平成26年度 秋期 ITパスポート試験 公開問題 問17 解説 刑法とデータ改ざん

この問題は、加害者が誰であるか（組織内部の権限者か、外部からの侵入者か）と、行為の内容（データの改ざんか、ネットワークへの不正侵入か）に注目して判別します。今回のケースは、内部の人間が権限を悪用してデータを改ざんしているため、外部侵入を前提とする法律ではなく、刑法が適用されます。

なぜ他の法律ではいけないのか

選択肢にある法律が、どのような行為を対象としているか整理すると、判断しやすくなります。

• 刑法（電磁的記録不正作出・供用罪など）：コンピュータ上のデータを不正に改ざんしたり、虚偽のデータを入力したりする行為を罰します。権限の有無に関わらず、社会的な信用や権利を侵害する行為が対象です。
• 個人情報保護法：個人情報の漏えいや紛失を防ぐための企業の義務を定めた法律です。今回のケースのような「自らの給与データ改ざん」という犯罪行為を直接処罰する法律ではありません。
• 電気通信事業法：通信の秘密の保護や、通信サービスの利用ルールを定めたものです。通信事業者に対する法律であり、社内のデータ改ざんには適用されません。
• 不正アクセス禁止法：他人のIDやパスワードを盗用するなど、本来アクセス権限のない者がネットワークを経由して侵入する行為を罰するものです。今回の社員は「もともと更新権限を持っている」ため、不正アクセスという概念には該当しません。

ITパスポート試験における法律知識の重要性

情報セキュリティは技術的な対策だけでなく、法律という「守り」のルールを知ることが不可欠です。

この問題の教育的意図は、内部不正（インサイダーによる犯行）に対する法的責任を正しく理解させることにあります。セキュリティ対策というと、ウイルス対策ソフトやファイアウォールの導入といった技術的な側面に目が向きがちですが、組織内には「権限を与えられているからこそ、その権限を悪用できてしまう」というリスクが存在します。

もし「権限があるから何をしてもよい」という認識が甘ければ、それは犯罪行為につながります。法的な責任を理解することは、システム管理者や利用者が倫理的に正しい運用を行うための強力な抑止力になります。ITパスポートでは、このように「技術的対策」「組織的対策」「法的対応」をバランスよく理解しておくことが合格への近道です。

参考リンク

• ITパスポート試験ドットコム：過去問解説
• Qiita：社内不正を防ぐためのシステムログ管理と監査手法
• e-Gov法令検索：刑法（電磁的記録不正作出及び供用）