セキュリティ関連法規について本記事では、
- 「サイバーセキュリティ基本法」
- 「不正アクセス禁止法」
といった上記2法を中心に、関連する法律や用語についても詳しく説明します。
サイバーセキュリティ基本法
サイバーセキュリティ基本法の概要
「サイバーセキュリティ基本法」は、サイバー攻撃から国を守るための基本理念を定めた法律です。
ここでの「サイバー」とはインターネット上のことを指します。
サイバーセキュリティ基本法(法律)の対象者は"国全体"であり、
- 国民だけでなく国
- 地方公共団体
- 企業
- 教育研究機関
などすべてが対象となります。それぞれの対象者には、特定の責務が課せられています。
サイバーセキュリティ基本法の条文と対象者・責務
以下の表は、サイバーセキュリティ基本法の条文に基づく対象者とその責務をまとめたものです。
| 条文 | 対象者 | 責務 |
|---|---|---|
| 第4条 | 国 | サイバーセキュリティに関する総合的な施策を策定しおよび実施する責務 |
| 第5条 | 地方公共団体 | サイバーセキュリティに関する自主的な施策を策定しおよび実施する責務 |
| 第6条 | 重要社会基準事業者 | 自主的かつ積極的にサイバーセキュリティの確保に努める<br>国または地方公共団体が実施するサイバーセキュリティに関する施策に協力する |
| 第7条 | サイバー関連事業者・その他事業者 | 自主的かつ積極的にサイバーセキュリティの確保に務める<br>国または地方公共団体が実施するサイバーセキュリティに関する施策に協力する |
| 第8条 | 教育研究機関 | 自主的かつ積極的にサイバーセキュリティの確保に務める<br>サイバーセキュリティに係る人材の教育並びにサイバーセキュリティに関する研究およびその成果の普及に務める<br>国または地方公共団体が実施するサイバーセキュリティに関する施策に協力する |
| 第9条 | 国民 | サイバーセキュリティの重要性に関する関心と理解を深める<br>サイバーセキュリティの確保に必要な注意を払う |
法律の対象者は国全体である
サイバーセキュリティ基本法の特徴は、国と地方公共団体などの責務を明らかにした法律であることです。
しかし、この法律の対象者は国全体であることを覚えておく必要があります。
つまり政府だけでなく、
- 地方自治体
- 企業
- 教育機関
そして国民一人ひとりが、サイバーセキュリティを守る責務を持っています。
不正アクセス禁止法とは
「不正アクセス禁止法」は、不正なアクセスを禁止する法律です。
不正アクセス禁止法の概要
ここで言う「アクセス」とは、コンピュータに接続することを指します。
例えば、任意のIDとパスワードでサーバにログインする行為が典型的なアクセスの例です。
- その中で、法律に違反するアクセスが「不正アクセス」と呼ばれます。
- この不正アクセスを取り締まるための法律が「不正アクセス禁止法」です。
不正アクセス禁止法の対象は、ネットワークを通じたアクセスのみであり、実際のPCを操作してログインする行為は不正アクセス禁止法の対象外となります。
不正アクセス禁止法の対象となる4つの行為
不正アクセス禁止法の対象となる行為は、主に4つあります。
1. なりすましによるアクセス
なりすましによるアクセスとは、本人の許可なくその人のIDとパスワードを不正利用してアクセスすることを指します。
これは、本人になりすました不正行為であり、厳しく取り締まられます。
2. セキュリティホールからのアクセス
セキュリティホールからのアクセスとは、システムのセキュリティ上の弱点を悪用してアクセスすることです。
システムの脆弱性を突く行為であり、これも不正アクセスとして処罰の対象となります。
3. 他人のIDとパスワードを取得する行為
他人のIDとパスワードを取得する行為は、不正アクセスを行うために他人のIDとパスワードを取得することを指します。
実際に不正アクセスをしなくても、他人のIDとパスワードを取得した時点で処罰の対象となります。
4. 無断で他人のID・パスワードを誰かに教える
本人の許可なく、他人のID・パスワードを無断で第三者に教えることも、不正アクセス禁止法の処罰対象の1つです。
第三者が不正アクセスを行う恐れがあるため、このような行為も厳しく取り締まられます。
管理者によるアクセスは不正アクセスに該当しない
システム管理者によるアクセスは、不正アクセスの対象にはなりません。
管理者は基本的にすべての権限を持っており、
- たとえアクセス後に不正行為を行った場合でも、
- アクセス自体は不正ではないため
- 不正アクセス禁止法の対象にはならない
ということです。ただし、不正行為の内容に応じて別の法律で罰せられます。
セキュリティに関するその他の用語
ウィルス作成罪(不正司令電磁的記録に関する罪)は不正アクセス禁止法に該当しない
注意すべき点として、コンピュータウィルスを作成する行為は、不正アクセス禁止法ではなく「ウィルス作成罪」によって罰せられます。
この罪は、コンピュータウィルスを作成・提供・併用・取得・保管する行為を罰する法律です。
その他のセキュリティ関連用語
以下の表は、その他のセキュリティ関連用語について説明したものです。
| 項目 | 説明 |
|---|---|
| 特定電子メール法 | 迷惑メールを規制するための法律。原則として広告や宣伝などのメール送信には事前の同意が必要。 |
| ウィルス作成罪 | コンピュータウィルスを作成・提供・併用・取得・保管する犯罪。別名「不正指令電磁的記録に関する罪」。 |
| 内閣サイバーセキュリティセンター(NISC) | 国民をサイバー攻撃から守る組織。具体的にはサイバーセキュリティに関する基本戦略の立案や政府機関のセキュリティ対策の支援を行う。サイバーセキュリティ基本法の施行と同時に設置された。 |
| サイバーセキュリティ経営ガイドライン | サイバー攻撃から企業を守る観点で経営者が認識する必要がある「3原則」+経営者がサイバーセキュリティ対策を実施するうえでの責任者・担当幹部に指示すべき「重要10項目」をまとめたもの。大企業向けのガイドライン。経済産業省が推している用語の1つ。 |
| 中小企業の情報セキュリティ対策ガイドライン | 中小企業にとって重要な情報を漏洩・改ざん・喪失などの脅威から保護することを目的とする情報セキュリティ対策の考え方や実践方法について説明したもの。中小企業向けのガイドライン。経済産業省が推している用語の1つ。 |
まとめ
サイバーセキュリティ基本法と不正アクセス禁止法は、日本のセキュリティを守るための重要な法律です。
サイバーセキュリティ基本法は、国全体を対象とし、各々が果たすべき責務を明確に定めています。
一方、不正アクセス禁止法は、不正なアクセス行為を具体的に取り締まる法律です。
また、その他の関連法規や用語も理解しておくことで、より広範なセキュリティ知識を身につけることができます。
ITパスポート試験の学習を進める上で、これらの法規に関する知識をしっかりと把握しておきましょう。
- サイバーセキュリティ基本法とは、サイバー攻撃から国を守るための基本理念を定めた法律
- サイバーセキュリティ基本法の対象者は、国全体(国・地方公共団体・企業・国民)である
- 不正アクセス禁止法とは、不正なアクセスを禁止する法律である
- なりすましによるアクセスとは、他人のID・パスワードを無断利用してコンピュータにアクセスすること
- セキュリティホールからのアクセスとは、セキュリティホールを悪用してコンピュータにアクセスすること
- ウィルス作成罪とは、コンピュータウィルスを作成・提供・供用・取得・保管する犯罪である