不正アクセス禁止法とは？ 10分でわかりやすく解説

Unsplashのbenjamin lehmanが撮影した写真

あなたの会社の機密情報が、思わぬ入口から外部に流出するリスクがあることをご存じでしょうか。サイバー攻撃の多くは、「技術上の欠陥」だけでなく、「ID・パスワードの扱いの甘さ」「設定ミス」「権限が整理されていない状態」といった運用面の隙を突いて起こります。

この記事では、コンピュータシステムへの不正な侵入を取り締まる不正アクセス禁止法（正式名称：不正アクセス行為の禁止等に関する法律）について、どのような行為が違法になり得るのか、罰則はどう定められているのか、そして企業が押さえておきたい実務上の対策までを整理します。

不正アクセス禁止法とは

不正アクセス禁止法は、正式名称を「不正アクセス行為の禁止等に関する法律」といい、電気通信回線を通じて接続されるコンピュータ等に設けられたアクセス制御を免れて行われる不正なアクセスや、それを助長する行為を規制・処罰する法律です。情報化社会の進展に伴い不正アクセスが社会問題化したことを背景に整備され、以降も情勢に応じて改正が重ねられてきました。

不正アクセス禁止法の目的

1. アクセス制御を回避してシステムへ侵入する行為を禁止し、処罰すること
2. 不正アクセスを助長する行為（不正なID・パスワードの取得や保管など）を抑止すること

「侵入そのもの」と「侵入を成立させる周辺行為」を幅広く押さえることで、システムの安全と社会の信頼を守ることが、この法律の狙いです。

不正アクセスが問題になる理由

不正アクセスは、単に「勝手にログインされる」だけで終わるものではありません。権限を奪われると、情報漏えい、改ざん、ランサムウェア感染、なりすまし、踏み台化など、被害が連鎖しやすくなります。企業の場合、1つのアカウント侵害が社内ネットワーク全体や取引先へ影響を広げることもあります。

不正アクセス禁止法で規制される主な行為

不正アクセス禁止法は、いわゆる「ハッキング」だけを対象にしているわけではありません。ポイントは、アクセス制御（ID・パスワードなど）を“免れて”システムへ入り込むことと、それを支える認証情報の不適切な取り扱いです。

不正アクセス行為（アクセス制御を免れる侵入）

代表的なのは、他人のID・パスワードなど（識別符号）を使い、アクセス制御があるシステムへ無断でログインする行為です。管理者権限や正当な業務権限に基づく利用でない場合には、「知り合いから教えてもらった」「社内のアカウントだから」といった事情があっても、状況によっては違法性が問題になり得ます。

不正な認証情報の取得・保管・提供など（助長行為）

侵入を成立させる材料となるID・パスワードなどについて、不正アクセス行為の用に供する目的でフィッシングなどにより不正取得したり、不正に保管したり、他者へ提供したりする行為も規制対象になり得ます。実務では、「侵入はしていないが、侵入に使える情報を扱った」段階で問題になる点が重要です。

対象となる「アクセス制御」とは

アクセス制御は、必ずしもパスワードだけを指すものではありません。IDとパスワードの組み合わせ、ワンタイムパスワード、クライアント証明書といった識別符号を用いた認証を中心に、これと組み合わされる形で設けられた端末認証やアクセス権限管理などが、状況に応じて射程に入ります。自社システムがどの仕組みで守られているかを把握することが、対策の出発点になります。

罰則の考え方（企業が押さえるべき要点）

不正アクセス禁止法では、行為の種類に応じて罰則が定められています。ここでは、企業が理解しておきたい点に絞って整理します。

不正アクセス行為の罰則

アクセス制御を免れて侵入する不正アクセス行為には、懲役刑または罰金刑が定められています。企業として注意すべきなのは、社内での不適切なアクセス（権限外のシステム閲覧、退職者アカウントの流用など）も、状況次第では問題になり得る点です。内部統制や権限設計、ログ監査が後回しになりやすい領域ほど、リスクが表面化しやすくなります。

認証情報の不正取得・提供などの罰則

フィッシングやマルウェアによる認証情報の収集、収集した情報の売買や共有、侵入に使える形での提供などは、侵入と同等、またはそれに近い社会的害があると考えられ、罰則が用意されています。「情報の取り扱い」そのものが法令リスクになる点を踏まえ、情報管理ルールと教育が欠かせません。

未遂や共犯のリスク

不正アクセスに関しては、法律で定められた助長行為や提供行為などについて、実際の侵入に至っていなくても問題となる場合があります。組織内でIDを安易に共有したり、外部委託先へ本来不要な権限を渡したりすると、事故や不正の温床になりやすい点に注意が必要です。

企業に求められる実務対策

不正アクセス禁止法は「犯人を罰する法律」ですが、企業にとって重要なのは、被害者にならないこと、そして自社の運用が助長行為や不適切なアクセスを生まないことです。

技術的対策：侵入口を減らし、奪われても広がらせない

• ID・パスワードの強化：推測されにくい長さや構成、使い回しの防止、漏えいチェックの導入
• 多要素認証（MFA）の標準化：管理者、VPN、メール、クラウド管理画面などは必須化を検討
• 権限の最小化：必要最小限のロール付与、期間限定権限、不要アカウントの整理
• パッチ管理と設定点検：OSやミドルウェアの更新、外部公開範囲の見直し、不要ポートの閉鎖
• ログの取得とアラート：認証ログ、権限変更、連続した失敗ログイン、管理者操作の監査

「侵入されない」だけでなく、「侵入されても被害を局所化する」設計が現実的な防御になります。

人的対策：認証情報を“盗まれる前提”で扱う

• フィッシング対策教育：URL確認、添付ファイル、緊急を装う依頼への注意、社内確認ルートの周知
• パスワード共有の禁止：共有が必要な場合は個人IDと権限付与で代替し、責任所在を明確にする
• 委託先・協力会社の運用統一：アカウント発行基準、権限範囲、作業ログ提出、退場時の即時停止
• 定期的な見直し：入退社や異動時の権限更新が遅れると、狙われやすい状態になります

体制面：インシデント時に“止めて、守って、説明できる”状態を作る

被害を完全に防ぐことは困難です。そのため、初動対応が重要になります。

• 検知：誰が、どのログを、どの頻度で確認するか（自動検知条件を含む）
• 封じ込め：アカウント停止、セッション無効化、ネットワーク遮断、端末隔離
• 証拠保全：ログの保全、時系列整理、関係システムの状態保存
• 社内連携：CSIRT、情シス、法務、広報、経営層への連絡経路を平時に定めておく
• 外部連携：必要に応じて警察、専門会社、弁護士、取引先への連絡判断

「起きたあとにどう動くか」を決めておくことが、被害の拡大と説明コストを抑えることにつながります。

よくある誤解と注意点

「社内だから」「身内だから」でも適法とは限らない

社内システムであっても、アクセス権限の範囲を超えた操作や、本人の承諾がないID利用は、内部不正や規程違反、監査上の重大な問題になり得ます。業務上の必要がある場合は、個人IDで権限付与を行い、ログで追跡できる状態を保つことが基本です。

パスワード共有は“便利”の代償が大きい

共有は責任の所在を曖昧にし、侵害の拡大や退職後の不正利用につながります。「共有しないと回らない」状態は、運用設計を見直すサインです。

技術対策だけで解決しない

攻撃者は人の心理（焦り、権威、同調）を突いてきます。技術は土台であり、教育やルール、定期的な確認と組み合わせて初めて機能します。

企業の不正アクセス対策チェックリスト

• 管理者、VPN、メール、クラウド管理画面にMFAを必須化している
• 退職・異動時にアカウント停止と権限見直しが即日で行われている
• 権限が最小化され、例外付与は期限付きで管理されている
• 認証ログや権限変更ログを取得し、異常を検知できる
• 脆弱性対応（パッチ、設定点検）の担当と頻度が決まっている
• 委託先アカウントの発行基準、作業ログ、退場手順が定められている
• フィッシング対策の教育や訓練を定期的に実施している
• インシデント時の封じ込め手順と連絡体制が文書化されている

まとめ

不正アクセス禁止法は、アクセス制御を免れてシステムへ侵入する行為と、その周辺の助長行為を規制・処罰する法律です。企業にとって重要なのは、「法律を知ること」だけでなく、認証情報の取り扱いと権限設計を、事故が起きにくい形に整えることにあります。

多要素認証、権限の最小化、ログ監視、教育、そして初動体制。これらを一つずつ現実的に積み上げることで、不正アクセスのリスクは確実に下げられます。まずは、自社のアカウント運用と権限管理から点検を始めてみてください。