問題
問27
不適切な行為 a ~ d のうち,不正アクセス禁止法において規制される行為だけを全て挙げたものはどれか。
- a Web サイトにアクセスしただけで直ちに有料会員として登録する仕組みを作り,利用者に料金を請求する。
- b コンピュータのプログラムで様々な組合せのメールアドレスを生成し,それを宛先として商品の広告を発信する。
- c 他人のクレジットカードから記録情報を読み取って偽造カードを作成し,不正に商品を購入する。
- d 他人の利用者 ID とパスワードを本人に無断で用いてインターネットショッピングのサイトにログインし,その人の購買履歴を閲覧する。
- a, b, c, d
- a, c, d
- c, d
- d
[出典:ITパスポート試験 平成29年度秋期 問27]
正解
正解は「エ」です。
解説
この問題の正解は「d」のみを含む選択肢エです。「不正アクセス禁止法」とは、本来アクセス権限を持たない人が、他人のIDやパスワードを盗用したり、システムの脆弱性を突いたりして、制限されているコンピュータに侵入する行為を禁止する法律です。 選択肢dの「他人のIDとパスワードを無断で使用してサイトにログインする」という行為は、まさにこの法律が禁止している「なりすまし」による不正アクセスそのものです。たとえログインした後に商品を購入せず、ただ履歴を覗き見ただけであっても、許可なく認証の壁を突破した時点でこの法律に違反します。
日常の例えで言えば、他人の家の合鍵を勝手に作って、家主がいない間に家の中に一歩足を踏み入れるような行為です。家の中の物を盗まなかったとしても、勝手に侵入したこと自体が罪になるのと似ています。ITの世界でも、パスワードという「鍵」を不正に使って、本来入れないはずの「部屋(システム内)」に入ることは厳しく規制されています。したがって、純粋に不正アクセス禁止法の範疇なのはdだけとなります。
ア(a, b, c, d):
すべてが含まれていますが、a、b、cは不正アクセス禁止法ではなく、別の法律(消費者契約法や特定電子メール法など)で規制される行為であるため、間違いです。
イ(a, c, d):
不適切な行為ではありますが、a(ワンクリック詐欺)やc(クレジットカード偽造)は、不正アクセス禁止法の「ネットワークを通じた認証突破」という定義には当てはまりません。
ウ(c, d):
cのスキミング行為は、刑法の「支払用カード電磁的記録不正作出罪」などに該当します。不正アクセス禁止法はあくまで「コンピュータネットワーク上の鍵」に関するルールであるため、物理的なカード偽造は含まれません。
難易度
この問題は、不正アクセス禁止法の内容を正確に理解しているかを問う問題です。法律の条文や定義を正確に覚えていないと、各選択肢の行為が不正アクセス禁止法に該当するかどうかを判断するのが難しくなります。特に、不正アクセス行為と、それに類似する他の違法行為との区別が重要です。ITパスポート試験では、法律に関する問題も出題されるため、IT関連の法律についても基本的な知識を身につけておくことが対策となります。IT未経験者にとっては、法律の条文を正確に覚えることが難しいため、やや難易度が高いと感じられるかもしれません。
用語補足
不正アクセス禁止法:
他人のコンピュータシステムに不正に侵入したり、不正な操作を行ったりすることを禁止する法律です。例えば、パスワードを盗んで他人のアカウントにログインする行為などが該当します。
ID:
「Identifier」の略で、インターネットサービスなどで、利用者本人を識別するために使用される番号や文字列のことです。Webサイトのログイン時などに使用します。
パスワード:
利用者本人がコンピュータシステムやサービスを利用する際に、本人であることを証明するために使用する秘密の文字列のことです。IDと組み合わせて使用することが一般的です。
購買履歴:
ある利用者が、過去にどの商品やサービスを購入したかという記録のことです。オンラインショッピングサイトなどで、購入した商品のリストとして確認できます。
対策
この問題を解くためのポイントは、不正アクセス禁止法の定義を正確に理解することです。不正アクセス禁止法は、コンピュータシステムへの不正な侵入や操作を直接的に禁止する法律であり、迷惑メール送信や詐欺行為など、他の法律で罰せられる行為とは区別して考える必要があります。選択肢ごとに、その行為が不正アクセス禁止法の「不正アクセス行為」に該当するかどうかを慎重に判断することが重要です。ITパスポート試験では、IT関連の法律に関する問題も出題されるため、基本的な法律知識を身につけておくことが対策となります。
