新技術の誕生やサイバー攻撃の多様化など、企業を取りまく情報セキュリティ技術は日々新しくなってきています。自社を脅威から守り、顧客を保護するには情報セキュリティに関連する法律を遵守することが重要です。
この記事では、情報セキュリティの定義を振り返り、その関連する法律について個別に解説します。
また、企業のセキュリティ対策をお考えの方へ、LRMでは、自社のセキュリティ状況を客観評価し、とるべき対策がかんたんにわかるセキュリティチェックシートを無料で配布しています。
ぜひご活用ください。
情報セキュリティの定義を振り返る
情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持することです。
- 機密性
- 許可された者だけが情報にアクセスできるようになっていること
- 完全性
- 情報が改ざんや破壊されておらず完全な状態で使えるようになっていること
- 可用性
- 情報が必要なときにアクセスできる状態になっていること
この「機密性」「完全性」「可用性」の3つを合わせて、情報セキュリティの3大要素と言います。ここに、「真正性」「責任追跡性」「否認防止」「信頼性」の4つを併せることもあります。
- 真正性
- その情報にアクセスする人間が許可された人間であること
- 責任追跡性
- 情報に対する操作と操作したユーザーを特定できる特性のこと
- 信頼性
- システムが意図した通り正しく動作すること
- 否認防止
- 操作ログ等により、情報の利用/操作をした本人が後から否定できないようにすること
情報セキュリティはこれら3つないしは7つの要素から構成されており、情報セキュリティ対策では、すべてをバランス良く行うことが重要です。
情報セキュリティに関連する法律とは
ここでは情報セキュリティに関する様々な法律について、個別に解説します。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、サイバーセキュリティに対する脅威の深刻化などに対応するため、国内のサイバーセキュリティの施策に関する基本理念を定め、施策を総合的かつ効率的に推進することで、国民が安全かつ安心に暮らせる社会の実現を目指す法律です。
サイバーセキュリティに関する法律として、基本となることを定めたものであり、具体的な施策については、個別の他の法律に委ねられています。
2014年11月に公布、2015年1月から施行されています。
デジタル社会形成基本法
デジタル社会形成基本法は、デジタル社会の形成に関し、基本理念と施策に関する基本方針を定め、施策を迅速かつ重点的に推進することで、国際競争力アップ、経済の持続的かつ健全な発展と、国民が安心して暮らせる社会の実現に寄与することを目的とした法律です。
2001年に施行されたIT基本法(高度情報通信ネットワーク社会形成基本法)が前身となっています。インターネットの流通データの変化や大量化などの社会の変化を受け、改正の必要性が迫られたことから、同法律が制定されました。
2021年5月に公布、2021年9月から施行されています。
電子署名法(電子署名及び認証業務に関する法律)
電子署名法は、電子署名の円滑な利用や情報の電磁的な流通・処理を図り、国民生活の向上や経済の発展に寄与することを目的とした法律です。
電子署名の活用によりなりすましや改ざんの防止が実現でき、また、本人の手による電子署名がなされた文書は、本人の手書きの署名や押印と同等の効果を持つと定められます。
2000年5月に公布、2001年4月より施行されています。
個人情報保護法(個人情報の保護に関する法律)
個人情報保護法は、氏名、生年月日、住所など個人情報の適正・効果的な活用が新たな産業の創出・経済社会の発展・豊かな国民生活の実現に資することやその他の個人情報の有用性にも配慮しながら、個人の権利・利益を保護することを目的とした法律です。
この法律では、個人情報取扱事業者が定義され、利用目的の明確化や制限、通知、公表及び、個人情報の適正な取得などのルールが設けられています。
行政機関や自治体だけでなく、民間企業など個人情報を取り扱う全ての事業者や組織に対して適用されています。
2003年5月に公布・一部施行となり、2005年4月に全面的に施行されました。社会情勢の変化やデジタル技術の発展にともない、大きな改正が繰り返され続けています。
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
マイナンバー法は、個人番号、法人番号を活用して効率的な情報の管理や利用の授受や、手続きの簡素化による国民の負担の軽減、個人番号やその他特定個人情報の適正な取り扱いの確保を目的とした法律です。
2013年5月に公布、2015年10月から施行されました。
特定電子メール法(特定電子メールの送信の適正化等に関する法律)
特定電子メール法は、宣伝を目的とした無差別に送信されるメールなどを特定電子メールと定義し、これを規制することを目的とした法律です。
スマートフォンが普及する以前から、架空請求や詐欺、マルウェアが添付されたメールなどの一斉送信が社会問題となっており、これを受けて同法律が制定されました。
2002年4月に公布、2002年7月から施行されました。
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
不正アクセス禁止法は、不正アクセス行為やパスワード等不正アクセスにつながる情報の不正な取得・保管行為、不正アクセスを助長する行為などを罰則付きで防止することを目的とした法律です。
1999年8月に公布、2000年2月から施行されました。
電子契約法(電子消費者契約及び電子承諾通知に関する民法の特例に関する法律)
電子契約法は、電子的な契約や取引において消費者を保護するために、民法の特例として設けられた法律です。
ECサイトにおける購入者の操作ミスを救済したり、契約成立時期の転換によってワンクリック詐欺など意図してない一方的な契約から保護すること、すなわち錯誤の取り消しを認めることを目的とした法律です。
2001年6月に公布、2001年12月から施行されました。
刑法
刑法は、犯罪と刑罰について規定した法律です。
情報セキュリティとの関連では、コンピュータやインターネットを利用した犯罪である、電磁的記録不正作出及び併用や、不正指令電磁的記録作成等の条文が設けられています。言い換えると、コンピュータの破壊やデータの改ざんなどの業務を妨害する行為や、不正な操作により、不正に利益を得る行為を罰している法律と言えます。
1907年4月に公布、1908年10月から施行されました。
不正競争防止法
不正競争防止法は、国民経済の健全な発展のために、事業者同士での競争の公正化・国際的な取り決めの的確な実施を確保するべく不正競争の防止、および不正競争への措置(損害賠償など)を講じることを目的とした法律です。
不正利益の獲得を目的とした他人の商品等の名称と同一あるいは類似するドメイン名の取得の禁止、ソフトウェアの不正動作を目的としたシリアルコードの提供の禁止といったことが、情報セキュリティ分野における同法律の条文として定められています。
1993年5月に公布、1994年5月から施行されています。
著作権法
著作権法は、著作物の創作者に著作権や著作者人格権を与えることで、その利益を保護することを目的としています。
著作権の保護の対象物にはコンピュータプログラムが含まれます。その他、写真や音楽、イラストなどを権利者の許諾なしでインターネット上に公開してアクセスできる状態にすることは、著作権侵害となります。関連した余談ですが、海賊版と呼ばれるソフトウェアはマルウェアが含まれていることもあり、決してダウンロードしてはいけません。
1970年5月に公布、1971年1月から施行されています。
電波法
電波法は、電波の公平かつ能率的な利用を確保して公共の福祉を増進することを目的とした法律です。特定の相手との無線通信を傍受して、その存在や内容の漏洩や窃用をしてはならないと定められています。
1950年5月に公布、1950年6月から施行されています。
有線電気通信法
有線電気通信法は、有線電気通信の設備や使用を規律し、有線電気通信の秩序を確立して公共の福祉の増進に寄与することを目的とした法律です。
1953年7月に公布、1953年8月から施行されています。
電気通信事業法
電気通信事業法は、公共の事業である電気通信事業が適正かつ合理的に運営されるとともに、公正な競争の促進によって、電気通信役務の円滑な提供および利用者利益の保護でもって公共の福祉を増進することを目的とした法律です。
情報セキュリティの関連では、電子通信業に従事して知りえた他人の秘密を退職後も守り続けることや、その保護を怠ったときの罰則などについて定められています。
1984年12月に公布、1985年4月から施行されています。
まとめ
記事で解説したように情報セキュリティに関する法律は数多く存在します。これらの法律の内容をしっかりと把握し遵守することは、顧客や取引先から信頼される企業となるための必要条件です。情報セキュリティ対策の一環として関連する法律をしっかりと把握しておきましょう。