平成24年度 春期 ITパスポート試験 公開問題 問4 解説 不正アクセス禁止法

「電気通信回線（ネットワーク）を通じて」「アクセス制御機能を回避する」という2つのポイントに着目することで、正解を導き出すことができます。不正アクセス禁止法は、本来アクセス権限のない者が、他人のパスワードを入力したり、システムの脆弱性を突いたりしてコンピュータに侵入する行為を禁じる法律です。

不正アクセス禁止法が規定する禁止行為

この法律で禁止されている行為は、大きく分けて「不正アクセス行為そのもの」と「不正アクセスを助長する行為」の2種類があります。

今回の正解である選択肢アは、OSやソフトウェアのバグなどのセキュリティホールを悪用して、ネットワーク経由でコンピュータに侵入する行為を指しています。これは、IDやパスワードを盗み出して入力する行為と同様に、不正アクセス行為の典型例です。

不正アクセス行為として認められるための要件は、以下の通りです。

1. アクセス制御機能（ID・パスワードによる認証など）が備わっているコンピュータであること
2. 電気通信回線（インターネットやLANなど）を経由していること
3. 他人の識別符号（パスワードなど）を入力するか、脆弱性を攻撃して、制限されている機能を利用可能な状態にすること

このほか、他人のパスワードを第三者に教える「提供行為」や、フィッシングサイトなどでパスワードを不正に取得する「取得行為」、さらに不正ログインのために他人のパスワードを保管する「保管行為」も、この法律によって厳格に禁止されています。

紛らわしい他法令との違い

試験では、情報セキュリティに関連する他の法律と混同させる選択肢が頻出します。消去法を活用するためには、それぞれの法律が「何を守るためのものか」を整理しておく必要があります。

イ 営業秘密や営業上のノウハウの盗用などの不正行為 これは「不正競争防止法」の対象です。企業の競争力を守るための法律であり、顧客リストの持ち出しや、ブランドのコピー商品の販売などを規制します。

ウ 他人を誹謗中傷する内容をホームページや掲示板などへ掲載する行為 これは「プロバイダ責任制限法」に関連するほか、刑法の「名誉毀損罪」などに該当する可能性があります。プロバイダ責任制限法は、ネット上の書き込みで権利侵害があった際に、プロバイダが負う損害賠償責任の範囲や、発信者情報の開示手続きを定めた法律です。

エ 本人に対して個人情報の利用目的を隠し、不正な手段で取得する行為 これは「個人情報保護法」に抵触する行為です。個人情報の適切な取り扱いを義務付け、個人の権利と利益を保護することを目的としています。

情報社会におけるこの知識の活用

この問題がITパスポート試験で問われる背景には、ITに携わる者が「何が法的にアウトなのか」の境界線を明確に理解しておくべきという意図があります。

例えば、自社のシステムの弱点を見つけるために、許可なく他社のツールを使って外部から攻撃テストを行う行為は、たとえ悪意がなくても不正アクセス禁止法に触れるリスクがあります。また、同僚のパスワードを付箋で見てしまい、それを使って勝手にログインする行為も、立派な犯罪です。

システムを利用する側としては「パスワードの適切な管理」が重要であり、開発・運用する側としては「脆弱性（セキュリティ上の弱点）を放置しない」ことが、この法律に関連するトラブルを防ぐための実務的な防衛策となります。法律の定義を知ることは、単なる暗記ではなく、情報モラルやセキュリティ対策の優先順位を判断する指針となります。

参考リンク

• 不正アクセス行為の禁止等に関する法律 - ITパスポート試験ドットコム
• 不正アクセス禁止法違反で逮捕されないために、セキュリティエンジニアが気をつけること - Qiita
• 不正アクセス行為の禁止等に関する法律 - e-Gov法令検索