Den japanske loven om forbud mot uautorisert tilgang (formelt navn “Loven om forbud mot uautorisert tilgang og lignende handlinger”) trådte i kraft i februar 2000 (Heisei 12) og ble revidert i mai 2012 (Heisei 24). Denne loven, som har som mål å forhindre cyberkriminalitet og opprettholde orden innen telekommunikasjon, består av totalt 14 artikler.
“Loven om forbud mot uautorisert tilgang og lignende handlinger” (Formål) Artikkel 1: Denne loven har som formål å forby uautorisert tilgang, samt å fastsette straffebestemmelser og bistandstiltak fra prefekturens offentlige sikkerhetskomiteer for å forhindre gjentakelse av slike handlinger. Ved å gjøre dette, søker loven å forhindre kriminalitet relatert til elektroniske datamaskiner som utføres via telekommunikasjonslinjer, og å opprettholde orden innen telekommunikasjon som realiseres gjennom tilgangskontrollfunksjoner, og dermed bidra til sunn utvikling av et avansert informasjonssamfunn.
Hva slags handlinger forbyr den japanske loven om forbud mot uautorisert tilgang konkret? Hvilke eksempler finnes i virkeligheten, og hvilke tiltak bør iverksettes både strafferettslig og sivilrettslig? Vi vil forklare oversikten over loven om forbud mot uautorisert tilgang og tiltakene som bør tas hvis man blir utsatt for slike handlinger.
Handlinger forbudt under den japanske loven om forbud mot uautorisert tilgang
Under den japanske loven om forbud mot uautorisert tilgang, er følgende tre hovedhandlinger forbudt og straffbare:
Forbud mot uautorisert tilgang (Artikkel 3)
Forbud mot handlinger som fremmer uautorisert tilgang (Artikkel 5)
Forbud mot urettmessig innhenting, oppbevaring eller krav om innføring av andres identifikasjonskoder (Artikkel 4, 6, 7)
Hva er uautorisert tilgang?
Dette er spesifikt regulert i artikkel 2, paragraf 4, og omfatter “identitetstyveri” og “sikkerhetshullangrep”. I henhold til den japanske loven om forbud mot uautorisert tilgang, er det forbudt å få uautorisert tilgang til andres datamaskiner.
“Identitetstyveri” innebærer at når man bruker en tjenesteleverandør, må man skrive inn identifikasjonskoder som ID og passord på datamaskinen. Dette refererer til handlingen der man uten tillatelse skriver inn andres identifikasjonskoder.
Selv om det kan være litt vanskelig å forstå, refererer “andres” her til ID-er og passord som allerede er opprettet (og brukt) av andre. Kort sagt, “identitetstyveri” betyr å “kapre” kontoer som andre allerede bruker, for eksempel på sosiale medier som Twitter.
Generelt refererer “identitetstyveri” til å opprette en ny konto ved å bruke andres navn eller profilbilde og deretter bruke sosiale medier som Twitter mens man utgir seg for å være den personen. Dette er imidlertid forskjellig. For en detaljert forklaring på denne typen “identitetstyveri”, se artikkelen nedenfor.
“Sikkerhetshullangrep” refererer til å angripe sikkerhetshull (sikkerhetsmangler) i andres datamaskiner for å kunne bruke dem. Ved å bruke angrepsprogrammer og lignende, gir man informasjon eller kommandoer til målet som ikke er identifikasjonskoder, omgår tilgangskontrollfunksjonene på andres datamaskiner og bruker dem uten tillatelse.
Hvis man utfører slike uautoriserte tilgangshandlinger, kan man bli straffet med “fengsel i opptil 3 år eller en bot på opptil 1 million yen” (artikkel 11).
Hva innebærer handlinger som fremmer uautorisert tilgang?
Handlinger som fremmer uautorisert tilgang, forbudt under den japanske loven om forbud mot uautorisert tilgang, innebærer å gi en tredjepart en annen persons ID eller passord uten vedkommendes samtykke. Uavhengig av metoden, enten det er via telefon, e-post eller nettsider, hvis du informerer eller kunngjør til andre at “ID-en til XX er YY, og passordet er ZZ”, slik at andre kan få tilgang til andres data uten tillatelse, faller dette under handlinger som fremmer uautorisert tilgang.
Hvis du utfører handlinger som fremmer uautorisert tilgang, kan du bli straffet med “fengsel i opptil ett år eller en bot på opptil 500 000 yen” (artikkel 12, punkt 2).
Videre, selv om du gir et passord uten å vite at det vil bli brukt til uautorisert tilgang, kan du bli straffet med en bot på opptil 300 000 yen (artikkel 13).
Hva innebærer det å ulovlig anskaffe, lagre eller kreve inn andres identifikasjonskoder?
Den japanske loven om forbud mot uautorisert tilgang forbyr handlinger som ulovlig anskaffelse, lagring eller krav om innføring av andres identifikasjonskoder (ID og passord).
Artikkel 4: Forbud mot ulovlig anskaffelse av andres identifikasjonskoder Artikkel 6: Forbud mot ulovlig lagring av andres identifikasjonskoder Artikkel 7: Forbud mot ulovlig krav om innføring av andres identifikasjonskoder
En representativ handling som er forbudt, er “krav om innføring”, som er kjent som phishing. For eksempel, ved å utgi seg for å være en finansinstitusjon, blir offeret ledet til en falsk nettside som ser ekte ut, hvor offeret blir bedt om å oppgi sitt passord og ID.
Identifikasjonskoder som er anskaffet gjennom phishing, blir ofte brukt til auksjonssvindel, og det er mange tilfeller hvor innskudd blir overført til andre kontoer uten tillatelse.
Hvis man utfører slike handlinger, kan man bli straffet med fengsel i opptil ett år eller en bot på opptil 500 000 yen (Artikkel 12, punkt 4).
Hva er lovene som regulerer andre typer nettkriminalitet enn ulovlig tilgang?
Som nevnt, er den japanske loven om forbud mot ulovlig tilgang en lov som tar for seg visse typer nettkriminalitet. Når det gjelder hele spekteret av “nettkriminalitet”, kan andre japanske lover som for eksempel loven om forstyrrelse av forretningsdrift ved skade på elektroniske datamaskiner, loven om forstyrrelse av forretningsdrift ved falske påstander, og loven om ærekrenkelse også være relevante. Vi har forklart detaljene om hele spekteret av nettkriminalitet i artikkelen nedenfor.
Vi vil forklare pliktene definert av den japanske loven om forbud mot uautorisert tilgang.
Den japanske loven om forbud mot uautorisert tilgang definerer ikke bare uautoriserte tilgangshandlinger og straffer, men pålegger også administratorer av servere og lignende plikten til å forhindre uautorisert tilgang.
Beskyttelsestiltak av tilgangsadministratorer
Artikkel 8: Tilgangsadministratorer som har lagt til tilgangskontrollfunksjoner til spesifikke elektroniske datamaskiner, skal ikke bare strebe etter å administrere identifikasjonskoder knyttet til disse tilgangskontrollfunksjonene på en hensiktsmessig måte, men også kontinuerlig verifisere effektiviteten av disse tilgangskontrollfunksjonene. Når det anses nødvendig, skal de raskt iverksette tiltak for å forbedre funksjonene eller andre nødvendige tiltak for å beskytte de spesifikke elektroniske datamaskinene mot uautorisert tilgang.
Selv om det er pålagt å “administrere identifikasjonskoder hensiktsmessig”, “kontinuerlig verifisere effektiviteten av tilgangskontrollfunksjonene” og “forbedre tilgangskontrollfunksjonene etter behov”, er disse pliktene innsatsplikter, og det er ingen straff for å unnlate å utføre disse tiltakene.
Imidlertid må administratorer raskt utføre tilgangskontroll som sletting av kontoer eller endring av passord hvis det er tegn på at ID-er eller passord har blitt lekket.
Eksempler på brudd på den japanske loven om forbud mot uautorisert tilgang
Kapring av en populær gutts Twitter-konto
Hyogo-politiet arresterte 30. januar 2017 en 18 år gammel gutt i tredje klasse på videregående skole i Hyogo fylke, mistenkt for brudd på den japanske loven om forbud mot uautorisert tilgang. Han hadde kapret Twitter-kontoen til en populær gutt i samme klasse og sendt over 300 meldinger til kvinnelige elever, mens han utga seg for å være kontoeieren.
Arrestasjonsanklagen er at han fra september til november året før, logget inn 63 ganger på autentiseringsserveren til den populære guttens (18) Twitter-konto ved å bruke passordet, og sendte obskøne meldinger som “La oss vise hverandre kroppene våre” og “La oss snakke om sex” til kvinnelige elever fra andre skoler som fulgte kontoen.
Uautorisert tilgang til Facebook og andre tjenester
I en sak der en person ble tiltalt for brudd på den japanske loven om forbud mot uautorisert tilgang etter gjentatte ganger å ha fått tilgang til Facebook og andre tjenester for å skaffe personlig informasjon, avsa Tokyo tingrett 3. august 2016 en dom på to år og seks måneders fengsel til den tiltalte (29). Han hadde ulovlig fått tilgang til Facebook-kontoene til syv kvinner 238 ganger. Retten fant at handlingene var vanemessige og vedvarende, og at motivasjonen for å oppnå en følelse av tilfredsstillelse ved vellykket uautorisert tilgang ikke kunne rettferdiggjøres. Imidlertid, tatt i betraktning at han ikke hadde lekket informasjonen han hadde sett, og at han ikke hadde noen tidligere straffedommer, ble straffen gjort betinget i fire år.
Ulovlig tilegnelse av kundeinformasjon fra arbeidsgiver
Tokyo tingrett avsa 12. november 2009 en dom på to års fengsel til en ansatt (45) som hadde ansvar for utvikling, drift og støtte av informasjonssystemer hos sin arbeidsgiver. Han hadde ulovlig tilegnet seg kundeinformasjon som selskapet eide, og forsøkt å selge den. Han hadde også stjålet en CD-R. Retten fant at det ikke kunne overses at han hadde tjent nesten 350 000 yen på salget av informasjonen. Selv om han ikke hadde noen tidligere straffedommer og hadde blitt oppsagt fra jobben som en form for sosial straff, fant retten at det ikke var grunnlag for å utsette straffens gjennomføring.
Åtte års fengsel for cyberangrep
Tokyo tingrett avsa 27. april 2017 en dom på åtte års fengsel til en tiltalt (32) som hadde brukt phishing-e-poster og fjernstyringsvirus for å ulovlig tilegne seg identifikasjonskoder for internettbanker fra flere selskaper. Han hadde utført uautoriserte innlogginger og påfølgende ulovlige pengeoverføringer, samt angrepet databaser for å skaffe e-postadresser og sendt fjernstyringsvirus som kunne aktiveres. Retten fant ham skyldig i brudd på den japanske loven om forbud mot uautorisert tilgang, bedrageri ved bruk av datamaskin, ulovlig opprettelse og bruk av private elektroniske poster, og brudd på radioloven.
Retten bemerket at han hadde brukt ulike metoder for å utføre cyberangrepene, inkludert å koble til andres trådløse LAN-tilgangspunkter ved hjelp av ulovlig tilegnede krypteringsnøkler for å skjule sin opprinnelse, og noen ganger brukte mellomservere. Han hadde også endret kontakt-e-postadresser før de ulovlige pengeoverføringene. Retten fant at handlingene var sofistikerte og ondsinnede, og at de økonomiske tapene fra de ulovlige pengeoverføringene utgjorde over 5,19 millioner yen. Videre hadde han begått disse forbrytelsene kort tid etter å ha blitt prøveløslatt for lignende lovbrudd, noe som førte til den strenge straffen.
Det er verdt å merke seg at i tilfeller der gjerningspersonen har sendt e-poster under slike angrep, kan det være mulig å identifisere gjerningspersonen ved å spore disse e-postene. Imidlertid er dette generelt vanskelig på sivilrettslig nivå. Dette emnet er også omtalt i artikkelen nedenfor.
Hvis du opplever uautorisert tilgang til din personlige konto, kontakt en advokat før skaden eskalerer.
Når du bruker e-post eller sosiale medier, kan du bli utsatt for uautorisert tilgang fra andre. Hva kan du gjøre i slike tilfeller?
Inngi en straffesak
Først og fremst kan du anmelde personen som har utført den uautoriserte tilgangen. Uautorisert tilgang er en kriminell handling, og personen som har utført dette kan bli straffet. Som nevnt tidligere, kan personen få opptil 3 års fengsel eller en bot på opptil 1 million yen. Hvis noen har bistått i handlingen, kan de få opptil 1 års fengsel eller en bot på opptil 500,000 yen.
Brudd på den japanske loven om forbud mot uautorisert tilgang er en offentlig påtalt forbrytelse, så politiet kan starte etterforskning og arrestere gjerningspersonen selv uten en anmeldelse. Dessuten kan enhver som er kjent med hendelsen anmelde den til politiet, ikke bare den som er direkte berørt.
Som nevnt i artikkelen om forstyrrelse av forretningsdrift, er en offentlig påtalt forbrytelse en forbrytelse som kan påtales uten en anmeldelse fra offeret. Selv om det ikke er en offentlig påtalt forbrytelse, kan offeret fortsatt anmelde gjerningspersonen.
Selv om det er en offentlig påtalt forbrytelse, kan en anmeldelse fra offeret forverre situasjonen for mistenkte og føre til strengere straff. Hvis du oppdager uautorisert tilgang, bør du kontakte en advokat og levere en anmeldelse eller klage til politiet. Når politiet mottar anmeldelsen, vil de raskt starte etterforskningen og arrestere eller tiltale mistenkte.
Krev erstatning
Hvis du har blitt utsatt for uautorisert tilgang, kan du kreve erstatning fra gjerningspersonen i henhold til artikkel 709 i den japanske sivilretten.
Japansk sivilrett, artikkel 709 Den som forsettlig eller uaktsomt krenker andres rettigheter eller juridisk beskyttede interesser, er ansvarlig for å erstatte skaden som oppstår som følge av dette.
Hvis gjerningspersonen har spredt personlig informasjon oppnådd gjennom uautorisert tilgang, stjålet gjenstander i et sosialt spill, eller fått tilgang til kredittkort- eller bankkontodata og forårsaket økonomisk skade, kan du kreve erstatning for dette. Selvfølgelig kan du også kreve erstatning hvis det har oppstått økonomisk skade som følge av uautorisert tilgang til kredittkort- eller bankkontodata.
For å kreve erstatning fra gjerningspersonen, må du identifisere gjerningspersonen og samle bevis for at de faktisk har utført den uautoriserte tilgangen. Dette krever spesialisert kunnskap. Hvis du har blitt utsatt for uautorisert tilgang, bør du kontakte en advokat med erfaring innen nettproblemer for å få hjelp med prosessen.
An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.
