見出し画像
Photo by mericanadesico

デジタル化に関する法制度(データの保護・活用編)(2)

まるたま

 社会のデジタル化に伴って、膨大なデータの収集等が可能となり、その保護や活用の重要性が高まってきています。またより広くサイバー空間でのセキュリティ対策も重要な課題となっています。前回はデータの保護・活用に関する主な法律などを見てきましたが、今回はサイバーセキュリティに関する法律を、簡単にまとめておきたいと思います。
 データの保護・活用に関する法制度としては、前回に続く二回目となります。

サイバーセキュリティに関する主な法律

サイバーセキュリティ基本法(2014年)

 「サイバーセキュリティ基本法」は、サイバーセキュリティの推進に関する基本理念や、国の責務等を定めた法律で、2014年に制定されています。基本法ではよくある形ですが、政策に関する基本計画(サイバーセキュリティ戦略)の策定や推進組織(サイバーセキュリティ戦略本部)等についても規定しています。
 第三章の基本的施策においては、国の行政機関等におけるサイバーセキュリティの確保(第13条)、重要社会基盤事業者(インフラ事業者)等におけるサイバーセキュリティの確保の促進(第14条)、民間事業者及び教育研究機関等の自発的な取組の促進(第15条)などの規定が置かれています。
 サイバー攻撃は、情報通信ネットワークを使って行われ、社会インフラを目標として行われると大きな被害が出ることから、これらに関係する事業者(重要社会基盤事業者、サイバー関連事業者)の責務について、特別に定められていることも、この法律の特徴かと思います。
 具体的には、以下のような形で、自主的・積極的なサイバーセキュリティの確保と国・地方自治体の施策への協力が求められています。

◯サイバーセキュリティ基本法(平成二十六年法律第百四号)
 (重要社会基盤事業者の責務)
第六条 重要社会基盤事業者は、基本理念にのっとり、そのサービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

 (サイバー関連事業者その他の事業者の責務)
第七条 サイバー関連事業者(インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。)その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

e-Gov法令法令検索ウェブサイト

 余談ですが、「サイバー」という言葉は、法令上は、「サイバーセキュリティ」「サイバー攻撃」「サイバー事案(犯罪)」などの用語で使われています。概ね、「コンピューター(電子計算機)に関する」「インターネット(情報通信ネットワーク)上の」といった意味合いで定義が置かれています。
 例えば、電子通信事業法での「サイバー攻撃」の定義を見ると、「情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体を通じた電子計算機に対する攻撃」といったものになっています。

不正アクセス禁止法(1999年)

  不正アクセス禁止法は、コンピューターやシステムに不正に侵入する行為を禁止する法律です。正式名称は、「不正アクセス行為の禁止等に関する法律」で、1999年に成立しています。
 不正アクセス禁止法では、他人のIDやパスワードの入力等によって、コンピューター等を不正に利用できない状態にするような行為を「不正アクセス行為」として定義し、処罰対象としています。また、不正アクセス行為につながる識別符号の不正取得等も禁止しています。識別符号とは、情報機器やサービスにアクセスする際に使用するIDやパスワード等のことです。なお、「不正アクセス行為」は、いずれもインターネット等(電気通信回線)を通じて行われるものに限定されています。
 不正アクセス行為の禁止に違反した者は、3年以下の懲役又は100万円以下の罰金に処せられることとされています。

◯不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)
 (不正アクセス行為の禁止)
第三条 何人も、不正アクセス行為をしてはならない。

(罰則)
第十一条 第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。

e-Gov法令検索ウェブサイト

刑法の改正(2011年)

 2011年に、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」による刑法の改正が行われています。
 特にサイバーセキュリティに関連の深いものとしては、コンピュータ・ウイルスの作成、提供、供用、取得、保管行為を対象とする「不正指令電磁的記録に関する罪」を新設したこと、DDoS攻撃を想定して、電子計算機損壊等業務妨害罪に未遂を規定したことが挙げられるかと思います。

〇刑法(明治四十年法律第四十五号)
 (不正指令電磁的記録作成等)
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一  人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二  前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2・3 (略)

 (電子計算機損壊等業務妨害)
第二百三十四条の二 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。2  前項の罪の未遂は、罰する。

e-Gov法令検索ウェブサイト

特定電子メール法(2002年)

 特定電子メール法は、いわゆる迷惑メールに関する規制を定める法律で、2002年に制定されています。正式名称は、「特定電子メールの送信の適正化等に関する法律」です。 
 特定電子メール法では、利用者の同意を得ずに広告、宣伝又は勧誘等を目的とした電子メールを送信することが規制の対象となっています。2018年の改正では、取引関係以外においては、事前にこれらのメールの送信に同意した相手に対してのみ、メールの送信を許可する方式(オプトイン方式)が導入されています。

 サイバーセキュリティに関する法律については、以上としたいと思います。法律の説明等については、総務省の「国民のためのサイバーセキュリティサイト」を参考にさせていただいています。より詳しくは、そちらのサイトをご覧いただければと思います。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html

 次回からは、データの流通を支えるネットワークインフラに関する法制度を見ていけたらと思います。
 少しでも何かの参考になるような情報を発信できればと思いますので、引き続き、よろしくお願いいたします。