Tindakan yang Dilarang dalam 'Undang-Undang Jepang tentang Larangan Akses Tidak Sah
Undang-Undang Larangan Akses Tidak Sah (nama resmi ‘Undang-Undang tentang Larangan Aksi Akses Tidak Sah’) diberlakukan pada Februari 2000 dan diubah pada Mei 2012, yang saat ini masih berlaku. Ini adalah undang-undang yang bertujuan untuk mencegah kejahatan siber dan mempertahankan ketertiban dalam telekomunikasi, terdiri dari 14 pasal.
‘Undang-Undang tentang Larangan Aksi Akses Tidak Sah’ (Tujuan)
Pasal 1 Undang-undang ini bertujuan untuk melarang aksi akses tidak sah dan menetapkan sanksi serta langkah-langkah bantuan oleh Komisi Keamanan Publik Prefektur untuk mencegah terulangnya tindakan tersebut, dengan tujuan mencegah kejahatan yang terkait dengan komputer melalui jalur telekomunikasi dan mempertahankan ketertiban dalam telekomunikasi yang diwujudkan oleh fungsi kontrol akses, dan dengan demikian berkontribusi pada perkembangan sehat masyarakat informasi tingkat tinggi.
Undang-Undang Larangan Akses Tidak Sah melarang tindakan apa secara spesifik? Dan apa contoh kasus nyata, dan apa langkah-langkah yang harus diambil dalam hukum pidana dan perdata? Kami akan menjelaskan ringkasan Undang-Undang Larangan Akses Tidak Sah dan langkah-langkah yang harus diambil jika Anda menjadi korban.
Tindakan yang Dilarang oleh Undang-Undang Larangan Akses Tidak Sah
Undang-Undang Larangan Akses Tidak Sah melarang dan menghukum tiga jenis tindakan utama, yaitu:
- Pelarangan tindakan akses tidak sah (Pasal 3 dalam Undang-Undang Jepang)
- Pelarangan tindakan yang mendukung akses tidak sah (Pasal 5 dalam Undang-Undang Jepang)
- Pelarangan tindakan yang secara tidak sah memperoleh, menyimpan, dan meminta kode identifikasi orang lain (Pasal 4, 6, 7 dalam Undang-Undang Jepang)
Apa itu Tindakan Akses Tidak Sah?
Secara spesifik, Pasal 2 Ayat 4 dalam Undang-Undang Jepang mendefinisikan tindakan akses tidak sah sebagai “tindakan penipuan” dan “tindakan serangan lubang keamanan”. Undang-Undang Larangan Akses Tidak Sah melarang tindakan akses secara tidak sah ke komputer orang lain.
“Tindakan penipuan” adalah tindakan memasukkan kode identifikasi orang lain seperti ID dan kata sandi tanpa izin saat menggunakan penyedia layanan, pada komputer.
Mungkin sedikit sulit untuk dipahami, tetapi “orang lain” di sini merujuk pada ID dan kata sandi yang sudah dibuat (dan digunakan) oleh orang lain. Dengan kata lain, “tindakan penipuan” adalah tindakan “mengambil alih” akun SNS seperti Twitter yang sudah digunakan oleh orang lain.
Umumnya, “penipuan” merujuk pada tindakan membuat akun baru dengan menggunakan nama dan foto wajah orang lain, dan menggunakan SNS seperti Twitter dengan berpura-pura menjadi orang lain. Namun, ini berbeda. Kami menjelaskan “penipuan” dalam arti ini secara lebih detail dalam artikel di bawah ini.
https://monolith.law/reputation/spoofing-dentityright[ja]
“Tindakan serangan lubang keamanan” adalah tindakan menyerang lubang keamanan (kekurangan dalam langkah-langkah keamanan) pada komputer orang lain untuk dapat menggunakannya. Dengan menggunakan program serangan dan lainnya, memberikan informasi dan perintah selain kode identifikasi kepada target serangan, menghindari fungsi kontrol akses komputer orang lain, dan menggunakan komputer tanpa izin.
Jika Anda melakukan tindakan akses tidak sah ini, Anda mungkin akan dihukum dengan “penjara maksimal 3 tahun atau denda maksimal 1 juta yen” (Pasal 11 dalam Undang-Undang Jepang).
Apa itu Tindakan yang Mendukung Akses Tidak Sah?
Tindakan yang mendukung akses tidak sah yang dilarang oleh Undang-Undang Larangan Akses Tidak Sah adalah tindakan memberikan ID dan kata sandi orang lain kepada pihak ketiga tanpa izin dari pemiliknya. Tidak peduli metodenya, baik melalui telepon, email, atau halaman web, jika Anda memberi tahu orang lain seperti “ID dari ○○ adalah ××, kata sandinya adalah △△”, dan memungkinkan orang lain untuk mengakses data orang lain secara sembarangan, itu akan dianggap sebagai tindakan yang mendukung akses tidak sah.
Jika Anda melakukan tindakan yang mendukung akses tidak sah, Anda mungkin akan dihukum dengan “penjara maksimal 1 tahun atau denda maksimal 500.000 yen” (Pasal 12 Ayat 2 dalam Undang-Undang Jepang).
Perlu dicatat bahwa bahkan jika Anda memberikan kata sandi tanpa mengetahui tujuan akses tidak sah, Anda mungkin akan dikenakan denda hingga 300.000 yen (Pasal 13 dalam Undang-Undang Jepang).
Apa itu Tindakan yang Secara Tidak Sah Memperoleh, Menyimpan, dan Meminta Kode Identifikasi Orang Lain?
Undang-Undang Larangan Akses Tidak Sah melarang tindakan yang secara tidak sah memperoleh, menyimpan, dan meminta kode identifikasi (ID dan kata sandi) orang lain.
Pasal 4: Pelarangan tindakan yang secara tidak sah memperoleh kode identifikasi orang lain
Pasal 6: Pelarangan tindakan yang secara tidak sah menyimpan kode identifikasi orang lain
Pasal 7: Pelarangan tindakan yang secara tidak sah meminta kode identifikasi orang lain
Contoh utama dari tindakan yang dilarang ini adalah “tindakan meminta input”, atau yang biasa disebut tindakan phishing. Misalnya, meniru lembaga keuangan, mengarahkan korban ke halaman web palsu yang mirip dengan aslinya, dan meminta korban untuk memasukkan kata sandi dan ID mereka di halaman web palsu tersebut.
Ada banyak kasus penipuan di mana nomor identifikasi yang diperoleh melalui tindakan phishing digunakan untuk penipuan lelang, dan deposito dipindahkan ke rekening lain tanpa izin.
Jika Anda melakukan tindakan ini, Anda mungkin akan dihukum dengan penjara maksimal 1 tahun atau denda maksimal 500.000 yen (Pasal 12 Ayat 4 dalam Undang-Undang Jepang).
Apa itu Hukum yang Mengatur Kejahatan Siber Selain Tindakan Akses Tidak Sah?
Dengan cara ini, Undang-Undang Larangan Akses Tidak Sah adalah hukum yang dibuat untuk menangani beberapa jenis kejahatan siber. Mengenai “kejahatan siber” secara keseluruhan, ada kasus di mana hukum lain seperti hukum tentang gangguan bisnis dengan merusak komputer elektronik, hukum tentang gangguan bisnis dengan penipuan, dan hukum tentang pencemaran nama baik menjadi masalah. Kami menjelaskan gambaran umum tentang kejahatan siber secara lebih detail dalam artikel di bawah ini.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Kewajiban Pengelola Akses
Undang-Undang Jepang tentang Larangan Akses Ilegal tidak hanya mendefinisikan tindakan akses ilegal dan sanksi, tetapi juga memberlakukan kewajiban kepada pengelola untuk mencegah akses ilegal ke server dan sejenisnya.
Tindakan pertahanan oleh pengelola akses
Pasal 8: Pengelola akses yang telah menambahkan fungsi kontrol akses ke komputer elektronik tertentu harus berusaha untuk mengelola dengan benar kode identifikasi atau kode yang digunakan untuk memverifikasi fungsi kontrol akses tersebut, selalu memverifikasi efektivitas fungsi kontrol akses tersebut, dan ketika dianggap perlu, segera meningkatkan fungsi tersebut dan mengambil tindakan lain yang diperlukan untuk melindungi komputer elektronik tertentu dari akses ilegal.
Kewajiban untuk “mengelola kode identifikasi dengan benar”, “selalu memverifikasi efektivitas fungsi kontrol akses”, dan “meningkatkan fungsi kontrol akses sesuai kebutuhan” telah ditetapkan, tetapi karena ini adalah kewajiban usaha, tidak ada sanksi jika tindakan ini diabaikan.
Namun, jika ada tanda-tanda bahwa ID atau kata sandi telah bocor, pengelola harus segera melakukan kontrol akses seperti menghapus akun atau mengubah kata sandi.
Kasus Pelanggaran Undang-Undang Larangan Akses Tidak Sah
Mengambil alih Twitter siswa laki-laki yang populer di kalangan siswi
Pada tanggal 30 Januari 2017, polisi Prefektur Hyogo menangkap seorang siswa laki-laki kelas 3 SMA (18 tahun) di prefektur tersebut atas dugaan pelanggaran Undang-Undang Larangan Akses Tidak Sah. Dia diduga telah mengambil alih akun Twitter seorang siswa laki-laki sekelasnya dan mengirimkan lebih dari 300 pesan kepada siswi SMA dengan menyamar sebagai pemilik asli akun tersebut.
Dia diduga telah memasukkan kata sandi ke dalam server autentikasi Twitter siswa laki-laki (18 tahun) yang populer di kalangan siswi, dan telah login sebanyak 63 kali antara September dan November tahun sebelumnya. Dia dikatakan telah mengirim pesan cabul seperti “Mari kita tunjukkan tubuh kita satu sama lain” dan “Mari kita bicarakan hal-hal nakal” kepada siswi dari sekolah lain yang mengikuti akun tersebut.
Akses Tidak Sah ke Facebook dan lainnya
Pada tanggal 3 Agustus 2016, Pengadilan Distrik Tokyo menjatuhkan hukuman penjara 2 tahun 6 bulan kepada terdakwa (29 tahun) dalam kasus di mana dia didakwa melakukan akses tidak sah berulang kali ke Facebook dan lainnya untuk mendapatkan informasi pribadi. Meskipun dia tidak membocorkan informasi yang dia lihat dan tidak memiliki catatan kriminal sebelumnya, pengadilan mempertimbangkan bahwa dia melakukan akses tidak sah secara rutin dan gigih untuk mendapatkan kepuasan saat berhasil melakukan akses tidak sah. Namun, hukuman tersebut ditangguhkan selama 4 tahun mengingat keadaan tersebut.
Mendapatkan Informasi Pelanggan Perusahaan Tempat Bekerja Secara Tidak Sah
Pada tanggal 12 November 2009, Pengadilan Distrik Tokyo menjatuhkan hukuman penjara 2 tahun kepada seorang karyawan (45 tahun) yang bertanggung jawab atas pengembangan, operasi, dan dukungan pengguna umum dari sistem informasi perusahaan tempat dia bekerja. Dia diduga telah mendapatkan informasi pelanggan yang dimiliki oleh perusahaan secara tidak sah dan berencana menjualnya, serta melakukan akses tidak sah dan mencuri CD-R.
Meskipun dia tidak memiliki catatan kriminal sebelumnya dan telah dipecat oleh perusahaan tempat dia bekerja sebagai hukuman, pengadilan mempertimbangkan bahwa dia telah mendapatkan keuntungan sekitar 350.000 yen dari penjualan informasi dan memutuskan bahwa kasus ini tidak layak untuk penangguhan hukuman.
Hukuman Penjara 8 Tahun untuk Pelaku Serangan Siber
Pada tanggal 27 April 2017, Pengadilan Distrik Tokyo menjatuhkan hukuman penjara 8 tahun kepada terdakwa (32 tahun) yang telah menggunakan email phishing dan virus remote control untuk mendapatkan kode identifikasi perbankan internet dari beberapa perusahaan secara tidak sah, melakukan login tidak sah dan transfer uang tidak sah, serta mendapatkan alamat email melalui serangan ke database dan mengirim virus remote control untuk membuatnya dapat dijalankan. Dia dinyatakan bersalah atas pelanggaran Undang-Undang Larangan Akses Tidak Sah, penipuan menggunakan komputer elektronik, pembuatan dan penggunaan catatan elektromagnetik palsu, penyediaan catatan elektromagnetik instruksi palsu, dan pelanggaran Undang-Undang Radio.
Dia melakukan serangan siber dengan berbagai metode dan untuk menghindari terungkapnya kejahatannya, dia terhubung ke titik akses LAN nirkabel orang lain menggunakan kunci enkripsi yang telah dia dapatkan secara tidak sah sebelumnya, kadang-kadang melalui server relay untuk menyembunyikan sumber koneksi, dan juga mengubah alamat email kontak sebelum transfer uang tidak sah. Kerugian finansial akibat transfer uang tidak sah mencapai total lebih dari 5,19 juta yen, dan dia melakukan semua tindak pidana ini tidak lama setelah dibebaskan secara sementara dari hukuman sebelumnya karena kejahatan serupa, sehingga menjadikannya kejahatan yang berat.
Jika ada email yang dikirim oleh pelaku selama serangan jenis ini, ada kemungkinan untuk mengidentifikasi pelaku dengan menggunakan email tersebut sebagai titik awal. Namun, pada tingkat sipil, ini umumnya sulit. Kami membahas hal ini dalam artikel di bawah ini.
https://monolith.law/reputation/email-sender-identification[ja]
Langkah-langkah Jika Menjadi Korban Akses Ilegal
Jika Anda menggunakan email atau SNS, Anda mungkin menjadi korban akses ilegal dari orang lain. Dalam kasus ini, apa yang bisa Anda lakukan?
Melakukan Tuntutan Pidana
Pertama, Anda dapat melakukan tuntutan pidana terhadap pihak yang melakukan akses ilegal. Akses ilegal adalah kejahatan dan orang yang melakukan akses ilegal akan menerima hukuman pidana. Seperti yang dijelaskan di atas, pelaku dapat dihukum penjara maksimal 3 tahun atau denda maksimal 1 juta yen (sekitar 133 juta rupiah), dan jika ada orang yang membantu, mereka dapat dihukum penjara maksimal 1 tahun atau denda maksimal 500.000 yen (sekitar 66 juta rupiah).
Perlu dicatat bahwa pelanggaran Undang-Undang Larangan Akses Ilegal (Japanese Unauthorized Access Prohibition Law) adalah kejahatan yang dapat dituntut tanpa adanya pengaduan, jadi polisi dapat memulai penyelidikan dan menangkap pelaku bahkan tanpa adanya pengaduan jika mereka mengetahui kejadian tersebut. Selain itu, bukan hanya korban akses ilegal, tetapi siapa saja yang mengetahui kejadian tersebut dapat melaporkannya ke polisi.
Seperti yang telah disinggung dalam artikel tentang kejahatan penghambatan bisnis, kejahatan yang memerlukan pengaduan dari korban untuk dapat dituntut adalah “kejahatan yang tidak dapat dituntut tanpa adanya pengaduan pidana dari korban”, tetapi ini tidak berarti bahwa “hanya kejahatan yang memerlukan pengaduan yang dapat dituntut”. Bahkan dalam kasus kejahatan yang tidak memerlukan pengaduan, korban masih dapat menuntut pelaku.
Meskipun merupakan kejahatan yang tidak memerlukan pengaduan, jika korban melakukan tuntutan pidana, situasi tersangka akan memburuk dan hukumannya mungkin menjadi lebih berat. Jika Anda menyadari bahwa Anda telah menjadi korban akses ilegal, sebaiknya Anda berkonsultasi dengan pengacara dan mengajukan laporan kerugian atau surat tuntutan ke polisi. Setelah menerima laporan kerugian, polisi akan segera melanjutkan penyelidikan dan menangkap atau mengirim tersangka ke penuntutan.
Mengajukan Gugatan Perdata
Jika Anda menjadi korban akses ilegal, Anda dapat mengajukan gugatan perdata terhadap pelaku berdasarkan Pasal 709 KUHPerdata Jepang (Japanese Civil Code) untuk meminta ganti rugi.
KUHPerdata Jepang Pasal 709
Orang yang dengan sengaja atau karena kelalaian melanggar hak orang lain atau kepentingan yang dilindungi oleh hukum bertanggung jawab untuk mengganti kerugian yang timbul dari pelanggaran tersebut.
Jika pelaku melakukan akses ilegal dan menyebarkan informasi pribadi yang diperoleh dari sana, mencuri item dari game sosial, atau mengakses data kartu kredit atau rekening bank dan menyebabkan kerugian finansial, Anda harus mengajukan gugatan ganti rugi, termasuk kompensasi untuk kerugian emosional. Tentu saja, jika data kartu kredit atau rekening bank Anda diakses dan kerugian finansial sebenarnya terjadi, Anda juga dapat mengajukan klaim ganti rugi untuk kerugian tersebut.
Namun, untuk mengajukan gugatan ganti rugi terhadap pelaku, Anda harus dapat mengidentifikasi pelaku dan mengumpulkan bukti bahwa pelaku benar-benar melakukan akses ilegal, yang memerlukan pengetahuan khusus yang tinggi. Jika Anda menjadi korban akses ilegal, Anda perlu berkonsultasi dengan pengacara yang berpengalaman dalam masalah internet dan meminta mereka untuk menangani prosedur tersebut.
Category: IT
Tag: CybercrimeIT