SC：法制度 - 情報セキュリティ（法律とガイドライン）のバックアップ(No.5)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
SC：法制度 - 情報セキュリティ（法律とガイドライン）へ行く。
- 1 (2019-11-04 (月) 19:32:34)
- 2 (2019-12-16 (月) 21:21:18)
- 3 (2019-12-18 (水) 21:25:06)
- 4 (2019-12-20 (金) 16:13:35)
- 5 (2019-12-25 (水) 21:18:44)
- 6 (2020-01-04 (土) 20:20:08)
- 7 (2020-01-07 (火) 23:53:19)
- 8 (2020-01-10 (金) 19:55:55)

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

↑

概要 †

ITの高度化（利用形態やIT政策の多様化）のため、
法律の施行や改正、ガイドラインの策定などが進められている。

↑

コンピュータ犯罪を取り締まる法律 †

↑

概要 †

長年、法律が無かった（従来は人が人に対して直接する行為を前提としていた）が、
従来の刑法の不備を補うため、1987年の刑法改正によって罰することが可能になった。

↑

代表的な犯罪 †

↑

電子計算機損壊等業務妨害 †

（刑法第 234 条の 2）

↑

電子計算機使用詐欺 †

（刑法第 236 条の 2）

↑

不正アクセス †

不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）

刑法
社会通念上は不正と思われる行為も
刑法で定めた被害が発生しない限り、
罰することが出来ないものが多数存在する。

不正アクセス

情報の盗難、盗聴

システム資源を使ってサービスを享受

他人のサイトの脆弱性を調べて公開

不正アクセス禁止法

特徴
以下も処罰の対象になる。

不正アクセスの事実

他人のアカウントの販売

フィッシングなどの不正アクセスの前段行為

前提

ネットワーク経由のリモート・アクセス

対象に不正アクセス対策されている

↑

コンピュータ・ウイルス作成 †

コンピュータ・ウイルス作成罪の新設
（コンピュータウイルスの作成や保管を罰するための法改正）

概要
従来の刑法では処罰が困難だったため、
「情報処理の高度化等に対処するための刑法等の一部を改正する法律(案)」が、
2011/6に参院本会議で成立し、翌7月に施行された。

コンピュータ・ウィルスの定義
以下の様に定義されている。
「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、
又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」

処罰の対象
ウィルスの

作成・提供
3年以下の懲役 or 50万以下の罰金

取得・保管
2年以下の懲役 or 30万以下の罰金

処罰の前提条件
以下の場合に限る。

正当な理由が無い場合。

他人のコンピュータで
実行させることを目的としている。

↑

サイバーセキュリティ基本法 †

↑

概要 †

サイバーセキュリティに関する

施策
戦略

を明確に定め、推進することにより、

経済社会の活力向上
持続的発展
国民が安全で安心して暮らせる社会の実現
国際社会の平和及び安全の確保
国の安全保障への寄与

等を目的として、

2014/11成立
2015/01施行

施行に伴い、設置された組織
- サイバーセキュリティ戦略本部 @ 内閣
- 内閣サイバーセキュリティ・センター @ 内閣官房
  （NISC : National center of Incident readiness and Strategy for Cybersecurity）

↑

１章から４章 †

↑

１章 †

1条
基本法の目的

2条
サイバーセキュリティの定義

3条
基本理念

情報の自由な流通の確保を基本として、
官民の連携により積極的に対応。

国民一人一人の認識を深め、
自発的な対応の促進等、強靭な体制の構築

高度情報通信ネットワークの整備及び
ITの活用による活力のある経済社会の構築

国際的な秩序の形成等のために
先導的な役割を担い国際的協力の下に実施

IT基本法の基本理念に配慮して実施

国民の権利を不当に侵害しないように留意

4-9条
関係者の責務等について規定
- 国
- 地方自治体
- 重要社会基盤事業
  （重要インフラ事業者）
- サイバー関連事業者
- 研究教育機関等

10条
法律上の措置等

11条
行政組織の整備等

↑

２章 †

サイバーセキュリティ戦略

12条
サイバーセキュリティ戦略

サイバーセキュリティに関する施策の基本的な方針
国の行政機関等におけるサイバーセキュリティの確保
重要インフラ事業者等におけるサイバーセキュリティの確保の促進

その他、必須な事項

総理大臣は本戦略の案につき
閣議決定を求めなければならない。

, etc.

↑

３章 †

基本的施策

13条
国の行政機関等におけるサイバーセキュリティの確保

14条
重要インフラ事業者等におけるサイバーセキュリティの確保の促進

15条
民間事業者及び教育研究機関等の自発的な取組の促進

16条
多様な主体の連携等

17条
犯罪の取締り及び被害の拡大の防止

18条
我が国の安全に重大な影響を
及ぼす恐れのある事象への対応。

19条
産業の振興及び国際競争力の強化

20条
研究開発の推進等

21条
人材の確保等

22条
教育及び学習の振興、普及啓発等

国際協力の推進など

↑

４章 †

内閣にサイバーセキュリティ戦略本部を設置

↑

法改正 †

↑

2016年 †

「サイバーセキュリティ基本法及び情報処理の促進に関する一部を改正する法律」

2016年4月に成立、同年10月に施行された。
2015年年金機構からの個人情報流出事件を受けての対策強化。

内容
- 統一基準の作成

実施の内容と対象

内容
・監視
・分析
・演習
・訓練

対象
・独立行政法人
・特殊法人、認可法人のうち戦略本部が指定する法人

情報処理の促進
「情報処理安全確保支援士」の試験と制度の創設。

↑

2018年 †

「サイバーセキュリティ基本法の一部を改正する法律」が閣議決定。

内容

サイバーセキュリティ協議会の創設

官民、相互連携による情報共有

事務局：
・NISC
・専門機関

構成員：
・行政機関
・地方公共団体
・重要インフラ事業者
・サイバー関連事業者
・教育研究機関
・有識者

サイバーセキュリティ戦略本部による連絡調整の推進
所掌事務にサイバーセキュリティ関連事象が発生した場合、
国内外の関係者との連絡調整に関する事務を追加する。

↑

サイバーセキュリティ経営ガイドライン †

↑

概要 †

↑

目的 †

経営者のリーダーシップの下で、サイバーセキュリティ対策を推進する

↑

策定 †

経済産業省、独立行政法人情報処理推進機構（IPA）

↑

対象 †

大企業及び中小企業（小規模事業者を除く）のうち、

ITに関するシステムやサービス等を供給する企業

経営戦略上ITの利活用が不可欠である企業の経営者

↑

構成 †

もくじ	想定読者
サイバーセキュリティ経営ガイドライン・概要	経営者・CISO・セキュリティ担当者
１はじめに	CISO・セキュリティ担当者
２経営者が認識すべき３原則	CISO・セキュリティ担当者
３サイバーセキュリティ経営の重要10項目	CISO・セキュリティ担当者
付録Ａサイバーセキュリティ経営チェックシート	セキュリティ担当者
付録Ｂサイバーセキュリティ対策に関する参考情報	セキュリティ担当者
付録Ｄ国際規格ISO/IEC27001 及び27002 との関係	セキュリティ担当者
付録Ｅ用語の定義	セキュリティ担当者