SSブログ

ネットワーク型監視カメラと不正アクセス禁止法 [法律]

ネットワーク型監視カメラがデフォルトパスワードで運用されている場合、このカメラに第三者がアクセスし、ログインした場合は、不正アクセス禁止法の不正アクセス罪に該当するかどうかが明確ではないと考えられることから、考察してみたいと思います。

あくまでこれは私見であり、この考察に基づいた結果に対する責任を負うものではありません。


アクセス制御機能とは、
特定利用に係るアクセス管理者によって電子計算機に付加されている機能であり、特定利用をしようとする者により入力された符号が特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)であることを確認して、特定利用の制限の全部又は一部を解除するもの(不正アクセス禁止法2条3項)


不正アクセス禁止法とネットワーク型監視カメラへのアクセス

1 監視カメラが公開されている場合

1-1 監視カメラの制御画面にパスワードが付されている場合(管理者1名)

1-1-1 当該パスワードがデフォルトの場合
 前提としてネットワーク監視カメラは電子計算機に該当するものとする。
 公開されている=不特定多数の人が閲覧可能
 制御画面にパスワードが付されている=制御画面は管理者のみアクセスできる
 公開されている画面と制御画面へのアクセスはパスワードを用いて区別しているため、パスワードは識別符号に該当する。
 よって、アクセス制御機能を有する電子計算機と考えられる。

 しかし、パスワードがデフォルトパスワードの場合、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(2条2項1号)に該当しない可能性がある。すなわち、第三者に知らせている符号と同視できることになる。この「第三者に知らせてはならないものとされている」とは、デフォルトパスワードは含まれないと考えられるが、どのような状況であれば第三者に知らせてはならないものとされているとはいえないとなるかは明確ではない。例えば、市場に流通している監視カメラであり、取扱説明書が公開されており誰でも当該説明書を入手でき、このデフォルトパスワードは一般的な名称であり、少し考えれば判明するほど流通している文字列であり、様々な掲示板等にも貼られて認識されているような場合は該当するといえそうである。しかし、ユーザ登録をしなければ取扱説明書を入手することはできないとか、監視カメラ自体が市場に流通せず、特定の製品とセットで付属するような監視カメラのような場合や特注品のような場合はどうだろうか。制御のためのURLアドレスやポート番号も通常とは違うものが使用されている場合もあるだろう。どの程度であれば、第三者に知らせてはならないものとされているとはいえないことに該当するかは、評価に該当すると考えられるため、慎重な検討が必要である。
 デフォルトパスワードが第三者に知らせてはならないものとされている符号ではない場合は、2条2項1号に該当せず、識別符号に該当しない。

 もっとも、デフォルトパスワードが識別符号に該当しないからといって、アクセス制御機能がない監視カメラにはならないと考えられる。アクセス制御機能は、パスワードの性質によって変わるものではなく、入力された符号が識別符号であることを確認して制限された特定利用を一部又は全部解除することなので、アクセス制御機能はあるかないかであり、パスワードによってその機能の有無が変わるのは不自然だと考える。

 デフォルトパスワードの場合はこれを入力しても、識別符号ではないけれども特定利用の制限を解除することができるのであり、デフォルトパスワードから異なるパスワードに変更していた場合は識別符号に該当し、これを入力して識別符号であることを確認して特定利用の制限を解除するものであり、アクセス制御機能はやはり存在する。

 そうすれば、デフォルトパスワードは識別符号ではなく、情報(識別符号であるものを除く)(2条4項2号)に該当し、2号不正アクセス罪の適用が考えられる。
 もっとも、デフォルトパスワードのまま監視カメラの管理者が放置しているのであれば、管理者の承諾があったものと認められ、2号不正アクセス罪の適用がないといえる可能性もある。
 
 以上をまとめると、
パターン1
①デフォルトパスワードは識別符号に該当しない場合→2号不正アクセス罪の可能性
②管理者の承諾があったと認められれば不正アクセス罪不成立

パターン2
①デフォルトパスワードは識別符号に該当しない場合→2号不正アクセス罪の可能性
②管理者の承諾があったと認められない→2号不正アクセス罪成立

パターン3
①デフォルトパスワードは識別符号に該当する場合→1号不正アクセス罪の可能性
②管理者の承諾があったと認められれば不正アクセス罪不成立

パターン4
①デフォルトパスワードは識別符号に該当する場合→1号不正アクセス罪の可能性
②管理者の承諾があったと認められない→1号不正アクセス罪成立


1-1-2 当該パスワードがデフォルトから変更されている場合
 公開されている=不特定多数の人が閲覧可能
 制御画面にパスワードが付されている=制御画面は管理者のみアクセスできる
 公開されている画面と制御画面へのアクセスはパスワードを用いて区別しているため、パスワードは識別符号に該当する。
 よって、アクセス制御機能を有する電子計算機と考えられる。

 識別符号に該当するパスワードを用いて制限されている機能を利用可能な状態にしているため、1号不正アクセス罪成立

1-2 監視カメラの制御画面にパスワードが付されている場合(管理者複数名)
 1-1と同様に考えられる。

2 監視カメラが公開されていない場合

2-1 監視カメラの確認画面、制御画面にパスワードが付されている場合(管理者1名以外は想定されていないと仮定)

2-1-1 当該パスワードがデフォルトの場合
 公開されていない=不特定多数の人が閲覧することはおよそ想定していない
 制御画面にパスワードが付されている=制御画面は管理者1名のみアクセスできる
 管理者1名のみがアクセスするためのパスワードは、他人と区別していないため、パスワードは識別符号に該当しない。
 アクセス制御機能は、入力された符号が識別符号であることを確認して特定利用の制限を解除するものであり、アクセス制御機能には識別符号を確認する必要がある。しかし、管理者が1名しかいない場合は、他人と区別していないため識別符号に該当しない。また、アクセス制御機能についても、入力された符号を「識別符号」かどうかを確認していないことになるから(1名しかいない場合はそもそも識別符号ではなくなるため)、アクセス制御機能の定義から外れる。
 よって、アクセス制御機能を有する電子計算機と考えられないとの結論になる。

 入力されたパスワードがデフォルトであり、第三者に知らせてはならないものとされている符合であっても、上記の検討から、このパスワードは識別符号に該当しない。
 
 識別符号に該当しないパスワードを用いて制限されている機能を利用可能な状態にした場合でも、不正アクセス罪は成立しないとの結論になる。
 
2-1-2 当該パスワードがデフォルトから変更されている場合
 2-1-1と同様に、アクセス制御機能がない電子計算機に該当するため、不正アクセス罪は成立しないとの結論になる。

2-2 監視カメラの確認画面、制御画面にパスワードが付されている場合(管理者複数名)

2-2-1 当該パスワードがデフォルトの場合
 管理者が複数いる場合は、識別符号に該当するため、アクセス制御機能が存在する電子計算機といえ、デフォルトパスワードが識別符号に該当するかどうかが問題となり、1-1-1と同様に考えられる。

2-2-2 当該パスワードがデフォルトから変更されている場合
 1-1-2と同様である。

コメント(0) 
共通テーマ:パソコン・インターネット

コメント 0

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。