ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

監視カメラ映像の件の不正アクセス禁止法の解釈上の論点

監視カメラ映像が、公開されている件。
初期設定のIDとパスワードを使っていると、報道されています

この件に関連する法的構成を考えてみたいと思います。

1.民事訴訟

2.刑事

(1)不正アクセス行為の禁止等に関する法律(平成十一年八月十三日法律第百二十八号)の罰則

  • 不正アクセス行為をした者は、三年以下の懲役又は百万円以下の罰金(11条、3条)
  • 不正アクセス行為とは何か。今回問題になりそうなのは、以下のもの。
    • (A)アクセス制御機能を有する(B)特定電子計算機に(C)電気通信回線を通じて(D)当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、(E)当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)(2条4項1号)
    • 平たく言えば、パスワードなどを入力して利用できる状態にしたこと。その他、セキュリティ・ホールをつく行為なども規定されているが、今回は割愛。
  • 今回、これが適用できるかは、(B)特定電子計算機に当たるか、(D)アクセス制御機能に係る他人の識別符号を入力したといえるか、辺りが問題になるか。
  • (B)特定電子計算機に当たるか
    • 監視カメラに侵入したということで、どういう構成になっているのかがわからないが、サーバなどが立っているように思うので、おそらく特定電子計算機に当たるのではないか。
    • ちなみに、「特定電子計算機」とは、電気通信回線に接続している電子計算機のこと(第2条第1項)。
    • 電子計算機とは、自動的に演算や情報処理を行う電子装置である物理的な機器をいう(平成17年3月25日/東京地方裁判所/刑事第10部/判決/平成16年(特わ)752号、判例時報1899号155頁)
  • (D)アクセス制御機能に係る他人の識別符号を入力したといえるか
    • 初期パスワードが、法律上の「識別符号」を入力したといえるかが問題になるのではないか。
      • この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう(第2条第2項)。
        • 一  当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
        • 二  当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
        • 三  当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
      • あるユーザと他のユーザを区別して識別することができるようにした符号といえるのか。これは難しい。初期設定の場合、同一IDパスワードであるが、初期設定のままでも利用できるし、変えても利用できるということで、実態的に見れば、あるユーザと他のユーザを区別できるようにも考えられるか。これは厳しい気もする。
      • アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号といえるか。アクセス管理者によって、初期設定がWeb公開などされていると、みだりに知らせてはならないものとはされていないと考えられる。
    • 初期パスワードが、アクセス制御機能にかかるものといえるか
      • この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう(第2条第3項)。
      • ID、パスワードによって制限しているのであって、これはアクセス制御機能には該当すると考えられる。
  • ということで、識別符号該当性が厳しいように感じられる。


(2)不正アクセス行為の禁止等に関する法律(平成十一年八月十三日法律第百二十八号)の関連条文

(罰則)

  • 第十一条  第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。

不正アクセス行為の禁止)

(定義)

  • 第二条  この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。
  • 2  この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
    • 一  当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
    • 二  当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
    • 三  当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
  • 3  この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。
  • 4  この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
    • 一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
    • 二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
    • 三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為


(3)不正アクセス行為の禁止等に関する法律の関連リンク