🚨 ITパスポート | テクノロジ系

不正アクセス禁止法とは?

他人のIDとパスワードを使って勝手にシステムに入ること、セキュリティの穴を突いて侵入することを禁止・処罰する法律。

🎬 こんなシーンを想像
漏洩したパスワードリストを使って、次々と他人のSNSアカウントへのログインを試みた。試しただけで、実際には何も取っていない。でも逮捕された。
…「入っただけ」でアウト!それが不正アクセス禁止法。
🚫 法律が禁止している3つの行為 🔓 不正アクセス 他人のID・PW等を 使って無断侵入 または脆弱性を 突いて侵入 3年以下の懲役等 🔑 識別符号取得 他人のID・PW等を 不正に取得・保管 する行為(まだ 使っていなくてもNG) 1年以下の懲役等 🎣 フィッシング 偽サイト等でID・ PWを入力させて だまし取る行為 (フィッシング禁止 規定) 1年以下の懲役等

「実際に情報を盗んだか」ではなく、不正にアクセスした事実・不正に取得した事実だけで違反になる。被害発生前から犯罪となる点が重要。

🗺️ 不正アクセスを受けたら?
① 都道府県警察に届け出る(努力義務)
被害に遭った組織・個人は都道府県警察本部に届け出ることができる。義務ではないが、再発防止・捜査のために推奨される。
② 都道府県警察が国家公安委員会・経産省・総務省へ通知
警察から関係省庁に情報が共有され、実態調査や再発防止策の検討に活用される。
③ アクセス管理者による防止措置
システム管理者(アクセス管理者)はセキュリティ対策を講じる義務がある。パスワード管理・脆弱性対応が求められる。
⚠️ ひっかけ注意ポイント
届け出先は「警察」(総務省・経産省ではない)
不正アクセスの被害届は都道府県警察へ。経産省や総務省は警察から通知を受ける側。試験で「どこに届け出るか」が問われやすい。
個人情報保護法・サイバーセキュリティ基本法との違い
個人情報保護法=個人情報の適切な取扱いを定める法律。サイバーセキュリティ基本法=国全体のセキュリティ戦略の基本方針。不正アクセス禁止法=「侵入行為そのもの」を禁止・罰則
「被害が出ていなくても」違反
侵入しただけ、ID・PWを取得しただけでも法律違反。「何もしなかった」は言い訳にならない。
対象は「電気通信回線を通じた不正ログイン」
ネットワーク経由の不正侵入が対象。物理的な立入は別の法律(不法侵入など)が適用される。
🧠 覚え方(無理やりゴロ)
「不正アクセス=カギを盗む・使う・偽造する、全部アウト」
盗む(フィッシング)+保管する(識別符号取得)+使う(不正ログイン)の3つが禁止

届け出先ゴロ:「不正入られたら 警察へ(けいさつへ)」
「けい(警)さつ(察)」→ 都道府県警察本部 / 総務省・経産省ではない!
ITパスポート 詳細解説 / itp-unauthorized-access-law