「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
ITの高度化(利用形態やIT政策の多様化)のため、
法律の施行や改正、ガイドラインの策定などが進められている。
コンピュータ犯罪を取り締まる法律 †
概要 †
長年、法律が無かった(従来は人が人に対して直接する行為を前提としていた)が、
従来の刑法の不備を補うため、1987年の刑法改正によって罰することが可能になった。
代表的な犯罪 †
電子計算機損壊等業務妨害 †
(刑法第 234 条の 2)
電子計算機使用詐欺 †
(刑法第 236 条の 2)
不正アクセス †
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
- 刑法
社会通念上は不正と思われる行為も
刑法で定めた被害が発生しない限り、
罰することが出来ないものが多数存在する。
コンピュータ・ウイルス作成 †
コンピュータ・ウイルス作成罪の新設
(コンピュータウイルスの作成や保管を罰するための法改正)
- 概要
従来の刑法では処罰が困難だったため、
「情報処理の高度化等に対処するための刑法等の一部を改正する法律(案)」が、
2011/6に参院本会議で成立し、翌7月に施行された。
- コンピュータ・ウィルスの定義
以下の様に定義されている。
「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、
又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」
- 作成・提供
3年以下の懲役 or 50万以下の罰金
- 取得・保管
2年以下の懲役 or 30万以下の罰金
- 他人のコンピュータで
実行させることを目的としている。
サイバーセキュリティ基本法 †
対象は、電磁的方式によって記録、発信、伝送、受信される情報に限られる。
概要 †
を明確に定め、推進することにより、
- 経済社会の活力向上
- 持続的発展
- 国民が安全で安心して暮らせる社会の実現
- 国際社会の平和及び安全の確保
- 国の安全保障への寄与
等を目的として、
- 施行に伴い、設置された組織
- サイバーセキュリティ戦略本部 @ 内閣
- 内閣サイバーセキュリティ・センター @ 内閣官房
(NISC : National center of Incident readiness and Strategy for Cybersecurity)
1章から4章 †
1章 †
- 情報の自由な流通の確保を基本として、
官民の連携により積極的に対応。
- 国民一人一人の認識を深め、
自発的な対応の促進等、強靭な体制の構築
- 高度情報通信ネットワークの整備及び
ITの活用による活力のある経済社会の構築
- 国際的な秩序の形成等のために
先導的な役割を担い国際的協力の下に実施
- 4-9条
関係者の責務等について規定
- 国
- 地方自治体
- 重要社会基盤事業
(重要インフラ事業者)
- サイバー関連事業者
- 研究教育機関等
2章 †
サイバーセキュリティ戦略
- サイバーセキュリティに関する施策の基本的な方針
- 国の行政機関等におけるサイバーセキュリティの確保
- 重要インフラ事業者等におけるサイバーセキュリティの確保の促進
- 総理大臣は本戦略の案につき
閣議決定を求めなければならない。
3章 †
基本的施策
- 13条
国の行政機関等におけるサイバーセキュリティの確保
- 14条
重要インフラ事業者等におけるサイバーセキュリティの確保の促進
- 15条
民間事業者及び教育研究機関等の自発的な取組の促進
- 18条
我が国の安全に重大な影響を
及ぼす恐れのある事象への対応。
4章 †
内閣にサイバーセキュリティ戦略本部を設置
法改正 †
2016年 †
「サイバーセキュリティ基本法及び情報処理の促進に関する一部を改正する法律」
- 2016年4月に成立、同年10月に施行された。
- 2015年年金機構からの個人情報流出事件を受けての対策強化。
- 対象
・独立行政法人
・特殊法人、認可法人のうち戦略本部が指定する法人
- 情報処理の促進
「情報処理安全確保支援士」の試験と制度の創設。
2018年 †
「サイバーセキュリティ基本法の一部を改正する法律」が閣議決定。
- 構成員:
・行政機関
・地方公共団体
・重要インフラ事業者
・サイバー関連事業者
・教育研究機関
・有識者
- サイバーセキュリティ戦略本部による連絡調整の推進
所掌事務にサイバーセキュリティ関連事象が発生した場合、
国内外の関係者との連絡調整に関する事務を追加する。
サイバーセキュリティ経営ガイドライン †
概要 †
目的 †
経営者のリーダーシップの下で、サイバーセキュリティ対策を推進する
策定 †
経済産業省、独立行政法人情報処理推進機構(IPA)
対象 †
大企業及び中小企業(小規模事業者を除く)のうち、
構成 †
| もくじ | 想定読者 |
| サイバーセキュリティ経営ガイドライン・概要 | 経営者・CISO・セキュリティ担当者 |
| 1 はじめに | CISO・セキュリティ担当者 |
| 2 経営者が認識すべき3原則 | CISO・セキュリティ担当者 |
| 3 サイバーセキュリティ経営の重要10項目 | CISO・セキュリティ担当者 |
| 付録A サイバーセキュリティ経営チェックシート | セキュリティ担当者 |
| 付録B サイバーセキュリティ対策に関する参考情報 | セキュリティ担当者 |
| 付録D 国際規格ISO/IEC27001 及び27002 との関係 | セキュリティ担当者 |
| 付録E 用語の定義 | セキュリティ担当者 |
3原則 †
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」
- 経営者自身が率先して
サイバーセキュリティリスクを
認識し、対策を進めることが必要
- 自社だけでなく関連企業、ビジネスパートナーを
含めた関連企業すべてでセキュリティ対策が必要
- 顧客や株主の信頼感を高めるために、
常にサイバーセキュリティリスクの対策や情報開示
をしておくなどの適切なコミュニケーションが必要
重要10項目 †
及び経営者が情報セキュリティ対策を実施する上での責任者
となる担当幹部(CISO等)に指示すべき「重要10項目」
- リスク
- (2) リスク管理体制の構築
- (3) リスクの把握、目標と対応計画策定
- (4) サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- (5) 関連企業やビジネスパートナーを含めた対策の実施および状況把握
- (6) サイバーセキュリティ対策のための資源(予算、人材など)確保
- (7) ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- (8) 情報共有活動への参加を通じた攻撃情報を入手するための環境整備
- (9) 緊急時の対応体制の整備、定期的かつ実践的な演習の実施
- (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
※ 凡そ、SC:マネジメントと同じ。
電子署名法 †
電子署名及び認証業務に関する法律、略称は電子署名法。
- デジタル署名は ≒ 民事訴訟法における押印と同様の効果がある。
- デジタル証明書を発行する認証局は、主務大臣の認定を受けることが出来る(義務はない)。
背景 †
- 電子署名は、電子政府、電子自治体において重要な基盤技術であるが、
従来の法体系では想定していなかったため、法的な効力がなかった。
- このため、印鑑登録証明書制度の署名や押印と
同等に扱うための法的基盤を整備が必要となった。
- 平成12年5月31日公布(法律第102号)、平成13年4月1日施行。
概要 †
電子署名が署名や押印と同等の法的効力を持つことを定めた日本の法律。
骨子 †
- 第2章 電磁的記録の真正な成立の推定(第3条)
- 本人による一定の電子署名が行われているときは申請に成立したものと推定する。
- ≒手続き署名や押印と同等に通用する法的基盤を整備
- 第3章 特定認証業務の認定等
- 認証業務に関し、一定水準を満たす者は国の認定を受けることが出来る。
- 認定を受けた業務については、その旨を表示できる。
- また、認定の要件と、認定を受けたものの義務を定める。
署名方式 †
電子署名方式として次の3つを指定する。
- RSA方式又はRSA-PSS方式 1024bit以上
- DSA方式 1024bit以上
- ECDSA方式 160bit以上
通信傍受法 †
犯罪捜査のための通信傍受に関する法律、略称は通信傍受法
概要 †
- 平成11年8月18日公布(法律第137号)、平成12年8月15日施行。
- 「通信」「傍受」とは何か?
- 通信:電話(固定電話・携帯電話)、電子メール、及び、FAX
- 傍受:通信線に傍受装置を接続して行うワイヤータッピング
- 通信傍受による捜査が許容される犯罪
通信傍受が必要不可欠な組織犯罪に限定される。
- 薬物関連犯罪
- 銃器関連犯罪
- 爆発物使用
- 集団密航、
- 通信傍受のための手続
検察官または司法警察員が地方裁判所の裁判官に対して傍受令状を請求
- 検察官は検事総長からの指定を受けた指定検事に限られる。
- 司法警察員も、公安委員会等から指定を受けた警視以上の警察官等に限られる。
- 傍受してよい通信の内容
- 傍受してよい通信は、傍受令状に記載された通信のみ
- 傍受実施の際には、通信手段の管理者等の立ち会いが必要(12条)。
- 判断のため必要最小限度の範囲であれば傍受することも許される(13条)。
- 令状に記載がない他の犯罪に関する通信を傍受できる場合がある(14条)。
- 傍受後の手続
- 傍受した通信は全て記録媒体に記録しなければならず(19条)
- 刑事手続において使用するための傍受記録の作成が義務付けられる(22条)
- 更に、傍受終了後30日以内に、当事者に対して傍受したことを通知(23条)
- 傍受令状の発付、通信傍受について、不服を申立てる手続も用意(26条)。
- 問題点
- 日本国憲法第21条の通信の秘密の規定に反する。
- 盗聴捜査の乱用に対する防止策が不十分
- 音声通話の盗聴が前提で、制度・運用に矛盾がある。
改正 †
- 2016年5月成立、12月1日から施行
- 対象犯罪の拡大
- 殺人、傷害、放火
- 誘拐、逮捕監禁
- 強盗・窃盗、詐欺・電子計算機使用詐欺
- 児童ポルノ等
- 2019年6月1日から施行
- 暗号技術で記録の改変を防止することで、
通信事業者の立ち会いを不要にできる。
特定電子メール法 †
特定電子メールの送信の適正化等に関する法律、
略称は特定電子メール法、俗称は迷惑メール防止法
概要 †
- 平成14年4月11日制定、4月17日公布(法律第137号)、平成14年7月1日施行。
- 無差別かつ大量に短時間の内に送信される広告、迷惑メール、チェーンメール
などを規制し、インターネットなどを良好な環境に保つ為に施行された。
- なお通信業界関係者では「特定商取引に関する法律」の略称の「特商法」
に対し「特電法」と呼ばれ、合わせて迷惑メール防止二法と呼ばれる。
- 規制対象
営利団体や個人事業者が自己又は他人の営業につき
広告又は宣伝を行うための手段として送信するメール
- 表示義務
・送信者の氏名または名称
・受信拒否の通知を受け取る為の送信者の電子メールアドレス等
・その他総務省令で定める事項
- 行政処分
規制内容を遵守していないと認められる場合、是正を求める措置命令
改正 †
- 平成20年5月30日に成立、6月6日公布、12月1日施行
- 法の実効性の強化
1年以下の懲役又は100万円以下の罰金(法人は3000万円以下の罰金)
- 国際連携の強化
- 国外発国内着のメールであっても規制の対象に。
- 外国執行当局に対して情報提供が可能になった。
オプトアウト、オプトイン †
- オプトアウト : 個人データの第三者への提供を本人の求めに応じて停止すること
- オプトイン : 広告メールの配信や、個人情報の利用など、利用者の承諾を得ること
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
