sähköpostiosoitteita tietokantahyökkäyksillä ja lähettänyt etäkäyttöviruksia saattaakseen ne toimintakuntoon. Syytetty tuomittiin luvattoman tietojärjestelmään tunkeutumisen kieltävän lain (Japanese Unauthorised Access Prohibition Law), tietokonepetoksen, laittoman sähköisen tallenteen luomisen ja käytön, laittoman sähköisen tallenteen käytön ja radiolain rikkomisesta kahdeksan vuoden vankeusrangaistukseen.

Syytetty oli käyttänyt monenlaisia menetelmiä kyberhyökkäyksissä ja yrittänyt välttää rikostensa paljastumista muun muassa käyttämällä etukäteen luvattomasti hankittua salausavainta yhdistääkseen muiden ihmisten langattomiin LAN-tukiasemiin ja piilottanut yhteyden alkuperän joskus käyttämällä välityspalvelinta. Lisäksi hän oli muuttanut yhteystietosähköpostiosoitetta ennen luvattomia rahansiirtoja. Rikokset olivat ovelia ja pahansuopia, ja luvattomista rahansiirroista aiheutunut taloudellinen vahinko oli yhteensä yli 5,19 miljoonaa jeniä. Lisäksi syytetty oli tehnyt rikoksensa pian sen jälkeen, kun hänet oli vapautettu ehdonalaiseen vapauteen aiemmasta samantyyppisestä rikoksesta.

Jos hyökkääjä on lähettänyt sähköposteja tällaisten hyökkäysten aikana, on mahdollista, että hyökkääjä voidaan jäljittää näiden sähköpostien perusteella. Kuitenkin siviilitasolla tämä on yleensä vaikeaa. Tätä aihetta käsitellään tarkemmin alla olevassa artikkelissa.

https://monolith.law/reputation/email-sender-identification[ja]

Toimenpiteet luvattoman pääsyn yhteydessä

Jos henkilökohtaiseen tiliisi on päästy luvattomasti, ota yhteyttä asianajajaan ennen kuin vahinko laajenee.

Kun käytät sähköpostia tai sosiaalista mediaa, saatat joutua muiden ihmisten luvattoman pääsyn uhriksi. Mitä voit tehdä tässä tilanteessa?

Rikosilmoitus

Ensinnäkin, voit tehdä rikosilmoituksen henkilöstä, joka on päässyt luvattomasti tietoihisi. Luvaton pääsy on rikos, ja henkilö, joka on päässyt luvattomasti tietoihisi, voi joutua rikosoikeudelliseen vastuuseen. Kuten aiemmin selitimme, henkilö voi saada enintään kolmen vuoden vankeusrangaistuksen tai sakkoa enintään miljoona jeniä (noin 8000 euroa). Jos joku on edistänyt luvatonta pääsyä, hän voi saada enintään vuoden vankeusrangaistuksen tai sakkoa enintään 500 000 jeniä (noin 4000 euroa).

Huomaa, että luvaton pääsy on rikos, josta voidaan aloittaa tutkinta ilman rikosilmoitusta. Jos poliisi saa tietää rikoksesta, he voivat aloittaa tutkinnan ja pidättää epäillyn. Lisäksi, vaikka et olisi itse joutunut luvattoman pääsyn uhriksi, voit ilmoittaa asiasta poliisille, jos tiedät siitä.

Kuten aiemmin mainitsimme artikkelissa, joka koskee liiketoiminnan häirintää, rikos, josta voidaan nostaa syyte vain uhrin rikosilmoituksen perusteella, ei tarkoita, että vain uhri voi tehdä rikosilmoituksen. Myös rikoksista, joista voidaan nostaa syyte ilman uhrin rikosilmoitusta, uhri voi tehdä rikosilmoituksen.

Vaikka rikos olisi sellainen, josta voidaan nostaa syyte ilman uhrin rikosilmoitusta, epäillyn tilanne voi huonontua, jos uhri tekee rikosilmoituksen, ja rangaistus voi olla ankarampi. Jos huomaat, että sinuun on kohdistunut luvaton pääsy, ota yhteyttä asianajajaan ja jätä rikosilmoitus tai syyte poliisille. Kun poliisi on vastaanottanut rikosilmoituksen, he aloittavat tutkinnan välittömästi ja voivat pidättää tai syyttää epäiltyä.

Vaadi siviilioikeudellista korvausta

Jos olet joutunut luvattoman pääsyn uhriksi, voit vaatia vahingonkorvausta tekijältä siviilioikeudellisesti, perustuen Japanin siviililakiin (Japanese Civil Code) 709 §:ään.

Siviililaki (Japanese Civil Code) 709 §
Henkilö, joka tahallisesti tai huolimattomuuden vuoksi loukkaa toisen oikeuksia tai laillisesti suojattuja etuja, on velvollinen korvaamaan siitä aiheutuneen vahingon.

Jos tekijä on päässyt luvattomasti tietoihisi ja levittänyt henkilötietojasi, varastanut esineitä sosiaalisesta pelistä tai päässyt luottokortti- tai pankkitilisi tietoihin ja aiheuttanut taloudellista vahinkoa, voit vaatia vahingonkorvausta, kuten hyvitystä. Tietysti, jos luottokortti- tai pankkitilisi tietoihin on päästy ja olet todella kärsinyt taloudellista vahinkoa, voit vaatia korvausta myös näistä vahingoista.

Kuitenkin, jotta voit vaatia vahingonkorvausta tekijältä, sinun on tunnistettava tekijä ja kerättävä todisteita siitä, että hän todella on päässyt luvattomasti tietoihisi. Tämä vaatii erittäin erikoistunutta tietämystä. Jos olet joutunut luvattoman pääsyn uhriksi, sinun pitäisi konsultoida asianajajaa, jolla on laaja kokemus internetin ongelmista, ja pyytää häntä hoitamaan menettely.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

TOPへ戻る