<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

「サイバーセキュリティ基本法」とは?背景や内容を分かりやすく解説

9262-00044-1.jpg

個人情報漏えい、コンピュータウイルスといった言葉をよく目にするようになりました。サイバー攻撃から情報資産を守るため、セキュリティ確保の基本理念や施策の基本事項を定めた法律があるのはご存じでしょうか。「サイバーセキュリティ基本法」という法律です。今回は、このサイバーセキュリティ基本法についてご紹介します。

サイバーセキュリティ基本法とは

9262-00044-2.jpg

サイバーセキュリティ基本法は、2014年(平成26年)に成立し、2015年(平成27年)1月から施行されています。

この法律は、サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念や国の責務、サイバーセキュリティ戦略をはじめとする施策の基本となる事項を規定したものです。

ただしあくまで"基本"を示したものであり、具体的な戦略は「内閣サイバーセキュリティセンター(NISC)」(後述)の活動や他の法律にゆだねられています。

基本理念

サイバーセキュリティ基本法では、以下のとおり基本理念を第3条で示しています。

  • 情報の自由な流通の確保を基本に、官民が連携して積極的に対応すること
  • 国民1人ひとりがサイバーセキュリティに関する認識を深め、自発的な対応をすること、強靱な体制を構築すること
  • 高度情報通信ネットワークの整備およびITの活用によって活力ある経済社会を構築すること
  • サイバーセキュリティに関する国際的な秩序の形成等のために先導的な役割を担い、国際的協調の下に実施すること
  • 国民の権利を不当に侵害しないこと

これらの理念のもと、施策が実施されることとしています。

組織

2015年(平成27年)1月、同法に基づき内閣に「サイバーセキュリティ戦略本部」が設置されました。同本部は、内閣官房長官をはじめとする関係閣僚や有識者によって構成されています。事務局は従来の「情報セキュリティセンター(NISC)」を改めて組織した、「内閣サイバーセキュリティセンター(NISC)」です(※略称は以前と同じ)。

法律全文はこちら(サイバーセキュリティ基本法)をご覧ください。

サイバーセキュリティ基本法制定の背景

9262-00044-3.jpg

それまでにITに関する法律は、2001年(平成13年)に施行された「高度情報通信ネットワーク社会形成基本法」(通称:IT基本法)がありました。2005年(平成17年)には政府のIT戦略本部決定に基づき、内閣官房に「情報セキュリティセンター(NISC)」が設置されています。

ただその後も、大企業や官庁においてもウイルス感染や政府機関への標的型攻撃など脅威件数が増加し、各団体の個人情報が漏えいするケースもありました。情報漏えいの原因にはサイバー攻撃のみならず、記憶媒体の紛失などのヒューマンエラーも含まれています。サイバー攻撃はその後も件数が増加の一途をたどり、手法が多様化・大規模化していったため、セキュリティ戦略の強化が必要となりました。

そこでIT基本法とともに活用される法律として、サイバーセキュリティ基本法が成立したのです。

サイバーセキュリティ基本法改正の背景

9262-00044-4.jpg

サイバーセキュリティ基本法の施行後も個人情報漏えい事件などが相次いだため、2016年(平成28年)と2018年(平成30年)には、主にNISCの権限強化と事務作業負荷の軽減を狙いとして改正が行われました。

2016年(平成28年)の改正

<経緯>

2015年(平成27年)に、日本年金機構の情報漏えい事件が起こりました。日本年金機構の情報ネットワークに標的型攻撃が行われ、機構が保有する多数の個人情報が流出したのです。

しかし当時のNISCは日本年金機構に情報漏えいが起こった旨の通報はできたものの、調査可能な対象は中央省庁に限られていて日本年金機構のような独立行政法人は対象外だったため、十分な調査・対策ができませんでした。このことから標的型攻撃が引き続き行われ、結果的に個人情報流出の被害が拡大しました。法改正は、この事件がきっかけの1つとなっています。

<変更点>

大きな変更点は、以下の2点です。

  1. 国が行う不正な通信の監視、原因究明調査等の対象範囲を拡大しました。この改正で、特殊法人や独立行政法人も対象となっています。
  2. 対象範囲が拡大したことにより、監視や調査の業務量も増加しました。したがってサイバーセキュリティ戦略本部の一部事務を独立行政法人 情報処理推進機構(IPA)などに委託できるようになりました。

また具体的な施策として、情報セキュリティ対策の実践的な能力を持つ国家資格「情報処理安全確保支援士」※の新設が行われています。サイバーセキュリティ対策推進のための人材育成・確保をめざす資格で、IPAが運営しています。

※通称名:登録セキスペ(登録情報セキュリティスペシャリスト)

2018年(平成30年)の改正

<経緯>

2018年(平成30年)は韓国・平昌で冬季オリンピックが行われた年でした。オリンピック開催時期も含め、この年はインターネットテロが数多く発生したのです。

また2016年以前のリオデジャネイロオリンピック、ロンドンオリンピックでも多くのサイバー攻撃がありました。多くの国のトップアスリートや観客が集うオリンピック・パラリンピックでは、インターネットテロがひとたび起これば被害が甚大となることが懸念されます。

この経緯を踏まえて2020年東京オリンピック・パラリンピックの開催に万全を期すため、官民が連携して対策を取れるよう「サイバーセキュリティ基本法」の改正が行われました。

<変更点>

大きな変更点は、以下の2点です。

  • 官民の多様な主体が相互に連携して情報共有を図り必要な対策等について協議を行えるよう、サイバーセキュリティ協議会が創設されました。2019年4月、改正法の施行とともに発足しています。
  • サイバーセキュリティ戦略本部において、国内外の関係者に連絡が迅速にできるように事務事項を定めました。この事務の一部は秘密保持義務を定めた特定の法人に委託できるようにもなっています。

セキュリティ対策の推進

9262-00044-5.jpg

サイバーセキュリティ戦略本部では、2018年に閣議決定された「セキュリティ戦略」にて、2018年~2021年における諸施策の目標や実施方針を公表しています。

2020年現在推進中のこのセキュリティ戦略では、2015年戦略で掲げた5つの原則、「情報の自由な流通の確保」、「法の支配」、「開放性」、「自律性」、「多様な主体の連携」を引き続き堅持することが示されています。また「経済社会の活力の向上・持続的発展」「国民が安全・安心して暮らせる社会」「国際社会の平和・安全、および我が国が安全保障に寄与すること」を達成するための具体的な施策が明示されています。

また「経済社会の活力の向上・持続的発展」「国民が安全・安心して暮らせる社会」「国際社会の平和・安全、および我が国が安全保障に寄与すること」を達成するための具体的な施策が明示されています。

また特に2020年は、新型コロナウイルス感染症対策として、テレワークの積極的な活用が推奨されています。テレワークは、通勤ラッシュやオフィス内など多くの人が集まる場所での危険性を減らすために有効な方法である一方で、電子データの信頼性を確保するための環境構築が課題となっていました。テレワークを導入していなかった中小企業には、とりわけハードルの高い課題となっています。

サイバーセキュリティ戦略本部でも、2020年の年次計画にてテレワークについて言及しています。またテレワーク関連の支援およびセキュリティ確保に関する情報や対策例を含め、「テレワークセキュリティガイドライン(第4版)」が制定されました。セキュリティ対策に関する専門的な相談に対応できる窓口の設置も行っています。

まとめ

サイバーセキュリティ基本法は基本理念が中心となった法律で、事業者や個人が具体策を行うための参考とはなりにくいものです。

しかし国や地方公共団体、インフラ事業者だけでなく、事業者や個人にも、サイバーセキュリティの確保に必要な注意を払い事業や生活を見つめ直すことを求めている内容です。

今後もサイバーセキュリティ基本法の存在を念頭に置き、セキュリティ戦略本部の施策に引き続き注目していきましょう。

関連サービス

エンドポイントセキュリティとは?その重要性と対策のポイント

セキュリティ対策の一種として「エンドポイントセキュリティ」という言葉がよく聞かれるようになりました。ここでは、近年重要性が高まっている「エンドポイントセキュリティ」について、その概要や対策のポイントをご紹介します。

詳しく »