MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

En advokat förklarar straff och preskriptionstider enligt den japanska 'Lagen om förbud mot obehörig åtkomst

IT

En advokat förklarar straff och preskriptionstider enligt den japanska 'Lagen om förbud mot obehörig åtkomst

Med spridningen av datorer och smartphones och en ökande beroende av internet, finns det en ökande trend av cyberbrott som obehörig åtkomst. Straff och preskriptionstider för obehörig åtkomst regleras av lagar som den japanska lagen mot obehörig åtkomst (Lagen om förbud mot obehörig åtkomst) och den japanska straffprocesslagen.

Vilka straff kan utdömas om man bryter mot den japanska lagen mot obehörig åtkomst? Finns det en preskriptionstid för brott som faller under överträdelser av den japanska lagen mot obehörig åtkomst?

Vad är den japanska lagen mot obehörig åtkomst?

Den japanska lagen mot obehörig åtkomst är en lag som har införts för att förebygga cyberbrott och upprätthålla ordningen på internet genom åtkomstkontrollfunktioner, och bidra till en sund utveckling av ett avancerat informationssamhälle. (Artikel 1)

Enligt den japanska lagen mot obehörig åtkomst är följande handlingar förbjudna:

  • Obehörig åtkomst (Artikel 3)
  • Handlingar som främjar obehörig åtkomst (Artikel 5)
  • Obehörigt erhållande och lagring av någon annans identifieringskod (Artiklarna 4 och 6)
  • Obehörigt krav på inmatning av någon annans identifieringskod (Artikel 7)

Obehörig åtkomst enligt artikel 3 innebär “olämplig inloggning” och “säkerhetshålsattacker”. Olämplig inloggning innebär att man obehörigt matar in någon annans ID och lösenord och loggar in på någon annans SNS-konto. En säkerhetshålsattack innebär att man attackerar säkerhetsbrister i en dator som är ansluten till ett nätverk.

Handlingar som främjar obehörig åtkomst innebär att man tillhandahåller någon annans ID och lösenord till en tredje part utan personens samtycke, vilket gör det möjligt för obehörig åtkomst till det kontot.

Obehörigt erhållande av någon annans identifieringskod innebär att man erhåller någon annans ID och lösenord för att utföra obehörig åtkomst. Dessutom innebär obehörig lagring av någon annans identifieringskod att man lagrar någon annans ID och lösenord som har erhållits obehörigt för att utföra obehörig åtkomst.

Obehörigt krav på inmatning av någon annans identifieringskod innebär så kallad phishing. Phishing innebär att man lurar någon att mata in personlig information som ID, lösenord och kreditkortsnummer på en falsk webbplats som efterliknar en verklig finansiell institution.

För mer detaljerad information och exempel på den japanska lagen mot obehörig åtkomst, se artikeln nedan.

https://monolith.law/reputation/access-law-password[ja]

Straff för brott mot lagen om förbud mot obehörig åtkomst (Japanska lagen om förbud mot obehörig åtkomst)

Om du utför en obehörig åtkomsthandling (Artikel 3), kan du dömas till fängelse i högst tre år eller böter på högst 1 miljon yen (Artikel 11).

Om du utför handlingar som främjar obehörig åtkomst (Artikel 5), obehörigt erhåller eller lagrar någon annans identifieringskod (Artiklarna 4 och 6), eller obehörigt begär inmatning av någon annans identifieringskod (Artikel 7), kan du dömas till fängelse i högst ett år eller böter på högst 500 000 yen (Artikel 12).

Men, om du tillhandahåller någon annans ID eller lösenord utan att veta att det kommer att användas för obehörig åtkomst, kan du dömas till böter på högst 300 000 yen (Artikel 13).

Straff för brott mot lagen om förbud mot obehörig åtkomst gäller även om du inte har begått något annat brott eller inte hade för avsikt att göra det. Med andra ord, själva handlingen av obehörig åtkomst är föremål för straff. Till exempel, om det är en “obehörig inloggning” i samband med obehörig åtkomst, kommer du att straffas bara för att ha matat in någon annans ID eller lösenord. Du kommer att straffas även om du inte missbrukade eller läckte någon annans personliga information efter att ha loggat in obehörigt.

Exempel på straff för brott mot lagen om förbud mot obehörig åtkomst (Japanska lagen om förbud mot obehörig åtkomst)

Så vilka typer av fall har lett till fällande domar och straff för brott mot lagen om förbud mot obehörig åtkomst?

Här följer några verkliga exempel.

Personuppgiftsläckage genom cyberattacker

En tidigare universitetsforskare åtalades för brott mot lagen om förbud mot obehörig åtkomst efter att ha obehörigt erhållit personuppgifter från en server som tillhörde Computer Software Copyright Association (ACCS). Vid Tokyo District Court dömdes forskaren till 8 månaders fängelse, med en prövotid på 3 år (åklagaren yrkade på 8 månaders fängelse).

Den tidigare forskaren erkände att han hade ändrat HTML för CGI-formuläröverföring och fått tillgång till personuppgiftsfiler på servern. Frågan var om detta beteende utgjorde obehörig åtkomst. Domaren fastslog att “det är normalt att få tillgång till filen i fråga genom att ange ID och lösenord från en FTP-server, och att få tillgång via CGI utgör obehörig åtkomst”.

Den tidigare forskaren hade också presenterat attackeringsmetoder mot webbplatser vid en säkerhetshändelse. Han hävdade att han presenterade metoder för obehörig åtkomst “för att uppmuntra serveradministratörer att vidta säkerhetsåtgärder”, men domaren sade att “även om det var för det ändamålet, kan det inte rättfärdigas att presentera det utan att ge administratörerna en chans att korrigera det. Det är uppenbart att det hindrar utvecklingen av ett avancerat informationssamhälle, eftersom det har lett till imitation brott.”

Domaren motiverade prövotiden med att “det finns många program med samma säkerhetshål, och serveradministratörerna bör vidta lämpliga åtgärder. Den åtalade har redan fått sociala sanktioner och arbetar för att förhindra ytterligare spridning av skadan genom att kontrollera om personuppgifter har läckt ut.”

Den tidigare forskaren överklagade den fällande domen, men drog tillbaka överklagandet, vilket gjorde domen slutgiltig.

Obehörig åtkomst till universitet

En anställd som obehörigt loggade in genom att ändra lösenordet till nätverket vid det universitet där han studerade, åtalades för brott mot lagen om förbud mot obehörig åtkomst och andra brott. Domstolen dömde honom till 1,5 års fängelse, med en prövotid på 3 år (åklagaren yrkade på 1,5 års fängelse).

Domaren kritiserade honom för att “ha skickat e-post utklädd till andra studenter, ändrat kursregistreringar och orsakat faktiska skador och besvär”. Å andra sidan, eftersom han hade bett om ursäkt till universitetet och visat en ångerfull attityd, beviljades han prövotid.

Obehörig åtkomst till kändisars e-post och sociala medier

En man som obehörigt hade fått tillgång till flera kvinnors e-post och sociala medier och erhållit personuppgifter, åtalades för brott mot lagen om förbud mot obehörig åtkomst och andra brott. Domstolen dömde honom till 2,5 års fängelse, med en prövotid på 4 år (åklagaren yrkade på 2,5 års fängelse).

Domaren påpekade att “det finns absolut inget att ta hänsyn till i motivet och omständigheterna för att ha gissat lösenord och obehörigt fått tillgång till kvinnors personuppgifter”. Å andra sidan förklarade domaren att prövotiden beviljades eftersom “han inte har några tidigare brott och har fått sociala sanktioner, inklusive avsked”.

Läckage av kundinformation

En tidigare anställd på ett värdepappersföretags systemavdelning åtalades för brott mot lagen om förbud mot obehörig åtkomst och stöld efter att ha obehörigt erhållit information om cirka 1,48 miljoner kunder. Han dömdes till 2 års fängelse.

Enligt domen hade den tidigare anställde obehörigt fått tillgång till servern där kundinformationen lagrades genom att ange en annan anställds ID och lösenord, erhållit kundinformation och stulit tre CD-R-skivor med kundinformation och företagsöversiktsinformation.

Domaren dömde honom hårt för att ha stulit och läckt informationen i syfte att sälja den. Om den läckta kundinformationen påpekade domaren att “det är svårt att omvandla den till ett belopp eftersom den innehåller höggradig privat information som arbetsplats och inkomst, och det är inte möjligt att värdera den som värdet av en CD-R”.

Fallet där e-post skickades obehörigt genom att missbruka ID och lösenord

En man som obehörigt använde sin tidigare partners ID och lösenord för att skicka e-post, åtalades för brott mot lagen om förbud mot obehörig åtkomst och förtal. Domstolen dömde honom till 2 års fängelse, med en prövotid på 3 år (åklagaren yrkade på 2 års fängelse).

Enligt domen hade mannen obehörigt fått tillgång till servern genom att använda sin tidigare partners ID och lösenord, skickat e-post till kvinnans bekanta som om han var i ett romantiskt förhållande med henne och förtalat kvinnan.

Det första fallet av phishing som åtalades i Japan

En tidigare anställd som startade en phishing-webbplats och stal användares personuppgifter, åtalades för brott mot lagen om förbud mot obehörig åtkomst. Han dömdes till 1 år och 10 månaders fängelse, med en prövotid på 4 år (åklagaren yrkade på 2 års fängelse).

Den åtalade åtalades för brott mot upphovsrättslagen för att ha kränkt upphovsrätten till den ursprungliga webbplatsen och för brott mot lagen om förbud mot obehörig åtkomst för att ha missbrukat personuppgifter från användare som hade fått tillgång till den falska webbplatsen och obehörigt fått tillgång till den ursprungliga webbplatsen.

Domstolen påpekade att “ansvaret för att ha kränkt privatlivet är tungt”, men beviljade prövotid eftersom “han har nått en förlikning med offren och visar ånger” och “han har inte använt den erhållna informationen för att begå andra brott”.

Förfallotid för lagen mot obehörig åtkomst

Överträdelser av lagen mot obehörig åtkomst klassificeras som “brott som kan resultera i fängelse i mindre än fem år eller böter”, vilket innebär att preskriptionstiden för åtal är fastställd till tre år (enligt paragraf 250.2.6 i den japanska straffprocesslagen). Preskriptionstiden för åtal räknas från det ögonblick då den kriminella handlingen upphör och anger den period under vilken åtal kan väckas. Om tre år passerar, kommer det inte längre att vara möjligt för åklagaren att väcka åtal, så det är viktigt att vara uppmärksam på detta.

Sammanfattning

Brott på grund av obehörig åtkomst har ökat de senaste åren, och alla företag och individer som använder internet kan potentiellt drabbas. Dessutom kan skadorna medföra betydande förluster.

Om du har lidit skada på grund av ett brott som strider mot den japanska lagen om förbud mot obehörig åtkomst, kan du lämna in en brottsanmälan, men preskriptionstiden är fastställd till tre år. Därför, om du upptäcker att du har drabbats av obehörig åtkomst, bör du så snart som möjligt rådfråga en advokat som är kunnig om den japanska lagen om förbud mot obehörig åtkomst.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Tillbaka till toppen