企業の経営者が必ず知っておくべき、
情報セキュリティ関連の法律・制度とは？

2022.08.25

運用管理セキュリティ情報セキュリティサイバーセキュリティ基本法個人情報保護法 ISO プライバシーマーク ISMS

数多く存在する情報セキュリティ関連の法律・制度
経営者は抑えておきたい、国が定める情報セキュリティの法律
個人情報保護など、事業継続リスクに直結する重要な法律
サイバー犯罪やサイバー攻撃を取り締まる法律
企業の信頼性を高める、情報セキュリティの制度
その他、意識しておきたい法律や制度

数多く存在する情報セキュリティ関連の法律・制度

ITが社会へ普及するとともに、それを悪用した犯罪やサイバー攻撃、あるいは過失による情報漏えい事故などが多発しています。こうした状況に対処するため、我が国では犯罪を規制するための法律や、サイバー攻撃から企業を守るための制度が策定されており、これらを遵守することで、脅威のリスクから企業を遠ざけることができます。これらは企業や顧客を守るためのものであり、経営層はその内容について今一度よく理解しておく必要があります。

では、企業が守るべき情報セキュリティ関連の法律・制度には、どのようなものがあるのでしょうか。ここでは、「国が定めるセキュリティの法律」「プライバシーの保護および事業者に対する規制を定めた法律」「サイバー犯罪やサイバー攻撃を取り締まる法律」「情報セキュリティに関する制度」「その他」に分けて、それぞれ解説します。

経営者は抑えておきたい、
国が定める情報セキュリティの法律

まずは、国家戦略や方針などを定めた法律です。主に国としての取り組みや政策に関連する法律ですが、企業の経営者であれば一度は目を通しておくことをお勧めします。

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定するものです。

高度情報通信ネットワーク社会形成基本法（IT基本法）

高度情報通信ネットワーク社会の形成に関し、基本理念及び施策の策定に係る基本方針を定め、国や地方公共団体の責務を明らかにしています。それとともに、高度情報通信ネットワーク社会推進戦略本部を設置して、重点計画の作成について定めることで、高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に推進することを目的としています。

電子署名認証法

電子署名認証に関わる法律には、「電子署名及び認証業務に関する法律」や「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律（公的個人認証法）」があります。前者は、電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務（電子署名を行った者を証明する業務）のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定するものとしています。後者は行政手続オンライン化関係三法のひとつで、自治体向けのものです。

個人情報保護など、
事業継続リスクに直結する重要な法律

次に、プライバシーの保護および事業者に対する規制を定めた法律です。企業が特に意識する必要のある法律といえます。仮に個人情報が漏えいした場合、法律による罰則に加えて企業イメージのダウンや多額の損害賠償の発生など計り知れないダメージを生み、企業の事業継続に影響を及ぼす可能性すらあります。

個人情報保護法

正式には「個人情報の保護に関する法律」と呼ばれるもので、2005年に成立しました。全ての事業者に対し、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにすることなどを定めており、入手した個人情報の管理や追跡（トレーサビリティ）、利活用のための匿名化なども定義されています。

個人情報保護法は3年に一度改正されます。直近では2020年に改正、2022年4月より施行されています。改正のポイントは6つです。「本人の権利保護の強化」「事業者の責務の追加」「企業の特定分野を対象とする団体の認定団体制度の新設」「データ利活用の促進」「法令違反に対する罰則の強化」「外国の事業者に対する、報告徴収・立入検査などの罰則の追加」になります。この改正に対応にするには、これまで以上に事業でどのような情報を取得、利用しているかなどを明確にする、個人情報を取得する際に具体的に利用目的を明示するために事業の担当部門と緊密に連携するなど、実務に応じて取り扱う個人情報を的確に把握して対応していく必要があります。

マイナンバー法・番号法

正式には「行政手続における特定の個人を識別するための番号の利用等に関する法律」という長い名前の法律です。日本国民全員に割り振られているマイナンバーは、税金をはじめ幅広く活用されていく予定ですが、その取得や保管、活用などについて定義されており、正当な理由なく特定個人情報ファイルを提供した場合には、個人情報保護法よりも重い罰則が課せられます。

サイバー犯罪やサイバー攻撃を取り締まる法律

刑法や民法などの日本の法律はインターネットに関する規則がなかったため、2000年頃からサイバー犯罪やサイバー攻撃を取り締まる法律が徐々に整備されてきました。基本的には犯罪を取り締まる法律ですが、受信者の了解を得ないでメールマガジンを送信すると迷惑メール扱いになるといった例もあります。企業は、どのような行為がサイバー犯罪になるのか、こうした法律をよく理解しておく必要があります。

迷惑メール防止法（特定電子メール法）

「原則としてあらかじめ送信の同意を得た者以外の者への送信禁止」「一定の事項に関する表示義務」「送信者情報を偽った送信の禁止」「送信を拒否した者への送信の禁止」などが定められています。違反の状況により「1年以下の懲役又は100万円以下の罰金（法人の場合は3,000万円以下の罰金）」が課せられますので、名刺交換した相手に宣伝メールを送る際にも注意が必要です。

不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）

不正アクセス行為や不正アクセス行為につながる識別符号（IDやパスワードなどを指す）の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。不正アクセスを行うと不正アクセス罪に問われ、3年以下の懲役又は100万円以下の罰金に処せられます。

電子契約法

インターネットでの商取引において画面の操作ミスによる契約（発注、購入など）を無効にすること、事業者側に意思確認のための措置を取らせること、契約成立のタイミングなどを規定しています。ワンクリック詐欺が問題になった際に、民法にはインターネットの概念がなかったため、新たに制定された法律です。これにより、動画の再生ボタンを押したら「契約成立」と表示されるような不正行為に対応しました。なお、フィッシング詐欺は不正アクセス禁止法で規定されています。

刑法

サイバー犯罪には刑法も関わってきます。刑法とは犯罪と刑罰に関する法律です。サイバー犯罪に関係するものには、コンピューターウイルスを作成、提供、保管する「ウイルス作成罪」、オンラインバンキングやキャッシュカードを不正に操作する「電磁的記録不正作出及び供用罪」、ウェブサイトの改ざんやウイルスの埋め込みなどを行う「電子計算機損壊等業務妨害罪」、オンラインバンキングの不正改ざんを行う「電子計算機使用詐欺罪」などがあります。いずれも重い罰則や法定刑が決められています。

企業の信頼性を高める、情報セキュリティの制度

企業の情報セキュリティ対策の状態を第三者が監査し、基準に適合する企業へ認証を与える制度があります。世界的には「ISO：International Organization for Standardization（国際標準化機構）」の制定する規格が有名です。ISOにはさまざまな国際規格があり、日本が提言したものも少なくありません。また、各国独自の制度も数多く存在し、日本では「プライバシーマーク」や「ISMS」が広く認知されています。これらを取得することで、その企業が個人情報や機密情報などへの適切なセキュリティ対策を行なえる客観的な証明になるため、社会的な信頼性を向上させることができます。ビジネスにおいては取引先との業務委託契約などの際に、競合他社との差別化ポイントにもなるでしょう。

プライバシーマーク（Pマーク）

日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に適合し、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価。その旨を示すマークを付与し、事業活動に関しても使用を認める制度です。

ISMS（情報セキュリティマネジメントシステム）

情報セキュリティ対策はもちろん、その計画や運用といったマネジメントに関するところまで監査の対象とする規格です。日本では「JIS Q 27001:2014」となりますが、ISOでも「ISO/IEC 27001」として制定されています。組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されています。

PCI DSS（Payment Card Industry Data Security Standard）

国際カードブランド5社（American Express、Discover、JCB、MasterCard、VISA）が共同で設立したPCI SSC（Payment Card Industry Security Standards Council）によって運用、管理されている、クレジットカード業界のセキュリティ基準です。加盟店やサービスプロバイダを対象に、クレジットカード会員データを安全に取り扱うことを目的として策定されたもので、具体的なセキュリティ対策について定められています。セキュリティ対策としても有効な基準のため、一般的な企業でも取得するケースが増えています。

その他、意識しておきたい法律や制度

他にも、海外に展開している企業や海外の顧客情報を保持する企業は、その国や地域の法律を遵守する必要があります。これには「GDPR：General Data Protection Regulation（EU一般データ保護規則）」「中国サイバーセキュリティ法」などがあります。こうした国際基準などに適合することで、企業の情報セキュリティ対策が向上し、サイバー攻撃や従業員のミスなどを防ぐことが可能になります。

米国の国防総省（DoD）が採用を決めた「NIST SP800-171」は、サプライチェーンのセキュリティ基準を中心としたものです。DoDは現在、製品や部品などの調達先を、この基準に準拠した企業に限定しています。米政府ではNIST SP800-171を国内の全ての企業に拡大する計画としており、そうなると米企業のサプライチェーンとなっている日本の企業も準拠する必要に迫られます。また、これが世界基準となる可能性もありますので、動向に注意する必要があるでしょう。

以上のように、ITの進化によって情報セキュリティに関する法律や制度が次々と登場しており、対策が不十分な企業は顧客や取引先からの信頼を損なうなど、事業に大きく影響する時代がやってきます。逆に言えば、セキュリティ対策に積極的に取り組むことは、将来的な事業競争力の強化につながる先行投資ともいえるでしょう。