自社の情報資産を適切な保護のために、どのような行為が不正アクセスなどのサイバー攻撃にあたるのか、きちんと押さえておく必要があります。この記事では、ISMS関連法令である不正競争防止法やその他の関連法令の解説を通じて、情報資産の保護対象とその侵害行為について詳しく解説します。
また、LRMではISMS認証取得/運用支援サービスを行っております。
会社のスタイルに合わせ、自社で「運用できる」認証を年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。
不正競争防止法とは?
まず不正競争防止法の目的を紹介します。不正競争防止法において不正競争防止法の目的が定められています。
この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的とする。
e-Gov「不正競争防止法」
第一条のポイントは「国民経済の健全な発達に寄与すること目的とする」という部分です。
日本は自由主義経済を前提としていますが、企業や個人に経済活動を完全に自由に任せていると、どこかで「ズル(不正競争)」を行おうとする人が出てくる可能性があります。
このようなズルを放置しておくと、国民経済の健全な発展が阻害されてしまい、秩序のないやりたい放題な状況に陥ってしまう可能性があります。
不正競争防止法とは、このようなズルをしないように定められたルールであると言えるでしょう。
「不正競争」とは?
それでは不正競争防止法の「不正競争」とは、具体的にはどのような行為のことを指す言葉なのでしょうか。
不正競争防止法第二条において「不正競争」に該当する22種類の行為が定められています(それ以外にもいくつかの禁止行為が規定されています)ここではそのうちのいくつかの行為の類型を見ていきましょう。
不正行為類型①「営業秘密の侵害」
まず、不正競争防止法第二条1項の4号から10号には、「営業秘密の侵害」に該当する各行為が不正競争として定義されています。
「営業秘密」の定義は不正競争防止法第二条6項に規定されており、3つの要件(秘密管理性、有用性、非公知性)が揃っている必要がありますが、ざっくりいうと「このノウハウを他人に知られたら会社の競争力がなくなってしまう」といった情報や、「あの取引相手との取引内容を同業者に知られたら不利になってしまう」という情報を一定の場合に営業秘密として守りますよ、ということが書かれています。
なぜ営業秘密として保護される情報には、このような3つの要件が求められているのでしょうか。
それは、どのような情報でも組織が営業秘密とすれば営業秘密として保護される、というルールにしてしまうと、従業員や取引先などは、組織の情報を利用できるのか判断ができず、安心して情報を扱うことができなくなってしまうからです。
また経済産業省は営業秘密に関して「営業秘密管理指針」という文書を公開しています。
この指針では、秘密管理性要件の趣旨として「企業が秘密として管理しようとする対象(情報の範囲)が従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては経済活動の安定性を確保することにある」と記しています。つまり従業員が接する情報が営業秘密に該当し、取り扱いに注意が必要であることを明確にする必要があるわけです。
それではどのような行為が営業秘密の侵害に該当するのでしょうか。具体的には以下の2点の行為が営業秘密の侵害に該当します。
- 窃取・詐欺・強迫などによって営業秘密を取得する行為
- 不正な利益を得る目的や営業秘密を保有する事業者に損害を加える目的で、営業秘密を保有する事業者から示された営業秘密を使用・開示する行為
窃取・詐欺・脅迫とは、社内の関係者を装って営業秘密情報を聞き出したり、オフィスに忍び込んで営業情報が記載された紙媒体を盗み出すような行為が該当します。
さらにそれらの営業秘密を競合他社に売り渡すなどして、企業に損害を与える行為も営業秘密の侵害にあたります。
正行為類型②「限定提供データの不正取得」
11号から16号には「限定提供データの不正取得等」に該当する各行為が不正競争として定義されています。「限定提供データ」は法2条7項に規定されており「業として特定の者に提供する」「相当量蓄積され」「管理されている」「技術上または営業上の情報」が電子化されたデータが該当します。
技術的な情報や営業上の情報が蓄積されたデータはビジネス上の価値があるため、そもそも特定の人に販売するために集めたデータが他の人にコピーされた場合、そのデータを作成した人が得るはずであった利益が得られなくなるなどの損害が発生します。
そこで、一定の要件を満たす場合にそのようなデータを保護しますということが決められているのです。
不正行為類型③「その他の類型」
上記の他にも、周知表示混同惹起行為(他人の商品等に似せた商品を販売する等)(1号)、著名表示冒用行為(他人の有名なブランド名などを勝手に利用する行為等)(2号)、技術的制限手段の効果を妨げる装置等の提供(17号及び18号)、ドメイン名の不正取得等(19号)などの行為が不正競争の類型として挙げられています。
他のISMSをはじめとする情報セキュリティ関連法令
他のISMSをはじめとする情報セキュリティ関連法令について、個別に詳しく見ていきましょう。
刑法
刑法とは「犯罪と刑罰に関する法律である」と定義されています。
刑法にはコンピュータ関連犯罪に関する内容が含まれており「電磁的記録」という言葉が登場します。電磁的記録とは刑法第七条の二にて以下のように定義されています。
この法律において「電磁的記録」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。
e-Gov「刑法」
刑法では、この電磁的記録に対する不正な作成や供用についての刑罰が記されています。
他にも、わいせつ物の頒布や名誉棄損、電気計算機損壊等業務妨害などに対する刑罰も規定されています。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、2015年1月から施行されている比較的新しい法律です。
サイバーセキュリティに関連する施策を効率的に推進するための基本理念やサイバーセキュリティ戦略などの事項が規定されています。
またサイバーセキュリティ基本法と同時期に、同法に基づいて内閣に「サイバーセキュリティ戦略本部」が設置されました。
その後もサイバーセキュリティ基本法は、国内におけるサイバー攻撃への対応のために何度かの改正を重ねて、現在に至ります。
著作権法
著作権法は日本国民にとって比較的なじみのある法律ではないでしょうか。
いわゆる「著作物」などに対する著作者等の権利を保護するための法律です。
情報セキュリティとの関連でいうと、平成24年に改正された「違法ダウンロード刑事罰化に係る規定の整備」が重要です。
これにより、私的使用の目的で有償にて提供されている音楽や映像などの著作権等を侵害する自動公衆送信を受信して録音・録画をすることについて、そのことを知りながら行うことにも、著作権等を侵害する行為として、2年以下の懲役若しくは200万円以下の罰金又はこれを併科するという罰則が規定されました。
電気通信事業法
電気通信事業法は、電気通信の健全な発達と国民の利便の確保のために制定された法律です。情報セキュリティとの関連では、第四条に規定されている「通信の秘密の保護」が重要です。
電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
e-Gov「電気通信事業法」
通信の秘密の保護とは、例えばサイバー攻撃への対策を実施する際に、攻撃に関係する通信内容の取得と利用において、通信の秘密に留意することなどがあげられます。
電子署名及び認証業務に関する法律
電子署名及び認証業務に関する法律は、電子商取引などを円滑に行うために、一定の条件を満たす電子署名が手書きの署名や押印と同じ効果を持つことなどを規定した法律です。
電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律とは、行政手続をオンラインで行うときの、公的個人認証サービス制度に必要な電子証明書や認証機関に関する取り決めを定めた法律です。公的個人認証法とも呼ばれます。
また「行政手続等における情報通信の技術の利用に関する法律の施行に伴う関連法律の整備等に関する法律(整備法)」と「行政手続等における情報通信の技術の利用に関する法律(行政手続オンライン化法)」の2つと合わせて、合計3つの法律をまとめて「行政手続きオンライン化関係三法」と言います。
電波法
電波法とは、電波の公平で能率的な利用のための法律です。具体的には、無線通信の内容を無断で傍受して内容を漏らすことや、窃用してはならないことが定められています。
特定電子メールの送信の適正化等に関する法律
特定電子メールの送信の適正化等に関する法律とは、利用者の同意を得ずに広告や宣伝などを目的としたメールの送信に関する規定を定めた法律です。
2022年現在では、事前にメールの送信に同意した相手にのみ、広告や宣伝を目的としたメールの送信を許可できる「オプトイン方式」が導入されています。
不正アクセス行為の禁止等に関する法律
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)とは、不正アクセスや不正アクセスにつながる行為となる、IDやパスワードなどの不正な取得や保管を禁止する法律のことです。
また利用者本人ではない第三者が、権限を持たないのに不正に利用できる状態とすることも禁止されています。
有線電気通信法
有線電気通信法とは、有線電気通信の設備や使用に関する法律です。
有線電気通信に関する秩序を確立して、公共の福祉の増進に寄与することを目的としており、主に秘密の保護や通信妨害について規定されています。
まとめ
ISMSに関連する法令として、不正競争防止法とその他の法律についてご紹介しました。
不正アクセスや通信の秘密を暴露するような行為については、いくつかの法律において厳しく罰せられます。 情報を保護される立場からすれば、この記事で紹介した法令の内容を押さえておけば、自社の情報資産がどのように保護されるのかも知ることができます。ぜひ一度、自社が関係しそうな不正競争類型について確認しておきましょう。
また、LRMではISMS認証取得/運用支援サービスを行っております。
会社のスタイルに合わせ、自社で「運用できる」認証を年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。