セキュリティ関連法規(サイバーセキュリティ基本法,不正アクセス禁止法,個人情報保護法,プロバイダ責任制限法,特定電子メール法,コンピュータ犯罪と刑法),サイバーセキュリティ経営ガイドライン

和田部笑太

◆サイバーセキュリティ基本法(法律)

日本のサイバーセキュリティに関する施策の基本理念やセキュリティ戦略を定めた法律。

2014年成立。

国、地方公共団体、重要社会基盤事業者(重要インフラ事業者)等の責務等が定められている。

国民に対しては、「国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする」とされている。


◆不正アクセス禁止法(法律)

ネットワークに接続され、かつアクセス制限機能をもつコンピュータに対して、不正なアクセスを禁止する法律。

以下のような行為を禁止し、違反者に対しての罰則規定を定めている。

例1:無断で他人の認証情報(ID, パスワード等)を使い、コンピュータにアクセスする行為。

例2:無断で第三者に他人の認証情報を教える行為。

例3:セキュリティホール(ソフトウェアのセキュリティ上の弱点)を攻撃してコンピュータに侵入する行為


◆個人情報と個人識別符号

個人情報:「生存する個人に関する情報」で、氏名・生年月日・住所 等の記述により「特定の個人を識別する」ことができる情報。また、個人識別符号を含む情報のこと。

個人識別符号:DNA、顔、マイナンバー、免許証の番号 等


◆要配慮個人情報

人種、信条、病歴、犯罪歴、障害の有無、健康診断の結果、診療調剤情報 等の情報。


◆個人情報保護法(法律)

個人情報の不適切な取扱いによって、個人の権利利益が侵害されないようにすることを目的とした法律。

個人を特定できるときは、防犯カメラの映像も個人情報に該当する。


個人情報取扱事業者に対し、以下のことが義務付けられている。

・利用目的を通知、公表して取得すること

・利用目的の範囲を超えないこと

・本人の同意を得ずに第三者に提供しないこと

・本人の申し出により、開示や訂正、削除に応じること

・業務委託先を監督すること


注意1:人の生命財産に危害が及ぶ恐れがあるときや、犯罪の予防のためであるときは、本人の同意なく第三者に個人情報を渡しても良いとされています。

注意2:報道機関が報道目的で取り扱う個人情報は、本法の適用を除外されている。

注意3:要配慮個人情報について、民間事業者が取得したり、第三者に提供したりする際は、原則として本人の同意を得る必要がある。


◆個人情報保護法の改正

2020年の改正:個人情報の利用と提供に関する規則が強化された。

公表された個人情報をGoogle Mapに載せる等の不適切な形での利用や、第三者へのデータ提供の際、個人関連情報について、本人が気づかないような方法での利用が規制された。


個人関連情報:第三者へのデータ提供の際、提供先が持つ会員情報と照合することで個人情報として扱われるような情報


◆プロバイダ責任制限法(法律)

インターネット上で誹謗中傷 等があった場合、プロバイダの責任の範囲や削除要求、発信者情報開示請求ができる権利を定めた法律。

開示請求されたプロバイダは、発信者に開示するかどうか聴取します。

開示拒否の場合は裁判に開示請求を出すことが出来る。


◆特定電子メール法(法律)

特定電子メール(迷惑メール)対策の法律。

特定電子メールの送信者は、電子メールの送信に際し、オプトインが必要。

また、電子メールの中の「送信者の名称」「受信拒否の連絡用の送信者アドレス」を表示することが義務付けられている。


特定電子メール:広告や宣伝等 営利目的で送信される電子メールのこと。

迷惑メール:「スパムメール」「チェーンメール」等が該当。

スパムメール:広告などの目的で、不特定多数に送られる電子メール。

チェーンメール:他人への転送を要求する電子メール。

オプトイン:事業者がユーザに広告メールを送信する前に許可を取ること。また、ユーザが事業者に許可の意思を示すこと。オプトインしていない商用メールが迷惑メール。


◆コンピュータ犯罪と刑法

不正指令磁気的記録に関する罪:刑法によって処罰対象となるコンピュータ犯罪のこと。通称、ウイルス作成罪。


罪に該当する例

例1:コンピュータ使用時に意図していない不正な指令を与える電磁的記録(ウィルスやスパイウェア 等)を作成。

例2:ウィルスやスパイウェアを正当な理由なく提供、供用、取得、保管したりすること。


◆電磁的記録

「電子的方式、磁気的方式その他 人の知覚によっては認識することが出来ない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの」と定義されている。

主記憶装置、ハードディスク、光ディスク等に記録されたものが該当する。


◆サイバーセキュリティ経営ガイドライン(経産省策定)

サイバー攻撃から企業を守る観点で「経営者が認識すべき3原則」 等を記したガイドラインのこと

1.経営者のリーダーシップが重要

2.自社以外(ビジネスパートナー等)にも配慮

3.平時からのコミュニケーション・情報共有

画像1


この記事が気に入ったらサポートをしてみませんか?