ITパスポート 令和4年度 問9:セキュリティ法規に関する問題
不適切な行為a〜cのうち,不正アクセス禁止法において規制されている行為だけを全て挙げたものはどれか。 a 他人の電子メールの利用者IDとパスワードを,正当な理由なく本人に無断で第三者に提供する。 b 他人の電子メールの利用者IDとパスワードを本人に無断で使用して,ネットワーク経由でメールサーバ上のその人の電子メールを閲覧する。 c メールサーバにアクセスできないよう,電子メールの利用者IDとパスワードを無効にするマルウェアを作成する。
- aa, b正答
- ba, b, c
- cb
- db, c
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a「a, b」 です。
不正アクセス禁止法は、ざっくり言うと「他人のIDとパスワードを勝手に使ったり、人に渡したりするのを禁止する法律」です。
- a 他人のID・パスワードを無断で第三者に教える → ダメ(規制対象)。
- b 他人のID・パスワードを無断で使ってメールを見る → ダメ(規制対象)。
- c IDを無効にするウイルスを作る → 悪い行為ですが、これは“ウイルスを作る別の罪”で、不正アクセス禁止法の話ではないんです。
👉 覚え方:不正アクセス禁止法は「他人のカギ(ID・パス)を使う・配る」を禁止。ウイルス作成は別の法律。
なぜこれが正解か
正解は a(a と b)。不正アクセス禁止法は、ネットワークを通じた不正アクセス行為と、それを助長する行為を規制する。
- a 他人のID・パスワードを正当な理由なく無断で第三者に提供 → 識別符号の不正な提供(助長行為)として規制対象。
- b 他人のID・パスワードを無断使用してサーバ上のメールを閲覧 → 不正アクセス行為そのもので規制対象。
c が外れる理由
c のID・パスワードを無効化するマルウェアの作成は、不正アクセス禁止法ではなく、刑法の不正指令電磁的記録に関する罪(ウイルス作成罪)で問われる行為。法律が違うため、この問いの規制対象には含まれない。
覚え方・ひっかけ注意
不正アクセス禁止法のキーワードは「ネットワーク経由」「他人のID・パスワードの不正使用・不正提供」。マルウェア作成は別の罪、という線引きが頻出のひっかけ。「使う・配る=この法律/作る=ウイルス作成罪」で整理。
理論的背景
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律、平成11年法律第128号)は1999年に制定・2000年施行され、その後2012年に大幅改正された。制定目的は「電気通信回線を通じて行われる不正アクセス行為の禁止、不正アクセス行為に係る発生状況の把握に必要な措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及び当該犯罪の被害者の保護に資する」ことである(法1条)。
同法が規制する主な行為は以下の4類型に整理できる。
1. 不正アクセス行為の禁止(法3条):他人の識別符号(ID・パスワード等)を無断使用してアクセス制御を突破する行為(選択肢b)、またはセキュリティホールを利用してアクセス制御を回避する行為。本文に「ネットワーク経由」という要件があり、ネットワークを介さない行為は対象外。
2. 不正取得行為の禁止(法4条):不正アクセスの目的で他人の識別符号を取得する行為。
3. 不正保管行為の禁止(法5条):不正アクセスに使用する識別符号を保管する行為。
4. 識別符号の不正提供行為の禁止(法6条):他人の識別符号を当該アクセス管理者・識別符号保有者の同意なく第三者に提供する行為(選択肢a)。
選択肢cの「ID・パスワードを無効化するマルウェアの作成」は不正アクセス禁止法の規制対象外であり、刑法168条の2(不正指令電磁的記録作成等罪、いわゆるウイルス作成罪)で処罰される。2011年の刑法改正で新設されたこの罪は「正当な理由なく人の電子計算機における実行の用に供する目的で、不正指令電磁的記録を作成し、又は提供した」者を3年以下の懲役または50万円以下の罰金に処する(刑法168条の2第1項)。
実務での使われ方
不正アクセス禁止法違反は毎年多数の検挙事例があり、警察庁の「不正アクセス行為の発生状況および対策等の状況」報告書が毎年公表されている。フィッシング詐欺によって窃取した他人の認証情報を使ってインターネットバンキングへ不正ログインしたり、SNSアカウントへの不正アクセスで業務妨害するケースが代表的。
企業の対策としては、MFA(多要素認証)の全面導入・パスワードマネージャーの利用促進・フィッシング訓練・アクセスログの監視が有効な予防・検知手段となる。「自分のID・パスワードを同僚に教える」行為は自社従業員間でも選択肢aの不正提供行為に該当しうる点を社内教育で徹底することが重要。
試験での位置づけ
ITパスポートのセキュリティ法規分野で頻出。不正アクセス禁止法・個人情報保護法・刑法(ウイルス作成罪・電子計算機損壊等業務妨害罪)・著作権法の守備範囲の区分が定番の問われ方。「どの法律が適用されるか」を行為の性質で判断する能力が問われる。
上位資格では、2012年改正の追加項目(フィッシング行為の禁止・識別符号の不正保管)、アクセス管理者への義務(識別符号の適切管理)、都道府県公安委員会への援助請求制度、国際的な管轄問題(国外サーバーへのアクセス)まで踏み込んだ問題が出る。
選択肢の発展補足
選択肢a(他人のID・パスワードを第三者に提供):法6条の不正提供行為に該当し、1年以下の懲役または50万円以下の罰金(法12条2号)。「正当な理由なく本人に無断で」という要件が重要で、本人の同意がある場合(パスワードリセットのサポート業務等)は正当な理由として許容される。なお「個人の識別情報(ID・パスワード)は個人情報ではないため個人情報保護法の対象外」という誤解もあるが、個人情報保護法の「個人情報」に該当する場合も多く、両法令が重複して適用されうる。
選択肢b(他人のID・パスワードを無断使用してメール閲覧):法3条1項1号の不正アクセス行為の中核的な禁止行為。懲役3年以下または罰金100万円以下(法11条)と他の類型より重い刑事罰が科される。「閲覧しただけでもアクセスした段階で成立」という点が重要で、情報を実際に外部に持ち出さなくても犯罪が完成する。民事上も不法行為(民法709条)として損害賠償請求の対象になりうる。
選択肢c(ID・パスワードを無効化するマルウェアの作成):刑法168条の2の不正指令電磁的記録作成等罪(ウイルス作成罪)が適用される。「人の電子計算機における実行の用に供する目的」という要件のため、学術目的のサンドボックス内でのマルウェア解析や正当なセキュリティ研究は原則として適用外。しかし裁判例では正当性の判断が難しいケースもあり、Coinhive(マイニングスクリプト)の設置が同罪で起訴される事件(2021年最高裁で無罪確定)が社会問題化した。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和4年度 問9/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。