sg sg-security-management law access_control cybercrime
まず結論
不正アクセス禁止法では、他人のID・パスワードをどう扱ったかによって、禁止される行為が分かれます。
SG試験では、次のように動詞で切り分けるのが一番分かりやすいです。
| 動詞 | 判断する行為 | 該当する禁止行為 |
|---|---|---|
| 入手する・取得する | 他人のID・パスワードを手に入れる | 不正取得 |
| 提供する・教える | 他人のID・パスワードを第三者に渡す | 助長行為 |
| 保管する・保存する | 不正に入手したID・パスワードを持っておく | 不正保管 |
| 入力させる・要求する | 偽サイトなどでID・パスワードを入力させる | 不正要求 |
つまり、問題文を読んだら、まず 「何をしたか」 を見ます。
直感的な説明
この違いは、鍵の扱いで考えると分かりやすいです。
| 行為 | 鍵でたとえると |
|---|---|
| 不正取得 | 他人の鍵をこっそり手に入れる |
| 助長行為 | 他人の鍵を別の人に渡す |
| 不正保管 | 手に入れた鍵を隠し持つ |
| 不正要求 | 偽の受付で鍵番号を書かせる |
どれも不正アクセスにつながる危険な行為ですが、やっていることは少しずつ違います。
試験では、この違いを細かく聞いてきます。
定義・仕組み
不正アクセス禁止法では、不正アクセス行為そのものだけでなく、関連する行為も禁止されています。
特に混同しやすいのが、次の4つです。
| 条文 | 禁止行為 | 内容 |
|---|---|---|
| 4条 | 他人の識別符号を不正に取得する行為 | 不正アクセス目的で、他人のID・パスワードなどを取得する |
| 5条 | 不正アクセス行為を助長する行為 | 正当な理由なく、他人のID・パスワードなどを第三者に提供する |
| 6条 | 他人の識別符号を不正に保管する行為 | 不正アクセス目的で、不正に取得したID・パスワードなどを保管する |
| 7条 | 識別符号の入力を不正に要求する行為 | フィッシングサイトなどでID・パスワードを入力させる |
ここでいう識別符号は、利用者を識別するための情報です。
試験では、難しく考えすぎず、まずは ID・パスワードなどの認証情報 と読み替えると理解しやすいです。
どんな場面で使う?
この違いは、次のような問題でよく使います。
- 不正アクセス禁止法の規制対象を問う問題
- フィッシングと不正取得の違いを問う問題
- ID・パスワードを第三者に教える行為を問う問題
- 不正に入手した認証情報を保存する行為を問う問題
- 不正ログイン前の準備行為を問う問題
特に、選択肢に次の言葉が出てきたら注意します。
- 入手する
- 取得する
- 提供する
- 教える
- 保管する
- 保存する
- 入力させる
- 要求する
SG試験では、法律の条文番号を丸暗記するよりも、行為の違いを判断できることが重要です。
不正取得とは?
不正取得は、他人のID・パスワードなどを不正に手に入れる行為です。
たとえば、次のようなケースです。
- 他人のパスワードを盗み見る
- 不正アクセス目的でID・パスワードを入手する
- 漏えいしたアカウント情報を手に入れる
ポイントは、まだログインしていなくても、取得した時点で問題になることです。
試験での見分け方
問題文に、次のような表現があれば不正取得を疑います。
- 入手する
- 取得する
- 手に入れる
- 盗み取る
つまり、手に入れる動きが中心です。
助長行為とは?
助長行為は、他人が不正アクセスしやすいように手助けする行為です。
代表例は、正当な理由なく、他人のID・パスワードを第三者に提供することです。
たとえば、次のようなケースです。
- 他人のID・パスワードを別の人に教える
- 不正ログインできる認証情報を第三者に渡す
- アカウント情報を掲示板やチャットに投稿する
ポイントは、自分がログインするかどうかではなく、第三者に渡していることです。
試験での見分け方
問題文に、次のような表現があれば助長行為を疑います。
- 提供する
- 教える
- 渡す
- 第三者に知らせる
つまり、他人へ渡す動きが中心です。
不正保管とは?
不正保管は、不正に取得したID・パスワードなどを保存して持っておく行為です。
たとえば、次のようなケースです。
- 不正に入手したID・パスワードをPCに保存する
- 盗んだ認証情報をメモアプリに残す
- 不正アクセス目的でアカウント一覧を保管する
ポイントは、使っていなくても、保管しているだけで規制対象になり得ることです。
試験での見分け方
問題文に、次のような表現があれば不正保管を疑います。
- 保管する
- 保存する
- 記録する
- 持っておく
つまり、手元に残す動きが中心です。
不正要求とは?
不正要求は、フィッシングサイトなどを使って、ID・パスワードを入力させる行為です。
たとえば、次のようなケースです。
- 銀行を装った偽サイトにID・パスワードを入力させる
- 管理者を装って認証情報の入力を求める
- 偽メールから偽ログインページに誘導する
ポイントは、相手に入力させようとしていることです。
試験での見分け方
問題文に、次のような表現があれば不正要求を疑います。
- 入力させる
- 要求する
- フィッシングサイトを開設する
- 偽サイトに誘導する
つまり、相手から聞き出す動きが中心です。
よくある誤解・混同
誤解1:ID・パスワードを入手したら、すべて不正アクセスである
これは誤解です。
他人のID・パスワードを入手しただけでは、まだ「不正アクセス行為そのもの」とは限りません。
ただし、不正アクセス目的で取得していれば、不正取得として問題になります。
誤解2:第三者に教える行為は、不正取得である
第三者に教える行為は、取得ではなく、助長行為として整理します。
取得は「手に入れること」、助長は「渡すこと」です。
誤解3:フィッシングサイトは助長行為である
フィッシングサイトでID・パスワードを入力させる行為は、助長行為ではなく、不正要求です。
助長行為は、すでにある認証情報を第三者に提供するイメージです。
誤解4:保管しているだけなら規制対象ではない
不正アクセス目的で不正に取得したID・パスワードを保管する行為は、不正保管として規制されます。
「まだ使っていないから問題ない」とは判断しません。
SG試験での切り分け手順
選択肢で迷ったら、次の順番で確認します。
1. 実際にログインしたか
ログインしているなら、まず不正アクセス行為そのものを疑います。
2. 手に入れたのか
「入手」「取得」とあれば、不正取得です。
3. 渡したのか
「提供」「教える」「第三者に渡す」とあれば、助長行為です。
4. 保存したのか
「保管」「保存」とあれば、不正保管です。
5. 入力させたのか
「フィッシング」「入力させる」「要求する」とあれば、不正要求です。
まとめ(試験直前用)
不正アクセス禁止法の関連行為は、動詞で見ると整理しやすくなります。
試験直前は、次の3点を押さえておきましょう。
- 入手するなら、不正取得
- 第三者に渡すなら、助長行為
- 保管するなら不正保管、入力させるなら不正要求
最後に、選択肢を切るための対応表です。
| 問題文の表現 | 選ぶべき考え方 |
|---|---|
| ID・パスワードを不正に入手する | 不正取得 |
| ID・パスワードを第三者に提供する | 助長行為 |
| 不正に入手したID・パスワードをPCに保管する | 不正保管 |
| 偽サイトでID・パスワードを入力させる | 不正要求 |
この表を覚えるというより、取得・提供・保管・要求の動きの違いで判断できるようにしておくと、ひっかけ問題に強くなります。
確認問題
不正アクセス禁止法における禁止行為の説明として、最も適切なものはどれか。
ア. 他人のID・パスワードを不正に入手する行為は、不正アクセス行為を助長する行為である。
イ. 他人のID・パスワードを第三者に提供する行為は、不正アクセス行為を助長する行為に当たることがある。
ウ. フィッシングサイトでID・パスワードを入力させる行為は、不正保管である。
エ. 不正に入手したID・パスワードをPCに保存する行為は、不正取得である。
回答と解説
正解は、**イ**です。 他人のID・パスワードを第三者に提供する行為は、第三者による不正アクセスを助ける行為なので、**不正アクセス行為を助長する行為**に当たります。 アは、入手する行為なので**不正取得**です。 ウは、入力させる行為なので**不正要求**です。 エは、保存する行為なので**不正保管**です。 選択肢を読むときは、次の動詞に注目します。 - 入手する → 不正取得 - 提供する → 助長行為 - 保存する → 不正保管 - 入力させる → 不正要求参考
- e-Gov法令検索「不正アクセス行為の禁止等に関する法律」
- https://laws.e-gov.go.jp/law/411AC0000000128