令和5年度15ストラテジ系

ITパスポート 令和5年度 問15:corporate_legalに関する問題

パスワードに関連した不適切な行為a~dのうち,不正アクセス禁止法で規制されている行為だけを全て挙げたものはどれか。a 業務を代行してもらうために,社内データベースアクセス用の自分のIDとパスワードを同僚に伝えた。b 自分のPCに,社内データベースアクセス用の自分のパスワードのメモを貼り付けた。c 電子メールに添付されていた文書をPCに取り込んだ。その文書の閲覧用パスワードを,その文書を見る権利のない人に教えた。d 人気のショッピングサイトに登録されている他人のIDとパスワードを,無断で第三者に伝えた。

  • aa, b, c, d
  • ba, c, d
  • ca, d
  • dd正答
正答:Dd

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは d「d」 です。

「不正アクセス禁止法」は、ざっくり言うと“他人のIDやパスワードを勝手に使ったり、他人に渡したりするのはダメ”という法律です。

  • d 他人のIDとパスワードを、本人に無断で第三者に教えた→これは法律で禁止された行為。だから○
  • a 自分のIDとパスワードを同僚に伝えた→“自分の”ものなので、不正アクセス禁止法の対象ではない(社内ルール違反ではあっても)
  • b 自分のパスワードのメモを自分のPCに貼った→だらしないけど“自分の”もの
  • c 文書を開く用のパスワードを教えた→ファイルを開く合言葉で、ネットへのログイン用ではない

👉 覚え方:「他人のID・パスワードを無断で渡す=アウト」。

だから答えは d だけ。

標準試験対策の基準レベル

なぜこれが正解か

正解は d(dのみ)。不正アクセス禁止法はコンピュータ・ネットワークへの不正ログインや、それを助長する行為(他人の識別符号=ID・パスワードの無断提供など)を規制する。

  • d 他人のID・パスワードを本人に無断で第三者へ伝える=「識別符号の不正取得・提供」に該当し、規制対象。

誤りの選択肢

  • a 自分のID・パスワードを同僚に伝える:社内規定違反やセキュリティ上不適切ではあるが、“自分の”符号であり同法の規制対象ではない。
  • b 自分のパスワードのメモをPCに貼る:管理がずさんで不適切だが、自分の符号で法規制対象ではない。
  • c 文書の閲覧用パスワードを無関係者に教える:ファイル単体の保護パスワードで、ネットワーク/システムへのアクセス制御用の識別符号とは異なる。

覚え方・ひっかけ注意

キーワードは「他人の」「無断で」「ネットワーク・システムへのアクセス用」。自分のものを漏らす(a・b)や、ファイルを開く合言葉(c)は同法の対象外。不適切=即・違法、ではない点に注意。

上級誤答論破・背景理論まで深掘り

理論的背景

不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は2000年に施行され、2012年に改正強化された。規制対象の中核は以下の4行為だ。(1)不正アクセス行為(他人の識別符号を無断使用したなりすまし、セキュリティホール攻撃)、(2)不正アクセスを助長する行為(他人の識別符号を不正目的で第三者に提供すること)、(3)識別符号の不正取得・不正保管(フィッシング等で識別符号を不正に取得し、または保管する行為)、(4)識別符号の不正入力要求(フィッシングサイトによる入力誘導)。本問の選択肢dは(2)に該当する——他人(ショッピングサイト利用者)のIDとパスワードを、本人に無断で第三者に提供する行為が「識別符号の不正提供」として明確に禁止されている。選択肢a・bは「自分の」識別符号の取り扱いであり、同法の保護対象(他人の識別符号)に当たらない。選択肢cの文書閲覧パスワードは「アクセス制御機能が設定されたネットワーク接続コンピュータ」への識別符号ではなく、ファイル単体の暗号パスワードであるため同法の射程外だ。

実務での使われ方

不正アクセス禁止法の適用事例は多岐にわたる。2013年のJALマイレージサービス不正アクセス事件、2014年のベネッセ顧客情報流出後のなりすまし事件、近年のパスワードリスト攻撃(他サイトの流出認証情報を利用したなりすまし)等がある。企業の情報セキュリティ研修では「自分のアカウントを他人に使わせる(aの行為)は法的には問題ないが、社内規定・情報セキュリティポリシー違反・責任帰属の問題が生じる」という点が必ず取り上げられる。フィッシング対策では、不正アクセス禁止法の(4)の不正入力要求罪(フィッシングサイト設置)が適用され、サイトの開設者・運営者が処罰対象となる。法改正では2012年に識別符号の不正取得・保管罪とフィッシング罪が追加されたことで、実害が生じる前の準備行為も取り締まれるようになった。

試験での位置づけ

ITパスポートのセキュリティ・法務分野で頻出の法律問題だ。「4つの行為のうちどれが不正アクセス禁止法に違反するか」という形式が定番で、特に「自分のID/パスワードの扱い(a・b)は法違反でない」「他人のIDを無断で提供する(d)は法違反」という境界線の理解が問われる。混同しやすい関連法律——個人情報保護法(個人情報の取得・利用・提供の規制)・不正競争防止法(営業秘密・技術情報の不正取得・使用の規制)・電子署名法・刑法のウイルス作成罪(不正指令電磁的記録に関する罪)——との適用場面の区別も試験の頻出論点だ。

選択肢の発展補足

選択肢a(自分のIDとパスワードを同僚に伝える):法律上は「自分の」識別符号であるため不正アクセス禁止法の適用外だが、実務的にはいくつかのリスクがある。(1)アクセスログによる操作追跡が不能になる(内部不正調査時に問題)、(2)同僚が退職後も知り続ける、(3)企業の情報セキュリティポリシー違反になる、という問題がある。「法律違反でないが好ましくない行為」の代表例として試験でも繰り返し出題される。選択肢b(自分のPCに自分のパスワードのメモを貼る):セキュリティ的に「絶対にやってはいけない」行為の代表例だが、不正アクセス禁止法には違反しない。ただし情報セキュリティポリシー(クリアスクリーン・クリアデスク規程)違反として問題になる。ショルダーハッキング(肩越しにのぞき見する攻撃)でパスワードが漏えいするリスクがある。選択肢c(文書閲覧用パスワードを権限のない人に教える):ファイルの暗号化パスワードは「アクセス制御機能付きコンピュータへのアクセス制限」ではなく、特定ファイルの内容保護のためのもの。不正アクセス禁止法の適用対象は「電子計算機(コンピュータ)へのログイン制御」であり、ファイル単体のパスワードは射程外だ。ただしその文書に営業秘密が含まれる場合は、不正競争防止法(営業秘密の不正開示)の問題として別途問われる可能性がある。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和5年度15/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

ストラテジ系の他の過去問

1
corporate_legal
2
corporate_legal
3
business_strategy
4
business_strategy
5
corporate_legal

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。