不正アクセス禁止法とは？ 10分でわかりやすく解説

Unsplashのbenjamin lehmanが撮影した写真

不正アクセス禁止法は、アクセス制御を免れてコンピュータを利用可能な状態にする不正アクセス行為を禁止し、あわせて他人のID・パスワードなどの識別符号の不正取得・提供・保管や、フィッシング詐欺のような入力要求も規制する法律です。

企業にとって重要なのは、条文上の禁止行為を知るだけではありません。アカウント運用、権限設計、ログ監査、委託先管理、インシデント対応を整え、自社が被害を受けにくい状態を作ること、そして社内外で認証情報の不適切な共有や流用を起こさない運用にすることです。

不正アクセス禁止法とは

不正アクセス禁止法は、正式名称を「不正アクセス行為の禁止等に関する法律」といいます。電気通信回線を通じて行われる電子計算機に係る犯罪の防止と、アクセス制御機能により実現される電気通信の秩序維持を目的とする法律です。

対象になるのは、電気通信回線を通じて接続されるコンピュータ等に設けられたアクセス制御を免れる行為や、他人の識別符号を不正に取得・提供・保管する行為、識別符号の入力を不正に要求する行為などです。情報化社会の進展に伴い不正アクセスが社会問題化したことを背景に整備され、その後の攻撃手口に合わせて改正が重ねられてきました。

不正アクセス禁止法の目的

1. アクセス制御を回避してシステムを利用可能な状態にする不正アクセス行為を禁止し、処罰すること
2. 他人の識別符号の不正取得・提供・保管や、入力を不正に要求する行為を抑止すること
3. アクセス管理者による防御措置を促し、不正アクセスの再発防止につなげること

この法律は、侵入行為だけでなく、侵入を可能にするID・パスワードなどの識別符号の不正な流通や、フィッシングによる入力要求も対象にします。実際に侵入される前の段階でも、行為の内容によっては独立して問題になります。

不正アクセスが問題になる理由

不正アクセスは、単に勝手にログインされるだけで終わるものではありません。権限を奪われると、情報漏えい、改ざん、ランサムウェア感染、なりすまし、踏み台化などが続いて発生する可能性があります。

企業の場合、1つのアカウント侵害が社内ネットワーク全体や取引先へ影響することがあります。特に管理者権限、VPN、メール、クラウド管理画面などの認証情報が悪用されると、被害範囲が短時間で広がります。

不正アクセス禁止法で規制される主な行為

不正アクセス禁止法は、一般に「ハッキング」と呼ばれる侵入行為だけを対象にしているわけではありません。主な対象は、他人の識別符号を用いるなりすまし、脆弱性を突いてアクセス制御を免れる行為、さらにそれを支える識別符号の不正取得・提供・保管・入力要求です。

この法律の「不正アクセス行為」に当たる条件

この法律でいう不正アクセス行為は、アクセス制御機能が設けられた特定電子計算機に対し、電気通信回線を通じて、アクセス制御を免れて特定利用を可能にする行為を指します。

そのため、単にPCを直接操作する行為や、アクセス制御のない対象への行為とは、条文上の整理が異なる場合があります。ただし、別の法令、社内規程、契約違反、内部不正の問題になることはあります。実務では「不正アクセス禁止法だけに該当するか」ではなく、権限外利用や情報持ち出しを含めて確認します。

不正アクセス行為（アクセス制御を免れる侵入）

代表例は、他人のID・パスワードなどの識別符号を使って無断でログインする行為や、セキュリティ・ホールを突いてアクセス制御を免れる行為です。アクセス管理者の承諾がなく、正当な権限に基づく利用でない場合には、知人から教えてもらった、社内のアカウントだった、といった事情があっても違法となる可能性があります。

企業内では、共有IDの利用、退職者アカウントの流用、他部署のシステムへの権限外アクセスが問題になりやすい領域です。業務上必要なアクセスは、個人IDに対して適切な権限を付与し、ログで追跡できる状態にする必要があります。

他人の識別符号を不正に取得・提供・保管したり、入力を要求したりする行為

他人のID・パスワードなどの識別符号については、不正アクセス行為の用に供する目的で不正に取得する行為、第三者に提供する行為、不正に取得されたものを保管する行為が禁止されています。また、フィッシングのように、正規のアクセス管理者を装って識別符号の入力を要求する行為も禁止対象です。

ここで注意したいのは、実際に侵入していない段階でも、識別符号の取得・提供・保管や入力要求が問題になり得る点です。一方で、不正取得や不正保管には目的や認識などの要件が関係するため、すべてのID・パスワードの取り扱いが直ちに同じ扱いになるわけではありません。企業は、正当な業務上の取り扱いと、不正利用につながる取り扱いを明確に分ける必要があります。

対象となる「アクセス制御」とは

不正アクセス禁止法でいうアクセス制御機能は、電気通信回線を通じて特定利用をしようとする者に識別符号の入力などを求め、正しい場合に限って利用制限を自動的に解除する仕組みです。IDとパスワードの組み合わせに限らず、アクセス管理者が定めた方法で本人確認に使う符号も含まれます。

自社システムがどの認証方式で保護され、どの操作が権限によって制限されているかを把握することが、実務上の出発点です。認証方式、権限範囲、ログ取得、例外運用が整理されていないと、不正利用の検知や事後調査が難しくなります。

罰則の考え方（企業が押さえるべき要点）

不正アクセス禁止法では、行為の種類に応じて罰則が定められています。ここでは、企業が理解しておきたい点に絞って整理します。具体的な法的評価は事案の内容により異なるため、発生時は法務部門や弁護士、関係機関と確認します。

不正アクセス行為の罰則

アクセス制御を免れてシステムを利用可能な状態にする不正アクセス行為には、拘禁刑または罰金が定められています。現行条文では、第三条の不正アクセス行為に違反した者は、三年以下の拘禁刑または百万円以下の罰金の対象になります。

企業として注意すべきなのは、社内での不適切なアクセス、例えば権限外のシステム閲覧、退職者アカウントの流用、管理者権限の不適切な共有なども、状況次第で重大な問題になり得る点です。内部統制、権限設計、ログ監査が後回しになりやすい領域ほど、リスクが表面化しやすくなります。

認証情報の不正取得・提供などの罰則

フィッシングのような入力要求や、他人の識別符号の不正取得・提供・保管は、侵入を直接行わなくても罰則の対象になり得ます。不正アクセス行為の用に供する目的で他人の識別符号を不正取得・保管する行為や、入力を不正に要求する行為などは、一年以下の拘禁刑または五十万円以下の罰金に相当する罰則の対象です。

他人の識別符号を提供する行為については、相手方に不正アクセス行為の目的があることを知っていたかどうかなどにより、罰則の重さが変わります。したがって、社内外でID・パスワードを共有する慣行は、情報セキュリティだけでなく法令・監査上のリスクとして扱う必要があります。

侵入前でも独立に問題になる周辺行為

不正アクセス禁止法では、法律で禁止された取得・提供・保管や入力要求について、実際の侵入に至っていなくても、それ自体が独立に禁止対象になる場合があります。組織内でIDを安易に共有したり、外部委託先へ本来不要な権限を渡したりすると、事故や不正の温床になりやすくなります。

特に委託先や協力会社へアカウントを渡す場合は、共有IDではなく個別IDを発行し、権限範囲、利用期間、作業ログ、退場時の停止手順を明確にします。

企業に求められる実務対策

不正アクセス禁止法は、不正アクセス行為等を禁止・処罰する法律です。一方、企業にとって実務上の焦点は、自社が被害を受けにくい状態を作ること、自社の運用が不適切なアクセスや認証情報の流用を招かないことにあります。

技術的対策：侵入経路を減らし、奪われても拡大させない

• 多要素認証（MFA）の標準化：管理者、VPN、メール、クラウド管理画面などは必須化を検討する
• ID・パスワードの強化：推測されにくい長さや構成、使い回しの防止、漏えいチェックを取り入れる
• 権限の最小化：必要最小限のロール付与、期間限定権限、不要アカウントの削除を行う
• パッチ管理と設定点検：OSやミドルウェアを更新し、外部公開範囲や不要ポートを見直す
• ログの取得とアラート：認証ログ、権限変更、連続した失敗ログイン、管理者操作を監査する

防御では、侵入を完全に防ぐことだけを前提にしません。認証情報が奪われた場合でも、権限を限定し、異常を検知し、セッション停止やアカウント停止を迅速に行える設計にします。

人的対策：認証情報を盗まれる前提で扱う

• フィッシング対策教育：URL確認、添付ファイル、緊急を装う依頼への注意、社内確認ルートを周知する
• パスワード共有の禁止：共有が必要に見える業務は、個人IDと権限付与で代替し、責任所在を明確にする
• 委託先・協力会社の運用統一：アカウント発行基準、権限範囲、作業ログ提出、退場時の即時停止を定める
• 定期的な見直し：入退社や異動時の権限更新を遅らせず、不要権限を残さない

人的対策では、注意喚起だけで終わらせないことが重要です。教育、個人ID運用、承認フロー、権限棚卸し、違反時の対応をセットで設計します。

体制面：インシデント時に止めて、守って、説明できる状態を作る

被害を完全に防ぐことは困難です。そのため、初動対応を事前に決めておく必要があります。

• 検知：誰が、どのログを、どの頻度で確認するかを決める（自動検知条件を含む）
• 封じ込め：アカウント停止、セッション無効化、ネットワーク遮断、端末隔離を実施する
• 証拠保全：ログの保全、時系列整理、関係システムの状態保存を行う
• 社内連携：CSIRT、情報システム部門、法務、広報、経営層への連絡経路を平時に定める
• 外部連携：必要に応じて警察、専門会社、弁護士、取引先への連絡を判断する

発生後に誰が判断するかを決め始めると、封じ込め、証拠保全、顧客説明が遅れます。発生前に初動手順と連絡体制を文書化し、訓練や机上演習で確認しておきます。

よくある誤解と注意点

「社内だから」「身内だから」でも適法とは限らない

社内システムであっても、アクセス権限の範囲を超えた操作や、本人の承諾がないID利用は、内部不正、規程違反、監査上の重大な問題になり得ます。業務上必要な場合は、個人IDで権限付与を行い、ログで追跡できる状態を保ちます。

パスワード共有は利便性よりもリスクが大きい

パスワード共有は責任の所在を曖昧にし、侵害の拡大や退職後の不正利用につながります。共有しなければ業務が継続できない状態は、ID管理と権限設計を見直すべき兆候です。

技術対策だけで解決しない

攻撃者は、人の心理や組織内の例外運用を突いてきます。技術対策は土台ですが、教育、ルール、権限管理、ログ監査、インシデント対応と組み合わせて初めて機能します。

企業の不正アクセス対策チェックリスト

• 管理者、VPN、メール、クラウド管理画面にMFAを必須化している
• 退職・異動時にアカウント停止と権限見直しが即日で行われている
• 権限が最小化され、例外付与は期限付きで管理されている
• 認証ログや権限変更ログを取得し、異常を検知できる
• 脆弱性対応（パッチ、設定点検）の担当と頻度が決まっている
• 委託先アカウントの発行基準、作業ログ、退場手順が定められている
• フィッシング対策の教育や訓練を定期的に実施している
• インシデント時の封じ込め手順と連絡体制が文書化されている

まとめ

不正アクセス禁止法は、アクセス制御を免れてシステムを利用可能にする行為に加え、他人の識別符号の不正取得・提供・保管や、入力を不正に要求する行為なども規制・処罰する法律です。企業にとって重要なのは、法律上の禁止行為を理解したうえで、認証情報の取り扱いと権限設計を事故が起きにくい形へ整えることです。

多要素認証、権限の最小化、ログ監視、教育、初動体制を順に見直すことで、不正アクセスの発生確率と被害の拡大を下げられます。まずは、自社のアカウント運用、権限管理、ログ監査、委託先アカウントの管理状況を点検します。

FAQ