MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Adwokat wyjaśnia działania i przypadki zabronione przez Japońską Ustawę o zakazie nielegalnego dostępu

IT

Adwokat wyjaśnia działania i przypadki zabronione przez Japońską Ustawę o zakazie nielegalnego dostępu

Ustawa o zakazie nielegalnego dostępu (pełna nazwa “Ustawa o zakazie nielegalnego dostępu i innych”) została wprowadzona w lutym 2000 roku (rok 2000 w kalendarzu gregoriańskim) i zmieniona w maju 2012 roku (rok 2012 w kalendarzu gregoriańskim). Obecnie jest ona w mocy. Jest to prawo mające na celu zapobieganie cyberprzestępstwom i utrzymanie porządku w telekomunikacji, składające się z 14 artykułów.

“Ustawa o zakazie nielegalnego dostępu i innych” (Cel)

Artykuł 1. Celem tej ustawy jest zapobieganie przestępstwom związanym z komputerami za pośrednictwem linii telekomunikacyjnych poprzez zakazanie nielegalnego dostępu, ustanowienie kar za takie działania oraz środki pomocnicze podejmowane przez komisje bezpieczeństwa publicznego w prefekturach w celu zapobiegania ich powtarzaniu, utrzymanie porządku w telekomunikacji realizowanej za pomocą funkcji kontroli dostępu, a tym samym przyczynienie się do zdrowego rozwoju zaawansowanego społeczeństwa informacyjnego.

Jakie konkretne działania zakazuje Ustawa o zakazie nielegalnego dostępu? Jakie są rzeczywiste przykłady i jakie środki powinny być podjęte w sprawach karnych i cywilnych? Wyjaśniamy zasady Ustawy o zakazie nielegalnego dostępu i środki, które należy podjąć w przypadku doświadczenia szkód.

Działania zabronione przez Japońską Ustawę o zakazie nielegalnego dostępu

W Japońskiej Ustawie o zakazie nielegalnego dostępu, działania, które są zabronione i karane, można podzielić na trzy główne kategorie:

  • Zakaz nielegalnego dostępu (Artykuł 3)
  • Zakaz działań wspierających nielegalny dostęp (Artykuł 5)
  • Zakaz nielegalnego pozyskiwania, przechowywania lub żądania identyfikatorów innych osób (Artykuły 4, 6, 7)

W tym kontekście, “identyfikator” oznacza kod ustalony dla każdego administratora dostępu, który uzyskał zgodę na korzystanie z określonego komputera od administratora dostępu, i jest używany przez administratora dostępu do odróżnienia użytkowników od siebie (Artykuł 2, ustęp 2).

Typowym przykładem identyfikatora jest hasło używane w połączeniu z ID. Ostatnio coraz bardziej popularne stają się również systemy identyfikujące osobę na podstawie odcisków palców lub tęczówki oka, które również są uważane za identyfikatory. Ponadto, jeśli osoba jest identyfikowana na podstawie kształtu podpisu lub nacisku pióra, to zaszyfrowane dane tego podpisu również stanowią identyfikator.

Co to jest nielegalne dostęp do systemu?

Konkretnie, zgodnie z artykułem 2, punkt 4, nielegalny dostęp do systemu to nadużycie cudzych danych identyfikacyjnych, znane jako “działania podszywania się” oraz wykorzystanie błędów w programach komputerowych, znane jako “atak na luki w zabezpieczeniach”. W japońskim prawie o zakazie nielegalnego dostępu, zabronione jest dostęp do cudzego komputera za pomocą tych metod.

Nadużycie cudzych danych identyfikacyjnych

Tzw. “działania podszywania się” polegają na wykorzystaniu cudzych danych identyfikacyjnych do korzystania z komputera, do którego nie mamy uprawnień dostępu.

W skrócie, podczas korzystania z pewnego systemu komputerowego, musimy wprowadzić na komputerze dane identyfikacyjne, takie jak ID i hasło. Działania podszywania się polegają na wprowadzeniu danych identyfikacyjnych innej osoby, która ma prawo do korzystania z systemu, bez jej zgody.

Może to być nieco skomplikowane, ale “cudze” dane, o których mówimy tutaj, to ID i hasła, które już zostały utworzone (i są używane) przez inną osobę. Innymi słowy, “działania podszywania się” to, w skrócie, “przejmowanie” kont, takich jak konta na Twitterze i innych serwisach społecznościowych, które są już używane przez inną osobę.

Ponieważ jednym z wymogów jest wprowadzenie danych identyfikacyjnych bez zgody właściciela, jeśli na przykład podczas podróży służbowej poprosisz kolegę z pracy, który jest w biurze, o sprawdzenie twojej poczty e-mail, podając mu swoje hasło, nie będzie to naruszało japońskiego prawa o zakazie nielegalnego dostępu, ponieważ uzyskałeś zgodę właściciela.

Na ogół “podszywanie się” oznacza tworzenie nowego konta, używając cudzego imienia i nazwiska lub zdjęcia, i korzystanie z niego na Twitterze i innych serwisach społecznościowych, udając tę osobę. Jednak działania zabronione przez japońskie prawo o zakazie nielegalnego dostępu są inne. Szczegółowe wyjaśnienie “podszywania się” w ogólnym znaczeniu znajduje się w poniższym artykule.

https://monolith.law/reputation/spoofing-dentityright[ja]

Wykorzystanie błędów w programach komputerowych

“Atak na luki w zabezpieczeniach” polega na wykorzystaniu luk w zabezpieczeniach cudzego komputera (błędów w zabezpieczeniach) do uzyskania dostępu do tego komputera. Atakujący używa programów do ataków i innych metod, aby dostarczyć informacje lub polecenia niezwiązane z danymi identyfikacyjnymi do celu ataku, omijając funkcje kontroli dostępu do cudzego komputera i korzystając z niego bez zgody.

Funkcje kontroli dostępu, o których mówimy tutaj, to funkcje, które administrator dostępu umieszcza w określonym komputerze lub komputerze połączonym z określonym komputerem za pomocą linii telekomunikacyjnej, aby ograniczyć możliwość korzystania z określonego komputera przez osoby inne niż prawowici użytkownicy (artykuł 2, punkt 3).

Żeby to uprościć, jest to system, który wymaga od osób próbujących uzyskać dostęp do systemu komputerowego wprowadzenia ID i hasła przez sieć, i pozwala na korzystanie z systemu tylko wtedy, gdy wprowadzone zostaną prawidłowe ID i hasło.

W związku z tym, “atak na luki w zabezpieczeniach” polega na unieważnieniu tego systemu, co pozwala na korzystanie z danego systemu komputerowego bez wprowadzania prawidłowego ID i hasła.

Dwa typy nielegalnego dostępu do systemu

Jak widać, istnieją dwa typy nielegalnego dostępu do systemu.

Warto zauważyć, że aby działanie mogło być uznane za nielegalny dostęp do systemu, musi być wykonane za pośrednictwem sieci komputerowej. Dlatego też, nawet jeśli wprowadzisz hasło itp. bez zgody do komputera, który nie jest podłączony do sieci, tzw. komputera autonomicznego, nie będzie to uznane za nielegalny dostęp do systemu.

Co więcej, sieć komputerowa nie ogranicza się do otwartych sieci, takich jak Internet, ale obejmuje również zamknięte sieci, takie jak sieci LAN w firmie.

Nie ma również ograniczeń co do treści nielegalnego korzystania z systemu za pomocą nielegalnego dostępu, na przykład nieautoryzowane zamówienia, przeglądanie danych, transfer plików, a także zmiana strony głównej, są uznawane za naruszenie japońskiego prawa o zakazie nielegalnego dostępu.

Jeśli wykonasz jedno z tych dwóch typów nielegalnego dostępu do systemu, możesz zostać ukarany karą do 3 lat pozbawienia wolności lub grzywną do 1 miliona jenów (artykuł 11).

Co to jest zachęcanie do nielegalnego dostępu

Zachęcanie do nielegalnego dostępu, które jest zabronione przez Japońską Ustawę o Zakazie Nielegalnego Dostępu, polega na udostępnianiu identyfikatora lub hasła innej osoby bez jej zgody. Niezależnie od metody, czy to przez telefon, e-mail, czy stronę internetową, jeśli powiesz komuś “ID to XX, hasło to YY”, umożliwiając tym samym nieautoryzowany dostęp do danych innej osoby, to jest to uznawane za zachęcanie do nielegalnego dostępu.

Jeśli zachęcasz do nielegalnego dostępu, możesz zostać ukarany karą pozbawienia wolności do jednego roku lub grzywną do 500 000 jenów (zgodnie z artykułem 12, punkt 2).

Należy zauważyć, że nawet jeśli udostępnisz hasło nieświadomie celu nielegalnego dostępu, możesz zostać ukarany grzywną do 300 000 jenów (zgodnie z artykułem 13).

Co to jest nielegalne pozyskiwanie, przechowywanie i żądanie wprowadzenia cudzego kodu identyfikacyjnego

W japońskim prawie zakazującym nielegalnego dostępu, zabronione jest nielegalne pozyskiwanie, przechowywanie lub żądanie wprowadzenia cudzego kodu identyfikacyjnego (ID, hasło).

  • Artykuł 4: Zakaz nielegalnego pozyskiwania cudzego kodu identyfikacyjnego
  • Artykuł 6: Zakaz nielegalnego przechowywania cudzego kodu identyfikacyjnego
  • Artykuł 7: Zakaz nielegalnego żądania wprowadzenia cudzego kodu identyfikacyjnego

Typowym przykładem takiego zakazanego działania jest “żądanie wprowadzenia”, czyli tzw. phishing. Na przykład, podszywając się pod instytucję finansową, ofiara jest kierowana na fałszywą stronę internetową, która wygląda jak prawdziwa, a na tej fałszywej stronie ofiara jest zmuszana do wprowadzenia swojego hasła lub ID.

Numery identyfikacyjne pozyskane przez phishing są wykorzystywane w oszustwach aukcyjnych, a także dochodzi do sytuacji, w których depozyty są bezprawnie przekazywane na inne konta, co prowadzi do wielu przypadków oszustwa.

Za te działania grozi kara do roku pozbawienia wolności lub grzywna do 500 000 jenów (Artykuł 12, punkt 4).

Jakie są prawa regulujące cyberprzestępstwa poza nielegalnym dostępem?

Tak jak wspomniano, Japońskie Prawo o Zakazie Nielegalnego Dostępu jest prawem służącym do zwalczania pewnego rodzaju cyberprzestępstw. Jeśli chodzi o całość “cyberprzestępstw”, mogą pojawić się kwestie związane z innymi prawami, takimi jak Japońskie Prawo o Zakłóceniu Działalności przez Zniszczenie Komputerów, Prawo o Zakłóceniu Działalności przez Oszustwo, czy Prawo o zniesławieniu. Szczegółowe wyjaśnienie całokształtu cyberprzestępstw znajduje się w poniższym artykule.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Obowiązki administratora dostępu

Wyjaśniamy obowiązki zdefiniowane przez Japońskie Prawo o zakazie nieautoryzowanego dostępu. Administrator dostępu to osoba zarządzająca działaniem określonego komputera podłączonego do linii telekomunikacyjnej (Artykuł 2, ustęp 1).

Zarządzanie, o którym mówimy tutaj, oznacza decydowanie, kto i w jakim zakresie może korzystać z określonego komputera za pośrednictwem sieci. Osoba, która ma uprawnienia do decydowania o użytkownikach i zakresie ich korzystania, jest administratorem dostępu według Japońskiego Prawa o zakazie nieautoryzowanego dostępu.

Na przykład, gdy firma zarządza pewnym systemem komputerowym, wyznacza z personelu osoby odpowiedzialne za system i zleca im zarządzanie. Jednak każdy z tych administratorów systemu zarządza zgodnie z wolą firmy. Dlatego w takim przypadku administratorem dostępu jest firma zarządzająca systemem komputerowym, a nie administrator systemu.

Japońskie Prawo o zakazie nieautoryzowanego dostępu nie tylko definiuje nielegalne działania i kary, ale także nakłada na administratorów obowiązek zapobiegania nieautoryzowanemu dostępowi do serwerów i innych systemów.

Środki obronne administratora dostępu

Artykuł 8. Administrator dostępu, który dodał funkcję kontroli dostępu do określonego komputera, powinien dążyć do prawidłowego zarządzania kodami identyfikacyjnymi lub kodami używanymi do weryfikacji tych kodów za pomocą tej funkcji kontroli dostępu, stale weryfikować skuteczność tej funkcji kontroli dostępu i, jeśli to konieczne, szybko dążyć do ulepszenia tej funkcji i podjęcia innych niezbędnych środków w celu ochrony określonego komputera przed nielegalnym dostępem.

“Prawidłowe zarządzanie kodami identyfikacyjnymi”, “stałe weryfikowanie skuteczności funkcji kontroli dostępu” i “ulepszanie funkcji kontroli dostępu w razie potrzeby” są obowiązkowe, ale są to obowiązki dołożenia starań, więc nie ma kary za ich zaniedbanie.

Jednakże, jeśli administrator zauważy, że identyfikatory lub hasła mogły zostać ujawnione, musi natychmiast podjąć środki kontroli dostępu, takie jak usunięcie konta lub zmiana hasła.

Środki zaradcze w przypadku nieautoryzowanego dostępu

Podczas korzystania z e-maila lub mediów społecznościowych, możemy paść ofiarą nieautoryzowanego dostępu ze strony innych osób. Jakie są możliwe środki zaradcze w takim przypadku?

Złożenie zawiadomienia o przestępstwie

Przede wszystkim, możliwe jest złożenie zawiadomienia o przestępstwie przeciwko osobie, która dokonała nieautoryzowanego dostępu. Nieautoryzowany dostęp jest przestępstwem, a osoba, która go dokonała, może zostać ukarana. Jak wyjaśniono powyżej, osoba ta może zostać skazana na karę pozbawienia wolności do 3 lat lub grzywnę do 1 miliona jenów (ok. 36 000 zł), a jeśli ktoś pomógł w dokonaniu nieautoryzowanego dostępu, może zostać skazany na karę pozbawienia wolności do 1 roku lub grzywnę do 500 000 jenów (ok. 18 000 zł).

Należy zauważyć, że naruszenie japońskiego “Prawa o zakazie nieautoryzowanego dostępu” (Nieautoryzowany Dostęp Zakaz Prawa) jest przestępstwem publicznym, co oznacza, że policja może rozpocząć śledztwo i aresztować sprawcę, nawet jeśli nie zostało złożone zawiadomienie. Ponadto, nie tylko osoba, która padła ofiarą nieautoryzowanego dostępu, ale także każda osoba, która dowiedziała się o tym fakcie, może zgłosić to policji.

Jak wspomniano również w artykule dotyczącym przestępstwa zakłócania działalności, przestępstwo prywatne to “przestępstwo, które nie może być ścigane bez zawiadomienia ofiary”, ale to nie oznacza, że “nie można złożyć zawiadomienia, jeśli nie jest to przestępstwo prywatne”. Nawet w przypadku przestępstwa publicznego, ofiara może zgłosić sprawcę.

Nawet jeśli jest to przestępstwo publiczne, jeśli ofiara złoży zawiadomienie o przestępstwie, sytuacja podejrzanego może się pogorszyć, a kara może być surowsza. Jeśli zauważysz, że padłeś ofiarą nieautoryzowanego dostępu, powinieneś skonsultować się z adwokatem i złożyć zawiadomienie o przestępstwie lub skargę do policji. Po przyjęciu zawiadomienia o przestępstwie, policja natychmiast rozpocznie śledztwo i aresztuje lub przekazuje podejrzanego do prokuratury.

Wniesienie roszczenia o odszkodowanie cywilne

W przypadku doznania szkody z powodu nieautoryzowanego dostępu, możliwe jest wniesienie roszczenia o odszkodowanie cywilne przeciwko sprawcy na podstawie artykułu 709 japońskiego “Kodeksu cywilnego” (Kodeks Cywilny).

Artykuł 709 Kodeksu Cywilnego

Osoba, która narusza prawa innej osoby lub interesy chronione przez prawo z powodu zamiaru lub niedbalstwa, ponosi odpowiedzialność za odszkodowanie za szkodę wynikłą z tego naruszenia.

Jeśli sprawca dokonał nieautoryzowanego dostępu i rozpowszechnił uzyskane w ten sposób dane osobowe, skradł przedmioty z gry społecznościowej, uzyskał dostęp do danych karty kredytowej lub konta bankowego, powodując szkodę materialną, powinieneś złożyć roszczenie o odszkodowanie, w tym o zadośćuczynienie. Oczywiście, jeśli dostęp do danych karty kredytowej lub konta bankowego spowodował rzeczywistą szkodę materialną, możliwe jest również złożenie roszczenia o odszkodowanie za te straty.

Jednakże, aby złożyć roszczenie o odszkodowanie przeciwko sprawcy, musisz zidentyfikować sprawcę i zebrać dowody, że to on rzeczywiście dokonał nieautoryzowanego dostępu, co wymaga zaawansowanej wiedzy specjalistycznej. Jeśli padłeś ofiarą nieautoryzowanego dostępu, powinieneś skonsultować się z doświadczonym adwokatem w sprawach internetowych i poprosić go o podjęcie odpowiednich kroków.

Podsumowanie

Japońskie prawo zakazujące nielegalnego dostępu (Nielegalny Dostęp Zakazany) nabiera coraz większego znaczenia w coraz bardziej zaawansowanej technologicznie współczesnym społeczeństwie. Jednakże, nawet jeśli faktycznie padniesz ofiarą nielegalnego dostępu, często jest technicznie trudne dla samej ofiary zidentyfikowanie sprawcy.

Ponadto, naruszenie japońskiego prawa zakazującego nielegalnego dostępu jest przestępstwem karalnym, dlatego możliwe jest złożenie doniesienia na policję. Jednakże, jako że jest to nowy typ przestępstwa, policja nie zawsze od razu zrozumie sytuację. Dlatego, podczas składania doniesienia, konieczne jest dokładne wyjaśnienie sytuacji z zarówno prawnego, jak i technicznego punktu widzenia, aby pomóc policji zrozumieć sytuację. W tym sensie, ze względu na wysoki stopień specjalizacji wymagany w przypadku reagowania na naruszenia prawa zakazującego nielegalnego dostępu, ważne jest skonsultowanie się z adwokatem, który jest dobrze zorientowany również w technicznych aspektach IT.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Wróć do góry