情報セキュリティ関連の法律
前回の投稿では情報セキュリティとは何者か?情報資産を守るためにどの様な脅威への対処が必要かをご説明しました。
国としても情報資産を守り、有効活用し、豊かな生活を送れるように様々な法律を定めています。
情報資産を様々な脅威から守るためにどの様な法律があり、どんなことが違法かを知ることは、情報資産を守る上で重要です。
ここでは、情報セキュリティに関連した代表的な法律を紹介します。どの様なことが記載され、何を保護するものなのか、どんな事に注意が必要かを紹介します。
サイバーセキュリティ基本法
2015年に施行された比較的新しい法律です。
内容は国が持つサイバーセキュリティに関する責務を明確にしたもので、情報化社会において、様々なリスクから国民を保護することを目的としています。
国は内閣官房にサイバーセキュリティセンター(通称NISC:National center of Incident readiness and Strategy for Cybersecurity)を設置し、個人や組織等に様々な注意喚起を発出しています。
また、サイバーセキュリティ確保に関する情報の提供や助言等を行う人材育成の取り組みも行っています。「情報処理安全確保支援士」は2016年の法改正により人材育成を目的として設立された資格です。
情報処理安全確保支援士はIPA(情報処理推進機構)で受験できる資格で、情報セキュリティについて最も関心の高い資格といえるでしょう。
不正アクセス禁止法
正式な名前は「不正アクセス行為の禁止等に関する法律」ですが、一般的には不正アクセス禁止法で通用されています。
インターネット等の通信回線を介して、権限の無い者がIDやパスワードを不正に入手し、コンピュータやネットワークへ侵入することを防止するための法律です。
また、IDやパスワードの不正入手以外にも、これらを第三者へ提供したり、正規の利用者になりすまして侵入することも禁止しています。
情報セキュリティのCIAの中に「機密性」があります。「許可された人やシステムが情報資産を利用できること」という考えです。
許可されていない人が、情報資産を閲覧、操作できることは、情報資産の不正な拡散や改竄が行われるリスクがあります。
このリスク回避のため、不正アクセス禁止法は「機密性」を確保するための法律をいえるでしょう。
具体的な事例を紹介します。
最近、「フィッシング詐欺」という言葉をよく耳にします。正規のサイトとそっくりに作られた偽の銀行やショッピングサイトに誘導し、利用者のIDやパスワードを盗み取る詐欺です。
誤って、この偽サイトで入力してしまったIDとパスワードを利用され、被害にあった場合、不正アクセス禁止法に該当する事件となります。
では、IDとパスワードを盗み取られたけど、実被害は無かった場合はどうでしょう?
この場合も、不正アクセス禁止法に該当する事件となります。
第六条に以下の様に明記されています。
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
つまり、不正にシステムへログインしていない場合であっても、不正利用の目的で他人のIDやパスワードを保持しているだけで犯罪になります。
また、よくある事例として、家族や親しい友人間でのIDやパスワードの漏洩です。パスワードを無作為に推測し入力したら、たまたまログインできてしまった。本人の承諾無しに不正にログインしたら犯罪です。
この様な犯罪に巻き込まれないためには、自身のIDやパスワードを厳重に管理すること、パスワードも容易に推測されないものに設定する必要があります。
パスワードを「Qwerty1234」にしていませんか?日頃から高い意識を持った行動が必要です。
個人情報保護法
最近よく目にする機会の多い法律の一つだと思います。普段の生活で最も身近な法律でもあります。
では、個人情報保護法とは一体何のために作られた法律でしょうか?
氏名、生年月日、住所、電話番号等の個人情報は人々のプライバシーを守る上で非常に重要な情報である一方、これらを分析、活用することで行政、医療、サービスのさらなる向上が期待されています。
個人の権利、利益、財産を守りつつ、個人情報を上手に活用することを目的として作られたものが個人情報保護法です。
他の法律には無い、個人情報保護法の特徴としては、3年ごとに検討を行い、必要ならば改正することになっている点です。
情報化社会の変容はとても早いです。10年前の技術は現代では古いと感じることも多々あります。この様な変容に対応するために、法改正を定期的に検討しています。
「個人情報」とは一体何でしょうか?
「生存する特定の個人を識別できる情報」を個人情報と呼びます。具体的には、氏名、生年月日、住所、顔写真等が個人情報に該当します。
メールアドレスはどうでしょう?これは場合によります。
メールアドレスが「〇〇yama-△△o@xxxyyyzzz.co.jp」の場合、株式会社xxxyyyzzzの〇〇山△△男さんを指していると判断でき、個人情報に該当します。
では、メールアドレスが「〇〇as23vv009@xxxyyyzzz.co.jp」の場合はどうでしょう?会社名はドメインから判断できても、会社内部の誰かは特定できませんね。このメールアドレスは個人情報にはなりません。
身近なところで利用する個人情報としては、ネットショッピングが挙げられます。誰でも一度は利用したことがあると思います。インターネットで氏名、住所、電話番号を入力して商品を購入するサイトです。
この様なネットショッピングを運営する企業は、個人情報を取得する前に、必ず利用目的を具体的に明示する必要があります。ここでは「具体的」というところがポイントです。例えば、
販売管理のため
当社のカスタマーサービス向上のため
の様な文言は具体的とは言えません。では以下はどうでしょう。
当社の新商品の案内に関する情報をお知らせするダイレクトメールに使用する
これは具体的な利用目的といえます。
ほとんどのWebサイトで個情報の利用目的は明記されています。注意深く読んで納得できる場合のみ、個人情報を入力すると良いでしょう。
インターネットで氏名、電話番号を入力して、数日後に知らない番号からセールスの電話が来たことありませんか?
このほとんどが個人情報の利用目的に勧誘の電話に利用する旨が記載されている場合です。
企業が取得した個人情報を下請け会社へ提供し、下請け会社が個人情報を利用する場合があります。これを「個人情報の第三者提供」として法律で定められています。この様な場合も利用目的に第三者提供する旨が記載されています。
個人情報の第三者提供は禁止されている訳ではありません。法律に則り個人情報を保護していれば、第三者へ提供することができます。これが先に述べた個人情報を活用し、行政、医療、サービスのさらなる向上に繋がります。
しかし、個人情報の第三者提供はとても繊細な部分でもあります。自分の知らない世界で、どこの誰が自分の個人情報を握っているかと思うと不安になりますね。このため、個人情報保護法では個人情報の第三者提供の際に、第三者提供記録簿を作成し、いつ誰に何を提供したかを管理する必要を明記しています。
また提供元は、提供先で正しく管理されていることを監督する義務があります。提供先で個人情報漏洩等の事故があった場合、提供元の管理義務の責任が問われることになります。
ここまで個人情報について述べました。個人情報保護法が適用されるのは誰でしょうか?誰向けに作られた法律でしょうか?
個人情報保護法の適用対象は「個人情報取扱事業者」です。では、個人情報取扱事業者とは誰?という問いがあると思います。
かつて個人情報取扱事業者は以下の様に定義されていました。
過去6日カ月以内のいずれの日において、扱う個人情報が5,000件を超えない者は、個人情報取扱事業者に該当しない
つまり、6カ月間において、保持する個人情報が5,000件以下の場合は個人情報保護法が適用されませんでした。
例えば、小規模の八百屋さんで売掛金名簿に100人分の氏名、電話番号を管理していた場合、個人情報保護法は無関係だったのです。
しかし、個人のプライバシーが危険に晒される可能性において、企業が扱う件数の大小は関係ありませんね。100件分の1人であろうと、1万件分の1人であろうと1人のプライバシーは守られるべきです。
この様な観点から2015年の法改正で6カ月、5,000件の制限は撤廃されました。
この制限撤廃の影響はとても大きいといえます。個人情報保護法は営利、非営利に関係ありません。個人情報を1件でも扱う事業者全てに適用されるようになった訳です。
では、町内会、PTA、サークル等の団体はどうでしょう?
結論は町内会、PTA、サークル等は個人情報取扱事業者に該当し、個人情報保護法の適用対象になります。したがって、個人情報保護法に違反した場合、罰則が適用されます。
例えば、テニスサークルでその責任者が、本人の承諾無く電話番号を他の会員へ教えることはできません。
テニスサークルで会員を募る場合は、個人情報の利用目的をあらかじめ明示する必要があります。
この様に考えると個人情報保護法はとても身近で、容易に違反しそうな法律です。その一方で、個人情報を管理することでプライバシーを守ってくれる法律でもあります。