実務刑事判例評釈(case 369)
東京地立川支判令7.3.17
本件は、被告人が自己のスマートフォンにインストールしたインスタグラムのアプリ上で被害者のインスタグラムアカウントに不正にアクセスし、その後、同アプリで使用できるアカウント切替え機能を使用して、複数回にわたって、被害者のインスタグラムアカウントにアクセスした事案において、同アカウント切替え行為が不正アクセス行為の禁止等に関する法律(以下「不正アクセス禁止法」という。)違反に該当するか問題となった事例である。近時、インターネット空間を利用したいわゆるサイバー犯罪の認知件数が上昇傾向にあるところ、令和4年は2,200件であった不正アクセス禁止法違反事件の認知件数も令和5年には6,312件と急増し、令和6年には5,358件と一旦減少に転じたものの、令和7年には7,190件にまで上昇している※1。このような不正アクセス禁止法違反の増加傾向を踏まえると、捜査機関において、この種事案に対応する機会も今後ますます増加していくものと思われる。
そこで、本稿では、不正アクセス禁止法違反事件の裁判例を紹介し、不正アクセス禁止法の内容及び同法違反事件の捜査における着眼点等を紹介することとしたい。
なお、本稿中意見にわたる部分は、筆者の私見であることを申し添える。
本件の罪となるべき事実は、「被告人は、他人の識別符号を使用して不正アクセス行為をしようと考え、法定の除外事由がないのに、令和3年7月14日から同年8月21日までの間、7回にわたり、被告人方等において、スマートフォンを使用し、電気通信回線を通じて、アクセス制御機能を有する特定電子計算機である認証サーバコンピュータに、被害者を利用権者として付された識別符号であるID及びパスワードを入力し、あるいはアカウントを切り替える方法等により送信される識別符号である何らかの認証情報を入力して同サーバコンピュータを作動させ、前記アクセス制御機能により制限されている特定利用をし得る状態にさせ、もって不正アクセス行為をした。」というものであった。
スマートフォンのインスタグラムアプリでは、同一アプリ内で複数のアカウントにログインすることができ、特定のアカウントでログインした後に、アプリ内で別のアカウントのID及びパスワードを入力して当該別のアカウントにログインすると、その後は同一アプリ内の切替え機能を使用することで、改めてID及びパスワードを入力することなく当該別のアカウントのページを閲覧することができる。前記罪となるべき事実記載の「アカウントを切り替える方法」とは、同機能を利用した切替えを意味している(以下、単に「アカウント切替え」という。)。
本件で適用された罰条は、不正アクセス禁止法11条、3条及び2条4項1号※2 であり、このうち不正アクセス禁止法2条4項1号該当性が問題となった(なお、このほかにも、本件では正当防衛の成否も争点とされたが、紙幅の関係上、本稿では割愛する。)。その上で、本件において、弁護人は、アカウント切替えによって送信される情報は同号の「識別符号」には該当しないと主張したことから、同情報が不正アクセス禁止法2条2項1号の「識別符号」に該当するか否かが問題となった。
第2条 (略)
(中略)ユーザーに付与されたlogin_nonceは第三者に公開されたり共有されたりするものではなく、第三者が意図的に知るということも困難である。login_nonceを書き変えた場合、当該アカウントにログインすることができなくなったので、login_nonceは、ログインに関する認証情報であると推測できる。Cookieは、ログアウトの状態からログインした場合に限らず、ログイン状態下でページを遷移した場合等でも送信され、その都度サービス側で、ユーザーがページを閲覧する権限を有するか確認する認証と認可の処理が行われる。」との証言の信用性を認めた。
その上で、本判決は、以下のように判示し、被告人が不正アクセス行為をした事実を認定し、被告人に罰金刑(罰金20万円)を言い渡した。
「不正アクセス禁止法3条は、不正アクセス行為を禁止しているところ、(中略)同法2条2項柱書及び同項1号は、「識別符号」の類型の1つとして、i 特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(利用権者)に付与される符号であって、ii 当該利用権者を他の利用権者と区別して識別することができるように付される符号であって、iii 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないとされている符号などと規定している。また、同条4項1号にいう識別符号の「入力」とは、電気通信回線を通じて、対象となる特定電子計算機に他人の識別符号を送信する行為のことであり、行為者の行為により、自動的に識別符号を送信する機能を用いて送信することも含むと解される。
(中略)そして、その際(筆者注:ログイン又はアカウント切替え)の認証情報は、いずれもサービス側が権限を付与した利用者本人であるかどうかを識別するための認証に関する情報であり、権限を付与された者以外の第三者に公開されたり共有されたりすることもなく、第三者が意図的に知ることも困難な情報であって、みだりに第三者に知らせてはならないものといえるから、前記3(1)のi ないしiii (筆者注:上記下線部のi ないしiii )に該当し、識別符号といえ、被告人は、それを送信する行為を行っているのであるから「入力」したといえる。
そうすると、被告人は判示不正アクセス行為をしたものと認められる(その故意についても認められる。)。」