平成30年度 秋期 ITパスポート試験 公開問題 問1 解説 不正アクセス禁止法

不正アクセス禁止法において「不正アクセス行為」の対象となるのは、ネットワークに接続されており、かつ、パスワードなどによるアクセス制御機能が備わっているコンピュータです。この2つの条件を同時に満たしているものを表から探すと、ネットワーク接続が「有」で、アクセス制御機能が「有」となっているコンピュータaのみが該当します。

この法律を理解する上で重要なポイントは、対象が「電気通信回線（インターネットやLANなど）を通じて」アクセスできる状態にあるものに限定されている点です。たとえ機密情報が入っているコンピュータであっても、ネットワークから完全に切り離されたスタンドアロン状態（コンピュータcやdのようなケース）であれば、この法律が定める不正アクセス行為の対象にはなりません。オフライン環境での情報の盗み見や物理的な持ち出しなどは、刑法の窃盗罪や不正競争防止法の営業秘密侵害といった別の枠組みで扱われます。

また、アクセス制御機能の有無も不可欠な要素です。コンピュータbのように、誰でも自由にアクセスできる状態でネットワークに公開されているものは、そもそも「制御を破って侵入する」という概念が成立しないため、この法律における不正アクセスの対象にはなりません。法律の目的は、IDやパスワードなどによって認められた人だけが利用できる仕組み（アクセス制御）を守ることにあります。

ITパスポート試験では、不正アクセス禁止法に関して以下の3つの禁止行為がよく問われます。

1. 不正アクセス行為そのもの：他人のID・パスワードを無断で入力してログインしたり、システムのセキュリティホールを突いて侵入したりする行為
2. 不正アクセスを助長する行為：他人のパスワードを正当な理由なく第三者に教える行為
3. 他人のパスワードなどを不正に取得・保管・入力要求する行為：フィッシングサイトを作ってパスワードを盗もうとしたり、盗んだパスワードを悪用目的で持っていたりする行為

今回の問題のように「対象となるコンピュータの条件」を問うパターンは基本ですが、法律が守ろうとしているのは「ネットワーク上の秩序」と「アクセス制御という鍵の仕組み」であると整理しておくと、応用問題にも対応しやすくなります。

https://www.npa.go.jp/cyber/policy/unauthorized_access.html https://ja.wikipedia.org/wiki/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E8%A1%8C%E7%82%BA%E3%81%AE%E7%A6%81%E6%AD%A2%E7%AD%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%95%E5%BE%8B