不正アクセス禁止法のフォレンジックとデジタル証拠

元従業員・元役員が、退職後であるにも関わらず、自宅からインターネット経由で会社のコンピュータに不正アクセスし、メールやグループウェアの閲覧をしたり、ファイルの取得(持ち出し・漏えい)などを行うことがあります。こうした不正行為は、不正アクセス禁止法で禁止され、処罰も規定されています。なお、メール等の不正閲覧やファイルの不正取得は、同法違反の成立に必要な要件ではありません。不正ログイン自体ですでに違反です。また、ログインせずとも不正アクセスを行う目的でID・パスワードを取得した場合、その取得行為のみで違反が成立します。そのため、メール等の不正閲覧やファイルの不正取得の有無によることなく、不正アクセス行為は成立することになります。

「不正アクセス行為」は不正アクセス禁止法において次のように規定されています。

不正アクセス行為の禁止などに関する法律
第2条第4項第1号
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

https://elaws.e-gov.go.jp/document?lawid=411AC0000000128

なお第2条第4項では、上記の他にもシステムの不具合や機器の脆弱性を利用した、いわゆるハッキングによる不正アクセス行為に関する規定もあります。しかし、当社にご相談いただく時点で、ハッキングが疑われている事案はそれほどありません。やはり元社員等が一般的な手段で元勤務先のコンピュータに不正ログインする事案の方が多いため、ここではハッキングに関するものは省略しています。

不正アクセス行為とは

さて、不正アクセス行為の定義をあらためて言い換えると、「アクセス制限された会社のコンピュータに、インターネットを介して、他人のID・パスワードを無断で入力し、アクセスする行為」となります。警察庁による「不正アクセス行為の禁止等に関する法律の解説」(以下、「警察庁の解説」という。)にも次のような分かりやすい記述があります。

「他人の識別符号を悪用することにより、本来アクセスする権限のないコンピュータを利用する行為、すなわち、正規の利用権者等である他人の識別符号を無断で入力することによって利用制限を解除し、特定利用ができる状態にする行為です。」

ここでの識別符号とは、ID・パスワードと読みかえると、より分かりやすいと思います。ログイン方法には、指紋認証などの方法もあるため、それらが除外されることのないように「識別符号」という言葉がつかわれています。

また、警察庁の解説には次のようにも書かれています。「不正アクセス行為には(中略)「電気通信回線を通じて」行われるもの、すなわちコンピュータ・ネットワークを通じて行われるものに限定されています。したがって、スタンドアロンのコンピュータ(ネットワークに接続されていないコンピュータ)を無断で使用する行為や、ネットワークに接続されアクセス制御機能により特定利用が制限されているコンピュータであっても当該コンピュータのキーボード(コンソール)を直接操作して無断で使用する行為は、「電気通信回線を通じて」行われているわけではないため、不正アクセス行為には該当しないこととなります。」

それと、このページでは会社のコンピュータにアクセスしたことを主に想定していますが、そのコンピュータは必ずしも物理的に社内に設置されている必要はありません。インターネット上のWEBサーバやクラウドも対象に含まれます。

不正アクセス禁止法の罰則

不正アクセス行為

三年以下の懲役又は百万円以下の罰金(第11条)

他人の識別符号を不正に取得する行為

一年以下の懲役又は五十万円以下の罰金(第12条第1項)

不正アクセス行為を助長する行為

一年以下の懲役又は五十万円以下の罰金(第12条第2項)または、三十万円以下の罰金(第13条)

他人の識別符号を不正に保管する行為

一年以下の懲役又は五十万円以下の罰金(第12条第3項)

識別符号の入力を不正に要求する行為

一年以下の懲役又は五十万円以下の罰金(第12条第4項)

不正アクセス禁止法違反のデジタル証拠

不正アクセス行為の禁止などに関する法律が規定する不正行為と罰則は前項の表のとおりです。同法の適用により処罰を求める場合には、表にある不正行為の証拠が必要になります。つまり、デジタルフォレンジック調査によって、検出すべきデジタル証拠は、これらの不正行為があったことを示すものとなります。

  • 不正アクセス行為
  • 他人の識別符号を不正に取得する行為
  • 不正アクセス行為を助長する行為
  • 他人の識別符号を不正に保管する行為
  • 識別符号の入力を不正に要求する行為

実例:在職中に取得したID・パスワードを退職後に不正使用

社員が退職しても、それまで使用していたメールやグループウェア等にアクセスするためのID・パスワードを、会社が変更しないことがあります。あるいは、在籍中に知った同僚のID・パスワードを、自身が退職しても保管していることがあります。他にも、リモートワークのために自宅の私物パソコンに設定したID・パスワードが、消されることなくそのまま放置ということもあります。会社のセキュリティ管理が不十分であることに責任を感じてしまうかもしれませんが、全ての企業が万全のセキュリティ体制を組めているわけではありませんし、むしろ不正が発覚することで、初めてセキュリティを見直すきっかけになることもあります。ここでは、特殊な手段を講じることなく、不正アクセス行為はできてしまうということをご理解ください。

たとえば、ある会社では、契約していた求人情報サイトにログインするためのID・パスワードを、役員と人事担当者数名で共有していた、ということがありました。サイトにログインすると、応募者の氏名や電話番号などの情報を閲覧することができる仕組みです。あるとき、ひとりの人事担当者が退職しました。その後しばらくすると、予定していた面接日に応募者が来ないということが何度か続きました。そこで、会社から応募者に尋ねてみると、面接日時と会場が変更になっていたことが発覚しました。もちろん会社側は何も変更はしていません。さらに数人の応募者に連絡をとるうちに、あろうことかその退職した元人事担当者が、応募者に連絡を取って、面接日時と会場が変更になったことを案内していた可能性が浮かび上がってきました。元従業員は同業他社に転職し、そこでも人事担当になっていたのです。この事件は当社のフォレンジック調査の後、警察による捜査になりました。

実例:リモートアクセス(遠隔操作)ツールを用いた不正アクセス行為

他にも、リモートアクセス(遠隔操作)機能のあるソフトウェアを勤務中に会社のパソコンにインストールしておき、退職後に社外からそのパソコンに不正アクセスして、社内の情報を取得する、というケースもあります。リモートアクセスは、ご使用経験がないとピンとこないかもしれませんが、例えば自宅のパソコンに、会社PCの画面を表示させて、キーボード操作やマウス操作を、あたかも会社にいるかのように行うことができる機能です。無料で使用できるものがいくつもあり、手軽に導入できてしまいます。設定も使い方も簡単ですので、パソコン上級者でなくともすぐに使えます。リモートアクセスのデジタル証拠は、アクセスされたパソコンをフォレンジック調査しても検出できます。例えばアクセス日時が早朝・夜間・休日に集中している場合には、退職者は日中は別の会社で働いている可能性があり、リモートアクセスは自宅から行ってると推測できることがあります。また、営業秘密へのアクセス履歴が見つかれば、不正競争防止法違反の証拠にもなります。

セキュリティ機器や資産管理ツールのログ

ハイブリッドワークが普及したこともあり、社外からVPN接続で会社のファイルサーバにアクセスする機会も増えました。不正アクセス禁止法の違反を示す証拠は、VPN機器や資産管理ツールなどにログとして残されていることもあります。当社のフォレンジック調査では、そうしたログを探しだしたり、ログの分析も行っています。不正調査をはじめるにあたっては、最初から対象機器を絞り込みすぎてしまうと、せっかくの証拠を見逃してしまうかもしれません。そのため、調査の初期段階からヒアリングを重視しています。

さいごに

コンピュータには詳しくない経営者の方。そして、パソコンが得意でない弁護士の方にも、デジタル証拠についてご説明を承りますので、被害の証拠が必要なときは、どうぞご遠慮なくお問い合わせ下さい。

なお、このページは弁護士ではないデジタルフォレンジックスの専門家が作成したものです。記載内容に法的な解釈および説明として誤っている箇所があることを否定しきれません。もしそのような箇所を見つけられました際には、ご指摘いただければありがたく存じます。直ちに修正するように致します。

不正調査における法的視点のフォレンジックとデジタル証拠(関連リンク)