社団法人 情報サービス産業協会
「不正アクセス対策法制」に関する警察庁(案)及び郵政省(案)へのパブリック・コメント募集への対応について
1.背 景
昨今、企業や行政機関の情報システムに、虚偽の情報(他人のID・パスワード等)や不正の指令(セキュリティホールを突く行為等)を与えたり、暗証符号(パスワード)等を漏らす行為などが社会問題となっている(不正アクセス問題)。
しかし、現在の国内法制では、不正に情報システムに侵入しただけでは罪に問われることはなく、侵入したうえで情報システムを破壊したり、データを盗用して初めて、器物損壊(刑法261条)、窃盗(同235条)、業務妨害(同234条)などの罪に問われる。
日米欧の主要国は、政府機関などの情報システムへの不正侵入が重大な事態につながりかねないとして1998年5月に開催されたバーミンガム・サミット(主要国首脳会議)で法体制の整備を急ぐことで合意されており、日本でも11月に入り警察庁、郵政省がそれぞれ法案の骨子を公表し、広く国民の声を聞く「パブリック・コメントの募集」を実施した(意見締切り12月16日)。
なお、両法案は今後両省庁間で調整の上一本化し、次期通常国会に内閣より提出される予定である。
【不正アクセス関連法制の国内法案と主要各国の立法例】
| |
法律 |
ログの保存義務 |
| 国内 |
警察庁案 |
行政法(「不正アクセス対策法」を新規立法) |
あり(特定電子計算機) |
| 郵政省案 |
行政法(電気通信事業法等既存法の改正) |
なし(郵政省が指針、勧告) |
| 国外 |
英 国 |
1990年「コンピュータ不正使用法」 |
なし |
| 米 国 |
連邦刑法典(政府への侵入のみ) |
なし(事件発生後の強制あり) |
| ドイツ |
刑 法 |
なし |
日経新聞朝刊1998.12.21(一部改変)
2.情報サービス産業との関連
情報サービス業では、特に電気通信事業において影響があるものと思われる。
警察庁案であれば、ログ保存義務が課されることから、事業者のコスト負担が問題となる。
郵政省案であれば、電気通信事業者に対し、その業務に関して知り得た利用者の個人情報を適正に取り扱うべき義務が課されることから、個人情報保護に関するより一層の社内体制の整備が求められる。
法制化後は、不正アクセスが起こった場合の報道によりJISA会員など被害事業者のセキュリティの信頼性についてユーザ等から問題とされる可能性がある。また、捜査方法によっては事業に支障が生ずる場合もあり得る。
なお、一方でセキュリティ・ビジネスの追い風となるという見方もある。
3.法案のポイント
両案とも、対象となるコンピュータは、公衆回線と接続され、アクセスコントロールが行われている事業用のものに限られる(家庭・個人用などのスタンドアローンのコンピュータや社内LANは対象外となる)。
(1)警察庁案
a. 不正アクセスの禁止
一定の電子計算機の利用者識別情報等を盗用して入力するなどして、他人の名で又は匿名で、その電子計算機による情報処理を行うことができるようにし、又は当該情報処理を行う行為を禁止する。違反者に罰則。
b. 不正アクセスを助長する行為の規制
1)他人の利用者識別情報等を無断で提供する行為(ID屋)の禁止。
2)公安委員会は、反復・継続して上記1)に違反する行為を行っている者に、その中止を命ずることができる。命令違反者に罰則。
c. 一定の電子計算機の使用者にログ保存義務。但し、罰則なし。
(2)郵政省案
a. 電気通信設備に対する「不正アクセス」行為の禁止
電気通信事業の用に供する電気通信回線を介して、アクセス制御機能(電気通信設備の利用を権限ある者その他の一定の範囲に限定する機能)を備えた電気通信設備(「特定電気通信設備」)に、虚偽の情報又は不正の指令を与え、当該特定電気通信設備を不正に操作できるようにする行為(当該特定電気通信設備と設置者を同じくする電気通信設備からの行為を除く。)を禁止。違反者に罰則。
b. ID・パスワード等の保護
電気通信事業の用に供する電気通信設備のアクセス制御に用いられる他人のID・パスワード等をみだりに漏らす行為を禁止。違反者に罰則。
c. 利用者の個人情報の適正な取扱い
電気通信事業者に対し業務に関して知り得た利用者の個人情報を適正に取り扱うべき義務を課す。郵政大臣がその取扱いについて指針を定め、指針に従わない事業者に対して勧告をし正当な理由がなく勧告に従わなかったときは公表。
4.JISAの意見
(1)検討の経緯
法的問題委員会、プライバシーマーク審査会個人情報保護部会、セキュリティ委員会安全対策部会で法案に関するアンケート調査により意見聴取後、法的問題委員会委員長、企画部会副部会長及び通産省と相談の上、事務局で意見書をとりまとめ、12月16日に警察庁及び郵政省に提出した。
(2)内容の骨子
a. 最小限の規制(対警察庁案・郵政省案)
- 不正アクセスに対する何らかの法規制を行うことは必要である。
ただし、
- 高度情報化社会の健全な発展は自由な情報流通を確保することが前提となる。
- ネットワーク社会は民間主導で発展してきたという経緯を尊重すべきである。
-->>
不正アクセス防止対策は「自己責任の原則」に従って、各自が行うべきものであり、法規制は最小限に止めるのが原則である。
b. 「不正アクセス」の処罰規定(対警察庁案・郵政省案)
「不正アクセス」行為を処罰することについては、原則として賛成である。
ただし、「不正アクセス」の定義の明確化、処罰範囲の限定に留意すべき。
c. IDやパスワードの売買等の禁止について(対警察庁案・郵政省案)
「自主規制では対応不可。法規制に賛成であり、処罰の対象とすべきである。
d. ログ保存義務について(対警察庁案)
反対。広範囲の事業者に一律かつ常時ログ保存を義務づけることは過剰規制。
-->>
各事業者の自主的対応に委ねるべきである。
e. 公安委員会への届出義務(罰則なし)について(対警察庁案)
反対。そうした義務を課すことでどのような犯罪抑止効果ないし社会的利益があるのか明確ではない。そうした情報をいかに活用し犯罪の抑止を図るのか具体性に乏しい。最小限の規制の考え方からは、罰則規定の有無に関わらず、規定の導入には反対である。
f. 利用者の個人情報の適正な取扱いについて(対郵政省案)
既にプライバシーマーク制度もスタートしていることであり、民間の自助努力に委ねるべきであり、法制化は慎重であるべきである。
g. その他の意見・要望
- 電気通信事業者等の業務に支障のない捜査方法の確立(対警察庁案)
- 被害者(事業者)名非公表の徹底(対警察庁案)
- 事業者のセキュリティ対応を支援する税制の創設(対郵政省案)
以上