不正アクセス禁止法ってそもそも何なの?
鏡里/CIO正式名称は「不正アクセス行為の禁止等に関する法律」だよ!
通称は「不正アクセス禁止法」って呼ばれていて、1999年に制定されて、2000年の2月から静かに施行されている、ちょっと古株の法律なの。
簡単に言うと、「他人のIDやパスワードを使って勝手にログインしたり、システムの隙をついて侵入したりするな! それやったら犯罪だぞ!」 って決まり。
目的はシンプル
- 不正アクセスを明確に禁止
- 罰則で脅す
- 被害者側が再発防止できるように支援
要するに、ネット上の「不法侵入」をリアル世界の泥棒と同じレベルで取り締まる法律なんだよ。 お前が「ちょっと覗くだけ~」と思ってても、法律は「泥棒と同じ扱いだ!」って容赦ないからな。
どんな行為がアウトになるの? 「知らなかった」じゃ済まない具体例
鏡里/CIO「個人情報」ってね、生きている誰かを特定できちゃう情報のことなの。
- 不正アクセス行為そのもの(第3条違反) 他人の識別符号(ID・パスワード)を入力してログインしたり、 セキュリティの穴(脆弱性)を突いて制限を回避してアクセスしたり。 → 例:友達のSNSアカウントのパスワード当ててログイン → 即アウト。 → 例:会社のサーバーの弱いところ突いて侵入 → 超アウト。
- 不正アクセスを助長する行為(2012年改正で追加) 他人のID・パスワードを不正に取得・保管・提供する行為。 フィッシングで騙し取ったり、ダークウェブで売ったりするのもここ。 → 例:「このパスワードリスト安く売るよ」 → 逮捕コース確定。
要するに、直接侵入しなくても、道具を用意したり売ったりするだけで犯罪になるんだ。 「俺は侵入してないし!」って言い訳は通用しない設計になってる。賢いだろ?(皮肉)
罰則がヤバい! 冗談抜きで人生終わるレベル
- 不正アクセス行為そのもの → 3年以下の懲役または100万円以下の罰金(第11条) 2012年の改正で罰則が強化されてるから、今もこのまま。
- 識別符号の不正取得・提供など → 1年以下の懲役または50万円以下の罰金(第12条)
鏡里/CIO最近は、これに加えて詐欺罪や電子計算機損壊等業務妨害罪までセットにされて、懲役8年なんてケースも普通にあるの。
「ちょっとイタズラしただけなのに…」なんて後悔しても、その時にはもうどうにもならないんだよね。
学生さんでも容赦なく逮捕されている例がたくさんあるから、あとで紹介するけど…覚悟しておいてね。
改正の歴史 – 時代に合わせて強化されてきた
- 1999年制定・2000年施行 基本形ができた。当時はパスワード窃盗がメインだった。
- 2012年(平成24年)改正 大きな強化ポイント。 ・識別符号の不正取得・提供を明確に禁止 ・罰則アップ(不正アクセス行為の懲役が1年から3年に) フィッシングやパスワードリスト売買が急増したから対応したんだな。
- その後 2023~2026年現在まで、大きな法改正はない。 でも検挙件数は増加傾向(2024年で563件、259人検挙)。 手口が巧妙化してるから、法律はそのままで警察の取り締まりが強化されてる感じ。
企業・個人はどう対策すればいいの? 実践編
鏡里/CIO法律では、アクセス管理者に「ちゃんと努力して対策してね」という努力義務が課されているの。 「努力義務なら罰則ないし〜」なんて油断している企業担当者さん、正直ちょっと甘いよ。
対策をサボって情報漏えいなんて起こしたら、たとえ法律上の罰則がなくても、社会的信用は一瞬で吹き飛ぶレベルよ!損害賠償の請求で会社が傾くことだって普通にあるんだから。
個人レベルの対策(お前が今すぐやれ)
- パスワードは複雑で使い回し厳禁
- 二段階認証・多要素認証をオンに
- 怪しいメールのリンクは絶対クリックしない
- OS・アプリは常に最新に
企業レベルの対策
- アクセスログをしっかり残す
- ファイアウォール・IDS/IPS導入
- 社員教育(退職者のアカウント即無効化!)
- 定期的な脆弱性診断
これやってれば、少なくとも「隙だらけで狙われた」って言い訳はなくなるぜ。
まとめ:ネットは遊び場じゃない、法律は本気だ
不正アクセス禁止法は、もう25年以上経ってるけど、今も現役バリバリ。 手口がどんどん巧妙になってるから、罰則も検挙も増えてる。 「ちょっとくらい…」って軽い気持ちで触ると、人生が一気に暗転する可能性大。
「ネットで悪さするより、素直に寝た方がマシだぞ」ってな!
コメント