I-20-2. ネットワークセキュリティに関連する法律とセキュリティポリシー

不正アクセス禁止法、刑法、電子署名法、個人情報保護法など、ネットワークセキュリティに関連する法整備について解説する。また組織におけるセキュリティポリシーの位置づけについて説明し、構成員の情報セキュリティ意識を高める工夫やセキュリティポリシーの定め方について触れる。

【学習の要点】

* コンピュータやインターネットの普及に伴って増大している「ハイテク犯罪」に対し、法整備がされてきている。

* セキュリティ関連の法案を把握しておくことで、トラブルを未然に防ぐことができる。

* 個人情報の取り扱い方針やセキュリティポリシーは、多くの組織が公開するようになってきている。

図I-20-2. セキュリティに関する法律とセキュリティポリシーの位置づけ

【解説】

1) ネットワークセキュリティに関連する日本での法整備

* 刑法

従来、日本では刑法の対象は物理的な財物に対するものとなっていたが、1987年に、プログラムや情報といった無体物に対しても適用するよう法改正され、俗に「コンピュータ犯罪防止法」と呼ばれる条文が整備された。修正された条文では「電磁的記録」について定義され、文書偽造の罪として「電磁的記録不正作出及び供用」、信用及び業務に対する罪として「電子計算機損壊等業務妨害」、詐欺及び恐喝の罪として「電子計算機使用詐欺」に関する条文が盛り込まれている。

* 不正アクセス行為の禁止等に関する法律

2000年に施行され、俗に「不正アクセス禁止法」と呼ばれる。「アクセス制御機能」について定義され、アクセス制御をかいくぐるような行為を「不正アクセス行為」と位置づけている。不正アクセス行為を禁止するだけでなく、不正アクセス行為を助長する行為の禁止、アクセス管理者による防御措置、都道府県公安委員会による援助等についても盛り込まれている。

* 電子署名及び認証業務に関する法律

2001年に施行され、俗に「電子署名法」と呼ばれる。「電子署名」「認証業務」「特定認証業務」について定義され、特定認証業務の認定について定められている。

* 個人情報の保護に関する法律

2005年に施行され、俗に「個人情報保護法」と呼ばれる。「個人情報」「個人データ」「保有個人データ」について定義され、個人情報データベース等を事業用に供している者は「個人情報取扱事業者」とされ、個人情報取扱事業者の義務などについて盛り込まれている。

2) セキュリティポリシー

組織で取り扱う情報のセキュリティを確保するための、組織として取り組むべき方針や基準のことを、セキュリティポリシーという。組織の情報資産のセキュリティ対策の頂点に位置するものであり、セキュリティポリシーに則って、具体的なセキュリティ対策実施手順が決定される。

* 組織構成員のセキュリティ意識の向上

組織構成員にとって、セキュリティと利便性はトレードオフになる場合もあり、歓迎されない場合が多い。セキュリティ確保の重要性について十分に教育し、構成員の行動をセキュリティ面から評価することにより、自発的な行動を促すことが必要であり、セキュリティポリシーにも重要性や評価基準を盛り込むよう工夫する。

* セキュリティポリシーの定め方

まず基本方針を定め、それに基づいて、対策基準を定める。

- 基本方針

セキュリティポリシーの目的、対象範囲、管理体制、義務、罰則などを記述。

- 対策基準

セキュリティ確保のための遵守事項や判断のための基準を「パスワード管理」「Webサイトの閲覧」「電子メール」などのテーマ毎に記述。

参考として「情報セキュリティポリシーに関するガイドライン」が挙げられる。

http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。