セキュリティ関連法規 ITパスポート対策ストラテジ系-企業と法務編⑥
5 views
2023-10-122023-09-28
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、サイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めた法律です。
- サイバーセキュリティに関する施策の基本理念
- 国の責務
- 地方公共団体の責務
- 教育研究機関、関連業者の責務
- 国民の努力
- 関連犯罪の取締り及び被害の拡大の防止
- 産業の振興及び国際競争力の強化
- 人材の確保
- 国際協力
などが定められています。
対象は、電磁的方式によって記録され、又は発信され、伝送され、若しくは受信される情報となっています。
不正アクセス行為の禁止等に関する法律
ネットワークを通じて不正にコンピューターにアクセスする行為である不正アクセス行為や不正アクセスにつながる識別符号(IDやパスワード)の不正取得・保管行為、不正アクセスを助長する行為(ハッキングの方法を教える等)をなど禁止する法律です。
- 不正アクセス行為の禁止
- 他人の識別符号を不正に取得・保管する行為の禁止
- 不正アクセス行為を助長する行為の禁止
- 識別符号の入力を不正に要求する行為の禁止
不正アクセス行為を故意に行ったものに対しては、三年以下の懲役又は百万円以下の罰金が課されます。
また、アクセス管理者に対しては、
- アクセス制御機能に係る識別符号の適正な管理
- アクセス制御機能の有効性の検証
- 不正アクセス行為から防御するため必要な措置
が求められています。
個人情報保護法(個人情報の保護に関する法律)
個人情報の取り扱い方法などを定めた法律が個人情報保護法です。個人情報とは、生存する特定の個人の識別につながる文字、番号などの符号である個人識別符号を含んだ情報を指します。
例としては、
- 氏名
- 住所
- 保険証の番号
- マイナンバー
- DNA
- 指紋
等が挙げられます。生年月日など単体では個人を識別できないものであっても、他の情報と組みわせると個人の識別に繋がるものであれば個人情報に該当します。
個人情報取扱事業者
個人情報データベース等を事業活動に利用する事業者を指します。行政機関や独立行政法人はこれに含まれませんが、NPO法人、自治会などの非営利組織も該当します。かつては、5,000人未満の個人情報を保有する小規模事業者の除外されていましたが、この規定は廃止されたので現在ではほとんどの事業者が該当すると考えてよいでしょう。
個人情報取扱事業者には以下のような義務が課されています。
- 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 個人情報を取得する場合には、利用目的を明示しなければならない。
- 個人データを安全に管理し、従業員や委託先も監督しなければならない。
- あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- 本人からの求めがあった場合には、個人データの開示を行わなければならない。
- 本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
- 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない
要配慮個人情報
不当な差別や偏見など個人の不利益につながる恐れがあるために特に取り扱いに注意しなければならない個人情報を要配慮個人情報といいます。
具体的には、
- 人種
- 思想・信条
- 病歴や健康状態に関する情報
- 犯罪歴
- 犯罪被害に関する情報
などがこれに該当します。
個人情報保護委員会
個人情報保護法、マイナンバー法に基づき、個人情報の有用性に配慮しつつ個人の権利利益を保護するために個人情報の適正な取扱いの確保を図ることを任務とする行政組織が個人情報保護委員会です。
個人情報に関する相談の受付や啓発活動、違反事業者への指導などを行っています。個人情報を流出してしまった場合は当委員会に届出を行う必要があります。
第三者提供
個人情報取扱事業者が第三者に個人データを提供する場合、原則として本人から同意を得る(オプトイン)必要がありますが、明確な同意を得ないでもデータが提供されることを本人が知り得る状態にして異議が申し出されない場合は、個人データを第三者にすることが可能です(オプトアウト方式)。ただし、この場合個人情報保護委員会への届け出が必要となります。
なお、個人情報の入力等を外部の業者に委託することは第三者提供にはあたりません。
匿名加工情報
個人情報を加工し、特定の個人を識別できない状態かつ元の情報に復元できない状態にしたものを匿名加工情報といいます。
匿名加工情報は、本人同意を得ることなく第三者に提供することができますが、適切な方法で加工することや対象者に対して匿名加工情報に含まれる個人に関する情報の項目をなどを開示することが義務付けられています。
なお、他の情報と照合しない限り特定の個人を識別できないように加工した情報を仮名加工情報といい、こちらは原則として個人情報として扱われます。
パーソナルデータの保護に関する国際的な動向
個人情報の取り扱いについては国際的に関心が高まっており、日本より厳しい規制を敷いている国や地域も存在します。
一般データ保護規則(GDPR)
EU(欧州連合)及び欧州経済領域(EEA)内で個人情報を取り扱う際に適用される法律で、個人データ収集やデータの移転について様々な規制がかけられており、違反すれば高額の過料を請求される可能性があります。
EU(EEA)内に拠点を置いている業者は域外のデータを扱う場合でもGDPRの対象となります。また、欧州に拠点を置いてなくともEEA内の住民の個人情報を扱う際は適用対象となるため注意が必要です。
消去権
いわゆる「忘れられる権利」のことで、インターネット上に存在する個人情報データの削除を要求できる権利です。GDPRでもこれに関する定めがあります。
その他の情報セキュリティ関連法規
特定電子メール法
電子メールによって一方的な広告や勧誘メールを送りつけるいわゆる迷惑メールを規制する法律です。営利目的で電子メールを送るには事前の同意を得ることや受信拒否の方法を記載することが義務付けられています。
不正指令電磁的記録に関する罪
ウイルス作成罪とも呼ばれ、コンピュータウイルスの作成、提供、供用、取得、保管行為を処罰の対象とする法律です。
セキュリティ関連基準・ガイドライン
セキュリティに関連する基準やガイドラインには以下のようなものがあります。
| サイバーセキュリティ経営ガイドライン | 大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するためのガイドライン。 |
|---|---|
| 中小企業の情報セキュリティ対策ガイドライン | 中小企業の経営者、セキュリティ担当者のためのガイドライン。 |
| 情報セキュリティ管理基準 | 組織が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール(管理策)を整備・運用するための実践的な規範。 |
| サイバー・フィジカル・セキュリティ対策フレームワーク | 「Society5.0」、「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的に作成されたセキュリティ対策フレームワーク。 |
| 情報システム安全対策基準 | 情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また、発生したときの影響の最小化及び回復 の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの。 |
確認問題(過去問)
ITパスポート試験令和3年問32
a ~ c のうち,サイバーセキュリティ基本法に規定されているものだけを全て挙げたものはどれか。
- サイバーセキュリティに関して,国や地方公共団体が果たすべき責務
- サイバーセキュリティに関して,国民が努力すべきこと
- サイバーセキュリティに関する施策の推進についての基本理念
ITパスポート試験令和2年度問25
サイバーセキュリティ基本法は,サイバーセキュリティに関する施策に関し、基本理念を定め、国や地方公共団体の責務などを定めた法律である。記述 a~d のうち,この法律が国の基本的施策として定めているものだけを全て挙げたものはどれか。
- 国の行政機関等におけるサイバーセキュリティの確保
- サイバーセキュリティ関連産業の振興及び国際競争力の強化
- サイバーセキュリティ関連犯罪の取締り及び被害の拡大の防止
- サイバーセキュリティに係る人材の確保
ITパスポート試験令和4年問9
不適切な行為a~cのうち、不正アクセス禁止法において規制されている行為だけを全て挙げたものはどれか。
- 他人の電子メールの利用者 ID とパスワードを、正当な理由なく本人に無断で第三者に提供する。
- 他人の電子メールの利用者 IDとパスワードを本人に無断で使用して,ネットワーク経由でメールサーバ上のその人の電子メールを閲覧する。
- メールサーバにアクセスできないよう,電子メールの利用者 ID とパスワードを無効にするマルウェアを作成する。
ITパスポート試験令和2年問13
情報の取扱いに関する不適切な行為a~cのうち、不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。
- オフィス内で拾った手帳に記載されていた他人のIDとパスワードを無断で使い、ネットワークを介して自社のサーバにログインし、サーバに格納されていた 人事評価情報を閲覧した。
- 自分には閲覧権限のない人事評価情報を盗み見するために,他人のネットワークIDとパスワードを無断で入手し、自分の手帳に記録した。
- 部門の保管庫に保管されていた人事評価情報が入った USB メモリを上司に無断で持ち出し、自分のPCに直接接続してその人事評価情報をコピーした。
ITパスポート試験平成30年春問21
不正アクセス禁止法に関して,次の記述中のa,bに入れる字句の適切な組合せはどれか。
不正アクセス禁止法で規制されている不正アクセス行為とは、ネットワークを通 じて無断でaを使い,コンピュータにアクセスする行為などのことであ る。他にも,無断でbという行為も規制されている。
ITパスポート試験令和4年問27
個人情報保護法で定められた,特に取扱いに配慮が必要となる“要配慮個人情報”に該当するものはどれか。
ITパスポート試験令和元年度秋期問27
取得した個人情報の管理に関する行為 a~c のうち,個人情報保護法において,本人に通知又は公表が必要となるものだけを全て挙げたものはどれか。
- 個人情報の入力業務の委託先の変更
- 個人情報の利用目的の合理的な範囲での変更
- 利用しなくなった個人情報の削除
ITパスポート試験平成30年春問14
個人情報取扱事業者における個人情報の管理に関する事例 a~d のうち,個人情報保護に関する管理上、適切でないものだけを全て挙げたものはどれか。
- 営業部門では、許可された者だけが閲覧できるように,顧客リストを施錠管理できるキャビネットに保管している。
- 総務部門では、住所と氏名が記載された社員リストを、管理規程を定めずに社員に配布している。
- 販促部門では,書店で市販されている名簿を購入し、不要となったものは溶解処理している。
- 物流部門では、運送会社に配送作業を委託しており,配送対象とはならない顧客も含む全顧客の住所録をあらかじめ預けている。
ITパスポート試験令和5年問18
EU の一般データ保護規則 (GDPRに関する記述として、 適切なものだけを全て挙げたものはどれか。
- EU域内に拠点がある事業者が, EU 域内に対してデータやサービスを提供している場合は,適用の対象となる。
- EU域内に拠点がある事業者が, アジアや米国など EU 域外に対してデータやサービスを提供している場合は, 適用の対象とならない。
- EU 域内に拠点がない事業者が, アジアや米国など EU 域外に対してだけデータやサービスを提供している場合は、適用の対象とならない。
- EU域内に拠点がない事業者が, アジアや米国などから EU 域内に対してデータやサービスを提供している場合は、適用の対象とならない。
ITパスポート試験平成31年春問24
刑法には,コンピュータや電磁的記録を対象とした IT関連の行為を規制する条項がある。 次の不適切な行為のうち, 不正指令電磁的記録に関する罪に抵触する可能性があるものはどれか。
ITパスポート試験令和元年秋問25
経営戦略上, IT の利活用が不可欠な企業の経営者を対象として,サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。
これだけで受かるITパスポート
https://ja.mondder.com
