近年ではコンピュータやインターネットの普及に伴ってIT関連の犯罪が増えてるっすね。当然、それらを規制するための法律もたくさんあるっす。
セキュリティーがどうとかニュースでよく聞くけど、どんな法律があるのかはよく知らないや。
ということで、今回はセキュリティ関連法規を見ていくっす。特に不正アクセス禁止法と個人情報保護法は頻出っすよ。
目標 | ・代表的なセキュリティ関連法規の概要を理解する。 |
説明 | ・我が国のサイバーセキュリティに関する施策の基本となる事項等を定めたサイバーセキュリティ基本法があることを知り,その概要を理解する。 ・実際に被害がなくても罰することができる,不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)があることを知り,その概要を理解する。 ・パーソナルデータ,個人情報,個人データの違いを理解する。 ・その他,情報セキュリティに関連する各種法律の概要を理解する。 |
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、サイバーセキュリティに関連する施策を推進するため、基本理念や基礎事項などを規定した法律で、国や地方自治体の責務などをまとめたものです。
サイバーセキュリティ基本法は、主に国及び地方公共団体の責務等を明らかにした法律ですが、それ以外にも重要社会基盤事業者、サイバー関連事業者その他の事業者、教育研究機関、国民など国全体を対象としています。
不正アクセス禁止法
不正アクセス禁止法は、不正アクセス行為や不正アクセス行為につながる他人の識別符号(IDやパスワードなど)の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。
不正アクセス禁止法では次のような行為を規制しています。
- 他人の識別符号を無断で入力する行為
- 他人の識別符号を不正に取得する行為
- 他人の識別符号を無断で第三者に提供する行為
- ソフトウェアやネットワークのセキュリティホール(セキュリティ上の脆弱性)を突いてアクセスする行為
従来の法律では、実際に被害がない場合は取り締まりが困難だったっす。しかし不正アクセス禁止法は、実際に被害がなくても不正アクセス行為そのものを取り締まることができるっすよ。
迷惑メールやチェーンメールなどを規制し、インターネットなどを良好な環境に保つ為に施行された法律。オプトアウトメールなどを規制しています。
不特定多数に対して配信する無許諾の広告メールをオプトアウトメール、許諾を得て配信する広告メールをオプトインメールといいます。
正当な理由なく、マルウェア(コンピューターウィルスなど)を作成、提供、取得、保管する行為を罰する法律。正式名称は「不正指令電磁的記録に関する罪」といい、刑法で定められています。
さらっと学習(情報セキュリティ関連基準等)
コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策を経済産業省がとりまとめた基準。
コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策を経済産業省がとりまとめた基準。
組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール(管理策)を整備・運用するための実践的な規範として経済産業省がとりまとめた基準。
大企業及び中小企業(小規模事業者を除く)の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」、及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部に指示すべき「重要10項目」を経済産業省がまとめたガイドライン。
情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をIPAがまとめたガイドライン。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業の利用を想定している。
個人情報保護法
個人情報保護法の概要
個人情報保護法は、個人情報の適正な取扱いに関し、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。
ここでの「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいいます。したがって、次のようなものも個人情報に含まれます。
- 個人を識別できる音声や映像
- 虹彩の模様、声紋、指紋のような身体的特徴
- 他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの。
個人情報保護法では、個人情報データベース等を事業の用に供している者(国や地方公共団体、独立行政法人を除く)を個人情報取扱事業者と呼びます。
以前は5,000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていたんすけど、現在は1件でも個人情報を扱うと個人情報取扱事業者に該当するっすよ。
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。
要配慮個人情報の取得には、原則として本人の同意が必要であり、あらかじめ本人の同意を得ないで取得することが禁止されます。
個人情報の第三者提供
個人情報を第三者に提供するには、あらかじめ本人の同意を得なければならないのが原則ですが例外もあります。
本人の同意なく個人情報を提供することができる場合
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けたものが法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で利用するとき
(個人情報保護法27条1項各号)
「第三者」への提供に該当しない場合
以下のようなケースは、個人情報保護法における「第三者」への提供に該当しないため、本人の同意は不要とされます。
- 委託提供の場合(ただし、委託元には委託先に対する監督義務が生じます)
- 合併その他の事由による事業の承継に伴って個人情報が提供される場合
- 共同利用の場合
(個人情報保護法27条5項各号)
匿名加工情報
特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報を匿名加工情報といいます。
匿名加工情報は、一定のルールの下で、本人の同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的に導入されました。
確認○×問題
情報システムに不正に侵入し、サービスを停止させて社会的混乱を生じさせるような行為に対して、国全体で体系的に防御施策を講じるための基本理念を定め、国の責務などを明らかにした法律はサイバーセキュリティ基本法である。
(出典:令和6年度春期分 問2 一部改変)
答え:〇
サイバーセキュリティ基本法は、サイバーセキュリティに関連する施策を推進するため、基本理念や基礎事項などを規定した法律で、国や地方自治体の責務などをまとめたものです。国や地方自治体だけでなく、事業者や国民などを含む国全体を対象としています。
忘れないようにするために、自分のPCに社内データベースアクセス用の自分のパスワードのメモを貼り付けた。この行為は不正アクセス禁止法によって規制される。
(出典:令和5年度春期分 問15 一部改変)
答え:×
自分の認証情報を自分で他人に公開する行為は、不正アクセス禁止法によっては規制されません。ただし、情報セキュリティ上の問題があることは言うまでもありません。
メールサーバにアクセスできないよう、電子メールの利用者IDとパスワードを無効にするマルウェアを作成した。この行為は不正アクセス禁止法によって規制される。
(出典:令和4年度春期分 問9 一部改変)
答え:×
マルウェアを作成する行為は刑法(ウイルス作成罪)で規制されます。
個人情報を管理している銀行、地方公共団体、 国立大学法人、国税庁は、すべて個人情報保護法で定める個人情報取扱事業者に該当する。
(出典:平成29年度春期分 問1 一部改変)
答え:×
個人情報保護法では、個人情報データベース等を事業の用に供している者(国や地方公共団体、独立行政法人を除く)を個人情報取扱事業者と呼びます。
よって、「個人情報を管理している銀行」は個人情報取扱事業者に該当しますが、地方公共団体、 国立大学法人(独立行政法人)、国税庁は個人情報取扱事業者に該当しません。
個人情報保護法では、あらかじめ本人の同意を得ていなくても個人データの提供が許される行為を規定しているが、以下の①~⑤のケースはすべて、この行為に該当する。
①事故で意識不明の人が持っていた本人の社員証を見て、搬送先の病院が本人の会社に電話してきたので、総務の担当者が本人の自宅電話番号を教えた。
②不正送金等の金融犯罪被害者に関する個人情報を、類似犯罪の防止対策を進める捜査機関からの法令に基づく要請に応じて、総務の担当者が提供した。
③徘徊していた認知症の老人が所持していたクレジットカードをもとに、警察が本人の身元を特定して老人を自宅に送り届けた。
④児童虐待のおそれのある家庭の情報を、児童相談所、警察、学校などで共有した。
⑤暴力団などの反社会的勢力情報や業務妨害行為を行う悪質者の情報を企業間で共有した。
(出典:平成26年度春期分 問10等 一部改変)
答え:〇
個人情報保護法では、以下のケースにおいては本人の同意なく個人情報を提供することができるとされています。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けたものが法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で利用するとき
・ケース①:上記2に該当します。
・ケース②:上記4に該当します。
・ケース③:上記2に該当します。
・ケース④:上記3に該当します。
・ケース⑤:上記2に該当します。
個人情報取扱事業者には、個人情報の安全管理が図られるよう、業務委託先を監督する義務がある。
(出典:平成28年度秋期分 問33 一部改変)
答え:〇
個人情報取扱事業者には委託先を監督する義務があります。
「学歴」「国籍」「資産額」「信条」のうち、個人情報保護法で定められた、特に取り扱いに配慮が必要となる”要配慮個人情報”に該当するものは「資産額」である。
(出典:令和4年度春期分 問27一部改変)
答え:×
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。
特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報を匿名加工情報といい、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携が可能である。
答え:〇
設問のとおりです。