MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Detaljerad innehåll och överträdelseexempel på den japanska 'Lagen om förbud mot obehörig åtkomst

IT

Detaljerad innehåll och överträdelseexempel på den japanska 'Lagen om förbud mot obehörig åtkomst

Obehörig åtkomstförbudslagen (officiellt namn “Lagen om förbud mot obehörig åtkomst och liknande”) är en lag som har införts för att förebygga cyberbrott och upprätthålla ordningen inom elektronisk kommunikation.

Med spridningen av smartphones och en ökning av internetanvändare, finns det också en ökande trend av fall med obehörig åtkomst varje år.

I denna artikel kommer vi att förklara detaljerna i Obehörig åtkomstförbudslagen och ge exempel på överträdelser.

Vad är lagen om förbud mot obehörig åtkomst?

Lagen om förbud mot obehörig åtkomst (japanska: 不正アクセス禁止法) trädde i kraft år 2000 (Heisei 12), men ändrades 2012 (Heisei 24) på grund av ökande allvarliga cyberbrott.

Med denna ändring förbjöds phishing och obehörig erhållning eller lagring av identifieringskoder (ID och lösenord), och straffet för obehörig åtkomst höjdes. Handlingar som tidigare inte var straffbara förbjöds, vilket gjorde lagen mer effektiv.

Syftet med lagen om förbud mot obehörig åtkomst är att “bidra till en sund utveckling av ett avancerat informationssamhälle” (Artikel 1).

Handlingar som förbjuds enligt lagen om förbud mot obehörig åtkomst inkluderar följande:

  • Obehörig åtkomst (Artikel 3)
  • Handlingar som främjar obehörig åtkomst (Artikel 5)
  • Obehörig erhållning eller lagring av någon annans identifieringskod (Artikel 4, 6)
  • Obehörig begäran om inmatning av någon annans identifieringskod (Artikel 7)

För mer information om lagen om förbud mot obehörig åtkomst och åtgärder vid skada orsakad av obehörig åtkomst, se följande artikel.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Vad är obehörig åtkomst?

Obehörig åtkomst kan delas in i “obehörig inloggning” och “säkerhetshålsattacker”.

Obehörig inloggning innebär att någon obehörigt matar in någon annans identifieringskod (ID och lösenord) och loggar in på till exempel ett SNS-konto eller en e-postadress.

En säkerhetshålsattack innebär att angriparen utnyttjar en säkerhetsbrist, även känd som ett “säkerhetshål”, i en dator ansluten till ett nätverk. Genom att utnyttja säkerhetshålet kan angriparen utföra operationer utan behörighet, stjäla data, ändra eller radera data utan redigeringsbehörighet, eller använda systemet för att tränga in i eller attackera andra system. Denna attack kan automatiseras, likt ett datorvirus eller en internetmask, vilket kan leda till att användaren drabbas av skada eller sprider infektionen till andra system utan att veta om det.

Om du utför obehörig åtkomst kan du straffas med upp till tre års fängelse eller en böter på upp till en miljon yen.

Vad är handlingar som främjar obehörig åtkomst?

Lagen om förbud mot obehörig åtkomst förbjuder inte bara obehörig åtkomst, utan också handlingar som främjar obehörig åtkomst. Handlingar som främjar obehörig åtkomst innebär att man gör det möjligt för en tredje part att logga in på någon annans konto utan dennes tillstånd genom att avslöja dennes ID och lösenord.

Om du bryter mot denna regel kan du straffas med upp till ett års fängelse eller en böter på upp till 500 000 yen.

Vad innebär det att obehörigt erhålla eller lagra någon annans identifieringskod?

Att obehörigt erhålla någon annans identifieringskod innebär att man erhåller någon annans ID och lösenord för att utföra obehörig åtkomst.

Att obehörigt lagra någon annans identifieringskod innebär att man lagrar någon annans ID och lösenord som har erhållits obehörigt för att utföra obehörig åtkomst.

Även om du inte utför obehörig åtkomst, är handlingar som leder till obehörig åtkomst förbjudna.

Om du utför någon av dessa handlingar kan du straffas med upp till ett års fängelse eller en böter på upp till 500 000 yen.

Vad innebär det att obehörigt begära inmatning av någon annans identifieringskod?

Att obehörigt begära inmatning av någon annans identifieringskod, dvs. ID och lösenord, innebär att man utför så kallad “phishing”. Phishing innebär att man skickar e-post som om man vore en e-handelssida eller en finansinstitut, lockar offret till en falsk sida som liknar den riktiga sidan, och får offret att mata in personlig information som ID, lösenord och kreditkortsinformation. Termen “phishing” är en sammansättning av de engelska orden “fishing” (att fiska) och “sophisticated” (sofistikerad).

Även om du inte får någon att mata in personlig information, betraktas själva upprättandet av en falsk sida som phishing och är föremål för reglering.

Om du utför phishing kan du straffas med upp till ett års fängelse eller en böter på upp till 500 000 yen.

Åtkomstadministratörens skyldigheter

Enligt lagen om förbud mot obehörig åtkomst är administratörer av servrar och liknande (åtkomstadministratörer) skyldiga att vidta försvarsåtgärder för att förhindra obehörig åtkomst (Artikel 8).

Administratörer är skyldiga att vidta åtgärder för att förhindra obehörig åtkomst, såsom att “korrekt hantera identifieringskoder”, “ständigt verifiera effektiviteten av åtkomstkontrollfunktioner” och “förbättra åtkomstkontrollfunktioner vid behov”. Dessa tre är dock skyldigheter att anstränga sig, så det finns inga straff för att bryta mot dessa skyldigheter.

Exempel på brott mot lagen om förbud mot obehörig åtkomst (Japanese Unauthorised Access Prohibition Law)

Antalet fall som faller under brott mot lagen om förbud mot obehörig åtkomst ökar inom cyberbrott. Detta kan tänkas bero på att inte bara datorer utan också smartphones har blivit allmänt tillgängliga, och att antalet pengatransaktioner på internet, såsom internetbank och smartphonebetalningar (t.ex. PayPay), har ökat.

I nyheterna rapporteras det dagligen om läckage av personlig information på grund av cyberattacker och obehörig inloggning på SNS-konton. Vissa fall medför stora skador. Vilka typer av incidenter räknas som brott mot lagen om förbud mot obehörig åtkomst?

Nedan presenterar vi några specifika fall.

Övertagande av spelkonton

En manlig företagsanställd (23) greps av Saitama prefekturpolis misstänkt för att ha tagit över någon annans smartphone-spelkonto, vilket är ett brott mot lagen om förbud mot obehörig åtkomst och förskingring av borttappade föremål.

Mannen misstänks ha tagit en smartphone som offret glömt, startat det installerade spelet och överfört datan till sin egen smartphone.

Obehörig inloggning på Facebook

En företagsanställd (29) greps av Tokyo Metropolitan Police Department Cyber Crime Control Division misstänkt för obehörig inloggning på Facebook-konton tillhörande kändisar och andra.

Misstänkt har loggat in obehörigt på Facebook och iCloud-konton tillhörande kändisar och allmänheten. Han gissade ID och lösenord baserat på information som födelsedatum och laddade ner bilder som var lagrade på sin egen dator.

Det sägs att det fanns cirka 257 000 privata bilder som bara kändisarna själva borde ha kunnat se på den misstänktes dator, och det verkar som om han också tittade på telefonböcker och annat utan tillstånd.

Obehörig åtkomst till auktionssidor

Kanagawa prefekturpolis Cyber Crime Control Division och Minami Station grep en pojke (19) misstänkt för brott mot lagen om förbud mot obehörig åtkomst och olämplig skapande och användning av privata elektroniska register.

Gripandet baserades på misstankar om att pojken obehörigt loggade in på en auktionssida med någon annans ID och lösenord från sin hemdator och ändrade e-postadresser och leveransadresser.

Pojken uppgav att “ID och lösenord var upplagda på en internetforum. Jag loggade in obehörigt mer än 50 gånger”, och det undersöks om pojken obehörigt skaffade datorutrustning och annat på auktionssidan.

Obehörig intrång i företagets server

En anställd vid Nagasaki prefekturkontor rapporterades till Nagasaki District Public Prosecutor’s Office misstänkt för brott mot lagen om förbud mot obehörig åtkomst för att ha obehörigt trängt in i prefekturkontorets server genom att obehörigt ange flera kollegors ID och lösenord.

Den anställde misstänks ha trängt in i servern med sina kollegors ID och lösenord och tittat på deras arbetsinnehåll och annat. Det sägs att det obehöriga intrånget av denna anställda uppgick till tiotusentals gånger, och att antalet nedladdade filer tros överstiga en miljon, men det har inte bekräftats att information har läckt ut.

Kreditkortsinformation läckte genom obehörig åtkomst

Det upptäcktes att en sportutrustningswebbplats hade utsatts för obehörig åtkomst, och det fanns en risk att kundernas kreditkortsinformation hade läckt ut.

Enligt webbplatsoperatören läckte kreditkortsinformationen för kunder som köpte produkter på webbplatsen, och det finns en möjlighet att en del av kortinformationen användes obehörigt. Webbplatsoperatören förklarade att orsaken till den obehöriga åtkomsten var att systemets sårbarheter utnyttjades och att betalningsappen ändrades.

Obehörig inloggning på smartphone-betalningssystem

I fråga om problem med obehörig åtkomst till smartphone-betalningar grep Fukuoka prefekturpolis två män misstänkta för brott mot lagen om förbud mot obehörig åtkomst och bedrägeri. De misstänks ha loggat in obehörigt på ett smartphone-betalningssystem med någon annans ID och lösenord och köpt cirka 190 artiklar (värda cirka 95 000 yen) som elektroniska cigarettpatroner på en närbutik.

Det fanns ursprungligen 5 000 yen insatta på offrets smartphone-betalning, men det verkar som om ytterligare 90 000 yen hade satts in från mannens kreditkort.

Detta smartphone-betalningssystem har haft många fall av obehörig åtkomst och obehörig användning, och antalet offer som identifierades fram till slutet av juli 2019 uppgick till cirka 800 personer, med en total skada på cirka 38,6 miljoner yen. Tjänsten avslutades sedan i september 2019.

Sammanfattning

Skador orsakade av obehörig åtkomst kan drabba alla individer och företag som använder internet. Dessutom kan dessa skador variera kraftigt, från obehörig inloggning på sociala medier, läckage av personlig information, till obehörig användning av mobilbetalningar och kreditkort, och i vissa fall kan skadorna vara mycket omfattande.

Om du har drabbats av skador på grund av överträdelser av den japanska lagen mot obehörig åtkomst (Unauthorized Access Prohibition Law), kan du lämna in en brottsanmälan eller begära skadestånd enligt civilrätten. Dock kräver båda dessa förfaranden avancerad expertkunskap, så det rekommenderas att du konsulterar en advokat som är kunnig inom området för obehörig åtkomst.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Tillbaka till toppen