社内の不正アクセスについて

様々な突っ込みはしないでいただくと本当に助かります。
社内の不正アクセスについて質問です。

Windowsのフォルダを共有していて、他のPCの特定のユーザーアカウントしかアクセスできないように設定しています。

ここで、当該共有フォルダへアクセスできるユーザーアカウントを正式に所有している人間が、上記とは別のPCに当該共有フォルダへアクセスできるユーザーアカウントを作成し、そのユーザーアカウントのフルネームを変え、別のユーザーとして当該共有フォルダへアクセスしているように見せかけ、アクセスしているとします。
また、そのアカウントは許可なく複数人で共有しています。
合わせて、運用上許可の無いNASへのアクセスを禁止しているとします。

勝手にユーザーアカウントを作成できる状態ということは触れないでいただき（汗）、この場合、ユーザーのフルネームの変更とユーザーアカウントの許可の無い使用、それによるNASへのアクセスは、一般的に不正アクセスと判定していいものなのでしょうか。また会社の内規に従い処罰できるような問題なのでしょうか。

No.1 ベストアンサー 回答者： kakedashidashi 回答日時： 2014/05/07 21:09

一般的に・・・だと根拠として薄いと思いますので、いわゆる不正アクセス禁止法に照らし合わせたほうがよいと思います。

不正アクセス禁止法によると、不正アクセス行為とは、「他人の識別符号を悪用したり、コンピュータプログラムの不備を衝くことにより、本来アクセスする権限のないコンピュータを利用する行為」のことをいいます。

つまるところ「本来アクセスする権限のないコンピュータを利用する行為」になりますので、お尋ねの件については、不正アクセスとなるということでしょう。条件としては「コンピュータプログラムの不備を衝く」にあたると思います。

会社の内規に従い処罰できるかどうかは、これが内規に書いてあるかどうか次第となるでしょう。内規（就業規則等）に書いてない内容で処罰を行うと、労基署に駆け込まれたり、裁判になると不利でしょうね。

実際問題として、就業規則に不正アクセスに関する記載がなければ、「犯罪を犯し逮捕され、その罪が確定した場合」のような項目に当てはめるしかなく、それを確定するためには警察署への被害届を出すことが前提となるとか、難しいでしょうね。

内規に「本来アクセスする権限のないコンピュータを利用しない」というものがあれば、業務指示の不履行や素行不良等で罰することは可能と思います。（それでも最初は訓戒程度でしょうけど）

いずれにしても、本来アクセスできるものかどうか（人、ユーザ、コンピュータ、データというような観点で）を明確に規定しておく必要はあると思います。

参考URL：http://www.npa.go.jp/cyber/legislation/