【情セキ.015】関連法規など
佐藤@IT雑貨屋です。
ISMSなどでは、JIS規格やガイドラインの他にも、関連する法規などについて検討の枠組みにいれておく必要があります。コンプライアンスを遵守する観点からも、こういった事がとても重要な事になります。ここでは情報セキュリティに関連する法規類について少しまとめます。それ以外にも組織の属する業界などのガイドラインなどがあれば、それも参照する必要があります。
◆サイバーセキュリティ基本法
サイバーセキュリティ基本法は2014年に制定された法律で、国のサイバーセキュリティに関する施策の推進における基本理念や国の責務などを定めたものです。
サイバーセキュリティとは何かを明らかにし、必要な施策を講じる為の基本理念や基本施策を定義しています。また、その司令塔として、内閣にサイバーセキュリティ対策本部を設置する事が定められています。国民には、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サーバーセキュリティの確保に必要な注意を払う様務める事が求められています。
サイバーセキュリティについて、この法で第二条に以下の様な定義をしています。
「電磁的方式により記録され、又は発進され、伝送され、若しくは受診される情報の漏洩、滅失又は毀損の防止その他の当該情報の安全確保のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること」
つまり情報を扱うシステム及び情報通信ネットワークを、攻撃から守る防御全般がサイバーセキュリティという事になります。
◆サイバーセキュリティ戦略本部
内閣に設置され、事務局を内閣官房に設置された内閣サイバーセキュリティセンター(NISC:National center of Incident readiness ad Strategy for Cybersecurity)が務めるサイバーセキュリティ戦略本部は、国のサイバーセキュリティ対策の司令塔です。IT総合戦略本部や国家安全保障会議などと連携して、国全体の安全を保障するための活動を行います。地方公共団体や各省庁への韓国なども行います。また、各業界や団体が協力し、専門機関等から得られた対策情報を戦略的かつ迅速に共有するための仕組みとして、サイバーセキュリティ協議会が創設されています。
◆不正アクセス禁止法
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は、インターネットなどでの不正アクセスを規制する法律です。ネットワークへの不正侵入、アクセス制御のための情報を第三者に提供することなどを処罰の対象としています。
不正アクセス禁止法では、被害がなくても不正アクセスをしただけ、またはそれを助けただけの助長行為も処罰の対象になります。さらに、不正アクセスを行わなくても、その目的で利用者IDやパスワードの情報を収集しただけで、不正に保管する行為として処罰の対象となります。
・アクセス制御機能
不正アクセス禁止法では、第一条に「アクセス制御機能により実現さえる電気通信に
関する秩序の維持」と記されており、アクセス制御機能を用いて利用者のアクセスを
制御することが推奨されています。不正アクセス禁止法の処罰の対応となるのは
アクセス制御を超えて権限のないコンピュータ資源にアクセスする事です。
・不正アクセス行為
不正アクセス行為は、アクセス制御のないコンピュータ資源にアクセスすることです
が、具体的には次のようなことが想定されています。
・ID/PASSWORDを登用もしくは不正に使用し、なりすましで認証を行う行為
・認証サーバの脆弱性(例えばセキュリティホール)などを突いて攻撃し、認証を
通り越してコンピュータ資源にアクセスする行為
・目的の端末にアクセスするため、その端末のつながるネットワークのゲートウェイ
の認証を不正に突破し、目的の端末にアクセスする行為
・不正アクセス行為を助長する行為
実際の不正行為だけではなく、不正アクセスを助長する行為も処罰の対象となってい
ます。具体的には、ID/パスワードなどの認証情報を、端末利用者や管理者以外に
漏らす事などが助長行為とされています。ただし、情報セキュリティ教育や注意喚起
など、正当な理由で行っている場合には処罰の対象とはなりません。
妨害する事を処罰する法律です。組織が運営するWebページの改竄、またその改竄
により企業の信用を傷つける情報を流す事などによって、業務の信仰を妨害した
場合に適用されます。またこれは、被害が発生せず未遂の場合であっても処罰の
対象となります。
や不正な内容を作成する不実の電磁記録の作出と、内容が虚偽の電磁的記録を他人
のコンピューターで使用する電磁的記録の掲揚の2種類の類型が定められています。
ネットを介して銀行のシステムに虚偽の情報を送る事で、不正送金や振り込みなど
を行う事が、これに該当します。
いう罪です。
不正に作ると言う罪です。代金・料金の支払い用のカード(クレジットカードや
プリペイドカード等)や、預金等のカード(キャッシュカード等)を不正に作ると、
この法律により罰せられます。
ないのに故意に行う事を処罰する法律です。2011年い改正された刑法で、新たに
追加されました。
妨害罪で処罰の対象となっていましたが、ウィルス作成自体が、コンピューター
ネットワークの安全性に対して甲州の信頼を損なうものであると考えられるため、
社会一般の信頼を歩gするための法律として新設されました。
インターネットを活用した商取引などでは、ネットワークを通じて社会経済活動を行います。その為に、相手を信頼できるかどうか確認する必要があり、PKI(公開鍵基盤)が構築されました。そのPKIを支え、電子署名に法的な効力を持たせる法律です。この法律により、電子署名に押印と同じ効力が認められるようになりました。電子署名で使う電子証明書を発行できる機関は認定認証事業者と呼ばれ、国の認定を受ける必要があります。
◆電子署名及び認証業務に関する法律(電子署名法)
インターネットを活用した商取引などでは、ネットワークを通じて社会経済活動を行います。その為に、相手を信頼できるかどうか確認する必要があり、PKI(公開鍵基盤)が構築されました。そのPKIを支え、電子署名に法的な効力を持たせる法律です。この法律により、電子署名に押印と同じ効力が認められるようになりました。電子署名で使う電子証明書を発行できる機関は認定認証事業者と呼ばれ、国の認定を受ける必要があります。
◆プロバイダ責任制限法
Webサイトの利用やインターネット上での商取引の普及、拡大に伴い、サイト上の掲示板などでの誹謗中傷、個人情報の不正な公開などが増えてきました。こういった行為に対して、プロバイダが負う損害賠償責任の範囲や、情報発信者の情報開示を請求する権利を定めた法律です。正式には「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」と言います。
ここで定義されている特定電気通信役務提供者には、プロバイダだけではなくWebサイトの運営者なども含まれます。プロバイダ責任制限法では、他人の権利を侵害した書込みがなされたとき、プロバイダがそれを知らなかった場合には責任は問われないとされています。
◆特定電子メールの送信の適正化等に関する法律
これは一般的に特定電子メール法、特定電子メール送信適正化法と世に、俗には迷惑メール防止法とも呼ばれています。広告の迷惑メールを規制する法律で、スパムメール(迷惑メール)を規制する内容となっています。
2006年に改訂された特定電子メール法では、メール送信の方式がオプトアウトからオプトイン方式に変更され、あらかじめ許可を得ていない場合のメール配信が禁止されました。
これら法規制は今後も範囲が拡大していくものと思われますので、適宜、情報を得るために感度をあげておく必要がありますね。