「動いているから大丈夫」は通用しない
スマートフォンアプリの通信をプロキシツールで傍受すると、アプリが内部的にどんなAPIを呼んでいるかが見えます。そのエンドポイントやパラメータを解析して自分のアプリから同じリクエストを送る——技術的にはこれだけの話です。「面白いサービスが作れそう」「公式APIより使いやすい」という動機で実装してしまったエンジニアも少なくないはずです。
しかし、その行為は法的に問題ないのでしょうか。結論から言えば、状況次第で複数の法律に抵触し、民事・刑事の両面からリスクを負う可能性があります。この記事では、非公開APIの無断利用がどの法律のどの条文に引っかかるのかを整理し、国内外の具体的な事例を交えながら解説します。
免責事項:本記事は法的アドバイスを提供するものではありません。具体的な案件については必ず弁護士にご相談ください。
「非公開API」とは何を指すのか
まず用語を整理しておきます。本記事での「非公開API」とは、サービス運営者が外部開発者向けに公式ドキュメントを公開していないAPIエンドポイントを指します。たとえばスマートフォンアプリがバックエンドサーバーと通信するために使う内部APIや、Webサービスが画面描画のためにJavaScriptから呼び出すAPIなどがこれにあたります。
これらは技術的にはHTTPSリクエストで到達可能ですが、サービス運営者が意図的に外部公開していない、あるいは利用を許可していない通信経路です。「隠しているわけではない」という主張もありますが、法的な評価においては「公式に提供されている公開インターフェース以外の方法でのアクセス」という観点が問われます。
関係する法律の全体像
非公開APIの無断利用が問題になり得る法律は複数あります。どの法律が適用されるかは、アクセスの方法・目的・取得データの扱いによって異なります。
| 法律 | 適用される状況 | 違反時のリスク |
|---|---|---|
| 不正アクセス禁止法 | 認証を回避・突破してAPIにアクセスした場合 | 3年以下の懲役または100万円以下の罰金(刑事) |
| 著作権法 | APIレスポンスに創作性のあるコンテンツが含まれ無断複製した場合 | 5年以下の懲役または500万円以下の罰金(刑事)、損害賠償(民事) |
| 不正競争防止法 | 営業秘密にあたるデータを不正取得・利用した場合 | 10年以下の懲役または2,000万円以下の罰金(刑事)、差止・損害賠償(民事) |
| 民法(不法行為) | 利用規約違反があり損害が発生した場合 | 損害賠償(民事) |
| 電子計算機損壊等業務妨害罪 | 大量リクエストでサーバーに障害を与えた場合 | 5年以下の懲役または100万円以下の罰金(刑事) |
不正アクセス禁止法との関係
最も重要な論点のひとつが不正アクセス禁止法との関係です。
認証なしでアクセスできる非公開APIの場合
認証不要で単にURLを知っていれば誰でも到達できるAPIエンドポイントへのアクセスは、不正アクセス禁止法が定義する「アクセス制御機能」を回避していないため、それだけでは同法違反にはなりません。法律が禁止しているのはIDとパスワードによるアクセス制御や、セキュリティホールを突いた制限回避など、「アクセス制御機能」が存在する場面での不正突破です。
認証を必要とするAPIの場合
ここが重要な分かれ目です。ログインが必要なサービスの内部APIを呼び出す場合、ユーザー自身のアカウントで正規にログインして取得したトークンを使うのであれば、「利用権者の識別符号を正規に用いている」ともみなせます。しかし、その行為がサービスの利用規約で禁止されていたり、公開インターフェース以外の方法でのアクセスに該当する場合は、不正アクセスと判断されるリスクが生じます。
さらに、他人のアカウントのトークンを使う、あるいはリバースエンジニアリングによって認証機構を迂回する実装を行った場合は、不正アクセス禁止法第3条違反に直結します。
リバースエンジニアリングによる認証突破
アプリを解析して認証ロジックや署名アルゴリズムを解読し、それを再現してアクセス制御を回避するという手法は、不正アクセス禁止法第3条第2号(セキュリティホールを攻撃する行為)の文脈で違法と認定される可能性があります。X(旧Twitter)の利用規約にも「ソフトウェアのリバースエンジニアリング、逆コンパイル、逆アセンブルをしてはならない」と明記されており、同様の条項を持つサービスは数多く存在します。
利用規約違反と民事責任
非公開APIの利用が刑事罰に至らないケースでも、民事上の問題が生じます。
多くのサービスの利用規約には「公開インターフェース以外の方法でのアクセスを禁止する」「自動化されたデータ取得を禁止する」「スクレイピング・クローリングを事前の書面による同意なく行うことを禁止する」といった条項があります。これらの規約に同意した上でサービスを利用しているユーザーが規約に違反した場合、民法415条の債務不履行または民法709条の不法行為として損害賠償請求を受ける可能性があります。
さらに、非公開APIを利用して作ったアプリがそのサービスと競合するビジネスを行う場合や、大量アクセスによってサービスの品質に影響を与えた場合は、差止請求の対象になることもあります。
著作権法・不正競争防止法との関係
非公開APIから取得したデータの内容によっては、著作権法や不正競争防止法も問題になります。
APIのレスポンスに記事・画像・楽曲などの著作物が含まれており、それを自分のサービスに無断掲載・転用した場合は著作権侵害です。また、企業が営業秘密として管理している価格データ・顧客データ・独自アルゴリズムの出力などを含むAPIのレスポンスを不正な手段で取得・利用すれば、不正競争防止法違反になります。特に後者は罰則が非常に重く(最大10年以下の懲役または2,000万円以下の罰金)、注意が必要です。
国内外の具体的な事例
Coinhive事件(日本・2017〜2022年)
非公開APIの直接の事例ではありませんが、「技術的に可能な行為が法的にどう判断されるか」という点でエンジニアが熟知すべき重要判例です。WebデザイナーがWebサイトに仮想通貨マイニングスクリプト「Coinhive」を埋め込み、訪問者の同意なくCPUを使用させたとして、不正指令電磁的記録保管罪で起訴されました。
裁判は一審(横浜地裁)無罪→二審(東京高裁)有罪→最高裁(2022年1月)逆転無罪確定という展開をたどりました。最高裁は「閲覧者のCPUへの影響はネット広告と大差なく、社会的に許容できる範囲内」として無罪を判断しました。
この事件が示した教訓は大きく二つです。第一に、技術者が「一般的な手法」と感じる行為でも、法的な解釈は曖昧であり、捜査・起訴の対象になりえること。第二に、最終的な判断は「社会的許容性」という規範的な基準によるため、当該技術の普及度や透明性が結果に影響することです。
hiQ v. LinkedIn事件(米国・2017〜2022年)
米国の事例ですが、日本のエンジニアにも参考になります。データ分析会社hiQがLinkedInの公開プロフィールをスクレイピングして分析サービスを提供したところ、LinkedInが技術的なブロックを実施し、hiQを訴えました。hiQ側も反訴し、長期にわたる法廷闘争となりました。
米連邦第9巡回区控訴裁判所は2022年に「公開情報のスクレイピングはComputer Fraud and Abuse Act(CFAA)違反に当たらない」という判断を示しましたが、その後も和解交渉が続き、最終的にhiQはLinkedInの規約に従うことで合意しました。この事件は「技術的に到達可能な公開情報へのアクセスが不正アクセスにあたるか」という問いに対して、米国の司法が慎重な判断を示したものとして注目されています。
ただし日本の不正アクセス禁止法は米国のCFAAとは構造が異なります。日本においては「アクセス制御機能の有無」が要件となっており、認証の仕組みがなければ不正アクセス禁止法は適用されませんが、著作権法や民法上の不法行為は別途問題になりえます。
国内での民事訴訟事例(業務妨害系)
Librahack事件(2010年)でも示されたとおり、意図的でない大量アクセスであっても偽計業務妨害罪(刑法233条)に問われた実例があります。非公開APIを大量に呼び出してサービスに支障をきたした場合、同様の法理が適用される可能性があります。
グレーゾーンの整理
非公開APIの利用に関しては、白黒つけがたいグレーゾーンが存在します。
グレーゾーン1:自分のアカウントの認証トークンを使ったAPI呼び出し
自分が正規ユーザーとしてログインして得たトークンで、自分のデータにアクセスするだけなら、不正アクセス禁止法の「他人の識別符号を無断使用」には直接該当しません。しかし、利用規約で公開インターフェース以外の方法によるアクセスを禁止している場合は、規約違反として民事責任を問われる余地があります。また、「自分のデータ」の取得を超えて他のユーザーのデータや内部データを取得するような実装は、不正アクセスに近づきます。
グレーゾーン2:認証なしで到達できる内部APIの呼び出し
認証不要であれば不正アクセス禁止法は適用されませんが、利用規約違反による民事責任は残ります。また、そのAPIが「たまたま認証を設定し忘れている」場合、それを意図的に探して大量に呼び出す行為は、セキュリティホール探索に近い性質を帯びる可能性があります。
グレーゾーン3:アプリの通信解析によるエンドポイント特定
アプリのHTTPS通信をプロキシで傍受してエンドポイントを特定する行為は、リバースエンジニアリングの一形態です。利用規約でリバースエンジニアリングを禁止しているサービスでは規約違反になります。ただし、この行為自体が直ちに刑事罰の対象になるかは、取得した情報をどう使うかにも依存します。
エンジニアが取るべき現実的な対処法
非公開APIを使いたいと感じたとき、法的リスクを下げるためのアプローチは以下のとおりです。
まず、公式APIまたはデータ提供プログラムを探すことが第一です。多くのサービスは公式APIや開発者向けプログラムを用意しており、それを使えばリスクなく同様のことが実現できる場合があります。
次に、サービス運営者に直接問い合わせるという方法があります。ビジネス上の理由から非公開のAPIがあるにしても、利用目的を明示した上で交渉すれば許可を得られるケースがあります。書面での許諾を取ることが最も安全です。
それでも利用したい場合は、弁護士への相談を先に行うことを強くお勧めします。「技術的に動く」と「法的に許される」は全く別の話であり、後から法的問題が浮上したときのリスクは、実装コストを大幅に超えることがあります。
まとめ——「見えるからといって触れるわけではない」
建物の窓から中が見えていても、許可なく入れば不法侵入です。非公開APIも同じです。通信を傍受すれば仕組みが見えたとしても、それを使って良いという許可を得ていない限り、法的なリスクは消えません。
エンジニアとして技術的な好奇心や「もっと良いものを作りたい」という動機は尊いものです。しかしそのために、利用規約・著作権・不正アクセス禁止法・不正競争防止法という複数の法律の境界線を踏み越えることがないよう、実装前に立ち止まって確認する習慣を持つことが、長くエンジニアとして活動し続けるための現実的な知恵です。