どんな行為が不正アクセス禁止法に触れる？【Ｐマーク取得の基礎知識】

法律についての知識があいまいだったせいで「知らず知らずのうちに犯罪行為を行っていた…」となる場合もあるものです。

これは不正アクセス禁止法についても言えることで、内容を十分に理解していなかったことが原因で知らぬ間に不正アクセス行為を行っていたというケースは残念ながら珍しくありません。

そこで今回は不正アクセス禁止法について、特にこの法律がどのような行為を禁止しているのかという点について理解を深めたいと思います。

不正なアクセスをすること

不正アクセス禁止法で第一に禁止されているのは“不正アクセス行為そのもの”です。

パスワードを持っている人しか入れないシステムに他人が勝手に入ることが不正アクセスにほかなりません。

「不正アクセス」とは具体的に次の2種類の行為を指します。

一つは他人のパスワードを悪用してシステムに入ることです。

情報を盗んだり解析を行ってパスワードを破ったりなどしてパスワードを取得し、その情報を使って許可されていないシステムに入って使用する行為のことです。

もう一つはシステム自体に不正な指令を与えてパスワードの入力を求めるしくみ自体を解除し、そこを通り抜けてシステムに入ることです。

いずれの場合も不正アクセスには変わりありません。

プライバシーマーク（Pマーク）を持っている会社はこのような不正アクセスの被害や加害に関与することのないよう細心の注意を払う必要があります。

他人のパスワードを不正に取得すること

不正アクセスを行う目的で他人のパスワードを取得することも不正アクセス禁止法違反です。

これはあくまで“取得する”自発的な行為が禁止されているわけですから、他人から勝手にパスワード情報がメールで送り付けられてきたなどの場合は禁止行為に当たりません。

不正アクセスを助長すること

不正アクセスを助長する行為とは他人のパスワードを他の人に教えたりすることなどを指します。

ちなみに平成24年改正前不正アクセス禁止法では「これはだれだれが○○のサイトで使用しているパスワードですよ」とシステムを特定したうえでパスワードを漏らさない限り不正アクセスの助長には該当しませんでした。

しかし改正後はシステムを特定しなくてもパスワードを他人に不正に教えるだけで不正アクセスの助長に該当するようになりました。

これは一人が同じパスワードを多数のサイトで使い回している事例が多く見られるという近年の実情を考慮した改正です。

もっともプライバシーマーク（Pマーク）取得会社はこの手の不正アクセスの被害に遭うことのないよう業務で使用するシステムやサイトのパスワードの使い回しを避けるなどの管理策を設けなければならないでしょう。

他人のパスワードを不正に保管すること

他人のパスワードを不正に持っておくことも不正アクセス行為の一部と見なされます。

パスワードを入力するよう不正に他人に要求すること

パスワードの不正な要求とはいわゆるフィッシング行為のことです。あるサイトに見せかけた偽のサイトを作り、それと知らずにサイトを訪れたユーザーにIDとパスワードを入力させたりする手口のことです。こういう行為も不正アクセス禁止法に触れるということをプライバシーマーク（Pマーク）取得会社は知っておく必要があるでしょう。

まとめ

以上は不正アクセス禁止法の3条から7条に書かれている5つの禁止事項を簡潔にまとめたものです。

厳密には定義が異なる部分もあることもご理解いただけたらと思います。

プライバシーマーク（Pマーク）取得会社は個人情報保護に関係する法律の改正や更新などの情報も随時取り入れるようにし、JIS規格だけでなく法令にも則ったプライバシーマーク（Pマーク）の運用を行うようにしましょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】