郵政省資料 B-1
戻る
原資料
発表日 : 1998年11月25日(水)
タイトル : 「電気通信システムに対する不正アクセス対策法制の
在り方について」への意見(パブリック・コメント)の募集
ネットワークを通じてシステムに不正に侵入するいわゆる「不正アクセス」行為
が急増し、社会問題化していることにかんがみ、郵政省では、このような行為を規
制する等の不正アクセス対策法制の整備を検討しているところです。
このたび、郵政省としての基本的考え方を別紙のとおり「電気通信システムに対
する不正アクセス対策法制の在り方について」としてまとめましたので、広く皆様
から御意見をお寄せいただくことにより、法制化の際の参考とさせていただくこと
といたしました。つきましては、本日より平成10年12月16日(水)までの間、
皆様の御意見を電子メール、FAX、郵送等により受け付けることとしましたので、
下記のあて先まで自由にお寄せ下さいますようお願いいたします。
また、郵政省では、皆様からのパブリック・コメントを踏まえて、今後、関係省
庁と調整し、電気通信システムに対する不正アクセス対策法制の整備に取り組んで
いくこととしております。
なお、お寄せいただいた御意見につきましては、プライバシー保護に十分留意し
た上で公表させていただく場合がありますので、あらかじめ御了承をお願いいたし
ます。
記
電子メール
access@mpt.go.jp
FAX
郵政省電気通信局データ通信課
03−3595−2594
郵送
〒100-8798 千代田区霞ヶ関1−3−2
郵政省電気通信局データ通信課
連絡先:電気通信局電気通信事業部
デ ー タ 通 信 課
いんどう しんのう
(担当:犬童課長補佐、神農専門職)
電 話:03−3504−4836
連絡先:電気通信局電気通信事業部
業務課電気通信利用環境整備室
(担当:守下課長補佐、中溝係長)
電 話:03−3504−4831
電気通信システムに対する不正アクセス対策法制の在り方について
1 目的(趣旨)
近年、インターネットに代表されるような、国民生活・社会経済活動のネット
ワーク化の進展とともに、ネットワークを介した、いわゆる「不正アクセス」行
為が社会問題化している。
「不正アクセス」行為は電気通信の安全・信頼性を阻害することから、「不正
アクセス」行為を禁止する等、所要の法的措置を講ずることにより、電気通信の
健全な発達を図ることとする。
(解説)
1 インターネットの爆発的な普及に見られるように、電気通信サービスが高度
化・多様化し、国民生活・社会経済活動のネットワーク化が益々進展しつつある
ところであるが、さらに、こうした電気通信サービスの高度化・多様化による恩
恵を国民一人一人が享受できるよう、電気通信の安全・信頼性とプライバシーが
確保され、また、安全かつ自由な情報通信が確保される高度情報通信社会の実現
に向けて官民一体となって取り組んでいく必要がある。
このような高度情報通信社会の構築は、民間主導で進めるとともに、政府とし
ても、国民や企業等が安心して自由に情報通信を行えるような環境整備を図って
いくことが重要である。
2 こうした中、近年、インターネット上における、わいせつ情報の流通、迷惑
メール、プライバシー侵害などをはじめとする、インターネットの不適正な利用
によるトラブルが大きな社会問題となっている。また、ネットワークを通じて、
なりすまし(他人のパスワードを無断で利用)等により、他人の電気通信システ
ム(サーバ等)に不正に侵入する、いわゆる「不正アクセス」行為や、「不正ア
クセス」行為による個人情報の漏えい、プライバシー侵害等は、特に問題化して
いる。
(事例につき、別紙1参照)
3 郵政省では、こうしたいわゆる「影の部分」に対しても適切に対処し、利用者
が安心してインターネットを利用できるよう、電気通信の利用環境の整備を図る
ことが重要な課題であるとの認識の下、これまでもインターネットの健全な発展
と利便性の向上のため、「影の部分」への対策を網羅的に検討するとともに、
「情報通信ネットワーク安全・信頼性基準」(昭和62年郵政省告示第73号)
の策定等の施策に取り組んできた。今回の不正アクセス対策法制の検討も、こう
したインターネットの不正利用対策の一環として行われるものである。
4 不正アクセスの被害については、日本コンピュータ緊急対応センター
(JPCERT)によれば、1997年度(平成9年度)に同センターに報告されているも
のだけでも429件とされているが、被害を受けた企業が被害事実を隠す傾向に
あることから、実際の被害件数は更に多いものと考えられる。なお、米国コンピ
ューター緊急対応センター(CERT/1988年設立)に報告された不正アクセス件数は、
1988年の6件から1997年には2,134件(この10年間に350倍)と急増しており、
今後、我が国においても同様に急増していくものと予想される。
また、国内の上場企業等に対して行われた直近の民間調査によると、インター
ネットに常時接続している企業の3割強が不正アクセスを受けたと回答しており、
不正アクセスによる被害は、拡大しつつあると言える。
5 一般に、企業等は不正アクセスを防止する観点から、電気通信システムにファ
イアウォールやID・パスワードによる認証などのアクセス制御機能を設けてい
るが、実際の不正アクセスの事例を見ると、他人のID・パスワードを無断で入
力したり、あるいは、IPアドレスを改ざんすること等により、アクセス制御機
能を回避又は無効にして行われている。
アクセス制御機能は、オープン・ネットワークが普及する高度情報通信社会に
おいて、安心して電気通信を行うためのセキュリティ機能として重要なものであ
り、これを破ることにより行われる不正アクセスは、電気通信の機能に障害を与
えて通信を妨害する行為(有線電気通信法(昭和28年法律第96号)第13条
では、有線電気通信設備の機能に障害を与えて有線電気通信を妨害した者は5年
以下の懲役又は100万円以下の罰金に処する旨の規定がある。)と同様、電気
通信の円滑な運用、ひいては電気通信の安全・信頼性を阻害するため、電気通信
の規律の観点から「不正アクセス」行為の禁止等、所要の法整備を行う必要があ
る。
6 なお、本年5月に開催されたバーミンガム・サミットにおいても、各国政府の
首脳は不正アクセス対策に関し、以下の事項について合意しており、国際的にも
同対策の必要性・緊急性が認識されているところであるが、我が国においては
「不正アクセス」行為を規制する法整備がなされていないことから、迅速な対応
が求められている。
1) 電気通信の濫用による犯罪に対処するため、各国法制度の迅速な見直しを行う
。
2) 犯罪捜査の証拠として通信履歴(ログ)等を活用する法的枠組みに合意するた
め、産業界との緊密な協力の呼びかけを行う。
7 不正アクセス対策法制としては、以下の事項を内容とする有線電気通信法及び
電気通信事業法(昭和59年法律第86号)の一部改正による法整備を図るもの
とする。(詳細は下記2(不正アクセス対策法制の概要)を参照)
(1) 電気通信設備に対する「不正アクセス」行為の禁止
(2) ID・パスワード等の保護
(3) 利用者の個人情報の適正な取扱い
8 不正アクセス対策法制は、電気通信の安全・信頼性とプライバシーが確保され、
また、自由で安全な情報通信が確保される高度情報通信社会を実現するための民
間活動を促進するために行うものである。したがって、法律による各種の義務付
け等の過度の規制は不要であるばかりでなく、民間の自主的な取組に対する活力
を削ぐことにもなりかねないことから、規制は最小限のものとする。以下、不正
アクセス対策法制の概要について、個別に記述する。
2 不正アクセス対策法制の概要
(1) 電気通信設備に対する「不正アクセス」行為の禁止
電気通信事業の用に供する電気通信回線を介して、アクセス制御機能(電気
通信設備の利用を権限ある者その他の一定の範囲に限定する機能)を備えた電
気通信設備(以下「特定電気通信設備」という。)に、虚偽の情報又は不正の
指令を与え、当該特定電気通信設備を不正に操作できるようにする行為(当該
特定電気通信設備と設置者を同じくする電気通信設備からの行為を除く。)を
禁止する。
違反者に対する罰則を設けるものとする。
(解説)
1 「電気通信事業の用に供する電気通信回線を介して」
電気通信事業(電気通信事業法第2条第4号に規定する電気通信事業をい
う。)の用に供する電気通信回線、例えば、「公衆回線」「専用回線」を経由す
ることをいう。したがって、「不正アクセス」として規制の対象とされる行為は、
公衆回線等を経由する場合に限定され、企業LAN等において、同一構内にある
設備間で不正アクセスが行われた場合(「公衆回線」等は経由していない)は対
象とならない。
電気通信事業の用に供する電気通信回線は、不特定多数の者が利用しているこ
とから、不正アクセス行為が横行すると、それによる影響が特に大きくなると考
えられるため、電気通信の安全・信頼性が特に確保されることが必要である。
これに対し、企業LAN等の同一構内にある設備間において行われる不正アク
セス行為は、その被害者となる各企業等がその従業員等に対する管理を徹底する
ことにより防止が期待できること、及び行為者の追跡が比較的容易であることか
ら、対象とはしないこととする。
2 「アクセス制御機能」
「アクセス制御機能」とは、電気通信設備に備えられた機能の一部であり、当
該電気通信設備の利用を、ID・パスワード等の認証により権限のある者に限定
したり、一定の範囲の通信に限定する機能(ファイアウォール。例えば、パケッ
トフィルタリングのように一部のIPアドレスからの通信に限定するもの等)を
いう。
したがって、「不正アクセス」行為として規制されるのは、このようなアクセ
ス制御機能を備えた、プロバイダー並びに大学及び企業等のサーバ、利用者のパ
ソコン等(「特定電気通信設備」)に対して不正アクセスが行われた場合を対象
としている。
3 「虚偽の情報」
「虚偽の情報」を与えるとは、内容が真実に反する情報を入力させることをい
う(刑法第246条の2(電子計算機使用詐欺罪)参照)。「虚偽の情報」とし
ては、例えば、他人のID・パスワード等(の入力)や改ざんされたIPアドレ
ス等がある。
4 「不正の指令」
「不正の指令」を与えるとは、電気通信設備における事務処理の目的に照らし
て与えられるべきでない指令を与えることをいう。「不正の指令」としては、例
えば、ファイアウォールのバグ(いわゆるセキュリティ・ホール)を突く行為等
がある。
5 「当該特定電気通信設備と設置者を同じくする電気通信設備からの行為を除
く」
例えば、企業等が東京の本社及び地方の支社に各々LANを構築している場合
において、支社のLANから、専用回線等を介して本社のLANに不正に侵入す
るなどの行為を除く趣旨である。このような行為も、企業LAN等の同一構内に
おける不正アクセス行為を対象としないこととの均衡を図るため、対象とはしな
い。
(2) ID・パスワード等の保護
電気通信事業の用に供する電気通信設備(以下「事業用電気通信設備」とい
う。)のアクセス制御に用いられる他人のID・パスワード等をみだりに漏
らす行為を禁止する。
違反者に対する罰則を設けるものとする。
(解説)
1 電気通信事業者が事業用電気通信設備の利用を正当な権限を有する者に限定する
ための認証に用いられるID・パスワード等は、正当な利用者を把握し、電気通
信サービスを円滑に提供することを可能にするものである。しかしながら、クラ
ッキングソフト(パスワードとして可能なすべての組合せを試す等により、パス
ワードを探索するプログラム)等を用いることにより、他人のID・パスワード
等を取得した上、第三者に譲渡する事例が見られ、こうした行為は、電気通信役
務の円滑な提供を阻害する行為であるだけでなく、不正アクセス行為やそれによ
る「通信の秘密」及びプライバシーの侵害を助長し、ひいては電気通信の安全・
信頼性を阻害することから、こうした行為を禁止し、違反者に対する罰則を設け
るものとする。
2「事業用電気通信設備のアクセス制御に用いられる」
対象とするID・パスワード等は、事業用電気通信設備のアクセス制御に用い
られるものに限定するものとする。したがって、企業・大学等が、自ら設置した
LAN等のアクセス制御に用いるため、当該設備の利用者(従業員・学生等)に
付与するID・パスワード等は対象とならない。
これは、個々の企業・大学等の場合においては、ID・パスワード等が付与さ
れる利用者は一定の範囲に限定されており、これらの利用者に対する適正管理の
指導を徹底することによって防止できること、また、企業LAN等の同一構内に
おける不正アクセス行為を処罰の対象としないこととの均衡を図るためである。
一方、事業用電気通信設備のアクセス制御に用いられるID・パスワード等は、
インターネット・プロバイダー等がそれを付与する者が不特定多数であるため、
適正管理の指導が十分に行き届かない面がある。また、他人のID・パスワード
等を用いて、単にインターネットのホームーページをブラウジング(閲覧)する
等の行為が横行すると、当該インターネット・プロバイダーの業務に大きな支障
を来たすこととなる。さらに、実態は必ずしも明らかでないが、アンダーグラウ
ンドにおけるホームページ等において、現に売買されているID・パスワード等
の多くは、事業用電気通信設備のアクセス制御に用いられるものであると見られ
ることから、これらについて規制の対象とするものとする。
3 「ID・パスワード等」
「ID・パスワード等」には、将来的に実用化することも想定される生体認証
情報(指紋、虹彩等)も対象として含まれる。
4 「みだりに漏らす」
ID・パスワード等を正当な理由なく第三者に積極的に告げ、又は第三者の知
りうる状態に置くことをいう。
正当な権限のない者が他人のID・パスワード等を不正に知得したとしても、
それを自ら利用する場合のほかは、第三者をして利用可能な状態に置かない限り、
電気通信の安全・信頼性に対する侵害の危険性は未だ現実化しないといえるから、
みだりに漏らした段階で処罰の対象とする。
(3) 利用者の個人情報の適正な取扱い
電気通信事業者に対し、利用者の利益が阻害されないように、その業務に関
して知り得た利用者の個人情報を適正に取り扱うべき義務を課し、郵政大臣
がその取扱いについて指針を定めることができることとする。
また、指針に従わない事業者に対しては、郵政大臣が必要な勧告をするこ
とができることとし、当該電気通信事業者が、正当な理由がなく勧告に従わ
なかったときは、郵政大臣がその旨を公表することができることとする。
(解説)
1 利用者の個人情報の適正な取扱いに関する指針策定の目的
電気通信事業者の取扱中に係る「通信の秘密」に属する事項については、既に
電気通信事業法第4条第1項でその侵害が禁止され、その違反には罰則も設けら
れている(同法第104条)。しかしながら、それ以外の利用者の個人情報(利
用者の氏名、住所、ID・パスワード等)については、法的な保護が十分ではな
く、不正アクセスその他の手段による個人情報の漏えい事件等が社会問題化して
いるところである。そこで、既述2(2)で他人のID・パスワードを漏らす行為を
規制することに加えて、当該利用者の個人情報を管理する電気通信事業者による
適正な取扱いを確保することも重要となっている。
また、電気通信事業者が取り扱う利用者の個人情報については、以上のような
不正アクセスに関係する場面に限らず、事業を遂行する中で適正な取扱いを確保
することが国際的にも求められるようになってきている。
このような状況の下、電気通信事業者に対し、利用者の個人情報の適切な取扱
いについて指針を示し、それに従わない電気通信事業者に対する勧告等の措置を
設けることにより、不正アクセスの防止を含めた利用者の権利利益の保護を図る
こととするものである。
2 「勧告」及び「公表」
電気通信事業者による利用者の個人情報の適正な取扱いについては、現在は、
各事業者に対し、郵政省が定めたガイドライン(「電気通信事業における個人情
報保護に関するガイドライン」)に従った措置をとるよう求めているところであ
るが、ガイドラインは、法的拘束力がない等の問題があるとの指摘もある。
このため、郵政大臣は電気通信事業者が適切に個人情報を取り扱うための指針
を定めることができることとするとともに、指針に従わない電気通信事業者に対
して必要な勧告をすること、及び当該勧告に従わなかった場合にその旨を公表す
ることを定めることにより、実効性を図ることとする。
3 指針の具体的な内容
利用者の個人情報の保護に関する5つの基本原則(個人情報に関する収集の制
限、利用・外部提供の制限、適正管理(セキュリティ対策)、開示及び訂正への
対応、責任の明確化)を定めるほか、電気通信事業者特有の各種個人情報(通信
履歴、利用明細、電話番号情報等)の取扱いについて、個別に規定することを予
定している(別紙2参照)。
このうち、不正アクセス対策との関係では、適正管理(セキュリティ対策)が
特に重要であり、電気通信事業者に対しては、パスワード管理の徹底等の措置を
講じることを推奨することとする。
また、利用者の個人情報の1つである通信履歴(ログ。利用者が電気通信を利
用した日時、利用者ID、IPアドレス、発信元電話番号等)については、不正
アクセス対策の一環として、その記録と一定期間の保存が有用であるが、他方、
こうした利用者の通信履歴は「通信の秘密」に属する事項であること、及び保存
には事業者の負担を伴うことから、慎重な取扱いが求められる。指針では、この
点につき、通信履歴(ログ)は、課金、苦情対応、不正利用の防止(不正アクセ
ス対策を含む)その他の業務の遂行上必要な場合に限り記録するものとし、その
期間は各事業者が事業の必要に応じて自主的に定めるものとする。また、その期
間経過後又は目的達成後は、速やかに消去すべき旨を定めることとする。
ただし、捜査機関等から現実に不正アクセスが発生しており、特定のログの保
存の要請があった場合は、電気通信事業者としても不正利用の発見・防止に努め
る必要があることから、上記にかかわらず保存できるものとする。
また、通信履歴(ログ)の外部提供については、裁判官の発付した令状に従う
場合、正当防衛又は緊急避難に該当する場合その他の違法性阻却事由がある場合
にのみ許されるものとする。
不正アクセスの具体的事例
1 アクセス制御機能を備えた電気通信設備に虚偽の情報(他人の
ID・パスワード等)を与えることによる不正アクセスの事例
(1)自ら開発したプログラムを使って、インターネットサービスプロバイ
ダの社員のID・パスワードを探知し、それを用いて会員のID・パスワー
ドを格納したサーバに侵入し、数千人の会員のパスワードを入手した。
(2)パソコン通信上でパスワード探知ソフトを使って他の会員のID・パスワ
ードを探知し、それを盗用してこの会員になりすました上、電子掲示板等を
利用してパソコン部品を販売すると偽って数百万円をだまし取った。
2 アクセス制御機能を備えた電気通信設備に不正の指令(セキュ
リティホールを突く行為等)を与えることによる不正アクセスの事例
(1)セキュリティホールを利用して、プロバイダのコンピュータ・ネットワー
クに侵入し、財務・販売データを削除した上、同社に登録されていた会員の
氏名、住所、生年月日、電話番号をはじめ銀行口座などの個人情報を取得し
てホームページに勝手に掲載した。
(2)セキュリティホールを利用して、A社のサーバに侵入し、大量の社外秘資
料を入手した。
3 暗証符号(パスワード)等をみだりに漏らす行為に関連した事例
パスワードの探知ソフトを使って他人のID・パスワードを探知し、これらの
ID・パスワードや銀行口座をパソコン通信上で販売し、多額の不正な利益を上
げていた。
また、販売された他人のID・パスワードを利用した詐欺、わいせつCDーR
OM販売などの犯罪が発生した。
指針として想定している内容
1 利用者の個人情報の保護に関する5つの基本原則
(1) 収集の原則
可能な限り目的を特定し、その目的を達成するため必要な限度を超えてはなら
ない。
(2) 利用・提供の原則
収集目的以外の目的のために利用し、又は提供してはならない。
(3) 適正管理の原則
情報の正確性・最新性を保つよう努めるとともに、情報への不正なアクセス、
情報の紛失、破壊・改ざん、漏えいの防止その他の適正管理のための措置を講じ
なければならない。
(4) 開示及び訂正の原則
情報主体からの開示請求及び訂正等の申出があった場合には、遅滞なく応じな
ければならない。
(5) 責任の原則
利用者情報の取扱いについて決定権限を有する者の明確化や監査体制の整備等
の保護措置を講じなければならない。
2 各種情報の取扱いに関する規定(各論)
(1)通信履歴(以下(2)参照)、利用明細、発信者情報、位置情報、不払い
者情報、電話番号情報の収集、利用・外部提供、適正管理等について、個別に
規定。
(2) 通信履歴(ログ)の取扱いについて
(ア) 通信履歴(ログ)は、課金、苦情対応、不正利用の防止その他の業務の遂行
上必要な場合に限り記録するものとし、事業者ごとに定める保存期間経過後又
は目的達成後は、速やかに消去しなければならないものとする。
(イ) ただし、捜査機関等から現実に不正アクセスが発生しており、特定のログを
保存しておいてもらいたい旨の要請があった場合は、上記にかかわらず保存で
きるものとする。
(ウ) ログの外部への提供については、法令に従う場合等の違法性阻却事由がある
場合にのみ許されるものとする。
TOPに戻る