他人のPCやスマホのデータを見ると犯罪？不正アクセス禁止法を概観する（「ロックマンエグゼ」発表記念）

先日、あのGBA時代の名作「ロックマンエグゼ」シリーズが収録された「ロックマンエグゼ アドバンスドコレクション」（Nintendo Switch™ / PlayStation®4 / PC(Steam)）の発売が発表されました。

ロックマンエグゼ（特に2と3と3ブラック）にドはまりして、ハードモードや星7コンプで青春を過ごした一ファンとしては、ただただ㈱カプコンに感謝することしかできません（2のハードモードでラッシュが残りHP5で必ず逃げるためにチップコンプができないのは今でもスタッフさんの設定ミスだと思っていますが）。

ということで、折角ですので、本日は、ロックマンエグゼとも関係がある、不正アクセス禁止法という法律をご紹介したいと思います。

不正アクセス禁止法の概要

不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）は、警察庁が所管している法律です。
アクセス権限のないコンピュータへの「不正アクセス行為」に関連する罰則を定めており、例えば、不正アクセス行為をした場合は、3年以下の懲役または100万円以下の罰金に処せられます。

1人1台スマホを持つのが当たり前になった昨今、比較的身近な法律ともいえますが、不正アクセス禁止法については、意外にもしっかりした解説書が少ない状況にあります。
様々な情報がネット上で発信されていますが、重要な点は、専門家に相談することをお勧めいたします。

「不正アクセス行為」とは

不正アクセス行為の定義は、不正アクセス禁止法第2条第4項各号に定められています。
文言はやや複雑ですが、簡潔にいえば、不正アクセス行為は、主に以下の2つを指します。

①他人のID・パスワード等（識別符号）を悪用して権限のないコンピュータを利用する行為
②いわゆるセキュリティホールを攻撃する行為

以下、個別にご紹介いたします。

①他人のID・パスワード等（識別符号）を悪用して権限のないコンピュータを利用する行為

一　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）

不正アクセス行為の禁止等に関する法律第2条第4項

言葉は難しいですが、要するに、電子計算機（PC・スマホ等）に対して、電気通信回線を通じて他人のID・パスワード等を入力し、ネットワークを通じた利用ができるようにする行為をいいます。

この「不正アクセス行為」のポイントは「電気通信回線を通じて」という点にあります。
つまり、不正アクセス行為は、ネットワークを通じた行為を対象にしていますので、以下のような行為は不正アクセス行為に該当しません（「不正アクセス行為の禁止等に関する法律の解説」３（２））。

• ネットワークに接続されていないコンピュータに対して、他人のIDとパスワードを入れて使用する行為

• ネットワークに接続したコンピュータに対して、キーボード等を直接操作してID・パスワードを入れて使用する行為

例えば、小学5年生の少年が、女友達の部屋に無断で侵入し、当該女友達の起動中かつロックがかかっていないパソコンに、自らのプログラムを侵入させ、パソコン内のデータを閲覧・取得したとします。
感覚的には不正アクセスでは？と思う方もいらっしゃるかもしれませんが、この一連の行為には、ネットワークを通じたパスワードの入力がありませんので、不正アクセス行為には該当しません。

この関係で、ネット上によく見られますのが、浮気を疑って恋人等のスマホのデータを覗き見る行為が、不正アクセス行為として犯罪になるのではないか、という解説記事です。

この点も、先ほどのポイントを踏まえて考える必要があります。
つまり、恋人のパスワードや指紋を使ってスマホのロックを解除する行為は、ネットワークを通じた行為ではないために、通常は「不正アクセス行為」に該当しない可能性が高いと考えます。
また、解除後にスマホ内のローカルデータ（スマホに保存された写真等）を閲覧することも同様と考えます。

他方で、解除したスマホでSNS等にログインして、データを閲覧する場合は、個別事情にもよりますが「不正アクセス行為」に該当する可能性が高いと考えます。

②いわゆるセキュリティホールを攻撃する行為

二　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報（識別符号であるものを除く。）又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。）
三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

不正アクセス行為の禁止等に関する法律第2条第4項

いわゆるセキュリティホール（システムにおける安全対策上の不備）があるシステムに対して、特殊な情報や指令を入力して、ネットワークを通じた利用ができるようにする行為をいいます。
こちらは、まさに「不正アクセス」的な行為であり、比較的イメージしやすいかと思います。

例えば、小学5年生の少年が、ネットワーク経由で、自分のプログラムを使って、特定のシステムの防衛プログラムを排除して、システム内の情報にアクセスした場合、不正アクセス行為に該当するでしょう。

補足

ちなみに、よくある勘違いですが「不正アクセス行為に当たらないから実行しても問題ない」というわけではありません。

例えば、先程の、少年が女友達の部屋に無断で侵入した例では、不正アクセス行為にはあたりませんが、住居侵入罪が成立する可能性もありますし、パソコン内のデータを閲覧したことによってプライバシー権侵害等による損害賠償責任を負う可能性もあります。

ネット上の記事では「●●罪に当たる・当たらない」とだけ書かれていることが多いのですが、実際は、事実関係により、他の犯罪が成立する可能性もありますし、民事上の損害賠償責任等を負う可能性もある点には、ご留意ください。

また、刑事訴訟法上の時効が成立している場合も、民事上の時効が成立しているとは限らない点も注意が必要です。

その他の行為

このほか、不正アクセス禁止法は、不正アクセス行為のほか、以下のような行為も禁止し、罰則を設けています。

• 他人のID・パスワード等を不正に取得する行為

• 不正アクセス行為を助長する行為（他人のID・パスワード等を第三者に提供する行為）

• 他人のID・パスワード等を不正に保管する行為（不正アクセス目的で不正に取得された他人のID・パスワード等を保管する行為）

• ID・パスワード等の入力を不正に要求する行為（フィッシング行為）

おわりに

以上、不正アクセス禁止法が禁止する行為を概観しました。

なお、本文中、小学5年生の少年の例が出てきていますが、この少年の活躍は、2023年発売予定のデータアクションRPG「ロックマンエグゼ アドバンスドコレクション」でご確認ください。
※　14歳未満の者の行為には犯罪が成立しません（刑法第41条）。