IT基本法とならび、ITにかかわる人の「基本法」であるサイバーセキュリティ基本法ですが、いったいどのような内容なのでしょうか。制定と改正の経緯なども踏まえ、内容についてコンパクトにわかりやすく解説します。
また、企業の情報セキュリティをご担当されている方へ、情報セキュリティ業務・人材の現状とこれからがわかる「情報セキュリティ人材これからガイド」を無料で配布しています。より生産的なセキュリティ業務にお役立てください。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法とは、日本のセキュリティ戦略の強化のために制定された法律です。情報技術の進化により、世界規模で深刻化するサイバー攻撃や、セキュリティの脅威に対応することを目的としています。
法律の目的
第1条には、この法律の目的について次のように規定されています。
この法律は、インターネットその他の高度情報通信ネットワークの整備及びデジタル社会形成基本法(令和三年法律第三十五号)第二条に規定する情報通信技術(以下「情報通信技術」という。)の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、同法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。
引用元:サイバーセキュリティ基本法 | e-Gov法令検索
すなわち、大規模化・深刻化するサイバーセキュリティの脅威に対して、基本施策を定め、どの省庁・地方自治体が施策の実行をするか、役割と責任を定めた法律です。
政府のサイバーセキュリティ対応
サイバーセキュリティの脅威は情報技術の発達と共に大きくなってきました。この法律の制定前にも、中央省庁のウェブサイトのハッキングや改ざんなど、政府機関のITインフラにも悪意ある者の攻撃があり、各国政府機関でも大きなサイバー攻撃の被害を受けています。
サイバーセキュリティやIT施策に関する法令としては、それまでも、2001年施行の「高度情報通信ネットワーク社会形成基本法」(IT基本法)がありました。また、サイバーセキュリティ施策を官庁横断的に実行する機関として、2005年に内閣官房に「情報セキュリティセンター(NISC)」が設置されました。
ですが、その後も、サイバー攻撃の脅威は深刻化し、新たな脅威も次々生まれ、政府における対策の強化のために2014年、サイバーセキュリティ基本法が制定されることになりました。
サイバーセキュリティ基本法が制定された背景
サイバーセキュリティ基本法が制定された背景には、東京オリンピック開催と、グローバル規模でのサイバー攻撃事例の深刻化があります。
東京オリンピック開催
サイバーセキュリティ基本法が制定された背景には、東京オリンピックの開催決定の影響があります。
北京オリンピック(2008年)や、ロンドンオリンピック(2012年)の際には、次のように頻繁にサイバーアタック等が多発しています。
- 北京オリンピック
- 大会開催期間中には1日当たり1,400万回のサイバー攻撃
- ロンドンオリンピック
- 大会期間中に1億6千万回のセキュリティに関する問題発生
サイバー攻撃は97件で、そのうち6件大規模攻撃あり
ロンドンオリンピックの開会式には、サイバー攻撃をトリガーにして開会式を混乱させる停電を狙っていた攻撃者がいるともいわれています。例えば30秒の停電があっただけでも会場はパニックになると予測されていました。
これらを受けて、日本政府のサイバー攻撃施策でもオリンピックに向けて強化する課題意識がありました。
グローバル規模でのサイバー攻撃の深刻化
IPAによると、2009年~2012年頃には、国家の安全保障・危機管理上の課題として、グローバル規模のサイバー攻撃が意識されるようになったとされています。
米国・韓国を標的とした大規模なDDoS攻撃の発生(2009年)、イランの原子力施設を狙ったウイルス「Stuxnet」の発見(2010年)などを受けて、国際安全保障の課題として、サイバー攻撃が認識されるようになったのです。
このように、オリンピック開催への対応・国家安全保障や危機管理上のサイバー攻撃の深刻化から、対策の強化を迫られ、関係機関の権限と施策を強化する法令が必要となりました。
サイバーセキュリティ基本法は2回改正されている
その後、サイバーセキュリティ基本法は2度改正されていますが、いずれの改正も大きなサイバー攻撃への対応が必要になったことが背景にあります。
2016年改正と日本年金機構個人情報漏えい事件
2015年6月に、日本年金機構の職員がウィルスメールを開封したことをきっかけに、個人情報125万件が流出する事件が起こりました。
この事件、被害を拡大・深刻化させた一つの要因に、当時のサイバーセキュリティ基本法に伴うNISCの調査権限不足があげられています。サイバーセキュリティ基本法によると、NISCの原因究明調査対象が、中央省庁に限られていたため、この事件に関する対策は遅れ気味となり、被害を拡大させた、との指摘です。
そこで、NISCの調査権限・対象を拡大、IPAへの業務委託を可能にし、さらに個人情報管理士の資格を新設しています。このようにしてサイバーセキュリティに臨む機関の権限強化と、人員の補充を目的にした改正を行ったのです。
2018年改正とランサムウェアWannacry の脅威
2017年ごろには、日本を含む世界約 150 か国以上でランサムウェア Wannacryの感染が発生し、あらたな脅威を認識することとなりました。脅威に対抗する情報連携のための情報網の整備を目指した改正が2018年に行われています。
Wannacryは、マルウェアの一種であり、感染するとPCなどのデバイスはロックされてしまいます。攻撃者は金銭を支払えばロックを解くなどと要求を突きつけ、金銭的な被害が生じてしまいます。猛威を振るったマルウェアであり、現在もなお、亜種・変種の攻撃が続いています。
Wannacry対策を各国でとるうち、情報を迅速に共有することに被害拡大防止に資する可能性があったことなどが意識され、官民一体での効果的な情報連携体制をとることの必要性が国会でも指摘されました。そこで、世界でもそれまで例を見なかった官民参加型の情報連携機関である「サイバーセキュリティ協議会」を整備するための改正が行われたのです。
ちなみに、官民のサイバーセキュリティ協議会のメンバーは、法律上次のように規定されています(第17条第2項)。
本部長等は、必要と認めるときは、協議して、協議会に、次に掲げる者を構成員として加えることができる。
一 国の関係行政機関の長(本部長等を除く。)
二 地方公共団体又はその組織する団体
三 重要社会基盤事業者又はその組織する団体
四 サイバー関連事業者又はその組織する団体
五 大学その他の教育研究機関又はその組織する団体
六 その他本部長等が必要と認める者
引用元:サイバーセキュリティ基本法 | e-Gov法令検索
サイバーセキュリティ基本法の内容
サイバーセキュリティ基本法は、主に次のような内容を含んでいます。
サイバーセキュリティ戦略
政府は、第12条第1項で、サイバーセキュリティ戦略を定めることを義務とされ、戦略は以下のような基本事項を定めます(第12条第2項)。ただし、ここで定める戦略は大枠のものですので、具体的な施策については、各省庁が権限をもっています。
サイバーセキュリティ戦略は、次に掲げる事項について定めるものとする。
一 サイバーセキュリティに関する施策についての基本的な方針
二 国の行政機関等におけるサイバーセキュリティの確保に関する事項
三 重要社会基盤事業者及びその組織する団体並びに地方公共団体(以下「重要社会基盤事業者等」という。)におけるサイバーセキュリティの確保の促進に関する事項
四 前三号に掲げるもののほか、サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項
引用元:サイバーセキュリティ基本法 | e-Gov法令検索
基本的施策
サイバーセキュリティ基本法の「基本的施策」においては、国の役割と責務、相談機関の設置、情報連携のための施策、政策立案や実行役を担う機関などを定めています。広く国がリードをとって、すき間が生じないように施策をいきわたらせることを宣言しています。また、人材の確保や、官民連携機関の役割と権限なども定めるものです。なかでも中心的な役割を担うのがNISC、サイバーセキュリティ戦略本部とされています。
サイバーセキュリティ戦略本部
サイバーセキュリティ基本法第26条では、NISCの設置や権限を定め、次のようなことがNISCの所管とされています。2016年改正後は、広く調査が可能になっていること、また、省庁横断的に権限を行使できることが特徴です。
本部は、次に掲げる事務をつかさどる。
一 サイバーセキュリティ戦略の案の作成及び実施の推進に関すること。
二 国の行政機関、独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価(監査を含む。)その他の当該基準に基づく施策の実施の推進に関すること。
三 国の行政機関、独立行政法人又は指定法人で発生したサイバーセキュリティに関する重大な事象に対する施策の評価(原因究明のための調査を含む。)に関すること。
四 サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整に関すること。
五 前各号に掲げるもののほか、サイバーセキュリティに関する施策で重要なものの企画に関する調査審議、府省横断的な計画、関係行政機関の経費の見積りの方針及び施策の実施に関する指針の作成並びに施策の評価その他の当該施策の実施の推進並びに総合調整に関すること。
引用元:サイバーセキュリティ基本法 | e-Gov法令検索
まとめ
サイバーセキュリティ基本法は、目的を自由な情報流通を促進し、国際的な脅威に対策を打つこととしており、国のサイバーセキュリティに関する機関・実行者としての人材・権限について規定する法令です。 サイバーセキュリティ施策にかかわる機関の役割や、政府の現在の問題意識を反映した法律ですので、一度ゆっくり目を通すことをおすすめします。