ここでは不正閲覧・不正アクセスとはどんなことを指すのかを解説。あまり意識せずに社内でやってしまいそうな行為や不正アクセス禁止法についても簡単にご紹介します。
不正アクセスとは他人のID・パスワードを入力したり、自分には権限がないのに不正に情報を閲覧したり、利用できる状態にする行為のこと。これはサイバー犯罪者が行うもので自分には無関係と思うかもしれませんが、家族間など親しい関係で知ったIDやパスワードを勝手に使用するのも不正アクセス禁止法に抵触する可能性があります。
不正アクセス行為や不正アクセスを助長するような行為を禁止する法律として「不正アクセス禁止法」があります。これに違反すると「長期五年未満の懲役若しくは禁錮又は罰金に当たる罪」になります。例えば病院で電子カルテの閲覧権限がないスタッフが閲覧すると法律違反。個人情報保護関連法違反や秘密漏示罪に該当する可能性もあります。
2021年8月6日、警視庁は情報管理課の職員がサーバーから人事や捜査情報を不正に持ち出し、運転免許保有者約26万人分のデータを削除していたと発表しました。この職員は上司のIDとパスワードを使って不正にサーバーに接続。殺人事件の捜査資料や人事評価などの約18万5千ファイルをコピーを持ち帰るなどした疑いで書類送検されました。
中国電力は2023年1月27日、複数の社員が子会社が管理する新電力の顧客情報を不正に閲覧していたと発表しました。それを受けた経済産業省の聞き取り調査によると、不正に閲覧していた情報は約4000件に上る疑いがあることがわかり、電力会社とその子会社に対し、事実関係や再発防止策についての報告を求めました。
大崎市民病院は2015年7月、前年の10月に職員が入院患者の電子カルテを不正に閲覧する不祥事があったことを発表しました。業務外で閲覧した職員は24人。禁止行為の認識があったにも関わらず行ったのは個人のモラル欠如が要因としています。情報漏洩の事実は確認されませんでしたが対策委員会が設置され全職員の調査が実施されました。
不正閲覧・不正アクセスは悪意のある場合と、悪意はなく情報の取扱いの認識やモラル不足により発生する場合があります。会社に恨みがあったり、最初から情報漏洩を目的とした不正アクセスは明らかに犯罪行為です。
悪意がなくても法律に違反する行為であれば罪に問われる可能性があるため注意が必要です。軽い気持ちで情報を覗き見してしまうのは、その先にある情報漏洩による会社・組織の被害まで理解が及ばない点に問題があると考えられます。
不正アクセスや閲覧の被害の予防として、社員教育にて下記を意識させるようにしましょう。
不正閲覧
・自分が見てはいけない情報を興味本位で閲覧しない。
・本当に必要な人だけが情報にアクセスするよう、フォルダ管理を徹底する。
不正アクセス
・業務に関係のないアプリケーションはインストールしない(使わない)。
・私物パソコンは業務では使わない。
・業務情報のバックアップをこまめにしておく。
システム管理者としては、脆弱性の解消やコンピュータウイルス対策、BCP対策などをし、リスク低減に努めましょう。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
本サイトの監修者であるアルファネットでは、セキュリティ強化アドバイスや社員教育なども行っています。不正閲覧・不正アクセスを防止し社内のセキュリティ意識を高めたい場合は、対策も含め相談してみるとよいでしょう。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
不正閲覧は、興味本位で閲覧したことで、プライバシーの侵害にあたる可能性があります。
不正アクセスは、サーバや情報システムが停止してしまったり、重要情報が漏洩してしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼす可能性があります。