不正アクセス禁止法の罰則と時効について弁護士が解説
PCやスマホが普及し、インターネットへの依存度が高まる中、不正アクセスなどのサイバー犯罪は増加傾向にあります。不正アクセスの罰則や時効については、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)や刑事訴訟法という法律に規定があります。
不正アクセス禁止法に違反した場合、どのような罰則が科されるのでしょうか。また、不正アクセス禁止法違反に該当する犯罪には、時効はあるのでしょうか。
この記事の目次
不正アクセス禁止法とは
不正アクセス禁止法とは、サイバー犯罪の防止とアクセス制御機能により実現されるインターネットに関する秩序の維持を図り、高度情報通信社会の健全な発展に寄与するために制定された法律です。(第1条)
不正アクセス禁止法では、以下の行為が禁止されています。
- 不正アクセス行為(第3条)
- 不正アクセス行為を助長する行為(第5条)
- 他人の識別符号を不正に取得・保管する行為(第4,6条)
- 他人の識別符号の入力を不正に要求する行為(第7条)
第3条の不正アクセス行為とは、「不正ログイン」と「セキュリティ・ホール攻撃」を指します。不正ログインとは、他人のIDやパスワードを無断で入力し、他人のSNSアカウントなどにログインする行為です。セキュリティ・ホール攻撃とは、ネットワークに接続されたコンピュータに存在する保安上の欠陥を突く攻撃を行うことです。
不正アクセス行為を助長する行為とは、他人のIDやパスワードなどを、本人の同意なく第三者に提供し、そのアカウントなどへの不正アクセスが可能な状態にすることです。
他人の識別符号を不正に取得する行為とは、不正アクセスを行うために他人のIDやパスワードなどを取得する行為と規定されています。また、他人の識別符号を不正に保管する行為とは、不正アクセスを行うために、不正に取得された他人のIDやパスワードを保管することです。
他人の識別符号の入力を不正に要求する行為とは、いわゆるフィッシング行為です。フィッシング行為とは、実在する金融機関などのサイトを装った偽サイトに誘導し、ID、パスワード、クレジットカード番号などの個人情報を入力させて騙し取る行為です。
不正アクセス禁止法の詳細や事例については、下記記事にて詳細に解説しています。
不正アクセス禁止法の罰則
不正アクセス行為(第3条)を行った場合、3年以下の懲役または100万円以下の罰金が科されます(第11条)。
不正アクセス行為を助長する行為(第5条)、他人の識別符号を不正に取得・保管する行為(第4,6条)及び他人の識別符号の入力を不正に要求する行為(第7条)を行った場合、1年以下の懲役または50万円以下の罰金が科されます(第12条)。
ただ、不正アクセスを助長する行為については、不正アクセスのために使用する目的であるとは知らずに他人のIDやパスワードを提供した場合は、30万円以下の罰金に科されることとなります(第13条)。
不正アクセス禁止法違反による処罰は、不正アクセス以外の犯罪を実行したり、実行する意思がなかったりしたとしても対象となります。つまり、不正アクセス行為そのものが処罰の対象となるのです。たとえば、不正アクセス行為の「不正ログイン」であれば、他人のIDやパスワードを入力する行為だけで罰則を科されることになります。不正ログインをした後、他人の個人情報を悪用したり、流出させたりしなかったとしても処罰されます。
不正アクセス禁止法違反で罰則が科された事例
では、不正アクセス禁止法違反で有罪判決が出て、罰則が科された事例にはどのようなものがあるのでしょうか。
以下、実際の事例をご紹介します。
サイバー攻撃による個人情報流出事件
コンピュータソフトウェア著作権協会(ACCS)のサーバから個人情報を不正に入手したとして、不正アクセス禁止法違反で起訴された元大学研究員の判決公判が東京地裁で行われ、懲役8ヶ月、執行猶予3年(求刑・懲役8ヶ月)の判決が言い渡されました。
元研究員は、CGIフォーム送信用のHTMLを改ざんし、サーバ内の個人情報ファイルにアクセスしたことは認めており、この行為が不正アクセスにあたるかどうかが争点となっていました。裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常であり、CGI経由のアクセスは、不正アクセス行為にあたる」と認定しました。
また、元研究員は、セキュリティイベントでサイトへの攻撃手法をプレゼンしていました。元研究員は、不正アクセスの手法をプレゼンで発表したことについて、「サーバ管理者のセキュリティ対策を促すため」と主張していましたが、裁判長は「たとえそのためだったとしても、管理者側に修正の機会を与えないまま発表したのは正当視できない。模倣犯も出現しており、高度情報通信社会の発展を妨げることは明らかである」としました。
執行猶予をつけた理由については、「同じようなセキュリティ・ホールを持つプログラムは多く、サーバ管理者側も適切な対策をすべきである。被告はすでに社会的制裁を受けた上、個人情報が流出していないかを確認するなど被害のさらなる拡大の防止に努めている。」としています。
なお、元研究員は、有罪判決を不服として控訴していましたが、控訴を取り下げたため、有罪が確定しました。
大学への不正アクセス事件
在学していた大学ネットワークのパスワードを変更して不正にログインしたとして、不正アクセス禁止法違反などの罪に問われた会社員の判決は、懲役1年6ヶ月、執行猶予3年(懲役1年6ヶ月)でした。
裁判官は、「他の学生になりすましてメールを送ったり、履修登録を変更したりするなど、実害や迷惑を与えた」と批判しました。一方、大学に謝罪して反省の態度を示していることから、執行猶予がつけられました。
タレントのメールやSNSへの不正アクセス事件
複数の女性のメールやSNSなどに不正にアクセスして個人情報を得たとして、不正アクセス禁止法などの罪に問われた被告に下された判決は、懲役2年6ヶ月、執行猶予4年(求刑懲役2年6ヶ月)でした。
裁判官は、「女性の個人情報を見たいがために、パスワードを推測して不正アクセスした動機や経緯に酌むべきものは全くない」と指摘しました。一方、「前科がなく、解雇などの社会的制裁も受けている」として、執行猶予をつけた理由を説明しました。
顧客情報の流出事件
証券会社の顧客情報約148万人分を不正に取得したなどとして、不正アクセス禁止法違反と窃盗の罪に問われた同社システム部元社員は、懲役2年の実刑判決が言い渡されました。
判決によると、元社員は、別の社員のIDとパスワードを入力して、顧客情報が保存されているサーバに不正アクセスして顧客情報を取得し、顧客情報と企業概要情報を記録したCD-R計3枚を盗み出したとのことです。
裁判官は、顧客情報や企業概要情報を売却する目的で盗み取って流出させた点を重く見て判決を下しました。流出した顧客情報については、「勤務先や年収など高度のプライバシー情報が記載されており、金額に換算することは難しい」と指摘し、CD-R1枚分の価値として評価することはできないとしました。
IDとパスワードを悪用して不正にメールを送信した事件
元交際相手のIDとパスワードを無断で使用し、不正にメールを送信したなどとして、不正アクセス禁止法違反と名誉毀損の罪に問われた被告の判決は、懲役2年執行猶予3年(求刑懲役2年)でした。
判決によると、被告は、元交際相手のIDとパスワードを使用して、サーバに不正アクセスし、女性と恋愛関係であるかのようなメールを女性の知人らに送り、女性の名誉を毀損したとのことです。
国内初摘発のフィッシング事件
フィッシングサイトを立ち上げ、ユーザーの個人情報を盗んだとして、不正アクセス禁止法違反に問われた元会社員は、懲役1年年10ヶ月月、執行猶予4年(求刑は懲役2年)を言い渡されました。
被告は、本物のサイトの著作権を侵害したとして著作権法違反と、偽サイトにアクセスしたユーザーの個人情報を悪用して、本物のサイトに不正にアクセスしたとして不正アクセス禁止法違反に問われました。
判決は、「プライバシーを侵害した責任は重い」と指摘しましたが、「被害者らと示談が成立し、十分反省している」ことや「入手した情報を使って他の犯罪行為を行っていない」ことから執行猶予がつけられました。
不正アクセス禁止法の時効
不正アクセス禁止法違反は、「長期五年未満の懲役若しくは禁錮又は罰金に当たる罪」にあたるため、公訴時効は3年と定められています(刑事訴訟法第250条2項6号)。公訴時効は、犯罪行為が終わった時点から起算して公訴を提起することができる期間を指します。3年間が経過してしまうと、検察官による起訴ができなくなりますので、注意が必要です。
まとめ
不正アクセスによる犯罪は、近年増加傾向にあり、インターネットを使用している企業や個人であれば、誰しもが被害を受ける可能性があります。また、その被害は多大な損失を伴うこともあります。
不正アクセス禁止法違反に該当する犯罪により被害を被った場合、刑事告訴を行うことができますが、その時効は3年と定められています。そのため、不正アクセス被害が発覚したら、なるべく早く不正アクセス禁止法に詳しい弁護士へ相談するようにしましょう。