水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 本人から教えてもらったパスワードで不正アクセスは成立する?

本人から教えてもらったパスワードで不正アクセスは成立する?

2008年10月25日(土曜日)

本人から教えてもらったパスワードで不正アクセスは成立する?

オンラインゲーム内での「離婚」に腹を立てた女性、相手のオンラインゲームキャラを削除して逮捕 (slashdot.jp)」。

女性によると、IDとパスワードは以前に男性から聞いていたとのことだ。傍から見ると非常にどうでもよいような事件だが、最終的に北海道警が動く事態となり、女性は不正アクセス禁止法違反容疑で逮捕された。「男性はゲームが下手で、容疑者にIDを教え、自分のキャラのステージクリアを頼んでいた」とのことで、不正アクセスなのかどうかも非常に疑問ではあるのだが、個人的にはこんなどうでもよいような事件に関わることになった警察の方々に同情したい。

これはなかなか興味深い状況ですね。規約 (www.nexon.co.jp)を見ると以下のようにありますので……

4. 会員は、会員IDおよび会員パスワードを第三者に利用させてはならないものとします。

以上、ネクソンジャパン会員サービス利用規約 より

IDとパスワードは不正アクセス禁止法2条2項の「識別符号」にあたるでしょう。件の男性会員はその識別符号を第三者である女性会員に教えており、その女性会員が実際にその識別符号を使ってログインし、ゲームをプレイしていたわけですね。

パスワードを他人に教えるのは会員規約違反ですが、違法ではなさそうです。不正アクセス禁止法4条の但し書きを見ると、

何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

以上、不正アクセス行為の禁止等に関する法律 第4条 より

利用権者の承諾を得てパスワードを他人に教える場合はOKですので、利用権者本人が他人にパスワードを教える行為は合法のようですね。

そして3条2項1号を見ると、

アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

以上、不正アクセス行為の禁止等に関する法律 第3条 より

ということで、「利用権者の承諾を得て」ログインする場合は、1号不正アクセス行為には該当しません。今回のケースは2号、3号にも該当しないでしょう。

まとめると、

……ということで、ログインすることについて、利用権者の承諾があったかどうかが問題になります。もちろん「キャラクタを消すためにログインする」なんてことは承諾していなかったでしょうから、そのログインについては承諾がなかったのだという主張になりそうです。

しかし、たとえばこんな感じだったら……?

この場合、利用権者の承諾を得てログインしていますし、ログインの時点では悪意も何もなく、利用権者の意に沿っているだけです。そして、気が変わった後には、識別符号を入力する行為はしていません。キャラクタの削除自体は不正アクセス行為ではありませんから、これはOK……ということになるのですかね?

関連する話題: セキュリティ / 法律

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト