実務刑事判例評釈(case 369)

東京地立川支判令7.3.17

実務刑事判例評釈(case 369)
東京地立川支判令7.3.17
公刊物未登載
CASE 369
SNSアプリ上でのアカウント切替え時に送信される情報が不正アクセス禁止法の「識別符号」に該当するとした事例
法務省刑事局付
山田やまだ あゆむ
はじめに

本件は、被告人が自己のスマートフォンにインストールしたインスタグラムのアプリ上で被害者のインスタグラムアカウントに不正にアクセスし、その後、同アプリで使用できるアカウント切替え機能を使用して、複数回にわたって、被害者のインスタグラムアカウントにアクセスした事案において、同アカウント切替え行為が不正アクセス行為の禁止等に関する法律(以下「不正アクセス禁止法」という。)違反に該当するか問題となった事例である。近時、インターネット空間を利用したいわゆるサイバー犯罪の認知件数が上昇傾向にあるところ、令和4年は2,200件であった不正アクセス禁止法違反事件の認知件数も令和5年には6,312件と急増し、令和6年には5,358件と一旦減少に転じたものの、令和7年には7,190件にまで上昇している※1。このような不正アクセス禁止法違反の増加傾向を踏まえると、捜査機関において、この種事案に対応する機会も今後ますます増加していくものと思われる。

そこで、本稿では、不正アクセス禁止法違反事件の裁判例を紹介し、不正アクセス禁止法の内容及び同法違反事件の捜査における着眼点等を紹介することとしたい。

なお、本稿中意見にわたる部分は、筆者の私見であることを申し添える。


※1
 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(令和8年3月12日 国家公安委員会・総務大臣・経済産業大臣) https://www.npa.go.jp/bureau/cyber/pdf/R080312_access.pdf

事案の概要等

本件の罪となるべき事実は、「被告人は、他人の識別符号を使用して不正アクセス行為をしようと考え、法定の除外事由がないのに、令和3年7月14日から同年8月21日までの間、7回にわたり、被告人方等において、スマートフォンを使用し、電気通信回線を通じて、アクセス制御機能を有する特定電子計算機である認証サーバコンピュータに、被害者を利用権者として付された識別符号であるID及びパスワードを入力し、あるいはアカウントを切り替える方法等により送信される識別符号である何らかの認証情報を入力して同サーバコンピュータを作動させ、前記アクセス制御機能により制限されている特定利用をし得る状態にさせ、もって不正アクセス行為をした。」というものであった。

スマートフォンのインスタグラムアプリでは、同一アプリ内で複数のアカウントにログインすることができ、特定のアカウントでログインした後に、アプリ内で別のアカウントのID及びパスワードを入力して当該別のアカウントにログインすると、その後は同一アプリ内の切替え機能を使用することで、改めてID及びパスワードを入力することなく当該別のアカウントのページを閲覧することができる。前記罪となるべき事実記載の「アカウントを切り替える方法」とは、同機能を利用した切替えを意味している(以下、単に「アカウント切替え」という。)。

本件で適用された罰条は、不正アクセス禁止法11条、3条及び2条4項1号※2 であり、このうち不正アクセス禁止法2条4項1号該当性が問題となった(なお、このほかにも、本件では正当防衛の成否も争点とされたが、紙幅の関係上、本稿では割愛する。)。その上で、本件において、弁護人は、アカウント切替えによって送信される情報は同号の「識別符号」には該当しないと主張したことから、同情報が不正アクセス禁止法2条2項1号の「識別符号」に該当するか否かが問題となった。


※2
 不正アクセス禁止法(平成11年法律第128号)(条文抜粋)
第2条 (略)
2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
 二、三 (略)
3 (略)
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
ー アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
 二、三 (略)
第3条 何人も、不正アクセス行為をしてはならない。
第11条 第3条の規定に違反した者は、3年以下の拘禁刑又は100万円以下の罰金に処する。

判決要旨
本事案では、検察側の専門家証人として、ICT※3 関連の専門家がインスタグラムアプリの仕組みについて証言したところ、判決は、まず、同専門家証人の「インスタグラムのアカウントにログインした場合、インスタグラムのサーバからlogin_nonceという名称のCookie※4 がユーザーに付与され、以後、当該アカウントへのアカウント切替えを行おうとすると、login_nonceがユーザーからインスタグラムの認証サーバに送信され、それにより認証処理が行われる。
(中略)ユーザーに付与されたlogin_nonceは第三者に公開されたり共有されたりするものではなく、第三者が意図的に知るということも困難である。login_nonceを書き変えた場合、当該アカウントにログインすることができなくなったので、login_nonceは、ログインに関する認証情報であると推測できる。Cookieは、ログアウトの状態からログインした場合に限らず、ログイン状態下でページを遷移した場合等でも送信され、その都度サービス側で、ユーザーがページを閲覧する権限を有するか確認する認証と認可の処理が行われる。」との証言の信用性を認めた。

その上で、本判決は、以下のように判示し、被告人が不正アクセス行為をした事実を認定し、被告人に罰金刑(罰金20万円)を言い渡した。

「不正アクセス禁止法3条は、不正アクセス行為を禁止しているところ、(中略)同法2条2項柱書及び同項1号は、「識別符号」の類型の1つとして、i 特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(利用権者)に付与される符号であって、ii 当該利用権者を他の利用権者と区別して識別することができるように付される符号であって、iii 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないとされている符号などと規定している。また、同条4項1号にいう識別符号の「入力」とは、電気通信回線を通じて、対象となる特定電子計算機に他人の識別符号を送信する行為のことであり、行為者の行為により、自動的に識別符号を送信する機能を用いて送信することも含むと解される。
(中略)そして、その際(筆者注:ログイン又はアカウント切替え)の認証情報は、いずれもサービス側が権限を付与した利用者本人であるかどうかを識別するための認証に関する情報であり、権限を付与された者以外の第三者に公開されたり共有されたりすることもなく、第三者が意図的に知ることも困難な情報であって、みだりに第三者に知らせてはならないものといえるから、前記3(1)のi ないしiii (筆者注:上記下線部のi ないしiii )に該当し、識別符号といえ、被告人は、それを送信する行為を行っているのであるから「入力」したといえる。
そうすると、被告人は判示不正アクセス行為をしたものと認められる(その故意についても認められる。)。」

※3
 ICTとは、「Information and Communication Technology」の略で、日本語では「情報通信技術」と訳される、情報処理や通信に関する技術の総称で、コンピュータやネットワーク、ソフトウェアなどを含む幅広い概念のことである。

 

※4
 Cookieとは、ある端末がサイトにアクセスしてきたときに、端末のブラウザごとに区別された文字列を作成し、その文字列を端末側のブラウザに記録しておく仕組みであり、当該端末がそのサイトに再びアクセスしたときにその文字列も同時にサイト側に送信され、これにより、サイト側が以前にアクセスしてきた端末と同一であると判定できるというものである。

検討
(1)前提
不正アクセス禁止法2条2項は、特定のサービス等を利用する利用権者に付される「識別符号」と、同サービス等を管理するアクセス管理者に付される「識別符号」の両方を規律しているが、本件で問題となったのは、利用権者に付される「識別符号」を用いた不正アクセスである。そのため、以下では、利用権者に付される「識別符号」について記載する。
(2)不正アクセス禁止法2条2項1号の「識別符号」
同号の「識別符号」に該当するには、判示指摘のとおり
① 特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(利用権者)に付与される符号
②(当該アクセス管理者において)当該利用権者を他の利用権者と区別して識別することができるように付される符号
③ 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないとされている符号(又は当該符号とその他の符号を組み合わせたもの)
の3つの要件を満たす必要がある。

「警察公論」の他の記事を読む

「2026年08月号」の他の記事を読む