不正アクセス禁止法とは？該当する行為や罰則、制定背景、実際の事例を紹介

他人の識別符号を不正に取得する行為（第四条）

不正アクセス禁止法においては、他人のIDやパスワードなど、アクセスに必要な識別符号を不正に取得する行為が禁じられています。例えば、社員が職務上の立場を利用して顧客の識別符号を確認したり、フィッシング詐欺によりアカウント情報を不正に入手したりする行為がこれに該当します。

これらの行為は、他人の識別符号を不正に取得する明確な例として認識されているため、法律によって厳しく禁止されています。

不正アクセス行為を助長する行為（第五条）

IDやパスワードを所有する人が権限を持たない第三者にアクセス情報を渡す行為も、不正アクセス行為を助長する行為として禁止されています。例えば、アクセス権限のある役員が権限のない一般社員にIDやパスワードを渡す行為は、不正アクセス行為を助長する典型例です。

さらに、他人のIDやパスワードを無断で口頭で伝えたり、インターネット上で販売したりする行為もこの行為に該当します。このような行為は不正アクセスのリスクを高めるため、法律によって厳しく制限されているのです。

他人の識別符号を不正に保管する行為（第六条）

不正アクセス禁止法の下では、他人のIDやパスワードを不正アクセスを行う目的で保管する行為も禁止されています。具体的には、不正に取得したIDやパスワードを、パソコンやUSBメモリ内に保管する行為などがこれに該当します。

保管方法がパソコンの中、USBメモリ、紙に印刷されたものであっても、不正に取得した識別符号を保管しているだけで法律違反の対象となります。この条項は、不正アクセスの準備行為を厳しく取り締まることを目的としており、セキュリティ意識の高い管理を求めています。

識別符号の入力を不正に要求する行為（第七条）

第七条では、アクセス管理者になりすましてIDやパスワードの入力を不正に要求する行為が禁止されています。主に以下のようなケースが該当します。

このような行為は、ユーザーを欺いて個人情報を不正に取得するものであり、不正アクセス禁止法によって厳しく禁じられています。ユーザーの安全を守ると同時に、インターネット空間の信頼性を保持するために、このような不正行為に対する規制が行われているのです。

不正アクセスの具体的な手口や被害内容については以下の記事で解説しています。

【関連記事】不正アクセスとは？主な手口と被害リスク、効果的な対策を徹底解説

不正アクセス行為

他人のID・パスワードなどの識別符号を無断で利用する行為、もしくはセキュリティ・ホールを攻撃し、識別符号を入力せずに侵入する行為が不正アクセス行為に該当します。

不正アクセス行為を行った場合、「3年以下の懲役又は100万円以下の罰金」が科せられます。

不正アクセスをするための準備行為

不正アクセスをするための準備行為にあたるものは以下の4つです。

1. 他人の識別符号を不正に取得する行為
2. 不正アクセス行為を助長する行為
3. 他人の識別符号を不正に保管する行為
4. 識別符号の入力を不正に要求する行為

このうち、「他人の識別符号を不正に取得する行為」と「他人の識別符号を不正に保管する行為」、「識別符号の入力を不正に要求する行為」の3つについては「1年以下の懲役又は50万円以下の罰金」が科せられます。

一方で「不正アクセス行為を助長する行為」は、状況によって罰則の内容が変化します。その詳細は以下の通りです。

• 相手方に不正アクセスをする目的があることを知っていた場合：1年以下の懲役又は50万円以下の罰金
• 相手方に不正アクセスをする目的があることを知らなかった場合：30万円以下の罰金

1999年：不正アクセス禁止法の制定

1999年8月、不正アクセス禁止法が公布され、翌2000年2月から施行されました。

この法律は、他人のIDやパスワードを悪用してコンピュータに不正に侵入する行為を明確に禁止した日本初の法律です。

それまでは詐欺罪や業務妨害罪での立件を試みても、実際に金銭を騙し取ったり業務を妨害したりといった明確な結果がなければ処罰が困難でした。

不正アクセス禁止法の制定により、アクセス制御機能を侵害する行為そのものが犯罪として定義され、サイバー犯罪対策の法的基盤が整いました。

また、国際的なサイバー犯罪対策の枠組みである「サイバー犯罪に関する条約」への対応も視野に入れた法整備として位置付けられています。

2012年：フィッシング行為への対応強化

2012年の法改正では、急増するフィッシング詐欺やID・パスワードの不正取得に対応するため、大幅な内容の見直しが行われました。

主な改正点として、他人の識別符号を不正に取得・保管・要求する行為が新たに処罰対象に追加されました。

また、不正アクセス行為の罰則が「1年以下の懲役または50万円以下の罰金」から「3年以下の懲役または100万円以下の罰金」へと引き上げられ、抑止力の強化が図られています。

フィッシングサイトの開設やなりすましメールの送信が明確に違法化されたことで、準備段階の行為を処罰できるようになりました。

なお、フィッシング詐欺の詳細については以下の記事で解説しています。

【関連記事】フィッシング詐欺とは？具体的な手口や被害に遭わないための対策

「dアカウント」の悪用で5人が逮捕

2020年4月、NTTドコモの会員アカウント「dアカウント」を不正アクセスによって取得した疑いで、中国人の男女5人が詐欺容疑で逮捕されたと報告されました。

逮捕されたグループは、ドコモを装ったSMSで「異常ログインの可能性がある」「電話料金が高額になっている」といったメッセージを送信し、複数人を偽サイトに誘導してIDとパスワードを不正に取得。容疑者はだまし取ったIDやパスワードを利用して、都内の家電量販店でゲーム機やタブレット端末などを購入し、転売していたとのことです。

学校の成績改ざんで中学3年生が書類送検

学校のサーバーに不正アクセスして成績を改ざんしたとして、中学3年生の生徒が不正アクセス禁止法違反の疑いで書類送検されました。捜査関係者によると、生徒は9月から10月の間に学校の教員用サーバーに不正アクセスしたとのことです。

必要なIDやパスワードを入手した生徒は、サーバーにアクセス可能な校内のタブレット端末に遠隔操作用のアプリをインストールした上で、自らのスマートフォンを使い校外から端末を操作し、成績表に書かれた自身の評定を実際より高く書き換えました。

この事件に関して、県警は学校側からの相談を受けて捜査を進め、最終的に2019年12月4日に新潟地検長岡支部に書類送検しました。

人気ゲームへの不正アクセスで23歳男が書類送検

23歳の男が人気ゲーム「ドラゴンクエストウォーク」に不正アクセスしたことで、アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで書類送検されました。

事件のきっかけは、40代男性が自身のアカウントの育成を男に依頼し、IDとパスワードを教えて数千円を支払ったことです。23歳の男は依頼通りに育成を行った後、依頼で知り得たアカウント情報を用いて無断でログインしました。

その後、データを自身のアカウントに移動させ、第三者に売却したとのことです。滋賀県警サイバー犯罪対策課は、「オンラインゲームの不正アクセス被害は多い。どんな理由であれ他人にIDとパスワードを教えるのは危険なので、やめてほしい」と注意喚起しています。

ネットオークションのサイトに不正アクセスし併合罪

2007年に発生したこの事例では、他人のID・パスワードを使ってネットオークションのサイトに不正アクセスを行い、ID・パスワードを無断で変更した行為が問題となりました。

裁判では、不正アクセス行為とID・パスワード変更行為が「牽連犯（けんれんはん）」と「併合罪」のどちらに該当するかが争点となりました。

牽連犯と判断されれば最も重い刑罰のみが科されますが、併合罪と判断されれば刑罰が加重されます。

最高裁判所は両罪が手段・結果の関係にあるとは認められないとして併合罪であると判断し、不正アクセス単独の場合より重い刑罰が科される可能性を示しました。

不正アクセスとなりすましメールの送信で懲役1年

2002年、SNSで交流していた女性への嫌がらせ目的で、相手のメールアカウントに無断でログインし、メールの閲覧や送受信を繰り返した男性が不正アクセス禁止法違反で起訴されました。

被告人は複数回にわたって同様の行為を繰り返していましたが、裁判所は犯行の悪質性を認めつつも、一部を自ら申告したことや初犯であることなどを考慮し、懲役1年・執行猶予3年の判決を言い渡しました。

個人的な感情から他人のアカウントに不正侵入する行為は、たとえ嫌がらせ目的であっても刑事罰の対象となることを示した事例です。

不正アクセスの認知件数の推移

政府統計によれば、2024年に報告された不正アクセスの認知件数は5,358件となり、2023年の6,312件から約15％の減少を記録しました。

ただし、この数字は届出や確認された事案のみを集計したものであり、実際の被害総数はこれを上回ると推測されています。

被害の中心はインターネットバンキングやSNSアカウントへの侵入であり、金銭被害を伴う事案が大半を占めています。

認知件数の減少傾向が見られるものの、年間5,000件を超える規模で被害が継続していることから、セキュリティ対策の必要性は変わらず高いままであるといえるでしょう。

企業・個人を問わず、あらゆる利用者が標的となりうる現状を踏まえ、継続的な対策強化が求められます。

不正アクセス後に行われる行為の内訳

2024年の統計では、不正アクセス後に行われた行為として「インターネットバンキングでの不正送金等」が最も多く4,342件を占めており、全体の約81％に達しています。

次いで「メールの盗み見等の情報の不正入手」が193件、「インターネットショッピングでの不正購入」が180件と続いています。

そのほか、SNSアカウントの乗っ取りによる「知人になりすましての情報発信」や「コミュニティサイトの不正操作」、「暗号資産交換業者での不正送信」なども報告されました。

金銭に直結する被害が圧倒的に多い一方で、個人情報の窃取やアカウント乗っ取りによる二次被害も無視できない状況です。

これらのデータから、不正アクセスは単なる侵入行為にとどまらず、深刻な経済的・社会的被害をもたらす犯罪であることがわかります。

被害状況を記録・保全する

まずはサーバーの遮断やパスワードの変更を行い、その後に不正アクセスの痕跡が残っているログやスクリーンショットを速やかに保存することが重要です。

アクセスログには不正ログインの日時やIPアドレス、使用されたデバイス情報などが記録されており、これらは犯人特定の手がかりとなります。

メールやSNSで不審な送信履歴がある場合は、その内容もスクリーンショットで保存しておきましょう。

また、金銭的被害がある場合は取引履歴や残高の変動も記録します。

証拠を保全することで、警察への届出や損害賠償請求の際に重要な資料として活用できるため、被害発覚後は証拠保全を速やかに行ってください。

時間が経過するとログが上書きされたり削除されたりする可能性があるため、迅速な対応が求められます。

警察へ被害届を提出する

不正アクセスの被害が確認できたら、最寄りの警察署またはサイバー犯罪相談窓口に速やかに届け出ましょう。

各都道府県警察にはサイバー犯罪に特化した相談窓口が設置されており、専門的な知識を持つ担当者が対応してくれます。

被害届を提出することで正式な捜査が開始され、犯人特定や再発防止に繋がる可能性があります。届出の際には、保全した証拠や被害状況を説明できる資料を持参するとスムーズです。

また、被害届の受理番号は保険金請求や損害賠償請求の際に必要となる場合があるため、必ず控えておきましょう。

関係機関に報告する

IPA（情報処理推進機構）やJPCERT/CCなどの専門機関に被害を報告することも重要です。

これらの機関では不正アクセスに関する情報を収集・分析しており、報告された情報は他の被害防止に活用されます。

企業の場合は、個人情報保護委員会への報告義務が生じるケースもあるため、法務部門や顧問弁護士に相談して適切な対応を取りましょう。

報告された情報は統計データとして集約され、新たな攻撃手口の発見や対策技術の開発に役立てられるため、社会全体のセキュリティ向上に貢献できます。

複雑なパスワードを設定する

複雑なパスワードの設定は、不正アクセスのリスクを減少させる基本的な対策です。具体的には、8桁以上のパスワードを設定し、大文字、小文字、数字、記号を少なくとも1つ以上含めるというものです。

携帯電話番号の確認や指紋認証などの多要素認証を組み合わせることも、セキュリティを強化する有効な手段といえます。多要素認証については以下の記事で解説しています。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

不要になったアカウントを迅速に削除する

使用していないアカウントは不正アクセスの入口となる可能性があります。そのため、不要になったアカウントは迅速に削除することが大切です。

特にサービスを利用していない古いアカウントは放置せず、定期的に見直しを図るようにしましょう。

IDやパスワードを厳重に管理する

ログインに使用するIDやパスワードは、外部に流出しないよう厳重に管理することが求められます。社内でアカウントの扱い方を共有し、以下のような行為を防ぎましょう。

これらの行為は、識別符号の流出リスクを高めます。予め社内ルールを設定し、それを徹底することでセキュリティに対する従業員の意識を向上させることができます。

セキュリティ対策ソフトを導入する

セキュリティ対策ソフトを導入すれば、外部からの侵入や攻撃を迅速に検知し、すぐに対応できる環境を構築できます。より強固なセキュリティ環境を構築したいなら、信頼性の高い対策ソフトを選ぶようにしましょう。

また、OSやソフトウェアを常に最新の状態に保ち、随時修正プログラムやプラグインの更新を行うことも重要です。これにより、システムの脆弱性を減らし、不正アクセスによるリスクを抑えられます。

不正アクセス禁止法の時効は何年？

不正アクセス禁止法違反の公訴時効は原則3年と定められています。これは、犯罪が行われた日から3年が経過すると、刑事訴追ができなくなることを意味します。

ただし、不正アクセスの被害は発覚が遅れるケースも多く、気付いたときにはすでに時効が迫っているという状況も珍しくありません。

そのため、不審なアクセス履歴や身に覚えのない取引を発見した場合は、すぐに調査を開始し、証拠を保全した上で速やかに警察に届け出ることが重要です。

時効の起算点は犯罪行為が終了した時点であり、継続的な不正アクセスの場合は最後の行為が行われた日から3年となります。

家族や知人のアカウントに無断ログインしたら違法？

たとえ家族や知人であっても、本人の許可なくアカウントにログインすれば不正アクセスに該当します。

親しい間柄であることは違法性を阻却する理由にはならず、不正アクセス禁止法違反として処罰される可能性があるため注意が必要です。

実際に、配偶者のメールアカウントに無断でログインして逮捕された事例や、友人のSNSアカウントに勝手にアクセスして書類送検された事例が報告されています。

正当な理由があると思っていても、プライバシー侵害として民事上の損害賠償責任を問われる可能性があります。

親しい間柄だからこそ、相手のプライバシーを尊重し、無断でのログインは絶対に行わないようにしましょう。

不正アクセスの被害に遭ったら慰謝料は請求できる？

不正アクセスによって精神的苦痛や金銭的損害を受けた場合、民事訴訟で慰謝料を請求できる可能性があります。

不正アクセスは不法行為に該当するため、被害者は加害者に対して損害賠償を求める権利があります。

ただし、請求を認めてもらうためには、不正アクセスの事実と損害の発生、両者の因果関係を証明しなければなりません。

そのため、被害発覚時のログやスクリーンショット、金銭的損害の証拠となる取引履歴などを保全しておくことが極めて重要です。

また、慰謝料の金額は被害の程度や悪質性によって異なり、数十万円から数百万円まで幅があります。証拠を揃えた上で弁護士に相談し、適切な手続きを進めることをおすすめします。