![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:法制度]] *目次 [#u8326b84] #contents *概要 [#f6c030e3] ITの高度化(利用形態やIT政策の多様化)のため、~ 法律の施行や改正、ガイドラインの策定などが進められている。 *コンピュータ犯罪を取り締まる法律 [#f0420965] **概要 [#y772dfab] 長年、法律が無かった(従来は人が人に対して直接する行為を前提としていた)が、~ 従来の刑法の不備を補うため、1987年の刑法改正によって罰することが可能になった。 **代表的な犯罪 [#k5696e91] ***電子計算機損壊等業務妨害 [#q47468dc] (刑法第 234 条の 2) ***電子計算機使用詐欺 [#f4888cb4] (刑法第 236 条の 2) ***不正アクセス [#je6dee9a] 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律) -刑法~ 社会通念上は不正と思われる行為も~ 刑法で定めた被害が発生しない限り、~ 罰することが出来ないものが多数存在する。 --不正アクセス ---情報の盗難、盗聴 ---システム資源を使ってサービスを享受 --他人のサイトの脆弱性を調べて公開 -不正アクセス禁止法 --特徴~ 以下も処罰の対象になる。 ---不正アクセスの事実 ---他人のアカウントの販売 ---フィッシングなどの不正アクセスの前段行為 --前提 ---ネットワーク経由のリモート・アクセス ---対象に不正アクセス対策されている ***コンピュータ・ウイルス作成 [#q126f127] コンピュータ・ウイルス作成罪の新設~ (コンピュータウイルスの作成や保管を罰するための法改正) -概要~ 従来の刑法では処罰が困難だったため、~ 「情報処理の高度化等に対処するための刑法等の一部を改正する法律(案)」が、~ 2011/6に参院本会議で成立し、翌7月に施行された。 -コンピュータ・ウィルスの定義~ 以下の様に定義されている。 >「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、~ 又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」 -処罰の対象~ ウィルスの --作成・提供~ 3年以下の懲役 or 50万以下の罰金 --取得・保管~ 2年以下の懲役 or 30万以下の罰金 -処罰の前提条件~ 以下の場合に限る。 --正当な理由が無い場合。 --他人のコンピュータで~ 実行させることを目的としている。 *サイバーセキュリティ基本法 [#n48c5224] 対象は、電磁的方式によって記録、発信、伝送、受信される情報に限られる。 **概要 [#ec6b8f59] -サイバーセキュリティに関する --施策 --戦略 >を明確に定め、推進することにより、 --経済社会の活力向上 --持続的発展 --国民が安全で安心して暮らせる社会の実現 --国際社会の平和及び安全の確保 --国の安全保障への寄与 >等を目的として、 --2014/11成立 --2015/01施行 -施行に伴い、設置された組織 --サイバーセキュリティ戦略本部 @ 内閣 --内閣サイバーセキュリティ・センター @ 内閣官房~ (NISC : National center of Incident readiness and Strategy for Cybersecurity) **1章から4章 [#wd926756] ***1章 [#if6a2a81] -1条~ 基本法の目的 -2条~ サイバーセキュリティの定義 -3条~ 基本理念 --情報の自由な流通の確保を基本として、~ 官民の連携により積極的に対応。 --国民一人一人の認識を深め、~ 自発的な対応の促進等、強靭な体制の構築 --高度情報通信ネットワークの整備及び~ ITの活用による活力のある経済社会の構築 --国際的な秩序の形成等のために~ 先導的な役割を担い国際的協力の下に実施 --IT基本法の基本理念に配慮して実施 --国民の権利を不当に侵害しないように留意 -4-9条~ 関係者の責務等について規定 --国 --地方自治体 --重要社会基盤事業~ (重要インフラ事業者) --サイバー関連事業者 --研究教育機関等 -10条~ 法律上の措置等 -11条~ 行政組織の整備等 ***2章 [#j05cf4fd] サイバーセキュリティ戦略 -12条~ サイバーセキュリティ戦略 --サイバーセキュリティに関する施策の基本的な方針 --国の行政機関等におけるサイバーセキュリティの確保 --重要インフラ事業者等におけるサイバーセキュリティの確保の促進 --その他、必須な事項 ---総理大臣は本戦略の案につき~ 閣議決定を求めなければならない。 ---, etc. ***3章 [#u007b5b4] 基本的施策 -13条~ 国の行政機関等におけるサイバーセキュリティの確保 -14条~ 重要インフラ事業者等におけるサイバーセキュリティの確保の促進 -15条~ 民間事業者及び教育研究機関等の自発的な取組の促進 -16条~ 多様な主体の連携等 -17条~ 犯罪の取締り及び被害の拡大の防止 -18条~ 我が国の安全に重大な影響を~ 及ぼす恐れのある事象への対応。 -19条~ 産業の振興及び国際競争力の強化 -20条~ 研究開発の推進等 -21条~ 人材の確保等 -22条~ 教育及び学習の振興、普及啓発等 -国際協力の推進など ***4章 [#tf315626] 内閣にサイバーセキュリティ戦略本部を設置 **法改正 [#w3be2e6b] ***2016年 [#kc2f0241] 「サイバーセキュリティ基本法及び情報処理の促進に関する一部を改正する法律」 -2016年4月に成立、同年10月に施行された。 -2015年年金機構からの個人情報流出事件を受けての対策強化。 -内容 --統一基準の作成 --実施の内容と対象 ---内容~ ・監視~ ・分析~ ・演習~ ・訓練~ ---対象~ ・独立行政法人~ ・特殊法人、認可法人のうち戦略本部が指定する法人 ---情報処理の促進~ 「情報処理安全確保支援士」の試験と制度の創設。 ***2018年 [#r482a051] 「サイバーセキュリティ基本法の一部を改正する法律」が閣議決定。 -内容 --サイバーセキュリティ協議会の創設 ---官民、相互連携による情報共有 ---事務局:~ ・NISC~ ・専門機関 ---構成員:~ ・行政機関~ ・地方公共団体~ ・重要インフラ事業者~ ・サイバー関連事業者~ ・教育研究機関~ ・有識者~ --サイバーセキュリティ戦略本部による連絡調整の推進~ 所掌事務にサイバーセキュリティ関連事象が発生した場合、~ 国内外の関係者との連絡調整に関する事務を追加する。 **取り組み [#lc213719] 内閣サイバーセキュリティセンター(NISC)~ 高見澤將林センター長がIPAに来訪~ :IPA 独立行政法人 情報処理推進機構~ https://www.ipa.go.jp/security/announce/20160317.html ***J-CSIP [#s22ad2c7] -名称 --J-CSIP ---ジェイ・シップ ---Initiative for Cyber Security Information sharing Partnership of Japan --サイバー情報共有イニシアティブ -概要~ IPAが、サイバー攻撃による被害拡大防止のため、2011年10月25日、~ 経済産業省の協力のもと、重工、重電等、重要インフラで利用される~ 機器の製造業者を中心に、情報共有と早期対応の場として発足させた。 --体制 ---情報連携体制~ ・13のSIG~ ・249の参加組織 ---情報共有体制 -情報共有活動(IPAが支援する) ***J-CRAT [#c11c1934] -名称 --J-CRAT ---ジェイ・クラート ---Cyber Rescue and Advice Team against targeted attack of Japan --サイバーレスキュー隊 -概要 --IPAが経済産業省の協力のもと2014年7月16日に発足させた。 --標的型サイバー攻撃の被害拡大防止のための支援活動を行う。 ---相談を受けた組織の被害の低減と ---攻撃の連鎖の遮断 *サイバーセキュリティ経営ガイドライン [#i29a1814] **概要 [#m5a1a2c8] ***目的 [#rbf5fe8a] 経営者のリーダーシップの下で、サイバーセキュリティ対策を推進する ***策定 [#k5351b7c] 経済産業省、独立行政法人情報処理推進機構(IPA) ***対象 [#o610b28f] 大企業及び中小企業(小規模事業者を除く)のうち、 -ITに関するシステムやサービス等を供給する企業 -経営戦略上ITの利活用が不可欠である企業の経営者 **構成 [#a49f51d7] |もくじ|想定読者|h |サイバーセキュリティ経営ガイドライン・概要|経営者・CISO・セキュリティ担当者| |1 はじめに|CISO・セキュリティ担当者| |2 経営者が認識すべき[[3原則>#r01285f6]]|CISO・セキュリティ担当者| |3 サイバーセキュリティ経営の[[重要10項目>#d161d260]]|CISO・セキュリティ担当者| |付録A サイバーセキュリティ経営チェックシート|セキュリティ担当者| |付録B サイバーセキュリティ対策に関する参考情報|セキュリティ担当者| |付録D 国際規格ISO/IEC27001 及び27002 との関係|セキュリティ担当者| |付録E 用語の定義|セキュリティ担当者| ***3原則 [#r01285f6] サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」 -経営者自身が率先して~ サイバーセキュリティリスクを~ 認識し、対策を進めることが必要 -自社だけでなく関連企業、ビジネスパートナーを~ 含めた関連企業すべてでセキュリティ対策が必要 -顧客や株主の信頼感を高めるために、~ 常にサイバーセキュリティリスクの対策や情報開示~ をしておくなどの適切なコミュニケーションが必要 ***重要10項目 [#d161d260] 及び経営者が情報セキュリティ対策を実施する上での責任者~ となる担当幹部(CISO等)に指示すべき「重要10項目」 -(1) サイバーセキュリティ対応方針の策定 -リスク --(2) リスク管理体制の構築 --(3) リスクの把握、目標と対応計画策定 -(4) サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示 -(5) 関連企業やビジネスパートナーを含めた対策の実施および状況把握 -(6) サイバーセキュリティ対策のための資源(予算、人材など)確保 -(7) ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保 -(8) 情報共有活動への参加を通じた攻撃情報を入手するための環境整備 -(9) 緊急時の対応体制の整備、定期的かつ実践的な演習の実施 -(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備 ※ 凡そ、[[SC:マネジメント]]と同じ。 *電子署名法 [#h6916219] 電子署名及び認証業務に関する法律、略称は電子署名法。 -[[デジタル署名>https://techinfoofmicrosofttech.osscons.jp/index.php?%E6%9A%97%E5%8F%B7%E5%8C%96%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0#leddd7f0]]は ≒ 民事訴訟法における押印と同様の効果がある。 -[[デジタル証明書>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8]]を発行する認証局は、主務大臣の認定を受けることが出来る(義務はない)。 **背景 [#s87c58d6] -電子署名は、電子政府、電子自治体において重要な基盤技術であるが、~ 従来の法体系では想定していなかったため、法的な効力がなかった。 -このため、印鑑登録証明書制度の署名や押印と~ 同等に扱うための法的基盤を整備が必要となった。 -平成12年5月31日公布(法律第102号)、平成13年4月1日施行。 **概要 [#oc1eb40d] 電子署名が署名や押印と同等の法的効力を持つことを定めた日本の法律。 ***骨子 [#c71f704b] -第2章 電磁的記録の真正な成立の推定(第3条) --本人による一定の電子署名が行われているときは申請に成立したものと推定する。 --≒手続き署名や押印と同等に通用する法的基盤を整備 -第3章 特定認証業務の認定等 --認証業務に関し、一定水準を満たす者は国の認定を受けることが出来る。 --認定を受けた業務については、その旨を表示できる。 --また、認定の要件と、認定を受けたものの義務を定める。 ***署名方式 [#z8c83b36] 電子署名方式として次の3つを指定する。 -RSA方式又はRSA-PSS方式 1024bit以上 -DSA方式 1024bit以上 -ECDSA方式 160bit以上 *通信傍受法 [#n3b9b696] 犯罪捜査のための通信傍受に関する法律、略称は通信傍受法 **概要 [#x5e97356] -平成11年8月18日公布(法律第137号)、平成12年8月15日施行。 -警察機関による通信の傍受を認めた法律。 -本法は、以下について規定している。 --「通信」「傍受」とは何か? ---通信:電話(固定電話・携帯電話)、電子メール、及び、FAX ---傍受:通信線に傍受装置を接続して行うワイヤータッピング --通信傍受による捜査が許容される犯罪~ 通信傍受が必要不可欠な組織犯罪に限定される。 ---薬物関連犯罪 ---銃器関連犯罪 ---爆発物使用 ---集団密航、 --通信傍受のための手続~ 検察官または司法警察員が地方裁判所の裁判官に対して傍受令状を請求 ---検察官は検事総長からの指定を受けた指定検事に限られる。 ---司法警察員も、公安委員会等から指定を受けた警視以上の警察官等に限られる。 --傍受してよい通信の内容 ---傍受してよい通信は、傍受令状に記載された通信のみ ---傍受実施の際には、通信手段の管理者等の立ち会いが必要(12条)。 ---判断のため必要最小限度の範囲であれば傍受することも許される(13条)。 ---令状に記載がない他の犯罪に関する通信を傍受できる場合がある(14条)。 --傍受後の手続 ---傍受した通信は全て記録媒体に記録しなければならず(19条) ---刑事手続において使用するための傍受記録の作成が義務付けられる(22条) ---更に、傍受終了後30日以内に、当事者に対して傍受したことを通知(23条) ---傍受令状の発付、通信傍受について、不服を申立てる手続も用意(26条)。 -問題点 --日本国憲法第21条の通信の秘密の規定に反する。 --盗聴捜査の乱用に対する防止策が不十分 --音声通話の盗聴が前提で、制度・運用に矛盾がある。 **改正 [#xa1676f3] -2016年5月成立、12月1日から施行 --対象犯罪の拡大 ---殺人、傷害、放火 ---誘拐、逮捕監禁 ---強盗・窃盗、詐欺・電子計算機使用詐欺 ---児童ポルノ等 -2019年6月1日から施行 --暗号技術で記録の改変を防止することで、~ 通信事業者の立ち会いを不要にできる。 *特定電子メール法 [#qdc5213e] 特定電子メールの送信の適正化等に関する法律、~ 略称は特定電子メール法、俗称は迷惑メール防止法 **概要 [#t99397b3] -平成14年4月11日制定、4月17日公布(法律第137号)、平成14年7月1日施行。 -無差別かつ大量に短時間の内に送信される広告、迷惑メール、チェーンメール~ などを規制し、インターネットなどを良好な環境に保つ為に施行された。 -なお通信業界関係者では「[[特定商取引に関する法律>高度午前 - 企業と法務#f803a2f5]]」の略称の「特商法」~ に対し「特電法」と呼ばれ、合わせて迷惑メール防止二法と呼ばれる。 -本法は、以下について規定している。 --規制対象~ 営利団体や個人事業者が自己又は他人の営業につき~ 広告又は宣伝を行うための手段として送信するメール --送信者の義務~ ---[[オプトアウト>#v0aa371f]]への対応 ---架空のアドレスへの送信を禁止 ---表示義務~ ・送信者の氏名または名称~ ・受信拒否の通知を受け取る為の~ 送信者の電子メールアドレス等~ ・その他総務省令で定める事項 --行政処分・罰則 ---行政処分~ 規制内容を遵守していないと認められる場合、是正を求める措置命令 ---罰則~ 100万円以下の罰金 **改正 [#hef07f5a] -平成20年5月30日に成立、6月6日公布、12月1日施行 --従来の[[オプトアウト方式に替わるオプトイン方式>#v0aa371f]]の導入 --法の実効性の強化~ 1年以下の懲役又は100万円以下の罰金(法人は3000万円以下の罰金) --国際連携の強化 ---国外発国内着のメールであっても規制の対象に。 ---外国執行当局に対して情報提供が可能になった。 **オプトアウト、オプトイン [#v0aa371f] -オプトアウト : 個人データの第三者への提供を本人の求めに応じて停止すること -オプトイン : 広告メールの配信や、個人情報の利用など、利用者の承諾を得ること
