Handelingen Verboden door de Japanse Wet op het Verbod van Onrechtmatige Toegang
De Wet op het Verbod van Onrechtmatige Toegang (officiële naam “Wet betreffende het Verbod op Onrechtmatige Toegang en dergelijke”) werd in februari 2000 (Heisei 12) van kracht en de huidige versie, die in mei 2012 (Heisei 24) werd gewijzigd, is nu van kracht. Het is een wet die tot doel heeft cybercriminaliteit te voorkomen en de orde in de telecommunicatie te handhaven, bestaande uit 14 artikelen.
“Wet betreffende het Verbod op Onrechtmatige Toegang en dergelijke” (Doel)
Artikel 1 Deze wet heeft tot doel bij te dragen aan de gezonde ontwikkeling van een geavanceerde informatiemaatschappij door het voorkomen van misdaden met betrekking tot computers die via telecommunicatielijnen worden uitgevoerd en het handhaven van de orde in de telecommunicatie die wordt gerealiseerd door toegangscontrolefuncties, door het verbieden van onrechtmatige toegang en het vaststellen van strafmaatregelen en hulpmaatregelen door de prefecturale openbare veiligheidscommissies om herhaling te voorkomen.
Wat verbiedt de Wet op het Verbod van Onrechtmatige Toegang precies? En welke voorbeelden zijn er in de praktijk, en welke maatregelen moeten er worden genomen op strafrechtelijk en civielrechtelijk gebied? We zullen de details van de Wet op het Verbod van Onrechtmatige Toegang en de maatregelen die moeten worden genomen in geval van schade uitleggen.
Handelingen verboden door de Japanse Wet op het Verbod van Onrechtmatige Toegang
De Japanse Wet op het Verbod van Onrechtmatige Toegang verbiedt en bestraft in grote lijnen de volgende drie handelingen:
- Het verbod op onrechtmatige toegang (Artikel 3)
- Het verbod op handelingen die onrechtmatige toegang bevorderen (Artikel 5)
- Het verbod op het onrechtmatig verkrijgen, bewaren en aanvragen van identificatiecodes van anderen (Artikelen 4, 6, 7)
Wat is onrechtmatige toegang?
Specifiek wordt dit gedefinieerd in Artikel 2, paragraaf 4, en omvat het “identiteitsfraude” en “beveiligingslek aanvallen”. De Japanse Wet op het Verbod van Onrechtmatige Toegang verbiedt het onrechtmatig toegang krijgen tot de computer van een ander.
“Identiteitsfraude” betekent dat wanneer u een provider gebruikt, u identificatiecodes zoals een ID en wachtwoord op uw computer moet invoeren. Het gaat hier om het invoeren van de identificatiecodes van een ander zonder toestemming van die persoon.
Het kan een beetje verwarrend zijn, maar “van een ander” in deze context betekent ID’s en wachtwoorden die al door iemand anders zijn gemaakt (en gebruikt). Met andere woorden, “identiteitsfraude” is in feite het “overnemen” van accounts zoals die van sociale netwerken zoals Twitter, die al door anderen worden gebruikt.
Over het algemeen verwijst “identiteitsfraude” naar het creëren van een nieuw account met de naam of foto van een ander en het gebruik van sociale netwerken zoals Twitter alsof je die persoon bent. Dit is echter anders. We leggen “identiteitsfraude” in deze zin in detail uit in het volgende artikel.
https://monolith.law/reputation/spoofing-dentityright[ja]
“Beveiligingslek aanvallen” betekent het aanvallen van de beveiligingslekken (veiligheidsgebreken) van de computer van een ander om die computer te kunnen gebruiken. Door aanvalprogramma’s en dergelijke te gebruiken, wordt informatie en instructies buiten de identificatiecodes aan het doelwit gegeven, wordt de toegangscontrolefunctie van de computer van een ander omzeild en wordt de computer zonder toestemming gebruikt.
Als u deze onrechtmatige toegangshandelingen uitvoert, kunt u worden gestraft met een gevangenisstraf van maximaal 3 jaar of een boete van maximaal 1 miljoen yen (Artikel 11).
Wat zijn handelingen die onrechtmatige toegang bevorderen?
Handelingen die onrechtmatige toegang bevorderen, zoals verboden door de Japanse Wet op het Verbod van Onrechtmatige Toegang, zijn het verstrekken van de ID’s en wachtwoorden van anderen aan derden zonder hun toestemming. Ongeacht de methode, zoals via telefoon, e-mail of website, als u anderen informeert of aankondigt dat “de ID van XX is XX, het wachtwoord is XX”, en anderen in staat stelt om zonder toestemming toegang te krijgen tot de gegevens van iemand anders, dan valt dit onder het bevorderen van onrechtmatige toegang.
Als u handelingen uitvoert die onrechtmatige toegang bevorderen, kunt u worden gestraft met een gevangenisstraf van maximaal 1 jaar of een boete van maximaal 500.000 yen (Artikel 12, paragraaf 2).
Let op, zelfs als u een wachtwoord verstrekt zonder te weten dat het voor onrechtmatige toegang is, kunt u een boete van maximaal 300.000 yen krijgen (Artikel 13).
Wat is het onrechtmatig verkrijgen, bewaren en aanvragen van identificatiecodes van anderen?
De Japanse Wet op het Verbod van Onrechtmatige Toegang verbiedt het onrechtmatig verkrijgen, bewaren en aanvragen van identificatiecodes (ID’s en wachtwoorden) van anderen.
Artikel 4: Verbod op het onrechtmatig verkrijgen van identificatiecodes van anderen
Artikel 6: Verbod op het onrechtmatig bewaren van identificatiecodes van anderen
Artikel 7: Verbod op het onrechtmatig aanvragen van identificatiecodes van anderen
Een typisch voorbeeld van deze verboden handelingen is “aanvraaghandeling”, oftewel phishing. Bijvoorbeeld, door zich voor te doen als een financiële instelling, worden slachtoffers naar een nepwebsite geleid die er precies uitziet als de echte, en daar worden ze gevraagd om hun wachtwoorden en ID’s in te voeren.
Identificatienummers verkregen door phishing worden gebruikt voor veilingfraude, en er zijn veel gevallen van fraude waarbij deposito’s zonder toestemming naar andere rekeningen worden overgemaakt.
Als u deze handelingen uitvoert, kunt u een gevangenisstraf van maximaal 1 jaar of een boete van maximaal 500.000 yen krijgen (Artikel 12, paragraaf 4).
Wat zijn de wetten die andere cybercriminaliteit dan onrechtmatige toegang reguleren?
Zoals hierboven vermeld, is de Japanse Wet op het Verbod van Onrechtmatige Toegang een wet die is ontworpen om te reageren op bepaalde soorten van zogenaamde cybercriminaliteit. Wat betreft de gehele “cybercriminaliteit”, kunnen andere wetten zoals de Wet op het Strafrecht voor het Beschadigen van Computers en het Verstoren van Bedrijfsactiviteiten, de Wet op het Strafrecht voor Bedrieglijke Verstoring van Bedrijfsactiviteiten en de Wet op het Strafrecht voor Laster ook een probleem worden. We leggen het volledige beeld van cybercriminaliteit in detail uit in het volgende artikel.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Verplichtingen van de toegangsbeheerder
De Japanse Wet op het Verbod van Ongeoorloofde Toegang definieert niet alleen ongeoorloofde toegang en straffen, maar legt ook verplichtingen op aan beheerders om ongeoorloofde toegang tot servers en dergelijke te voorkomen.
Verdedigingsmaatregelen door de toegangsbeheerder
Artikel 8: Een toegangsbeheerder die een toegangscontrolefunctie heeft toegevoegd aan een specifieke elektronische computer, moet streven naar een juist beheer van de identificatiecode of de code die wordt gebruikt om deze te verifiëren door middel van de toegangscontrolefunctie, en moet altijd de effectiviteit van de toegangscontrolefunctie verifiëren en, indien nodig, snel streven naar het verbeteren van deze functie en andere noodzakelijke maatregelen om de specifieke elektronische computer te beschermen tegen ongeoorloofde toegang.
Hoewel het verplicht is om “de identificatiecode correct te beheren”, “altijd de effectiviteit van de toegangscontrolefunctie te verifiëren” en “indien nodig de toegangscontrolefunctie te verbeteren”, zijn dit inspanningsverplichtingen, wat betekent dat er geen straffen zijn als deze maatregelen worden verwaarloosd.
Echter, als de beheerder sporen vindt van een lek van ID’s of wachtwoorden, moet hij of zij onmiddellijk toegangscontrolemaatregelen nemen, zoals het verwijderen van accounts of het wijzigen van wachtwoorden.
Voorbeelden van overtredingen van de Wet op het Verbod van Ongeoorloofde Toegang (Japanse Wet op het Verbod van Ongeoorloofde Toegang)
Overname van de Twitter-account van een populaire mannelijke student bij meisjes
Op 30 januari 2017 (Heisei 29) arresteerde de politie van Hyogo een derdejaars middelbare scholier (18) uit de prefectuur op verdenking van het overtreden van de Wet op het Verbod van Ongeoorloofde Toegang. Hij had de Twitter-account van een mannelijke klasgenoot overgenomen en zich voorgedaan als de eigenaar, waarna hij meer dan 300 berichten stuurde naar vrouwelijke middelbare scholieren.
De arrestatie was gebaseerd op het feit dat hij tussen september en november van het voorgaande jaar 63 keer had ingelogd op de authenticatieserver van de Twitter-account van een populaire mannelijke student (18) door zijn wachtwoord in te voeren. Hij stuurde obscene berichten zoals “Laten we elkaar onze lichamen laten zien” en “Laten we over seks praten” naar vrouwelijke studenten van andere scholen die de account volgden.
Ongeoorloofde toegang tot Facebook en andere platforms
In een zaak waarin een persoon werd beschuldigd van het overtreden van de Wet op het Verbod van Ongeoorloofde Toegang door herhaaldelijk ongeoorloofd toegang te krijgen tot Facebook en andere platforms en persoonlijke informatie te verkrijgen, legde de Tokyo District Court op 3 augustus 2016 (Heisei 28) een gevangenisstraf van 2 jaar en 6 maanden op aan de verdachte (29). Hij had 238 keer ongeoorloofd toegang gekregen tot de Facebook-accounts en dergelijke van 7 vrouwen. Hoewel hij de informatie die hij had bekeken niet had gelekt en geen strafblad had, werd rekening gehouden met deze omstandigheden en werd een voorwaardelijke straf van 4 jaar opgelegd.
Ongeoorloofde verkrijging van klantinformatie van het bedrijf waar men werkt
Op 12 november 2009 (Heisei 21) veroordeelde de Tokyo District Court een werknemer (45) die verantwoordelijk was voor de ontwikkeling, het beheer en de algemene gebruikersondersteuning van het informatiesysteem van zijn bedrijf tot een gevangenisstraf van 2 jaar. Hij had ongeoorloofd toegang gekregen tot klantinformatie die het bedrijf bezat en had geprobeerd deze te verkopen, en had ook CD-R’s gestolen.
Er kon niet worden voorbijgegaan aan het feit dat hij bijna 350.000 yen had verdiend door de informatie te verkopen. Hoewel hij geen strafblad had en was ontslagen door zijn werkgever, wat een zekere sociale sanctie inhield, werd geoordeeld dat dit geen zaak was waarin de uitvoering van de straf kon worden opgeschort.
8 jaar gevangenisstraf voor cyberaanvaller
Op 27 april 2017 (Heisei 29) veroordeelde de Tokyo District Court een verdachte (32) tot een gevangenisstraf van 8 jaar voor het overtreden van de Wet op het Verbod van Ongeoorloofde Toegang, computervredebreuk, het onrechtmatig maken en gebruiken van privé-elektronische records, het onrechtmatig verstrekken van elektronische records met valse instructies, en het overtreden van de Radio Law. Hij had identificatiecodes van internetbankieren van meerdere bedrijven onrechtmatig verkregen door gebruik te maken van phishing-e-mails en remote control virussen, en had onrechtmatig ingelogd en geld overgemaakt. Daarnaast had hij e-mailadressen verkregen door aanvallen op databases en had hij remote control virussen verzonden om ze uitvoerbaar te maken.
Hij voerde verschillende soorten cyberaanvallen uit en verborg de bron van zijn verbinding door vooraf onrechtmatig verkregen encryptiesleutels te gebruiken om verbinding te maken met de draadloze LAN-toegangspunten van anderen, soms via relay servers. Bovendien veranderde hij het e-mailadres voor contact voordat hij onrechtmatige overboekingen deed. De totale financiële schade door de onrechtmatige overboekingen bedroeg meer dan 5,19 miljoen yen. Bovendien had hij kort na zijn voorwaardelijke vrijlating voor een eerdere veroordeling voor een soortgelijk misdrijf opnieuw misdaden gepleegd, wat leidde tot deze zware straf.
Als er e-mails zijn die de dader heeft verzonden tijdens dit soort aanvallen, kan het mogelijk zijn om de dader te identificeren op basis van die e-mails. Echter, op civiel niveau is dit over het algemeen moeilijk. Dit punt wordt ook besproken in het volgende artikel.
https://monolith.law/reputation/email-sender-identification[ja]
Maatregelen bij ongeoorloofde toegang
Als u gebruik maakt van e-mail of sociale media, kunt u het slachtoffer worden van ongeoorloofde toegang door anderen. Wat kunt u in dit geval doen?
Indienen van een strafklacht
Ten eerste, het is mogelijk om een strafklacht in te dienen tegen de persoon die ongeoorloofd toegang heeft verkregen. Ongeoorloofde toegang is een misdrijf en de persoon die ongeoorloofd toegang heeft verkregen, kan strafrechtelijk worden vervolgd. Zoals hierboven uitgelegd, kan de persoon die de toegang heeft verkregen een gevangenisstraf van maximaal drie jaar of een boete van maximaal 1 miljoen yen krijgen, en als er iemand is die dit heeft aangemoedigd, kan deze persoon een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen.
Daarnaast is het overtreden van de ‘Japanese Unlawful Access Prohibition Law’ een misdrijf dat kan worden vervolgd zonder aangifte, dus zelfs als er geen aangifte is, kan de politie een onderzoek starten en de dader arresteren zodra ze van de feiten op de hoogte zijn. Bovendien kan iedereen die van de feiten op de hoogte is, niet alleen de persoon die ongeoorloofd toegang heeft gekregen, aangifte doen bij de politie.
Zoals we ook in het artikel over het misdrijf van bedrijfsbelemmering hebben aangestipt, is een aangiftemisdrijf een misdrijf dat niet kan worden vervolgd zonder een strafklacht van het slachtoffer, maar dat betekent niet dat je geen aangifte kunt doen als het geen aangiftemisdrijf is. Zelfs in het geval van een niet-aangiftemisdrijf kan het slachtoffer de dader aanklagen.
Zelfs als het een niet-aangiftemisdrijf is, kan het feit dat het slachtoffer een strafklacht heeft ingediend de omstandigheden van de verdachte verslechteren en kan de straf zwaarder worden. Als u merkt dat u ongeoorloofd toegang heeft gekregen, is het raadzaam om een advocaat te raadplegen en een schaderapport of aanklacht in te dienen bij de politie. Zodra de politie het schaderapport heeft geaccepteerd, zullen ze snel een onderzoek starten en de verdachte arresteren of doorverwijzen.
Civiele schadevergoeding eisen
Als u schade heeft geleden door ongeoorloofde toegang, kunt u op basis van artikel 709 van het ‘Japanese Civil Code’ schadevergoeding eisen van de dader.
Artikel 709 van het Burgerlijk Wetboek
Wie opzettelijk of door nalatigheid de rechten van een ander of belangen die wettelijk beschermd zijn, schendt, is verplicht de schade die hierdoor is ontstaan te vergoeden.
Als de dader ongeoorloofd toegang heeft gekregen en de daar verkregen persoonlijke informatie heeft verspreid, items uit een social game heeft gestolen, of toegang heeft gekregen tot gegevens van creditcards of bankrekeningen en financiële schade heeft veroorzaakt, moet u schadevergoeding eisen, inclusief compensatie voor emotionele schade. Natuurlijk, als er daadwerkelijk financiële schade is ontstaan door toegang tot gegevens van creditcards of bankrekeningen, kunt u ook deze schadevergoeding eisen.
Echter, om schadevergoeding te eisen van de dader, moet u de dader identificeren en bewijs verzamelen dat de dader daadwerkelijk ongeoorloofd toegang heeft verkregen, wat een hoge mate van gespecialiseerde kennis vereist. Als u schade heeft geleden door ongeoorloofde toegang, is het noodzakelijk om een advocaat met ruime ervaring in internetkwesties te raadplegen en de procedure aan hen over te laten.
Category: IT
Tag: CybercrimeIT