企業情報がますます重要になる中、企業としては、自社の従業員等が他社に不正アクセスしないように注意する必要があります。
一方で、企業自身も、自社の情報が不正アクセスをされないようにする必要があります。
不正アクセスに対する十分な対策をせず、顧客の秘密情報などが漏れた場合、企業が責任を負わなければならない可能性があります。
このページの目次
不正アクセスとは
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は、不正アクセス行為を禁止しています(同法第1条)。
この法律において「不正アクセス」とは、次のいずれかに該当する行為と定められています(同法第2条第4項)。
①アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
②アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
③電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
典型的なのがIDとパスワードを入力してアクセスできるところに、許可なく他人のIDとパスワードを入力してアクセスする場合です。
なお、パスワードは「識別符号」(同法第2条第2項)のうちの「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」(同項第1号)に当たりますが、パスワードだけでは意味がないので、IDが「その他の符号」として、IDとパスワードで「次のいずれかに該当する符号とその他の符号を組み合わせたもの」として「識別符号」に当たります。
何人も、不正アクセス行為をしてはなりません(不正アクセス禁止法第3条)。
これに違反すれば、3年以下の懲役又は100万円以下の罰金に処されます(同法第11条)。 不正アクセス行為の用に供する目的で他人の識別符号を取得すること(同法第4条)や、業務その他正当な理由による場合でなく他人の識別符号をアクセス管理者や利用権者以外の者に提供すること(同法第5条)、不正アクセス行為の用に供する目的で不正取得された他人の識別符号を保管すること(同法第6条)、アクセス管理者になりすましたりアクセス管理者と誤認させて識別符号の入力を要求すること(同法第7条)も、禁止されています。
これらの違反行為をすれば、1年以下の懲役又は50万円以下の罰金に処されます(同法第12条第1号乃至第4号)。
また、不正アクセスを行い相手方に損害を発生させれば行為者自身が相手方に対し損害を賠償する責任を負います(民法第709条)。また、自社の従業員が自社の事業の執行に関して行えば、企業自身もこれにより発生した損害を賠償しなければなりません(民法第715条第1項)。
不正アクセスの防止のために
自社が不正アクセスを受けた場合、自社が被害者となります。一方で、企業が不正アクセスの防止のために必要な措置をとっておらず、これにより顧客の秘密情報が漏洩するなどの被害が発生した場合、企業自身の社会的信用を失い、また企業が顧客に生じた損害を賠償しなければならない事態になりえます。
企業自身も不必要なサービスを排除したり、アカウントを厳重に管理し、ファイアウオールなどの侵入防止体制を導入するなど、不正アクセスを防止する手段を講じる必要があります。
参考 総務省:不正アクセスによる被害と対策
まとめ
このように、自社の従業員が不正アクセスをしないようにするとともに、自社も不正アクセスを受けないようにする必要があります。 不正アクセスでお悩みの方は、弁護士法人あいち刑事事件総合法律事務所へご相談ください。