『サイバーセキュリティと法律』（岡村久道編）を読んで

上記の本について読んでみたので、
頭の整理がてら内容をサマリー（noteにも記載をしてみる）。

対談で読み解く　サイバーセキュリティと法律

2019年12月に発行されたこの本は、
業界では有名な弁護士、岡村久道氏と
様々な方との対談を通して、サイバーセキュリティと法律・制度の
実像に迫るという構成。

最後になると、サイバーというよりかは
情報セキュリティという感じであるが（労働安全衛生法が出てくるとは思わなかった）、
こういう法律を考慮する必要がある、と標してくれている点で、
意義はあると思料。

以下は、各章ごとの簡単なメモ。
第1章：
前段は、
2018年に制定されたサイバーセキュリティ基本法について、
当時NISCの三角さんと対談したもの。
法律の制定経緯や狙いについて解説。
国や地公体・重要社会基盤事業者（重要インフラ事業者）の責任規定を設けていたり、
年金機構事案を意識した国による特殊法人等への監査範囲の拡充、
またサイバーセキュリティ戦略本部の根拠法など、
分かりやすく解説。

そういえばこの基本法って条文を頭から読んだことなかったな、と反省した次第。
まあ解釈が分かりづらいところもなく、立法趣旨も狙いは明確なので、
内容としては分かりやすい。

第1章後段は、NISCの副センタ―長の山内さんによる
NISCの活動の詳細について解説。
サイバーセキュリティの問題は単独では対処できないことからの
参加連携協働の大切さなど、考え方や実際の取組活動を紹介。
あと、内容には触れていないけど
「サイバーセキュリティ関係法令Q＆Aハンドブック」が（対談当時）編纂作業中ということにも触れている。

第2章：
自治体（地方公共団体等）の情報セキュリティに対する取り組みを対談。
LGWANや住基ネット等、なるほどそういうネットワークあったなぁという感じ。

第3章：
経産省の省としての取組を解説。
サイバーセキュリティ経営ガイドラインや、ISO27000、
IPAの資格制度体系や、IoTのセキュリティ等。
これも普段から経産省のホームページを見ていれば、
キャッチアップできる内容かな。おさらいするにはちょうど良い。
ちなみに、スタート地点と言える経産省所管法令はIT基本法。

第4章：
この章はICTということで総務省の取組の解説。
サイバー分野って、NISCや経産省・総務省、サイバー犯罪だと警察庁、
防衛だと防衛省など色々省庁絡んでくるから、情報の網羅って意味だと大変。
それだけ重要な分野と言えるが…。
それはそうと、総務省所管法令で言うとまず電気通信事業法の解説。
そこから始まって、スマホのセキュリティや現状の取組の説明（具体名出てないけどNOTICEとか）。

第5章：
ISMSの個別具体的な説明。制度の狙いや申請方法・内容等。

ISMS…国際規格であるISO27001に基づいた情報セキュリティマネジメントの成熟度等を図る認証基準
ITSMS…ITサービスの品質維持向上を図ったもの。ITILを取り入れて国際規格化。
ISO15408…製品やシステムそのもののセキュリティ機能を対象とした規格
ISO TR 13335…ITセキュリティの管理構築について、リスクマネジメントを含めて記述した解説書
（上記は本書のP103~113より一部抜粋した内容）
テストに出そうだよね。

第6章：
この章では各種刑事法との関係について解説。
1987年の刑法改正によるコンピュータ犯罪への対応（電磁的記録や電子計算機使用詐欺罪というやつね）や、
不正アクセス禁止法（利用権限ないのに不正に利用権限を取ってアクセスしたら違法とか。要はIDパスワードの窃取等と脆弱性を突いての「ハッキング」）、
不正アクセス禁止法と電子計算機損壊等業務妨害罪（刑法234の2）の両方に触れる場合は、
刑法54条（一個の行為が二個以上の罪名に触れ、又は犯罪の手段若しくは結果である行為が他の罪名に触れるときは、その最も重い刑により処断する）の牽連犯にあたるとする等。
その他コンピュータウイルスや情報漏洩等、トピックとしては興味深いものがずらり。

第7章：
個人情報について。個人情報保護法や個人情報保護委員会が出しているQ&Aを参照しながら、
押さえておきべき要点、後段ではJPCERTの理事を招いての技術的方策を（文系にもわかる）平易な言葉で解説。
技術的部分はアクセス制御や境界防御の一般的な考え方を記載。
加えてフィッシング対策協議会の取組を取り上げている。不正アクセス禁止法で処罰対象となったが、その考え方と法が及ぶ範囲なども併せて解説。

第8章：
営業の秘密から紐解く不正競争防止法の内容について。
特に海外への技術等秘密流出の厳罰化といった不競法改正や、
情報保護の対応について、秘密情報保護ハンドブックにも触れながら解説。

第9章：
この章では不競法をさらに深掘りし、限定提供データ制度について解説。
限定提供データを、事業者等が取引等を介して第三者に提供するデータを念頭に相手方を限定して提供するデータと定義して、そのデータの不正取得や使用開示行為を不正競争として民事的措置の対象とするもの。
営業秘密にも該当しないようなビッグデータであったり、今まで法律でカバーできていなかった部分を、限定提供データとして定義し、データの利活用を促進するといった意図。行為規制アプローチで構成（限定提供データ保有者の利益を侵害するような行為を禁止している）。

不競法2条7項抜粋
７　この法律において「限定提供データ」とは、業として特定の者に提供する情報として電磁的方法（電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において同じ。）により相当量蓄積され、及び管理されている技術上又は営業上の情報（秘密として管理されているものを除く。）をいう。

第10章：
労働安全衛生法に見る労働者の健康データの情報に関する保護について。
事業者について提供されるということで、その留意点を解説。
実質的に、個情法2条3項の「要配慮個人情報」の特則のような形で
労働安全衛生法104条が制定されていると考えると、理解が進みやすい。