知らなかったでは済まされない!?『不正アクセス禁止法』に抵触する行為

「不正アクセス禁止法」はインターネットやPCを安全に利用することを目的に、不正なアクセスを禁止するための法律です。
しかし、どのような行為が不正アクセスに該当するのか、明確に理解している人は少ないかもしれません。
具体的な中身を理解していないと、知らないうちに社内で不正アクセス行為をしてしまうリスクが高まります。
不正アクセス禁止法について、どのような行為が違法になるのか把握しておきましょう。

不正アクセス禁止法の成り立ちと禁止行為

「不正アクセス行為の禁止等に関する法律（略称：不正アクセス禁止法）」は今から25年前の2000年２月に施行されました。
施行の背景には、1990年代後半からのインターネットの急速な普及がありました。
当時は、他人のIDやパスワードを不正に入手し、ウェブサイトに侵入したりデータを改ざんしたりする行為が頻発しており、インターネットやPCへの不正アクセスが深刻な社会問題となっていました。
このような不正アクセス行為を取り締まり、インターネットの安全性を確保するために、不正アクセス禁止法が制定されました。

スマートフォンやSNSの普及など、インターネット利用環境の変化に対応するため、2012年には法改正が行われ、不正アクセス行為の定義がより明確化されました。
現在、不正アクセス禁止法で禁止しているのは、主に以下の行為です。

＜第３条＞利用する権限がないPCに不正に接続するなどの不正アクセス行為
＜第４条＞他人のID・パスワードを不正に取得する行為
＜第５条＞不正に取得した他人のID・パスワードを他人に提供する行為
＜第６条＞不正に取得した他人のID・パスワードを保管する行為
＜第７条＞アクセス管理者になりすまして、ログイン情報の入力を要求していると公開したり、メールで送ったりする行為

それぞれの行為には罰則が定められており、第３条の規定に違反した場合は、３年以下の懲役または100万円以下の罰金、第４条～７条の規定（一部除く）に違反すると、１年以下の懲役または50万円以下の罰金に処される可能性があります。

意図せずに不正アクセスしてしまうケース

悪意をもったサイバー攻撃は当然ながら不正アクセス禁止法に抵触しますが、注意したいのは、意図しないまま、知らずに不正アクセスを行なっていたケースです。

たとえば、同僚のアカウントでログインしたままのPCを使って、システムにアクセスしていたケースや、共有アカウントのつもりで、実は個人アカウントだったID・パスワードを入力したケースなどは、他人のID・パスワードを使用したことになり、不正アクセス禁止法の規定に違反することになります。

また、退職した会社のシステムに以前使用していたID・パスワードでログインしてしまうのも、よくある話です。
退職者は会社のID・パスワードを利用する権限を有していないため、不正アクセスに該当してしまいます。
退職者のアカウントをそのままにしておいたり、共有アカウントのID・パスワードを適切に管理していなかったりすると、不正アクセス行為が起こりやすいので注意しましょう。

権限の有無は不正アクセスかどうかを判断する大きなポイントとなります。
業務の流れでリンクを開いたら本来権限のない社内サーバーに入れてしまったり、テスト環境と本番環境を間違えて本来アクセスすべきでないデータを開いてしまったりといったケースなども、権限がない故に起きる不正アクセス行為です。

さらに、場合によっては、システムのバグや設定ミスによりアクセスできてしまうこともあります。
権限設定のミスで、一般社員でも管理者権限の情報にアクセスできてしまったり、古い社内ツールが誤って開放されていた結果として、関係のない部署のデータが閲覧できたりといったケースは枚挙に暇がありません。

不正アクセス行為を未然に防ぐためには、会社側がID・パスワードを適切に管理し、使い回しを避けることはもちろん、「ソフトウェアやOSを常に最新の状態に保つ」「不審なウェブサイトやメールに注意し、安易に個人情報を入力しない」「セキュリティ対策ソフトを導入し、定期的にウイルスチェックを行う」など、個人の意識も重要になります。
そして、万が一、不正アクセス行為を行なってしまったら、内部不正や情報漏洩の責任を問われる危険もあるため、すぐにアクセスを中断し、直属の上司またはシステム管理者に報告しましょう。

不正アクセスは職場に潜む大きなリスクです。
不正アクセスによる被害者や加害者にならないためにも、日頃から情報セキュリティに関する意識を高め、適切な対策を講じておきましょう。


※本記事の記載内容は、2025年４月現在の法令・情報等に基づいています。