MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Asianajajan selitys 'Japanin laittoman pääsyn estämislain' rangaistuksista ja vanhentumisajoista

IT

Asianajajan selitys 'Japanin laittoman pääsyn estämislain' rangaistuksista ja vanhentumisajoista

Tietokoneiden ja älypuhelimien yleistyessä ja riippuvuuden internetistä kasvaessa, kyberrikollisuus, kuten luvaton pääsy, on lisääntymässä. Luvattoman pääsyn rangaistukset ja vanhentumisajat on määritelty laissa, kuten luvattoman pääsyn kieltävässä laissa (laki luvattoman pääsyn kieltämisestä ja muista vastaavista toimista) ja rikosprosessilaissa.

Mitä rangaistuksia määrätään, jos rikotaan luvattoman pääsyn kieltävää lakia? Onko luvattoman pääsyn kieltävän lain rikkomiseen liittyvissä rikoksissa vanhentumisaikaa?

Mikä on Japanin laiton tietoverkkoon tunkeutumisen kieltolaki?

Japanin laiton tietoverkkoon tunkeutumisen kieltolaki on laki, joka on säädetty estämään kyberrikollisuutta ja ylläpitämään internetin järjestystä pääsynvalvontatoimintojen avulla, sekä edistämään korkean tason tietoliikenteen yhteiskunnan terveellistä kehitystä. (1. pykälä)

Japanin laiton tietoverkkoon tunkeutumisen kieltolaki kieltää seuraavat toimet:

  • Laiton tietoverkkoon tunkeutuminen (3. pykälä)
  • Toimet, jotka edistävät laitonta tietoverkkoon tunkeutumista (5. pykälä)
  • Toisten tunnistetietojen laiton hankkiminen ja säilyttäminen (4. ja 6. pykälä)
  • Toisten tunnistetietojen syöttämisen laiton vaatiminen (7. pykälä)

3. pykälän mukainen laiton tietoverkkoon tunkeutuminen tarkoittaa “laitonta kirjautumista” ja “tietoturva-aukkojen hyödyntämistä”. Laiton kirjautuminen tarkoittaa toisen henkilön ID:n tai salasanan luvatonta syöttämistä ja kirjautumista toisen henkilön SNS-tilille. Tietoturva-aukkojen hyödyntäminen tarkoittaa hyökkäystä, jossa hyödynnetään tietoverkkoon liitetyn tietokoneen turvallisuuspuutteita.

Toimet, jotka edistävät laitonta tietoverkkoon tunkeutumista, tarkoittavat toisen henkilön ID:n tai salasanan tarjoamista kolmannelle osapuolelle ilman henkilön suostumusta, mikä mahdollistaa laittoman pääsyn kyseiseen tiliin.

Toisten tunnistetietojen laiton hankkiminen tarkoittaa toisen henkilön ID:n tai salasanan hankkimista laittoman tietoverkkoon tunkeutumisen mahdollistamiseksi. Lisäksi toisten tunnistetietojen laiton säilyttäminen tarkoittaa laittomasti hankittujen toisten henkilön ID:n tai salasanan säilyttämistä laittoman tietoverkkoon tunkeutumisen mahdollistamiseksi.

Toisten tunnistetietojen syöttämisen laiton vaatiminen tarkoittaa niin sanottua phishing-toimintaa. Phishing-toiminta tarkoittaa toimintaa, jossa huijataan ihmisiä syöttämään henkilökohtaisia tietoja, kuten ID, salasana ja luottokortin numero, väärennetylle sivustolle, joka on naamioitu oikeaksi rahoituslaitoksen sivustoksi.

Japanin laittoman tietoverkkoon tunkeutumisen kieltolain yksityiskohdista ja esimerkeistä on lisätietoa seuraavassa artikkelissa.

https://monolith.law/reputation/access-law-password[ja]

Laiton tietojärjestelmään tunkeutuminen – Rangaistukset

Henkilö, joka syyllistyy laittomaan tietojärjestelmään tunkeutumiseen (Japanin laiton tietojärjestelmään tunkeutumisen laki, 3. pykälä), voidaan tuomita enintään kolmen vuoden vankeusrangaistukseen tai enintään miljoonan jenin sakko (11. pykälä).

Henkilö, joka edistää laitonta tietojärjestelmään tunkeutumista (5. pykälä), hankkii tai säilyttää laittomasti toisen henkilön tunnistetietoja (4. ja 6. pykälä) tai pyytää laittomasti toisen henkilön tunnistetietojen syöttämistä (7. pykälä), voidaan tuomita enintään vuoden vankeusrangaistukseen tai enintään 500 000 jenin sakko (12. pykälä).

Kuitenkin, jos henkilö on antanut toisen henkilön ID:n tai salasanan tietämättä, että niitä käytetään laittomaan tietojärjestelmään tunkeutumiseen, hänelle voidaan määrätä enintään 300 000 jenin sakko (13. pykälä).

Rangaistus laittoman tietojärjestelmään tunkeutumisen lain rikkomisesta koskee myös niitä, jotka eivät ole toteuttaneet muita rikoksia tai joilla ei ole ollut aikomusta tehdä niitä. Toisin sanoen, itse laiton tietojärjestelmään tunkeutuminen on rangaistava teko. Esimerkiksi, jos kyseessä on “laiton kirjautuminen”, pelkkä toisen henkilön ID:n tai salasanan syöttäminen voi johtaa rangaistukseen. Rangaistus voidaan määrätä, vaikka henkilö ei olisi väärinkäyttänyt tai vuotanut toisen henkilön henkilötietoja laittoman kirjautumisen jälkeen.

Rangaistukset laittoman tietojenkalastelun tapauksissa

Minkälaisia rangaistuksia on määrätty laittoman tietojenkalastelun tapauksissa, joissa on annettu syyllinen tuomio?

Esittelemme alla joitakin todellisia tapauksia.

Henkilötietojen vuotaminen kyberhyökkäyksen seurauksena

Tietokoneohjelmistojen tekijänoikeusyhdistyksen (ACCS) palvelimelta henkilötietoja laittomasti hankkinut entinen yliopiston tutkija sai tuomion laittoman tietojenkalastelun perusteella Tokion alioikeudessa. Hänelle määrättiin 8 kuukauden vankeusrangaistus, joka lykättiin 3 vuodeksi (vaadittu rangaistus oli 8 kuukautta vankeutta).

Entinen tutkija myönsi muokanneensa CGI-lomakkeen lähettämiseen käytettyä HTML-koodia ja päässeensä siten käsiksi palvelimella oleviin henkilötietoihin. Kysymys oli siitä, oliko tämä toiminta laitonta tietojenkalastelua. Tuomari totesi, että “tavallisesti tiedostoon pääsee käsiksi syöttämällä FTP-palvelimelle ID:n ja salasanan, joten CGI:n kautta tapahtuva pääsy on laitonta tietojenkalastelua”.

Lisäksi entinen tutkija esitteli tietoturvatapahtumassa hyökkäystekniikoita sivustoa vastaan. Hän väitti, että hän julkisti laittoman tietojenkalastelun tekniikat “rohkaistakseen palvelimen ylläpitäjiä parantamaan tietoturvaa”. Tuomari totesi kuitenkin, että “vaikka tarkoitus olisi ollut tämä, julkistaminen ilman, että ylläpitäjille annettiin mahdollisuutta korjata asia, ei ole hyväksyttävää. Jäljittelijöitä on ilmestynyt, ja tämä selvästi haittaa kehittyneen tietoliikenteen yhteiskunnan kehitystä”.

Lykkäyksen perusteena oli, että “monilla ohjelmilla on samanlaisia tietoturva-aukkoja, ja palvelimen ylläpitäjien pitäisi toteuttaa asianmukaisia toimenpiteitä. Syytetty on jo saanut yhteiskunnallista rangaistusta ja on pyrkinyt estämään vahingon laajenemista tarkistamalla, onko henkilötietoja vuotanut”.

Entinen tutkija valitti syyllisestä tuomiosta, mutta veti valituksen pois, joten syyllinen tuomio vahvistettiin.

Laiton pääsy yliopiston tietoverkkoon

Yrityksen työntekijä, joka muutti yliopiston, jossa hän opiskeli, tietoverkon salasanan ja kirjautui laittomasti sisään, sai tuomion laittoman tietojenkalastelun ja muiden rikosten perusteella. Hänelle määrättiin 1 vuoden ja 6 kuukauden vankeusrangaistus, joka lykättiin 3 vuodeksi (vaadittu rangaistus oli 1 vuosi ja 6 kuukautta vankeutta).

Tuomari kritisoi, että hän “lähetti sähköposteja muiden opiskelijoiden nimissä, muutti kurssirekisteröintejä ja aiheutti todellista haittaa ja häiriötä”. Toisaalta hän oli pyytänyt anteeksi yliopistolta ja osoittanut katumusta, minkä vuoksi hänelle myönnettiin lykkäys.

Laiton pääsy julkkisten sähköpostiin ja sosiaalisen median tileille

Mies, joka oli laittomasti päässyt käsiksi useiden naisten sähköposteihin ja sosiaalisen median tileihin ja saanut henkilötietoja, sai tuomion laittoman tietojenkalastelun ja muiden rikosten perusteella. Hänelle määrättiin 2 vuoden ja 6 kuukauden vankeusrangaistus, joka lykättiin 4 vuodeksi (vaadittu rangaistus oli 2 vuotta ja 6 kuukautta vankeutta).

Tuomari huomautti, että “ei ole mitään syytä ottaa huomioon motiiveja tai olosuhteita, joissa hän arvasi salasanoja ja pääsi laittomasti käsiksi naisten henkilötietoihin”. Toisaalta hänellä ei ollut aiempia rikoksia, ja hän oli saanut yhteiskunnallista rangaistusta, kuten irtisanomisen, minkä vuoksi hänelle myönnettiin lykkäys.

Asiakastietojen vuotaminen

Arvopaperiyhtiön entinen järjestelmäosaston työntekijä, joka oli laittomasti hankkinut noin 1,48 miljoonan asiakkaan tiedot, sai tuomion laittoman tietojenkalastelun ja varkauden perusteella. Hänelle määrättiin 2 vuoden ehdoton vankeusrangaistus.

Tuomion mukaan entinen työntekijä oli syöttänyt toisen työntekijän ID:n ja salasanan ja päässyt laittomasti käsiksi palvelimella oleviin asiakastietoihin. Hän oli hankkinut asiakastiedot ja yrityksen yleiskatsaustiedot ja varastanut kolme CD-R-levyä, joille tiedot oli tallennettu.

Tuomari otti raskaasti huomioon sen, että hän oli varastanut ja vuotanut asiakastietoja ja yrityksen yleiskatsaustietoja myydäkseen ne. Vuotaneista asiakastiedoista tuomari totesi, että “ne sisälsivät korkean tason yksityisyyden tietoja, kuten työpaikan ja vuositulot, eikä niitä voida muuttaa rahaksi”. Hän totesi, että yhden CD-R-levyn arvoa ei voida arvioida sen perusteella.

Tapaus, jossa ID:tä ja salasanaa käytettiin laittomasti sähköpostin lähettämiseen

Mies, joka käytti entisen seurustelukumppaninsa ID:tä ja salasanaa luvatta ja lähetti laittomasti sähköpostia, sai tuomion laittoman tietojenkalastelun ja kunnianloukkauksen perusteella. Hänelle määrättiin 2 vuoden vankeusrangaistus, joka lykättiin 3 vuodeksi (vaadittu rangaistus oli 2 vuotta vankeutta).

Tuomion mukaan mies oli käyttänyt entisen seurustelukumppaninsa ID:tä ja salasanaa päästäkseen laittomasti käsiksi palvelimeen ja lähettänyt naisen tuttaville sähköpostia, joka antoi ymmärtää, että hänellä oli romanttinen suhde naiseen, ja loukannut siten naisen kunniaa.

Ensimmäinen phishing-tapaus, josta syytteet nostettiin Japanissa

Entinen yrityksen työntekijä, joka oli perustanut phishing-sivuston ja varastanut käyttäjien henkilötietoja, sai tuomion laittoman tietojenkalastelun perusteella. Hänelle määrättiin 1 vuoden ja 10 kuukauden vankeusrangaistus, joka lykättiin 4 vuodeksi (vaadittu rangaistus oli 2 vuotta vankeutta).

Mies oli syytteessä tekijänoikeuslain rikkomisesta, koska hän oli loukannut alkuperäisen sivuston tekijänoikeuksia, ja laittoman tietojenkalastelun perusteella, koska hän oli väärinkäyttänyt väärennetyn sivuston kautta saatuja käyttäjien henkilötietoja ja päässyt laittomasti käsiksi alkuperäiseen sivustoon.

Tuomio totesi, että “yksityisyyden loukkaamisesta aiheutuva vastuu on suuri”, mutta koska “hän on tehnyt sovinnon uhrien kanssa ja osoittanut katumusta” ja “ei ole käyttänyt hankittuja tietoja muihin rikollisiin tekoihin”, hänelle myönnettiin lykkäys.

Laittoman tietojenkäsittelyn kieltolain vanhentumisaika

Laittoman tietojenkäsittelyn kieltolain rikkominen luokitellaan “rikokseksi, josta voidaan tuomita enintään viiden vuoden vankeusrangaistus tai sakko”, minkä vuoksi syyteoikeuden vanhentumisaika on määritelty kolmeksi vuodeksi (Japanin rikosprosessilain 250 §:n 2 momentin 6 kohta). Syyteoikeuden vanhentumisaika tarkoittaa ajanjaksoa, jonka kuluessa syyte voidaan nostaa rikoksen tekemisen päättymisestä. Jos kolme vuotta kuluu, syyttäjä ei voi enää nostaa syytettä, joten varovaisuus on tarpeen.

Yhteenveto

Rikollisuus, joka johtuu luvattomasta pääsystä, on viime vuosina ollut kasvussa, ja kaikki yritykset ja yksityishenkilöt, jotka käyttävät internetiä, voivat joutua sen uhriksi. Lisäksi tällainen rikollisuus voi aiheuttaa suuria taloudellisia menetyksiä.

Jos olet joutunut rikoksen uhriksi, joka rikkoo ‘Japanin luvattoman pääsyn kieltävää lakia’, voit tehdä rikosilmoituksen, mutta sen vanhentumisaika on kolme vuotta. Siksi, jos havaitset luvattoman pääsyn aiheuttaman vahingon, sinun tulisi neuvotella mahdollisimman pian asianajajan kanssa, joka on perehtynyt ‘Japanin luvattoman pääsyn kieltävään lakiin’.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

TOPへ戻る