「退職した会社のメール、つい見てしまったけど大丈夫?」
「ニュースでよく聞く『不正アクセス』って、結局どんな法律で罰せられるの?」
こんな疑問や不安を感じていませんか?
デジタル社会でビジネスや個人の情報を守る上で、不正アクセス禁止法の知識はもはや必須です。この法律は、単にハッカーを取り締まるだけでなく、私たちの身近な行為が意図せず違反となってしまう可能性もはらんでいます。
この記事では、不正アクセス禁止法の専門知識がない方でも理解できるよう、以下の点をわかりやすく解説します。
- 法律の目的と対象となる「不正アクセス行為」とは何か
- 具体的に禁止されている5つの行為
- 気になる罰則(懲役・罰金)と時効
- 過去の有名事例から最近の動向まで
- 企業と個人が今すぐやるべき対策
- 被害に遭った際の正しい対処法
法律の条文から最新のセキュリティ対策まで、IT・金融分野の専門家が網羅的に情報をまとめました。自分や会社をリスクから守るための第一歩として、ぜひ最後までお読みください。
目次
MCB FinTechカタログは、お金領域(金融・決済・会計・FinTech等)の法人向けサービスに特化した資料請求サイトです。該当するサービスを提供されている企業様は、掲載料無料でサービス説明資料をご掲載いただけます。
サービス掲載を相談する不正アクセス禁止法とは?3つのポイント
不正アクセス禁止法は、通称であり、正式名称は「不正アクセス行為の禁止等に関する法律」です。この法律は2000年2月に施行され、インターネット社会の秩序を守るための重要なルールとして機能しています。
まずは、この法律の根幹をなす3つの基本ポイントを抑えましょう。
この法律が作られた目的は「安全なインターネット社会の実現」
不正アクセス禁止法が作られた最大の目的は、高度情報通信社会の健全な発展です。簡単に言えば、誰もが安心してインターネットを使える社会を作ることです。
1990年代後半からインターネットが急速に普及するにつれて、他人のコンピュータに不正に侵入したり、データを盗んだりするサイバー犯罪が社会問題となりました。このような行為を放置すれば、ネット通販、オンラインバンキング、SNSといった便利なサービスが成り立たなくなってしまいます。
そこで、不正アクセス行為そのものや、それを手助けする行為を法律で明確に禁止し、罰則を設けることで、サイバー犯罪を抑止し、安全なネットワーク利用環境を守るためにこの法律が制定されました。
法律が守る「特定電子計算機」と「特定利用」とは?
法律の条文を読むと、「特定電子計算機」や「特定利用」といった難しい言葉が出てきます。ここでは、かみ砕いて説明します。
- 特定電子計算機
- 「アクセスが制限されているコンピュータ」のことです。具体的には、IDやパスワードなどを入力しないと利用できないように保護されているサーバーや個人のパソコン、スマートフォンなどが該当します。
- 特定利用
- そのコンピュータで、IDとパスワードによって利用が制限されている機能のことです。例えば、会員専用ページへのログイン、メールの送受信、ネットバンキングでの取引などがこれにあたります。
つまり、不正アクセス禁止法は「IDやパスワードなどで守られているコンピュータやサービス」を保護対象としているのです。
そもそも「不正アクセス行為」とは?(第2条4項)
では、法律で定義されている「不正アクセス行為」とは具体的にどのような行為を指すのでしょうか。法律では、大きく分けて2つのタイプが定義されています。
- なりすまし型(識別符号窃用型): 他人のIDやパスワードを無断で使い、その人になりすましてコンピュータやサービスを利用する行為です。これが最も典型的な不正アクセスです。
- セキュリティホール攻撃型: IDやパスワードの入力を使わずに、ソフトウェアの弱点(脆弱性やセキュリティホール)を突いてコンピュータに侵入する行為です。
これらの行為は、コンピュータやネットワークの安全性を根底から揺るがすため、厳しく禁止されています。
【図解】法律で禁止されている5つの行為と罰則
不正アクセス禁止法では、不正アクセス行為そのものだけでなく、それに至る準備段階や手助けする行為も禁止しています。ここでは、禁止されている5つの主要な行為を、具体的な例と罰則とともに解説します。
① 不正アクセス行為そのもの(第3条)
これは法律の中核となる禁止行為です。
- どんな行為?
- なりすまし: 他人のIDとパスワードを勝手に使って、企業のサーバーや個人のSNS、オンラインバンキングなどにログインする行為。
- セキュリティホールへの攻撃: Webサイトやソフトウェアの脆弱性を悪用して、本来アクセスできないはずのシステム内部に侵入する行為。
- 罰則:3年以下の懲役または100万円以下の罰金
② 不正アクセスを助長する行為(第5条)
不正アクセスを間接的に手助けする行為も罰せられます。
- どんな行為?
- 他人のIDとパスワードを、正当な理由なく第三者に教える行為。例えば、「A社のシステムは、このIDとパスワードで入れるよ」と他人に教えることが該当します。
- 教える方法は、口頭、メール、ネット掲示板への書き込みなど、手段は問いません。
- 罰則:1年以下の懲役または50万円以下の罰金
- 注意: 相手が不正アクセスに使うと知っていた場合は上記の罰則ですが、知らなかった場合でも、業務上の正当な理由なく提供すれば30万円以下の罰金が科される可能性があります。
③ 他人のID・パスワードを不正に取得する行為(第4条)
不正アクセスを行う目的で、他人のIDやパスワードを手に入れようとする行為です。
- どんな行為?
- フィッシングサイト(偽のログインページ)を作成し、ユーザーにIDとパスワードを入力させて盗み取る行為。
- 他人がIDやパスワードを入力しているところを盗み見る(ショルダーハッキング)行為。
- ウイルスなどを使って、PCに保存されている認証情報を盗む行為。
- 罰則:1年以下の懲役または50万円以下の罰金
④ 他人のID・パスワードを不正に保管する行為(第6条)
不正に取得した他人のIDやパスワードを、不正アクセスの目的で保管する行為です。
- どんな行為?
- フィッシングなどで入手したIDとパスワードのリストを、自分のPCやUSBメモリ、クラウドストレージなどに保存しておく行為。
- 紙にメモして持っているだけでも、目的によっては該当する可能性があります。
- 罰則:1年以下の懲役または50万円以下の罰金
⑤ フィッシング行為(第7条)
管理者になりすましてIDやパスワードをだまし取ろうとする行為(フィッシング)も、明確に禁止されています。
- どんな行為?
- 本物そっくりの銀行やECサイトの偽ページを作成し、インターネット上で公開する行為。
- 偽サイトへ誘導するためのSMSやメールを送信する行為。
- 罰則:1年以下の懲役または50万円以下の罰金
【一覧表】禁止行為と罰則のまとめ
| 条文 | 禁止行為の名称(通称) | 具体的な行為の例 | 罰則 |
|---|---|---|---|
| 第3条 | 不正アクセス罪 | ・他人のID/パスワードで無断ログイン ・システムの脆弱性を突いて侵入 | 3年以下の懲役または100万円以下の罰金 |
| 第5条 | 不正助長罪 | ・他人のID/パスワードを第三者に教える | 1年以下の懲役または50万円以下の罰金 |
| 第4条 | 不正取得罪 | ・フィッシングでID/パスワードを盗む ・他人の入力を盗み見る | 1年以下の懲役または50万円以下の罰金 |
| 第6条 | 不正保管罪 | ・不正に入手したID/パスワードのリストを持つ | 1年以下の懲役または50万円以下の罰金 |
| 第7条 | 不正入力要求罪(フィッシング罪) | ・偽のログインサイトを作成・公開する | 1年以下の懲役または50万円以下の罰金 |
身近に潜む危険!不正アクセス禁止法違反の最新・有名事例
法律の条文だけではイメージが湧きにくいかもしれません。ここでは、実際に起きた事件を参考に、どのような行為が違反となるのかを具体的に見ていきましょう。
事例1:【企業】競合他社のシステムへ不正ログイン(なりすまし)
ある企業の社員が、競合他社の公開サーバーに不正アクセスし、顧客情報などを閲覧したとして逮捕された事例です。この社員は、何らかの方法で入手したIDとパスワードを用いて、競合企業のシステムに正規の利用者になりすましてログインしていました。これは典型的な「不正アクセス罪(第3条)」にあたります。
事例2:【個人】元交際相手のSNSアカウントへの不正ログイン
元交際相手のSNS(ソーシャル・ネットワーキング・サービス)に、相手のIDとパスワードを無断で使ってログインし、メッセージを盗み見たり、勝手に投稿したりするケースも後を絶ちません。たとえ親しい間柄であっても、本人の許可なくアカウントにログインする行為は「不正アクセス罪(第3条)」に該当します。
事例3:【情報漏洩】フィッシングサイトによる個人情報の詐取
有名企業や金融機関を装った偽のウェブサイト(フィッシングサイト)を作成し、ユーザーを誘導してIDやパスワード、クレジットカード情報などを入力させ、不正に取得する事件が多発しています。
この場合、偽サイトを作成・公開した者は「不正入力要求罪(第7条)」、盗んだ情報を保管すれば「不正保管罪(第6条)」、その情報を使ってログインすれば「不正アクセス罪(第3条)」と、複数の罪に問われる可能性があります。
事例4:【内部犯】退職した会社のサーバーへアクセス
退職後も、在職中に使用していたIDとパスワードを使って元勤務先の社内システムやメールサーバーにアクセスするケースがあります。アクセス権限は退職と同時に失われているため、たとえ悪意がなかったとしても、この行為は「不正アクセス罪(第3条)」に問われる可能性があります。企業は、退職者のアカウントを速やかに削除するなどの対策が不可欠です。
事例5:【最近の動向】クラウドサービスの設定ミスを悪用した事例
近年、企業が利用するクラウドサービス(AWS、Azure、GCPなど)の設定ミスを狙った不正アクセスが増加しています。アクセス制限が不十分な状態になっているサーバーを見つけ出し、内部に侵入して情報を窃取したり、サーバーを乗っ取って別のサイバー攻撃の踏み台として悪用したりする手口です。これは「セキュリティホール攻撃型」の不正アクセスに該当します。
不正アクセス禁止法の「時効」は何年?
犯罪には「公訴時効」という、検察官が起訴できる期間の制限があります。不正アクセス禁止法違反の罪にも時効が存在します。
犯罪行為によって異なる公訴時効
公訴時効の期間は、法定刑の重さによって決まります。
- 不正アクセス罪(3年以下の懲役): 公訴時効は3年です。
- その他の罪(1年以下の懲役): 公訴時効は1年です。
犯罪行為が終わった時点から時効のカウントが始まります。
被害者が行う損害賠償請求の時効
刑事罰とは別に、被害者は加害者に対して民事上の損害賠償を請求できます。この権利にも時効があります。
- 損害および加害者を知った時から3年間
- 不法行為の時から20年間
このどちらか早い方が経過すると、損害賠償請求権は時効によって消滅します。
【企業向け】情報システム担当者がやるべき5つの対策
不正アクセスの手口は年々巧妙化しており、誰もが被害者になる可能性があります。ここでは、企業と個人がそれぞれ取るべき具体的な対策を解説します。
企業は、顧客情報や機密情報を守る社会的責任があります。以下の対策を徹底しましょう。
1. アクセス制御と権限管理の徹底
「誰が」「いつ」「どの情報に」アクセスできるのかを厳格に管理します。従業員の役職や職務内容に応じて、必要最小限のアクセス権限(プリンシプル・オブ・リースト・プリビレッジ)を付与し、不要な権限は与えないようにします。
2. パスワードポリシーの強化と多要素認証(MFA)の導入
推測されにくい複雑なパスワード(長さ、文字種など)の設定を従業員に義務付け、定期的な変更を促します。さらに、IDとパスワードだけでなく、スマートフォンアプリや生体認証などを組み合わせる多要素認証(MFA)を導入することで、セキュリティを飛躍的に向上させることができます。
3. 脆弱性診断とセキュリティパッチの迅速な適用
自社のウェブサイトやサーバーにセキュリティ上の弱点(脆弱性)がないか、定期的に専門家による脆弱性診断を実施します。また、OSやソフトウェアの提供元からセキュリティ更新プログラム(パッチ)が公開された場合は、速やかに適用し、システムを常に最新の状態に保ちましょう。
4. 従業員へのセキュリティ教育・訓練の実施
どんなに強固なシステムを導入しても、それを使う従業員の意識が低ければ意味がありません。不審なメールの見分け方、パスワード管理の重要性などについて、定期的に研修や訓練を実施し、全社的なセキュリティリテラシーの向上を図ることが重要です。
社内のセキュリティ教育・ルールの作り方については『情報セキュリティ社内教育・ルールの作り方|ゼロから始める2025年最新ガイド』をご覧ください。
5. ログの監視とインシデント対応体制の構築
サーバーやネットワーク機器のアクセスログを常時監視し、不審な動きがないかをチェックする体制を整えます。万が一、不正アクセスの兆候を発見したり、被害が発生したりした場合に、誰が何をすべきかを定めたインシデント対応計画(シーサート:CSIRTの構築など)を事前に準備しておくことが不可欠です。
【企業の担当者様へ】最新のセキュリティサービス資料をまとめて入手
MCB FinTechカタログでは、国内の主要なセキュリティサービス(脆弱性診断、WAF、EDRなど)の最新資料をワンクリックで一括入手できます。仕様、料金プラン、導入実績、サポート体制などを比較し、自社に最適なソリューションを迅速に見つけられます。ダウンロードは無料です。
【個人向け】自分の情報を守るための5つの対策
個人のアカウントが乗っ取られると、金銭的な被害だけでなく、友人関係の破壊や社会的な信用の失墜につながることもあります。以下の対策を心がけましょう。
1. パスワードの使い回しをやめ、複雑なものにする
最も基本的かつ重要な対策です。複数のサービスで同じパスワードを使い回していると、一つが漏洩しただけで他のサービスにも不正ログインされる「パスワードリスト攻撃」の被害に遭います。サービスごとに異なる、推測されにくいパスワードを設定しましょう。パスワード管理ツールの利用も有効です。
2. 多要素認証(MFA)を有効にする
多くのオンラインサービスでは、無料で多要素認証(二段階認証とも呼ばれる)を設定できます。ログイン時にSMSで送られてくるコードや、専用アプリでの承認を追加することで、万が一パスワードが漏洩しても不正ログインを大幅に防げます。
3. 不審なメールやSMSのリンクは開かない
金融機関や大手通販サイトを装ったフィッシング詐欺のメールやSMSが後を絶ちません。「アカウントがロックされました」「緊急の確認が必要です」といった文言で不安を煽り、偽サイトに誘導しようとします。安易にリンクをクリックせず、必ず公式サイトのブックマークなどからアクセスするようにしましょう。
4. 公共のWi-Fi利用時はVPNを活用する
カフェやホテルなどの無料Wi-Fiは便利ですが、通信が暗号化されていない場合、通信内容を盗み見られる危険性があります。特に重要な情報のやり取りをする際は、通信を暗号化するVPN(Virtual Private Network)サービスの利用を検討しましょう。
5. OSやソフトウェアを常に最新の状態に保つ
スマートフォンやPCのOS、利用しているアプリは、常に最新バージョンにアップデートしましょう。アップデートには、既知の脆弱性を修正する重要なセキュリティ更新が含まれていることが多いため、放置すると攻撃の標的になりやすくなります。
すぐに実践できる不正アクセス対策の詳細は『すぐに実践できる不正アクセス対策とは?原因と種類、対策費用まで徹底解説』をご覧ください。
もし不正アクセスの被害に遭ってしまったら?
万が一、不正アクセスの被害に遭った、あるいはその疑いがある場合は、パニックにならず冷静に対応することが重要です。
落ち着いて行動!被害拡大を防ぐための初動対応
- パスワードの変更
- まず、被害に遭った可能性のあるアカウントのパスワードを、ただちに変更します。同じパスワードを他のサービスで使い回している場合は、そちらもすべて変更してください。
- ネットワークからの切断
- ウイルス感染や遠隔操作が疑われる場合は、被害の拡大を防ぐために、該当するPCやスマートフォンをネットワーク(Wi-FiやLANケーブル)から切り離します。
- 関係各所への連絡
- サービス提供会社:SNSやネット通販などのサービスが乗っ取られた場合は、まずそのサービスの提供元に連絡し、状況を報告して指示を仰ぎます。
- クレジットカード会社::クレジットカード情報が漏洩し、不正利用された可能性がある場合は、すぐにカード会社に連絡してカードの利用を停止してもらいます。
証拠を保全する方法
警察に相談したり、法的な措置を取ったりする際には、証拠が非常に重要になります。
- ログの保存:不審なアクセスログや通信記録が残っていれば、保全します。
- 画面の保存:不正な投稿、身に覚えのない購入履歴、不審なメールなどの画面は、スクリーンショットや写真で撮影して保存しておきましょう。
- 機器の保全:原因調査のため、可能であれば被害に遭ったPCなどを初期化せず、そのままの状態で保管しておきます。
すぐに相談できる専門窓口一覧
一人で悩まず、専門の窓口に相談しましょう。
- 警察(サイバー犯罪相談窓口): 各都道府県の警察本部には、サイバー犯罪に関する相談窓口が設置されています。緊急性が高い場合や被害届を出したい場合は、最寄りの警察署に相談してください。事前に電話で状況を伝えるとスムーズです。
- 独立行政法人情報処理推進機構(IPA): 情報セキュリティに関する技術的な相談を受け付けている公的機関です。ウイルスや不正アクセスの具体的な対処法についてアドバイスをもらえます。
- JPCERT/CC(ジェイピーサート・コーディネーションセンター): 主に企業や組織を対象に、インシデント対応の支援を行っている組織です。
- 弁護士: 損害賠償請求など、法的な対応を検討している場合は、サイバー犯罪に詳しい弁護士に相談することをおすすめします。
不正アクセス禁止法に関するFAQ
Q1. 無料Wi-Fiに勝手に接続したら罪になりますか?
A1. パスワードなどの認証が不要で、誰でも自由に使えるように提供されている公衆無線LAN(フリーWi-Fi)に接続するだけであれば、不正アクセス禁止法違反にはなりません。しかし、パスワードで保護されている他人の家のWi-Fiルーターなどに、無断で接続する行為は「なりすまし」型の不正アクセスとみなされ、罪に問われる可能性があります。
Q2. 退職した会社のメールやクラウドを見るのは違法ですか?
A2. はい、違法になる可能性が非常に高いです。退職すると、通常は会社のシステムにアクセスする権限を失います。たとえ在職中に使っていたIDとパスワードでログインできたとしても、権限がない状態でのアクセスは不正アクセス行為(第3条)に該当します。
Q3. 家族のスマホを勝手に見るのも不正アクセスになりますか?
A3. 家族間であっても、本人の許可なくパスコードや指紋認証を突破してスマートフォンの中身を見る行為は、技術的には不正アクセス行為の要件を満たす可能性があります。ただし、家庭内の問題として、実際に事件化するかはケースバイケースです。しかし、法律上は違法と判断されるリスクがある行為だと認識しておくべきです。
Q4. 自分のIDとパスワードを忘れて、それを調べるためにプログラムを使ったら罪になりますか?
A4. 自身が正当なアクセス権限を持つアカウントのIDやパスワードを思い出す目的で、パスワード解析ツールなどを使用する行為は、通常、不正アクセス禁止法の「不正アクセス行為」には該当しません。この法律は、他人のコンピュータや情報にアクセスすることを規制しているためです。ただし、利用しているサービスの利用規約で、そのような行為が禁止されている場合があるため注意が必要です。
まとめ:不正アクセス禁止法を正しく理解し、安全なデジタル社会を
本記事では、不正アクセス禁止法について、その目的から具体的な禁止行為、罰則、対策、そして被害に遭った際の対処法まで、網羅的に解説しました。
- 不正アクセス禁止法は、他人のID/パスワードの無断使用やシステムの脆弱性を突く行為などを禁止する法律。
- 不正アクセスそのものだけでなく、ID/パスワードの不正な取得・保管・提供といった助長行為も罰則の対象となる。
- 罰則は「3年以下の懲役または100万円以下の罰金」が最も重い。
- 企業は組織的な対策、個人はパスワード管理や多要素認証などの自衛策が不可欠。
- 被害に遭ったら、慌てずにパスワード変更や専門窓口への相談を。
この法律は、単なるIT専門家や企業だけの問題ではありません。SNSやネットショッピングを利用するすべての人に関わる、デジタル社会の基本的なルールです。自分は「加害者」にも「被害者」にもならないという意識を持ち、正しい知識を身につけることが、あなた自身の大切な情報資産を守る第一歩となります。
MCB FinTechカタログで最新のセキュリティ動向をキャッチアップ
不正アクセスの手口は日々巧妙化しており、常に最新の情報を得ることが重要です。MCB FinTechカタログに無料会員登録すると、セキュリティ関連サービスの比較検討はもちろん、専門家が解説する最新のFinTech・セキュリティニュースをメルマガで受け取れます。この機会に登録し、万全の情報セキュリティ体制を築きましょう。
【月額基本料無し】MCB FinTechカタログに掲載しませんか?
MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。
マネックス証券 フィナンシャル・インテリジェンス部 暗号資産アナリスト
松嶋 真倫
