MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

En advokat förklarar handlingar och exempel som förbjuds av den japanska 'Lagen om förbud mot obehörig åtkomst

IT

En advokat förklarar handlingar och exempel som förbjuds av den japanska 'Lagen om förbud mot obehörig åtkomst

Lagen mot obehörig åtkomst (officiellt namn “Lagen om förbud mot obehörig åtkomst och liknande”) trädde i kraft i februari 2000 (Heisei 12) och reviderades i maj 2012 (Heisei 24). Den är för närvarande i kraft. Det är en lag som syftar till att förhindra cyberbrott och upprätthålla ordningen i elektronisk kommunikation, och består av 14 artiklar.

“Lagen om förbud mot obehörig åtkomst och liknande” (Syfte)

Artikel 1 Denna lag syftar till att förbjuda obehörig åtkomst och att fastställa straff och stödåtgärder av prefekturernas säkerhetskommittéer för att förhindra återfall, för att förhindra brott relaterade till datorer som utförs via telekommunikationslinjer och upprätthålla ordningen i telekommunikation som realiseras genom åtkomstkontrollfunktioner, och därigenom bidra till en sund utveckling av ett avancerat informationssamhälle.

Vad förbjuder lagen mot obehörig åtkomst specifikt? Vilka är de faktiska exemplen, och vilka åtgärder bör vidtas i straff- och civilrättsliga termer? Vi kommer att förklara översikten över lagen mot obehörig åtkomst och åtgärder att vidta om du har blivit offer för skada.

Handlingar som förbjuds enligt lagen om förbud mot obehörig åtkomst

Handlingar som förbjuds och bestraffas enligt lagen om förbud mot obehörig åtkomst (japanska: 不正アクセス禁止法) kan i stort sett delas in i följande tre kategorier:

  • Förbud mot obehörig åtkomst (Artikel 3)
  • Förbud mot handlingar som främjar obehörig åtkomst (Artikel 5)
  • Förbud mot obehörig förvärv, lagring och begäran om inmatning av andras identifieringskoder (Artiklarna 4, 6, 7)

Här avses med identifieringskod en kod som är fastställd för varje åtkomstadministratör och som används av den person som har erhållit tillstånd från åtkomstadministratören att använda en specifik elektronisk dator för att skilja denna användare från andra användare (Artikel 2, stycke 2).

Ett typiskt exempel på en identifieringskod är ett lösenord som används i kombination med ett ID. Dessutom börjar mekanismer för att identifiera individer genom fingeravtryck eller iris i ögat att bli alltmer vanliga, och dessa räknas också som identifieringskoder. Dessutom, när en individ identifieras genom formen eller trycket av en signatur, blir den digitaliserade och kodade signaturen en identifieringskod.

Vad är obehörig åtkomst?

Specifikt definieras detta i paragraf 2, punkt 4, men obehörig åtkomst innebär att missbruka någon annans identifieringskod, vilket kallas “identitetskapning”, och att utnyttja brister i datorprogram, vilket kallas “säkerhetshålsattacker”. I den japanska lagen om förbud mot obehörig åtkomst (Unauthorized Access Prohibition Law) förbjuds dessa handlingar som innebär obehörig åtkomst till någon annans dator.

Att missbruka någon annans identifieringskod

Det som kallas “identitetskapning” innebär att man utnyttjar någon annans identifieringskod för att använda en dator som man egentligen inte har rätt att komma åt.

Med andra ord, när man använder ett datorsystem måste man ange en identifieringskod, som ett ID eller lösenord, på datorn. Detta innebär att man olovligen anger någon annans identifieringskod, som har rätt att använda systemet, utan personens tillstånd.

Det kan vara lite svårt att förstå, men “någon annans” i detta sammanhang syftar på ID och lösenord som någon annan redan har skapat (och använder). “Identitetskapning” innebär i korthet att “ta över” någon annans konto, till exempel på sociala medier som Twitter.

Eftersom det är ett krav att identifieringskoden har angetts utan personens tillstånd, skulle det inte strida mot lagen om förbud mot obehörig åtkomst om man till exempel ber en kollega som är på kontoret att kontrollera sin e-post medan man är på tjänsteresa, eftersom man har fått personens tillstånd.

Generellt sett innebär “identitetskapning” att man skapar ett nytt konto med någon annans namn eller bild och använder sociala medier som Twitter i den personens namn. Men det som förbjuds i lagen om förbud mot obehörig åtkomst är något annat. Vi förklarar mer detaljerat om den allmänna betydelsen av “identitetskapning” i artikeln nedan.

https://monolith.law/reputation/spoofing-dentityright[ja]

Att utnyttja brister i datorprogram

“Säkerhetshålsattacker” innebär att man attackerar säkerhetshålen (brister i säkerhetsåtgärder) i någon annans dator och gör den användbar. Man använder attackerande program och liknande för att ge attackerade information och instruktioner som inte är identifieringskoder, kringgår åtkomstkontrollfunktionen i någon annans dator och använder datorn utan tillstånd.

Åtkomstkontrollfunktionen som nämns här är en funktion som åtkomstadministratören har i en specifik elektronisk dator eller en elektronisk dator som är ansluten till en specifik elektronisk dator via en telekommunikationslinje, för att begränsa att någon annan än den legitima användaren kan använda den specifika elektroniska datorn (paragraf 2, punkt 3).

För att förklara det på ett enkelt sätt, det är ett system som kräver att den som försöker få åtkomst till ett datorsystem anger sitt ID och lösenord på nätverket, och endast tillåter användning om det korrekta ID:et och lösenordet har angetts.

Med andra ord, “säkerhetshålsattacker” innebär att man inaktiverar detta system och gör det möjligt att använda det aktuella datorsystemet utan att ange det korrekta ID:et och lösenordet.

De två typerna av obehörig åtkomst

Som vi har sett finns det två typer av obehörig åtkomst.

Det som bör noteras är att för att det ska räknas som obehörig åtkomst, oavsett vilken typ, måste det utföras via ett datornätverk. Därför, även om du olovligen anger ett lösenord etc. och använder en dator som inte är ansluten till ett nätverk, dvs. en så kallad standalone-dator, räknas det inte som obehörig åtkomst.

Men, vad gäller datornätverk, gäller det inte bara öppna nätverk som internet, utan även stängda nätverk som företags-LAN.

Det finns heller ingen begränsning för vad som kan göras genom obehörig åtkomst, till exempel obehörig beställning, datainspektion, filöverföring, och även att ändra en hemsida skulle strida mot lagen om förbud mot obehörig åtkomst.

Om du utför någon av dessa två typer av obehörig åtkomst kan du riskera att få “upp till tre års fängelse eller en böter på upp till 1 miljon yen” (paragraf 11).

Vad innebär handlingar som främjar obehörig åtkomst?

Handlingar som främjar obehörig åtkomst, vilka är förbjudna enligt den japanska lagen om förbud mot obehörig åtkomst (Japanska obehörig åtkomstförbudslagen), innebär att tillhandahålla någon annans ID eller lösenord till en tredje part utan personens tillstånd. Oavsett metod, via telefon, e-post eller hemsida, om du informerar någon annan genom att säga “ID för XX är YY, lösenordet är ZZ”, och gör det möjligt för andra att obehörigt få tillgång till någons data, kommer det att betraktas som en handling som främjar obehörig åtkomst.

Om du utför handlingar som främjar obehörig åtkomst, kan du riskera att straffas med fängelse i upp till ett år eller böter på upp till 500 000 yen (enligt artikel 12, punkt 2).

Observera att även om du tillhandahåller ett lösenord utan att veta att det kommer att användas för obehörig åtkomst, kan du riskera att få böter på upp till 300 000 yen (enligt artikel 13).

Vad innebär det att olagligt erhålla, lagra eller begära identifieringskoder från andra?

Enligt den japanska lagen om förbud mot obehörig åtkomst (Förbud mot obehörig åtkomst-lagen), är det förbjudet att olagligt erhålla, lagra eller begära identifieringskoder (ID, lösenord) från andra.

  • Artikel 4: Förbud mot olagligt erhållande av andras identifieringskoder
  • Artikel 6: Förbud mot olaglig lagring av andras identifieringskoder
  • Artikel 7: Förbud mot olaglig begäran om inmatning av andras identifieringskoder

Ett typiskt exempel på dessa förbjudna handlingar är “begäran om inmatning”, vilket är vad som kallas phishing. Till exempel, genom att utge sig för att vara en finansinstitut, lockar man offret till en falsk hemsida som ser ut precis som den riktiga, och får offret att mata in sitt lösenord och ID på den falska hemsidan.

Identifieringskoder som erhållits genom phishing används i auktionsbedrägerier, och det finns många fall där insättningar olagligt överförs till andra konton.

Om du utför dessa handlingar kan du straffas med fängelse i upp till ett år eller böter på upp till 500 000 yen (Artikel 12, punkt 4).

Vilka lagar reglerar cyberbrott förutom obehörig åtkomst?

Såsom nämnts, är den japanska lagen mot obehörig åtkomst (Fushō na Akusesu Kinshi-hō) en lag som syftar till att hantera vissa typer av så kallade cyberbrott. När det gäller cyberbrott i sin helhet, kan andra lagar som den japanska lagen om störning av affärsverksamhet genom förstörelse av elektroniska datorer (Denshi Keisanki Sonshō-tō Gyōmu Bōgai-zai), lagen om bedräglig affärsstörning (Gikei Gyōmu Bōgai-zai) och lagen om ärekränkning (Meiyo Kison-zai) också bli relevanta i vissa fall. En mer detaljerad förklaring av det övergripande bilden av cyberbrott finns i följande artikel.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Åtkomstadministratörens skyldigheter

Vi kommer att förklara de skyldigheter som definieras av den japanska lagen mot obehörig åtkomst. En åtkomstadministratör är en person som hanterar driften av en specifik dator som är ansluten till en telekommunikationslinje (Artikel 2, paragraf 1).

Här innebär hantering att bestämma vem som ska få använda den specifika datorn via nätverket och vilket omfång denna användning ska ha. Den som har befogenhet att bestämma dessa användare och användningsområden är åtkomstadministratören enligt den japanska lagen mot obehörig åtkomst.

Till exempel, när ett företag driver ett datorsystem, utser de en systemansvarig från sina anställda för att hantera det. Men varje systemansvarig hanterar endast enligt företagets vilja. Därför är åtkomstadministratören i detta fall inte systemansvarig, utan företaget som driver datorsystemet.

Den japanska lagen mot obehörig åtkomst definierar inte bara obehöriga åtkomsthandlingar och straff, utan lägger också skyldigheter på administratörer att förhindra obehörig åtkomst i hanteringen av servrar och liknande.

Försvarsåtgärder av åtkomstadministratören

Artikel 8: En åtkomstadministratör som har lagt till en åtkomstkontrollfunktion till en specifik dator ska sträva efter att korrekt hantera identifieringskoder eller koder som används för att verifiera dem genom den åtkomstkontrollfunktionen, ständigt verifiera effektiviteten av den åtkomstkontrollfunktionen, och när det bedöms nödvändigt, snabbt sträva efter att förbättra funktionen och vidta andra nödvändiga åtgärder för att skydda den specifika datorn från obehörig åtkomst.

“Korrekt hantering av identifieringskoder”, “ständig verifiering av effektiviteten av åtkomstkontrollfunktionen” och “förbättring av åtkomstkontrollfunktionen vid behov” är obligatoriska, men eftersom dessa är skyldigheter att anstränga sig, finns det inga straff för att försumma dessa åtgärder.

Men om en administratör ser tecken på att ID eller lösenord har läckt ut, måste de snabbt utföra åtkomstkontrollåtgärder som att radera konton eller ändra lösenord.

Åtgärder vid obehörig åtkomst

Om du använder e-post eller sociala medier kan du bli utsatt för obehörig åtkomst från andra. Vad kan du göra i sådana fall?

Anmäla till polisen

Först och främst kan du anmäla den person som gjort den obehöriga åtkomsten till polisen. Obehörig åtkomst är ett brott och den som gör det kan straffas. Som vi förklarade tidigare kan personen i fråga få upp till tre års fängelse eller böter på upp till 1 miljon yen (ca 80 000 SEK), och om det finns någon som har uppmuntrat till detta kan de få upp till ett års fängelse eller böter på upp till 500 000 yen (ca 40 000 SEK).

Det bör noteras att brott mot lagen om förbud mot obehörig åtkomst är ett offentligt åtal, vilket innebär att polisen kan inleda en utredning och gripa gärningsmannen även om det inte finns någon anmälan. Dessutom kan någon som känner till fallet anmäla det till polisen, även om de inte är den person som utsatts för den obehöriga åtkomsten.

Vi nämnde detta i en tidigare artikel om störande av affärsverksamhet, men ett brott som kräver en anmälan från offret för att åtal ska kunna väckas kallas “anmälningsbrott”. Det betyder dock inte att du inte kan anmäla om det inte är ett anmälningsbrott. Även i fall av icke-anmälningsbrott kan offret anmäla gärningsmannen.

Även om det är ett icke-anmälningsbrott kan gärningsmannens situation förvärras om offret gör en polisanmälan, vilket kan leda till hårdare straff. Om du märker att du har blivit utsatt för obehörig åtkomst bör du rådfråga en advokat och lämna in en anmälan eller klagomål till polisen. När polisen har accepterat din anmälan kommer de att snabbt gå vidare med utredningen och gripa eller åtala gärningsmannen.

Kräva skadestånd

Om du har lidit skada på grund av obehörig åtkomst kan du kräva skadestånd från gärningsmannen enligt artikel 709 i den japanska civilrätten (Japanska Civilrätten).

Civilrätten Artikel 709

Den som avsiktligt eller genom vårdslöshet kränker andras rättigheter eller intressen som skyddas enligt lag, är skyldig att ersätta den skada som uppstått till följd av detta.

Om gärningsmannen har gjort en obehörig åtkomst och spridit personlig information som erhållits därigenom, stulit föremål från ett socialt spel, fått tillgång till data som kreditkort eller bankkonton och orsakat ekonomisk skada, bör du kräva skadestånd, inklusive kompensation för lidande. Naturligtvis, om du faktiskt har lidit ekonomisk skada på grund av att någon har fått tillgång till data som kreditkort eller bankkonton, kan du också kräva ersättning för detta.

Men för att kunna kräva skadestånd från gärningsmannen måste du identifiera personen och samla bevis på att de verkligen har gjort den obehöriga åtkomsten, vilket kräver avancerad expertkunskap. Om du har blivit utsatt för skada på grund av obehörig åtkomst bör du rådfråga en advokat med omfattande erfarenhet av internetrelaterade problem och be dem att hantera ärendet.

Sammanfattning

Lagen mot obehörig åtkomst (japanska: 不正アクセス禁止法) kommer att ha en allt viktigare betydelse i det moderna samhället där IT-utvecklingen fortskrider. Dock kan det ofta vara tekniskt svårt för offren själva att identifiera gärningsmannen, även om de faktiskt har drabbats av obehörig åtkomst.

Överträdelser av lagen mot obehörig åtkomst är föremål för straffrättsliga sanktioner, och det kan hända att man behöver anmäla brottet till polisen. Men eftersom detta är en ny typ av brott, är det inte alltid polisen omedelbart förstår situationen. Därför är det nödvändigt att noggrant förklara både från en juridisk och teknisk synvinkel för att hjälpa polisen att förstå när man lämnar in en anmälan. I detta avseende är det mycket specialiserat att hantera lagen mot obehörig åtkomst, och det är viktigt att rådfråga en advokat som är kunnig om IT:s tekniska aspekter.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Tillbaka till toppen