不正アクセス禁止法で何が変わる? 2000年3月1日号 UP01/08/11 本文約2000字 MAC||HOME |
||
リード 2000年2月13日、不正アクセス禁止法が施行された。ネット社会を浄化するという名目で作られたこの法律。不正アクセスとパスワードなどの譲渡が犯罪とされた。しかし企業にとってはハッカーの被害に会うこと自体が死活問題。犯罪がおきたときには遅いのだ。不正アクセス禁止法の施行により、ネット社会はどう変わっていくのだろうか? ■ハッカー特別税制 2000年4月1日から、企業がファイアウォールなどのハッカー対策の設備を購入した場合の税金が軽減される。 ハッカー特別税制。この言葉は僕が勝手に命名したわけではなく、郵政省のホームページ(現総務省-http://www.joho.soumu.go.jp/top/zeisei/access.html)で使用されている言葉だ。 ハッカーという言葉はクラッカーと呼びかえるべきだという意見もある(※注1)が、国がハッカーという言葉を使う背景には、ハッカーがそれだけ日常言語化したという事情がある。 コンピュータ緊急対応センター(http://www.jpcert.or.jp/)の調査でも、98年以降、不正アクセスの被害が急増している。 ちなみにこの税制の正式名称は「不正アクセス対策促進税制」。国は、この税制支援で、立ち遅れている企業の不正アクセス対策を促進させ、より安全で信頼性の高いネットワークを構築し、安心して電子商取引などが行える環境を整備させたい構えだ。 ■不正アクセス禁止法の施行 1999年の通常国会で成立した不正アクセス禁止法(http://www.npa.go.jp/seiankis5/kosshi.htm参照)が、2000年2月13日から施行された。 この法律により、不正アクセス行為のすべてが禁止され、1年以下の懲役又は50万円以下の罰金となった。 また他人のパスワードなどを第三者に提供する行為も、有償無償を問わず、30万円以下の罰金となる。 その他この法律では、企業に不正アクセス防止の努力義務を課すとともに、国も不正アクセス防止の知識普及などに努めなければならないこととしており、冒頭のハッカー特別税制も、この国と企業の義務の一貫として採用されたものだ。 もっとも注意すべきはこの法律で禁止された「不正アクセス」とは、①ネットにつなげられたコンピュータに他人のパスワードなどを使って侵入すること、②セキュリティホールを利用して侵入すること、つまりパスワードを使わない侵入の2つを意味するが、不正アクセス行為の助長行為については、パスワードなどの提供行為だけが禁止され、セキュリティホール情報の提供禁止は見送られている。 不正アクセス禁止法は万能ではないのだ。 ■ハッカーへの不安 昨年末、不正アクセスに関する企業からの公演依頼を二つほど引き受けた。 1つは、1999年10月21日に開催されたサン・マイクロシステムズ、エムシーテクノサーブ、三菱事務機械の三社共催の公演。2つ目は、1999年12月2日、アシスト社が主催した公演だ(公演内容はhttp://www.mom.co.jp/momnews/mn218/13sec.htm、http://www.ashisuto.co.jp/kka/nj/seminar/991202.htm参照)。 いずれの公演も会場は超満員。アシスト社の公演では約400名もの参加があった。受講者は主に企業のセキュリティ担当者。企業のハッカーへの不安は予想以上に大きい。 実際問題、いったん機密情報などの流出事故がおきると企業にとっては致命的になる恐れがあり、不正アクセス禁止法による犯罪化という事後的処理ではもう遅いのだ。 ■わずか2件の逮捕例 しかも実際にハッカーが逮捕されたというケースは、不正アクセス禁止法施行前を見ても、報道された例は、たった2件しかない。 日本で初めてハッカーが逮捕されたのは、1997年5月23日。大阪府警が、埼玉県内の会社員(27)を電子計算機損壊等業務妨害と猥褻図画公然陳列の容疑で逮捕したのが最初だ。 自宅のパソコンから朝日放送のホームページに猥褻画像を送信して、天気図や気温など9つのページを女性の全裸画像と書きかえた。 もう1つは、1998年2月19日。警視庁原宿署が、東京都内の高校1年生(16)を電子計算機損壊等業務妨害と強要未遂の疑いで逮捕した事例。 男子生徒は、自宅のパソコンからプロバイダーの業務用システムに侵入、顧客データを写し取ったうえ、このデータを同社のホームページに転写するなどして画面を破壊、さらに「顧客データが漏れたことを公表する」などと電子メールで脅迫した。 前述のコンピュータ緊急対応センターが、1996年10月から受けつけた不正アクセス事案の合計は約2100件。つまりハッカーの被害にあっても犯人を割り出すことはそもそも難しい。 しかもいずれの事案も、電子計算機損壊等業務妨害罪で立件されているように、別に不正アクセス禁止法がなくても、ハッカーは逮捕できるというのが本当のところなのだ。 そのうえ業務妨害罪は5年までの懲役、不正アクセスは1年までの懲役、業務妨害罪の方が重い(*注2)。 ■不正アクセス禁止法の正体 結局、不正アクセス禁止法はハッカー行為を直接取り締まるというよりも、ハッカーへの抑止効果を狙ったものだと言うべきだ(*注3)。 そうすると今後警察は、この法律が施行されたことを広く宣伝するためにも何としてでも早い段階で初逮捕を狙うのではないか。 他方不正アクセス禁止法の抑止効果が、セキュリティの欠陥を教えてくれるクラッカーでない善意のハッカーの芽まで摘むことになると、かえってネットワークの発展を阻害する可能性もあり、今後の警察の動向には要注意だ。 *注2 刑法の業務妨害罪の条文は次のとおりです。
*注3 実際2000年1月24日、科学技術庁のホームページが書きかえられたことから始まった一連の省庁などへのハッカー事件においても、逮捕者を出すにいたっておらず、不正アクセス禁止法が、プロにまったく通用しない法律であることを露呈している。 その意味で、現在までに、不正アクセス禁止法で逮捕されているケースは、素人犯罪でしかないという現状がある。 *注4 初の逮捕例は、2000年3月16日付け毎日新聞。この例からも、逮捕例が、稚拙な犯罪であることがわかる。 *注5 最近、不正アクセスにつき、電気通信事業法違反での逮捕例が報道された。業務妨害だけでなく、電気通信事業法違反での逮捕が可能なら、不正アクセス禁止法の射程はさらに狭まる。
|