関連する法制度についても、情報セキュリティを考える上で必要なので押えておきましょう。
法的手段をとる必要がある場合もありますし、法制度を利用することによって問題発生の抑止になることも考えられます。
企業や組織において情報セキュリティを守るためのさまざまな対策を揃える必要がありますが、それらの対策は、さまざまな法制度を反映したものである必要があるのです。
国内の情報セキュリティに関わる主な法制度
- サイバー刑法
- 不正アクセス禁止法
- 個人情報保護法
- 不正競争防止法(特に営業秘密の保護)
サイバー刑法
クレジットカードのようなペイメントカードの偽造、コンピュータウイルスの使用および作成、提供の禁止、電磁的記録の不正使用(詐欺)、偽造や破壊などが規定されている。
2011年改定。
不正アクセス防止法
インターネットなどの通信回線を経由し、他の企業組織、個人のシステムに許可なくアクセスすることを禁止している。
他人のID、パスワードなどを、不正に入手すること、本人に無断で第三者に提供することなども禁止。
不正なWebサイトへの誘導によるID、パスワード入手も対象としている(フィッシング、電子メールによる不正サイトへの誘導など)。
これらの行為を禁止すると同時に、これら不正行為を防ぐための責務も求められている。
2012年改正。
個人情報保護法
個人情報を本人以外の企業や組織が入手して利用する場合に守るべきルールを規定。
ここでいう個人情報とは、生存する個人の氏名や年齢、住所など本人の特定が可能な情報を指す。
同法律では、個人情報をデータベースや紙で、体系的に保持している事業者(件数でいえば5000件以上)を「個人情報取り扱い事業者」の適用事業者としています。
改定により5000件用件の撤廃が定められ、ほとんどの事業者が個人情報取扱事業者の対象となった他、本人の同意を得ない第三者提供の特例(オフ.トアウト)を禁止するなど、規制の範囲が拡大しました。
2015年改正。
不正競争防止法(営業秘密の保護)
企業や組織内部で保有されているノウハウ、顧客リスト、営業情報、経営情報などの営業秘密に関し、スパイ行為やハッキングによる侵害が行なわれた場合に、差し止め請求や損害賠償請求、信用回復請求などの権利を保護し、違反者には刑事罰も科される可能性があることを規定した法律。
特許、実用新案、意匠、商標などが届け出により権利として保護されるのに対して、営業秘密の場合、届け出は必要ありませんが、下記の三つの要件を満たしておく必要があります。
①秘密性 : 秘密情報として管理されていること
②有用性 : 営業上あるいは技術上、経済的効果をもたらすもの
③非公知性: 一般常識として考えられていること、あるいは刊行物などで公表されたことがなく、公然と知られていないこと
その他の関連法制度
他にも情報セキュリティに関連する法制度として下記のような法制度が定められています。
- 知的財産基本法とその関連法案
- 電子署名法
- e-文書法
- 電子帳簿保存法
- 通信傍受法
- プロバイダ責任制限法
- 迷惑メール防止法
- マイナンバー法
これらの法制度は世の中のIT化の進展により順次見直しや整備が行なわれています。
情報セキュリティの体制整備にあたっては、法制度の動向を追い、自社体制へ反映させていく必要があるのです。