Advocaat legt uit: Verboden handelingen en voorbeelden onder de Japanse 'Wet op het Verbod van Ongeoorloofde Toegang
De Japanse Wet op het Verbod van Ongeoorloofde Toegang (officiële naam “Wet betreffende het Verbod op Ongeoorloofde Toegang en dergelijke”) werd in februari 2000 (Heisei 12) van kracht en de huidige versie, die in mei 2012 (Heisei 24) werd gewijzigd, is nu van kracht. Het is een wet die tot doel heeft cybercriminaliteit te voorkomen en de orde in de telecommunicatie te handhaven, bestaande uit 14 artikelen.
“Wet betreffende het Verbod op Ongeoorloofde Toegang en dergelijke” (Doel)
Artikel 1 Deze wet heeft tot doel bij te dragen aan de gezonde ontwikkeling van een geavanceerde informatiemaatschappij door het verbieden van ongeoorloofde toegang, het vaststellen van strafmaatregelen en hulpmaatregelen door de prefecturale openbare veiligheidscommissies om herhaling te voorkomen, en het handhaven van de orde in de telecommunicatie die wordt gerealiseerd door toegangscontrolefuncties via telecommunicatielijnen in verband met computers.
Wat verbiedt de Wet op het Verbod van Ongeoorloofde Toegang precies? En welke praktijkvoorbeelden zijn er, en welke maatregelen moeten er worden genomen op strafrechtelijk en civielrechtelijk gebied? We zullen de details van de Wet op het Verbod van Ongeoorloofde Toegang en de maatregelen die moeten worden genomen in geval van schade uitleggen.
Handelingen verboden door de Japanse Wet op het Verbod van Onrechtmatige Toegang
De Japanse Wet op het Verbod van Onrechtmatige Toegang verbiedt en bestraft voornamelijk de volgende drie handelingen:
- Het verbod op onrechtmatige toegang (Artikel 3)
- Het verbod op handelingen die onrechtmatige toegang bevorderen (Artikel 5)
- Het verbod op het onrechtmatig verkrijgen, bewaren of invoeren van de identificatiecodes van anderen (Artikelen 4, 6, 7)
Hierbij verwijst de term ‘identificatiecode’ naar een code die is vastgesteld voor elke toegangsbeheerder en die wordt gebruikt door degenen die toestemming hebben gekregen van de toegangsbeheerder om een specifieke elektronische computer te gebruiken. De toegangsbeheerder gebruikt deze code om de gebruikers van elkaar te onderscheiden (Artikel 2, lid 2).
Een typisch voorbeeld van een identificatiecode is een wachtwoord dat in combinatie met een ID wordt gebruikt. Daarnaast worden er tegenwoordig steeds vaker systemen gebruikt die personen identificeren aan de hand van hun vingerafdrukken of de iris van hun ogen, en deze worden ook beschouwd als identificatiecodes. Verder worden ook gecodeerde numerieke waarden van handtekeningen, gebaseerd op de vorm of druk van de handtekening, gebruikt om te bevestigen of iemand de juiste persoon is, en deze worden ook beschouwd als identificatiecodes.
Wat is ongeoorloofde toegang?
Specifiek wordt dit gedefinieerd in artikel 2, paragraaf 4, maar ongeoorloofde toegang omvat ‘identiteitsfraude’ door misbruik van de identificatiecodes van anderen en ‘beveiligingsgat aanvallen’ die de tekortkomingen van computerprogramma’s exploiteren. De Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ verbiedt het ongeoorloofd toegang krijgen tot de computer van iemand anders via deze methoden.
Handelingen die misbruik maken van de identificatiecodes van anderen
‘Identiteitsfraude’ verwijst naar het gebruik van computers waarvoor men normaal gesproken geen toegangsrechten heeft, door misbruik te maken van de identificatiecodes van anderen.
Met andere woorden, wanneer u een computersysteem gebruikt, moet u identificatiecodes zoals een ID en wachtwoord op uw computer invoeren. Dit verwijst naar het invoeren van de identificatiecodes van iemand anders die legitieme gebruiksrechten heeft zonder hun toestemming.
Het kan een beetje verwarrend zijn, maar ‘van iemand anders’ in deze context verwijst naar ID’s en wachtwoorden die al door iemand anders zijn gemaakt (en gebruikt). ‘Identiteitsfraude’ is, simpel gezegd, het ‘overnemen’ van accounts zoals die van sociale netwerken zoals Twitter, die al door iemand anders worden gebruikt.
Omdat het een vereiste is dat de identificatiecodes zonder toestemming van de eigenaar zijn ingevoerd, zou het geen overtreding van de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ zijn als u bijvoorbeeld een collega die nog op kantoor is uw wachtwoord geeft om uw e-mails te controleren terwijl u op zakenreis bent, omdat u toestemming heeft gekregen van de eigenaar.
Over het algemeen verwijst ‘identiteitsfraude’ naar het creëren van een nieuw account met de naam en foto van iemand anders en het gebruik van sociale netwerken zoals Twitter alsof je die persoon bent. De handelingen die verboden zijn door de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ zijn echter anders. We leggen ‘identiteitsfraude’ in de algemene zin in detail uit in het onderstaande artikel.
https://monolith.law/reputation/spoofing-dentityright[ja]
Handelingen die de tekortkomingen van computerprogramma’s exploiteren
‘Beveiligingsgat aanvallen’ verwijzen naar handelingen die de beveiligingsgaten (tekortkomingen in veiligheidsmaatregelen) van de computers van anderen aanvallen om die computers te kunnen gebruiken. Aanvallers gebruiken aanvalsprogramma’s en dergelijke om informatie en instructies buiten de identificatiecodes aan het doelwit te geven, omzeilen de toegangscontrolefuncties van de computer van iemand anders en gebruiken de computer zonder toestemming.
De toegangscontrolefunctie die hier wordt genoemd, is een functie die de toegangsbeheerder heeft gegeven aan een specifieke elektronische computer of een elektronische computer die is verbonden met een specifieke elektronische computer via een telecommunicatielijn, om te voorkomen dat iemand anders dan de legitieme gebruiker specifiek gebruik maakt van de specifieke elektronische computer (artikel 2, paragraaf 3).
Om het eenvoudig uit te leggen, het is een systeem dat alleen toegang toestaat als de juiste ID en wachtwoord en dergelijke worden ingevoerd door degenen die proberen toegang te krijgen tot het computersysteem via het netwerk.
Met andere woorden, ‘beveiligingsgat aanvallen’ kunnen worden omschreven als het in staat stellen om het betreffende computersysteem te gebruiken zonder de juiste ID en wachtwoord en dergelijke in te voeren, door dit systeem te deactiveren.
Twee soorten ongeoorloofde toegang
Zoals hierboven vermeld, zijn er twee soorten ongeoorloofde toegang.
Het is belangrijk op te merken dat voor beide soorten ongeoorloofde toegang, het een vereiste is dat ze worden uitgevoerd via een computernetwerk. Daarom wordt het invoeren van een wachtwoord en dergelijke zonder toestemming en het gebruik van een computer die niet is aangesloten op een netwerk, zoals een stand-alone computer, niet beschouwd als ongeoorloofde toegang.
Echter, niet alleen open netwerken zoals het internet, maar ook gesloten netwerken zoals interne LAN’s vallen onder de definitie van een computernetwerk.
Bovendien is er geen beperking op de inhoud van het ongeoorloofd gebruik dat wordt gemaakt door ongeoorloofde toegang. Bijvoorbeeld, ongeoorloofde bestellingen, datatoegang, bestandsoverdrachten, en zelfs het herschrijven van webpagina’s zouden in strijd zijn met de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’.
Als u een van deze twee soorten ongeoorloofde toegang uitvoert, kunt u worden bestraft met een gevangenisstraf van maximaal drie jaar of een boete van maximaal 1 miljoen yen (artikel 11).
Wat wordt bedoeld met gedrag dat ongeoorloofde toegang bevordert
Gedrag dat ongeoorloofde toegang bevordert, zoals verboden door de Japanse ‘Wet op het verbod van ongeoorloofde toegang’, betekent het verstrekken van iemands ID of wachtwoord aan een derde partij zonder toestemming van de eigenaar. Ongeacht de methode, zoals via telefoon, e-mail of website, als je iemand anders vertelt of aankondigt dat “de ID van ○○ is ××, het wachtwoord is △△”, en je maakt het mogelijk voor anderen om willekeurig toegang te krijgen tot iemands gegevens, dan valt dit onder het bevorderen van ongeoorloofde toegang.
Als je gedrag vertoont dat ongeoorloofde toegang bevordert, kun je mogelijk worden gestraft met een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen (Artikel 12, lid 2).
Let op, zelfs als je een wachtwoord verstrekt zonder te weten dat het doel ongeoorloofde toegang is, kun je mogelijk een boete van maximaal 300.000 yen krijgen (Artikel 13).
Wat betekent het onrechtmatig verkrijgen, opslaan en aanvragen van de identificatiecodes van anderen?
Volgens de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ is het verboden om de identificatiecodes (ID’s en wachtwoorden) van anderen onrechtmatig te verkrijgen, op te slaan of aan te vragen.
- Artikel 4: Verbod op het onrechtmatig verkrijgen van de identificatiecodes van anderen
- Artikel 6: Verbod op het onrechtmatig opslaan van de identificatiecodes van anderen
- Artikel 7: Verbod op het onrechtmatig aanvragen van de identificatiecodes van anderen
Een typisch voorbeeld van dit verboden gedrag is het ‘aanvragen van invoer’, ook wel bekend als phishing. Bijvoorbeeld, door zich voor te doen als een financiële instelling, worden slachtoffers naar een valse homepage gelokt die er precies uitziet als de echte, en daar worden ze gevraagd om hun wachtwoorden en ID’s in te voeren.
Identificatiecodes die zijn verkregen door phishing worden gebruikt voor oplichting bij veilingen, en er zijn veel gevallen van fraude waarbij deposito’s zonder toestemming naar andere rekeningen worden overgemaakt.
Als je deze handelingen uitvoert, kun je een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen (Artikel 12, lid 4).
Wat is de wet die cybercriminaliteit anders dan ongeoorloofde toegang bestrijdt?
Zoals gezegd, is de ‘Japanse Wet op het Verbod van Ongeoorloofde Toegang’ een wet die bedoeld is om bepaalde soorten van wat we doorgaans cybercriminaliteit noemen, aan te pakken. Als we het hebben over het geheel van ‘cybercriminaliteit’, dan kunnen ook andere wetten zoals de ‘Japanse Wet op het Belemmeren van Bedrijfsvoering door Beschadiging van Elektronische Rekenmachines’, de ‘Japanse Wet op het Belemmeren van Bedrijfsvoering door Misleiding’ en de ‘Japanse Wet op Laster’ relevant zijn. Voor een gedetailleerde uitleg over het volledige beeld van cybercriminaliteit, zie het onderstaande artikel.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Verplichtingen van de toegangsbeheerder
We zullen de verplichtingen uitleggen die zijn gedefinieerd door de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ (不正アクセス禁止法). Een toegangsbeheerder is iemand die de werking van een specifieke computer die is verbonden met een telecommunicatielijn beheert (Artikel 2, Paragraaf 1).
Het beheer hier verwijst naar het bepalen wie en in welke mate een specifieke computer via het netwerk mag gebruiken. Iemand die deze autoriteit heeft om gebruikers en hun gebruiksbereik te bepalen, wordt een toegangsbeheerder genoemd volgens de Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’.
Bijvoorbeeld, wanneer een bedrijf een computersysteem bedient, laat het een systeembeheerder uit zijn werknemers het beheer uitvoeren. Echter, elke systeembeheerder beheert strikt volgens de wil van het bedrijf. Daarom is in dergelijke gevallen de toegangsbeheerder niet de systeembeheerder, maar het bedrijf dat het computersysteem bedient.
De Japanse ‘Wet ter voorkoming van ongeoorloofde toegang’ definieert niet alleen ongeoorloofde toegang en straffen, maar legt ook verplichtingen op aan beheerders om ongeoorloofde toegang tot servers en dergelijke te voorkomen.
Verdedigingsmaatregelen door de toegangsbeheerder
Artikel 8: Een toegangsbeheerder die een toegangscontrolefunctie aan een specifieke computer heeft toegevoegd, moet streven naar een juist beheer van de identificatiecode of de code die wordt gebruikt om deze te verifiëren via de toegangscontrolefunctie, en moet altijd de effectiviteit van de toegangscontrolefunctie verifiëren en, indien nodig, snel streven naar het verbeteren van de functie en andere noodzakelijke maatregelen om de specifieke computer te beschermen tegen ongeoorloofde toegang.
Hoewel het verplicht is om “de identificatiecode correct te beheren”, “altijd de effectiviteit van de toegangscontrolefunctie te verifiëren” en “indien nodig de toegangscontrolefunctie te verbeteren”, zijn dit inspanningsverplichtingen, dus er zijn geen straffen voor het nalaten van deze maatregelen.
Echter, als de beheerder tekenen ziet van een lek van ID’s of wachtwoorden, moet hij of zij snel toegangscontrolemaatregelen nemen, zoals het verwijderen van accounts of het wijzigen van wachtwoorden.
Maatregelen bij ongeoorloofde toegang
Als u e-mail of sociale media gebruikt, kunt u het slachtoffer worden van ongeoorloofde toegang door anderen. Wat kunt u in dit geval doen?
Strafrechtelijke aanklacht indienen
Ten eerste, het is mogelijk om een strafrechtelijke aanklacht in te dienen tegen de persoon die ongeoorloofd toegang heeft verkregen. Ongeoorloofde toegang is een misdrijf en de persoon die ongeoorloofd toegang heeft verkregen, kan strafrechtelijk worden vervolgd. Zoals hierboven uitgelegd, kan de persoon die de toegang heeft verkregen een gevangenisstraf van maximaal drie jaar of een boete van maximaal 1 miljoen yen krijgen, en als er iemand was die dit heeft aangemoedigd, kan die persoon een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen krijgen.
Daarnaast is het overtreden van de Japanse ‘Wet op het verbod van ongeoorloofde toegang’ een misdrijf dat kan worden vervolgd zonder aanklacht, dus zelfs als er geen aanklacht is, kan de politie een onderzoek starten en de dader arresteren zodra ze van de feiten op de hoogte zijn. Bovendien kan iedereen die van de feiten op de hoogte is, niet alleen de persoon die de ongeoorloofde toegang heeft ondergaan, aangifte doen bij de politie.
Zoals we ook in het artikel over het misdrijf van bedrijfsbelemmering hebben genoemd, hoewel een aanklachtbaar misdrijf een misdrijf is dat niet kan worden vervolgd zonder een strafrechtelijke aanklacht door het slachtoffer, betekent dit niet dat het niet kan worden aangeklaagd als het geen aanklachtbaar misdrijf is. Zelfs in het geval van een niet-aanklachtbaar misdrijf, kan het slachtoffer de dader aanklagen.
Zelfs als het een niet-aanklachtbaar misdrijf is, kan de situatie van de verdachte verslechteren als het slachtoffer een strafrechtelijke aanklacht heeft ingediend, en de straf kan zwaarder worden. Als u merkt dat u ongeoorloofd toegang heeft gekregen, is het raadzaam om een advocaat te raadplegen en een schadeclaim of aanklacht in te dienen bij de politie. Zodra de politie de schadeclaim heeft geaccepteerd, zullen ze snel een onderzoek starten en de verdachte arresteren of doorverwijzen.
Burgerlijke schadevergoeding eisen
Als u schade heeft geleden door ongeoorloofde toegang, kunt u op basis van artikel 709 van het Japanse Burgerlijk Wetboek een schadevergoeding eisen van de dader.
Artikel 709 van het Burgerlijk Wetboek
Wie opzettelijk of door nalatigheid de rechten van een ander of belangen die wettelijk beschermd zijn schendt, is aansprakelijk voor de schade die hierdoor is ontstaan.
Als de dader ongeoorloofd toegang heeft gekregen en de daar verkregen persoonlijke informatie heeft verspreid, items uit een social game heeft gestolen, toegang heeft gekregen tot gegevens van creditcards of bankrekeningen en financiële schade heeft veroorzaakt, moet u een schadevergoeding eisen, inclusief smartengeld. Natuurlijk, als er daadwerkelijk financiële schade is ontstaan doordat er toegang is verkregen tot gegevens van creditcards of bankrekeningen, is het ook mogelijk om een schadevergoeding te eisen voor deze schade.
Echter, om een schadevergoeding te eisen van de dader, moet u de dader identificeren en bewijs verzamelen dat de dader daadwerkelijk ongeoorloofd toegang heeft verkregen, wat een hoge mate van specialistische kennis vereist. Als u schade heeft geleden door ongeoorloofde toegang, is het noodzakelijk om een advocaat met uitgebreide ervaring in internetkwesties te raadplegen en de procedure aan hen over te laten.
Samenvatting
De Japanse Wet op het Verbod van Ongeoorloofde Toegang (Wet op het Verbod van Ongeoorloofde Toegang) zal in de toekomst, naarmate de informatisering vordert, steeds belangrijker worden in de moderne samenleving. Echter, zelfs als men daadwerkelijk het slachtoffer wordt van ongeoorloofde toegang, is het vaak technisch moeilijk voor het slachtoffer zelf om de dader te identificeren.
Bovendien, aangezien overtredingen van de Wet op het Verbod van Ongeoorloofde Toegang strafbaar zijn, kan men ook een klacht indienen bij de politie. Echter, omdat dit een nieuw type misdaad is, is het niet altijd het geval dat de politie de zaak onmiddellijk begrijpt. Daarom is het noodzakelijk om bij het indienen van een klacht een zorgvuldige uitleg te geven vanuit zowel een juridisch als technisch perspectief om het begrip van de politie te bevorderen. In deze zin is het zeer gespecialiseerd om te reageren op de Wet op het Verbod van Ongeoorloofde Toegang, en het is belangrijk om advies in te winnen bij een advocaat die ook bekend is met de technische aspecten van IT.
Category: IT
Tag: CybercrimeIT