企業の情報セキュリティ担当者や経営管理担当者の方は、「サイバーセキュリティ基本法」を耳にしたことがあるのではないでしょうか。
わずかでもインターネットに接続するならば、サイバーセキュリティ基本法は決して無関係な法律ではありません。
この記事では、サイバーセキュリティ基本法について詳しく解説します。
企業の情報資産を守るために、ぜひご一読ください。
▼この記事でわかること
- サイバーセキュリティ基本法の概要や改正がわかります
- サイバーセキュリティ対策を行わないリスクがわかります
- 企業の情報管理を弁護士に相談するメリットがわかります
▼この記事でわかること
- サイバーセキュリティ基本法について学びたい方
- サイバーセキュリティ対策の必要性や具体的な対策を知りたい方
- 自社の情報管理を弁護士に依頼すべきかお悩みの方
サイバーセキュリティとは
サイバーセキュリティ基本法における「サイバーセキュリティ」とは、端末やネットワーク、情報を狙うサイバー攻撃からの保護対策を指す言葉です。
サイバー攻撃は、情報の窃取やデータの改ざん・破壊、業務妨害などの目的で行われます。
マルウェア、不正アクセス、内部不正といったあらゆる攻撃手段から、企業は自社の情報資産を守らなくてはいけません。
サイバー攻撃を防げなかった場合、多額の経済的損失が生じる恐れがあります。
個人情報が漏えいした場合は、社会的信用の低下にも繋がります。
大きな不利益をもたらすサイバー攻撃を防ぐために、サイバーセキュリティの拡充は欠かせません。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法とは、サイバーセキュリティ施策推進の基本理念を定めた法律で、国や地方公共団体の責務、サイバーセキュリティ戦略などの基本事項を示しています。
2014年に成立し、2015年に施行、そこから二度の改正を重ねました。
サイバーセキュリティ基本法について、以下3つに分けて確認していきましょう。
|
それぞれの内容を整理し、同法の意義を解説します。
基本理念(第3条)
サイバーセキュリティ基本法は、第3条にて以下の基本理念を明示しています。
|
国家や地方団体は、基本理念にもとづいたサイバーセキュリティ施策推進の責務があると定められています。
民間企業や教育機関に対しては、基本理念に則した積極的な努力を求めています。
制定の背景
サイバーセキュリティ基本法制定の背景には、サイバー攻撃の増加や高度化が挙げられます。
同法制定前には、IT社会形成を目的とする「IT基本法(高度情報通信ネットワーク社会形成基本法)」や、内閣官房の「NISC(情報セキュリティセンター)」がありました。
しかし、サイバー攻撃被害は年々増加し、攻撃手段も高度化・複雑化を重ねていきます。
変化するIT情勢に対応するべく、国家的なサイバーセキュリティ戦略の強化が求められました。
こうした背景を受けて成立した法律が、サイバーセキュリティ基本法です。
サイバーセキュリティ基本法改正の流れ
サイバーセキュリティ基本法は、2回改正されています。
ここでは「2016年(平成28年)」と「2018年(平成30年)」の改正内容と、「2021年の計画策定」について時系列順に見ていきます。
2016年(平成28年)の改正
2016年の改正のきっかけとなったのは、2015年の日本年金機構の情報漏えい事件です。
当時、NISCの原因究明調査の対象は中央省庁のみで、独立行政法人である日本年金機構は調査できませんでした。
そのため、日本年金機構に対するサイバー攻撃は継続され、最終的に125万件もの個人情報が漏えいする事態となっています。
こうした経緯により、2016年に以下の通りに改正されました。
|
サイバーセキュリティ人材の重要性が増し、2017年には国家資格「情報処理安全確保支援士」が新設されています。
2018年(平成30年)の改正
2018年の改正は、2020年の東京オリンピックに備えるため行われました。
サイバー攻撃は、オリンピック開催時期に増加する傾向が見られます。
実際に、2018年の平昌冬季オリンピック期間はサイバー攻撃が多発しています。
こうした実情を踏まえた改正により、官民で連携してサイバー攻撃対策を講じる「サイバーセキュリティ協議会」が創設されました。
さらに、関係者間の迅速な連絡を可能にするための事務事項も決定されています。
2021年の計画策定
2021年9月、内閣サイバーセキュリティセンターにより、サイバーセキュリティ基本法第12条における「サイバーセキュリティ戦略」の戦略案が決定されました。
戦略案では、「⾃由、公正かつ安全なサイバー空間の確保」を目標に掲げています。
今後3年間のサイバーセキュリティ施策の課題や方向性など、具体的な内容が示されました。
事業者・企業に求められるサイバーセキュリティ
サイバーセキュリティ基本法は、事業者・企業にもサイバーセキュリティに関する取り組みを求めています。
具体的に、「能動的かつ事前の取り組み」と「国や地方公共団体の施策への協力」の2つに分けて解説します。
能動的かつ事前の取り組み
企業は多くの情報資産を有しているため、自主的なサイバーセキュリティ対策が必要です。
サイバー攻撃により個人情報が流出すれば、消費者に二次被害が生じる可能性があります。
インフラ事業者の業務が停止した場合は、国民生活に重大な影響が及ぶでしょう。
企業が社会に与える影響は大きく、能動的かつ事前の取り組みによるサイバーセキュリティの確保が大切です。
国や地方公共団体の施策への協力
国や地方公共団体のサイバーセキュリティ施策への協力も、企業に求められる取り組みです。
国や地方公共団体は、適切なサイバーセキュリティ方針やガイドラインを定めなくてはいけません。
適切な方針やガイドラインがなければ、企業や団体ごとにサイバーセキュリティ水準が異なってしまうからです。
国内全体で強固なサイバーセキュリティ体制を構築するため、企業は国や地方公共団体に協力する必要があります。
サイバーセキュリティ対策を行わないリスク5つ
サイバーセキュリティ対策を行わないと、どのようなリスクがあるのでしょうか。
下記5つをご覧ください。
|
具体的なリスクと、それぞれの対策について紹介します。
マルウェア感染による情報漏えい
マルウェアとは、コンピュータウイルスやワームなどの悪意あるプログラムの総称です。
マルウェアに感染した場合、感染した端末やネットワークからデータを盗まれるリスクがあります。
個人情報を流出させてしまうと、顧客や取引先への損害賠償対応、原因究明、セキュリティ対策の改善などの対応が必要です。
マルウェアの中には、emotet(エモテット)のような、取引先からの返信に偽装したメールで感染させる巧妙なプログラムも存在します。
セキュリティ対策ツールの導入だけでなく、社員教育による情報セキュリティ意識の向上も重要です。
不正アクセス
攻撃者による不正アクセスを許してしまうと、サーバの停止、データの改ざん・破壊、盗窃などの被害が生じます。
ログイン情報を悪用した「なりすまし」や「踏み台化」といった被害も起こり得ます。
踏み台とは、攻撃者が第三者のPCやサーバを使ってサイバー攻撃を仕掛ける行為です。
自社のPCが踏み台化されてしまえば、知らない間にサイバー攻撃に加担してしまいます。
企業のイメージを大きく損ねるため、IPS/IDSやファイアウォール、WAFを導入して対策しましょう。
スマホ決済の不正利用
スマホ決済の不正利用による被害者は、主に一般消費者です。
しかし、スマホ決済を自社サービスに採用する場合は、消費者が被害に合わないよう企業側も努力する必要があります。
自社の店舗で不正利用被害が相次ぐと、顧客離れを招いてしまうからです。
セキュリティ機能を備えた決済端末の導入や、偽造QRコードすり替え防止策を実施し、消費者の安全性を最大限考慮しましょう。
フィッシング詐欺
フィッシング詐欺とは、実在する企業の偽物のWebサイトにユーザーを誘導し、金融機関やクレジットカードの情報を盗む手口です。
スマホ決済の不正利用と同じく、フィッシング詐欺も一般消費者が被害者となります。
自社のWebサイトを悪用された場合、自社のイメージ悪化は避けられません。
メルマガの電子証明書付与やSSLサーバー証明書発行などの対策で、消費者保護に努めましょう。
内部不正・過失
個人情報や重要データの持ち出し・破壊などの内部不正を防ぐためには、技術的な対策が必要です。
たとえば、特定データを監視するDLPの導入、不許可デバイスの接続拒否、アクセス権限の管理が挙げられます。
従業員の過失については、技術的な面に加えて社内教育の徹底も重要です。
「不審なメールは開かない」「私用デバイスの持ち込み禁止」など、初歩的な情報セキュリティ研修を定期的に行いましょう。
企業の情報管理について弁護士に相談するメリット3つ
企業が扱う情報の中には、法律によって管理方法が定められているものがあるとご存知でしょうか。
情報管理について悩みがある場合、弁護士に相談すると以下3つのメリットを得られます。
|
各メリットについて具体的に説明します。
情報管理における規制や基準にもとづいたアドバイス
企業秘密が不正に持ち出された場合、「不正競争防止法」による民事・刑事措置の実行が可能です。
ただし、盗まれた企業秘密の管理方法が、不正競争防止法の「営業秘密」の要件を満たしている場合に限られます。
営業秘密の要件は、「秘密管理性」「有用性」「非公知性」の3つです。
それぞれ細かな条件があり、要件を満たしていなければ不正競争防止法による措置が難しくなります。
弁護士に適切な管理方法のアドバイスをしてもらえれば、「不正競争防止法」にもとづいた正確な情報管理が可能になるでしょう。
情報管理における社内ガバナンス体制・社内規程の整備
個人情報保護法は、個人情報取扱事業者に対して安全管理措置の実施を義務付けています。
安全管理措置のひとつ「組織的安全管理措置」では、個人情報の適切な管理に必要な体制整備などの施策を求めています。
他にも、従業員教育を求める「人的安全管理措置」を含む多岐にわたる規定があるため、社内ガバナンス体制・社内規程の整備が必要です。
個人情報保護法を熟知する弁護士に依頼すれば、法令にもとづいた体制・規定の構築を図れます。
情報漏えいしてしまった際の紛争の対応
個人情報を漏えいしてしまった企業は、民事の損害賠償責任を負い、紛争に発展する恐れがあります。
情報漏えいによる二次被害が生じていない場合は、慰謝料が紛争の争点になります。
できる限り賠償金額を抑えたいのであれば、弁護士に対応を依頼しましょう。
また、被害者である顧客に対してずさんな対応をしてしまうと、さらなる信用失墜に繋がりかねません。
紛争時の対応に加え、企業としての適切な姿勢についてもアドバイスしてもらうと良いでしょう。
まとめ
この記事では、サイバーセキュリティ基本法の概要や、民間企業に求められるサイバーセキュリティについてまとめました。
民間企業は、適切なサイバーセキュリティ対策を実施しないと、情報漏えいや内部不正などのリスクが高まります。
また、個人情報保護法や不正競争防止法により、企業の情報管理にはさまざまな規制があります。
法令を遵守した情報管理方法を知りたい方は、弁護士に相談してみてはいかがでしょうか。