セキュリティ関連法規① サイバーセキュリティ基本法など

目次

サイバーセキュリティ基本法

2014年に制定されたサイバーセキュリティ基本法は、日本のサイバーセキュリティ対策の指針を明確にした法律です。

この法律は、以下のような内容を定めています。

  • 日本のサイバーセキュリティに関する施策の推進についての基本理念
  • 国及び地方公共団体の責務
  • 重要社会基盤事業者、サイバー関連事業者その他の事業者(以下、「事業者」)の責務
  • 国民の努力
  • 基本的施策
  • サイバーセキュリティ戦略の策定
  • サイバーセキュリティ戦略本部の設置

責務および努力

国や地方公共団体、事業者が果たすべき責務と国民の果たすべき努力の内容は以下の通りです。

  1. 国の責務: 国はサイバーセキュリティ対策の基本方針を決定し、関連する施策を策定・実施します。
  2. 地方公共団体の責務: 地方公共団体もまた、国との適切な役割分担を踏まえて自身の施策においてサイバーセキュリティ対策を取り入れ、地域の情報通信インフラの保護に努めます。
  3. 事業者の責務: 事業者は自社の情報資産や顧客情報の保護の責任があります。自主的かつ積極的にサイバーセキュリティ対策をビジネスに取り入れ、安全なサービスを提供することが大切です。また、国や地方公共団体のサイバーセキュリティ施策にも協力するよう努めます。
  4. 国民の努力: 国民一人ひとりがサイバーセキュリティに関する知識と意識を高め、自己の情報を守るための適切な行動をとることが求められます。

国の基本的施策

国の基本的施策としては以下のようなものがあります。

国は以下を確保しなければならない。

  • 国の行政機関等におけるサイバーセキュリティの確保
  • サイバーセキュリティに係る人材の確保

国は以下を推進しなければならない。

  • 重要社会基盤事業者等におけるサイバーセキュリティの確保の促進
  • 民間事業者及び教育研究機関等の自発的な取組の促進
  • サイバーセキュリティに関する研究開発の推進等

国は以下を行わねばならない。

  • 国、地方公共団体、重要社会基盤事業者、サイバー関連事業者等の多様な主体の連携等
  • サイバーセキュリティ関連犯罪の取締り及び被害の拡大の防止
  • 我が国の安全に重大な影響を及ぼすおそれのある事象への対応
  • サイバーセキュリティ関連産業の振興及び国際競争力の強化
  • サイバーセキュリティ協議会の組織
  • サイバーセキュリティに関する教育及び学習の振興、普及啓発等
  • サイバーセキュリティに関する国際協力の推進等

これらを通じて、サイバーセキュリティ基本法は国全体でのサイバーセキュリティ対策の強化を目指し、情報通信技術を安全に利用するための環境整備を進めています。

サイバーセキュリティ経営ガイドライン

経済産業省と情報処理推進機構(IPA)が共同で策定したサイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。

経営者が認識すべき3原則は次の通りです。

  1. 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要。
  2. サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要。
  3. 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要。

経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

不正アクセス禁止法

不正アクセス行為の禁止等に関する法律(略称:不正アクセス禁止法)は、不正アクセス行為や、不正アクセス行為につながる識別符号(IDやパスワード)の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。

不正アクセス禁止法は、以下のような不正行為を禁じています。

  1. 他人の名前や情報を無許可で使用し、システムにログインする行為:これは他人のアカウントを不正に使用してシステムにアクセスすることを意味します。
  2. 他人の識別符号(IDやパスワード)を不正に取得する行為:これは他人のログイン情報を盗んだり、だまし取ったりする行為を指します。
  3. 他人の識別符号(IDやパスワード)を不正に保管する行為:これは他人のログイン情報を無許可で保持する行為を指します。
  4. 不正アクセス行為を助長する行為:これは他人のIDとパスワードを本人に無断でアクセス権限のない第三者に教えるなど、他人が不正アクセスを行うのを助ける行為を意味します。
  5. IDやパスワードの入力を不正に要求する行為:これは他人に対してID・パスワードの入力を不正に要求する行為を指します。例)フィッシング行為など
  6. セキュリティ・ホールを利用し、コンピュータに侵入する行為:これは、システムに存在するセキュリティ上の欠陥を利用し、不正にコンピュータにアクセスすることを指します。
目次