企業が知っておくべき情報セキュリティ関連の法律

情報セキュリティに関連する主な法律・制度には、個人情報保護法、情報セキュリティ基本方針、サイバーセキュリティ基本法、高度情報通信ネットワーク社会形成基本法などがあります。これらは、個人情報や企業の情報を守るために、適切な管理、保護、対策が求められることを定めています。
具体的には、個人情報の取り扱いに関する規定やセキュリティ対策の実施、システムの監視や防御策の整備が求められます。これらの法律・制度を遵守することは、情報漏えいやサイバー攻撃などのリスクを軽減し、信頼性の高い情報社会の構築につながるのです。
企業が守るべき情報セキュリティ関連の法律・制度について「国が定める情報セキュリティの法律」「事業継続リスクに直結する重要な法律」「サイバー犯罪やサイバー攻撃を取り締まる法律」「情報セキュリティに関する制度」に分けてそれぞれ解説していきます。

国が定める情報セキュリティの法律

まず、国が定める情報セキュリティの法律について、説明します。
国が定めるものは国家戦略や方針などを定めた法律です。主に国の取り組みや政策に関連します。経営者であれば、一度は目を通しておくべきものです。

①サイバーセキュリティ基本法

サイバーセキュリティ基本法は、2014年に施行された日本の法律で、国民の生命、身体、財産等を守り、国民の安心・安全を確保することを目的としています。
具体的には、国内におけるサイバーセキュリティの確保、サイバー攻撃等に対する防御、事業者等に対する義務付けなどが盛り込まれています。また、国が主体的にサイバーセキュリティ施策を推進し、国民のサイバーセキュリティに対する意識を高めることを目的としています。
サイバーセキュリティ基本法は、政府や事業者、個人が連携してサイバーセキュリティを確保することを目指し、サイバーセキュリティに関する基本的なルールを定めた、日本の中核的なサイバーセキュリティ法なのです。

②高度情報通信ネットワーク社会形成基本法

高度情報通信ネットワーク社会形成基本法は、2001年に施行された日本の法律で、国が高度情報通信ネットワーク社会の形成を促進し、国民の生活水準や産業競争力の向上を図ることを目的としています。
この法律には、情報通信基盤の整備、インターネットの普及促進、セキュリティ対策、電子政府の推進などが含まれています。また、国民の基本的人権や個人情報の保護、情報格差の解消にも配慮がなされています。
この法律に基づいて、政府は情報通信政策の総合的な指針を策定し、事業者や国民と協力して情報通信ネットワーク社会の発展を図ることを目指しています。高度情報通信ネットワーク社会形成基本法は、情報通信技術の急速な進展に対応するため、日本の情報通信政策を支える重要な法律となっているのです。

③電子署名認証法

電子署名認証法は、2000年に制定された日本の法律で、電子署名の法的効力を確保することを目的としています。
電子署名は、紙の文書における署名と同様に、電子的に文書に署名することで、文書の内容や送信元を確認し、改ざん防止や信頼性確保に役立ちます。
この法律では、電子署名の定義や効力、認証事業者の認定基準、署名の証明書の発行などが定められています。また、電子署名を利用した取引や契約において、電子署名が使用された場合には、法的な効力が認められることとなっています。電子署名認証法は、電子商取引や電子政府の発展に貢献し、より効率的で信頼性の高いビジネス環境の形成を目指す、重要な法律の一つなのです。

事業継続リスクに直結する重要な法律

続いては、個人情報に関する法律についてです。個人情報を取り扱う企業では、個人情報が流失した場合、損害賠償や企業の信頼度が下がるなど大きな被害を受けるため、特に注意しなくてはいけません。

個人情報保護法

個人情報保護法は、2005年に施行された日本の法律で、個人情報の取扱いに関する基本的なルールを定めることで、個人情報を保護することを目的としています。
この法律は、個人情報を収集、利用、提供する事業者に対し、個人情報の取り扱いについての方針を策定し、個人情報保護管理者を任命すること、情報主体の同意を得て個人情報を収集すること、取得した個人情報について適切な管理措置を講じること、情報主体の要請に応じて個人情報を開示、訂正、削除することなどを義務付けています。
また、この法律では、個人情報に関する問題についての申し立てや、個人情報保護委員会の監督・指導権限を定めており、事業者は違反行為があった場合、罰則を受けることになります。
このように、個人情報保護法は、個人情報を取り扱う事業者に対して個人情報保護の重要性を認識させ、個人情報を適切に管理することで、情報主体のプライバシーや人権を保護することを目的としています。

個人情報の定義

個人情報とは、個人に関する情報で、氏名、住所、電話番号、メールアドレス、生年月日、職業、収入、家族構成、健康情報、趣味、購買履歴など、その人自身を識別できる情報を指します。このような情報は、一般的には公開されていないため、そのままでは個人のプライバシーを侵害してしまいます。
したがって、個人情報保護法では、個人情報を適切に管理することが求められています。ただし、個人情報保護法においては、法令で定められた公的機関の管理する情報、個人を識別できない情報、企業名や所在地などの事業者情報は個人情報には含まれません。

小規模取扱事業者への適用

改正以前、個人情報保護法は、たくさんの個人情報を取り扱う大規模な事業者にだけ適用されてきました。
しかし、改正後は5000人以下の個人情報を取り扱う小規模な事業者も法律の対象となりました。これまでよりも多くの企業が対象となり個人情報の漏えい対策に対する意識の高まりが読み取れます。

トレーサビリティの義務

トレーサビリティの義務とは、ITサービスやプラットフォームにおいては、プラットフォーム上で公開されたユーザーコンテンツについて、トレーサビリティを確保することが求められる場合があることを指します。
具体的には、不適切なコンテンツの投稿者の特定や、不正な行為の追跡、権利侵害の調査、個人情報漏洩の原因特定などが挙げられます。

②マイナンバー法・番号法

マイナンバー法・番号法は、個人を特定する番号であるマイナンバーを制定し、行政手続などにおける利用を定めた法律です。
マイナンバー制度は、社会保障や税に関する行政手続において、個人を特定するための番号として導入されました。一方で、個人情報保護やプライバシーの保護についても十分な配慮が求められ、法律により厳格な管理が行われています。
重要な情報であるマイナンバーを適切に扱わなければ、個人情報漏えいや不正利用が懸念されるため、安全な保管と適切な利用が求められるのです。

サイバー犯罪やサイバー攻撃を取り締まる法律

1990年代、日本の法律には、インターネットに関するものがありませんでした。
しかし、インターネットの普及に伴い、2000年頃からサイバー犯罪やサイバー攻撃を取り締まる法律が少しずつ整備されてきました。受信者の了解を得ずにメールマガジンを発信することは迷惑メール扱いになるなど、知っておかなければいけないことがあります。
インターネットに関する法律をしっかり理解したうえで、企業活動を行いましょう。

①迷惑メール防止法（特定電子メール法）

迷惑メール防止法（特定電子メール法）は、迷惑メールの送信行為を規制する法律です。
法律により、特定商取引における広告宣伝メールの送信方法や送信時の情報記載、受信者の選択的拒否権の付与などが定められています。また、迷惑メール送信業者への処罰や、消費者への損害賠償請求が可能となっています。
迷惑メールは個人情報漏えいや不正アクセスの原因ともなるため、法律により適切な規制が行われているのです。

②不正アクセス禁止法

不正アクセス禁止法は、コンピューターや通信回線に対する不正な侵入行為を禁止し、違反者に対して処罰する法律です。
不正アクセスには、コンピューターウイルスや不正ログインなどが含まれます。法律には、不正アクセス行為の禁止や、電子計算機損壊等業務妨害罪といった違反行為に対する罰則が規定されています。それゆえ、ハッキング被害を受けた企業や個人は、法的措置を取ることができるのです。

③電子契約法

電子契約法は、電子的な方法による契約の締結や効力を明確にするための法律です。
従来の紙の契約に比べ、電子契約は記録や保管が容易であり、取引プロセスの効率化につながります。
法律には、電子契約の成立要件や不備による無効性、記録保存や認証方法の規定が含まれています。また、電子署名法と連動して、安全かつ信頼性の高い電子契約が締結されるようになっています。

④刑法

サイバー犯罪に関する刑法は、インターネットやコンピューターを利用した犯罪について規定した法律です。
この法律には、不正アクセスやコンピューターウイルスによる被害、ハッキングやフィッシングなどの詐欺行為、そして児童ポルノや著作権侵害などが含まれます。
これらの犯罪行為は、それぞれの罪で処罰されます。刑法には、これらの犯罪行為を行った者に対する刑罰規定や、被害者の権利保護の規定が含まれています。

企業がとるべきセキュリティ対策

ここまで解説してきたように、情報セキュリティに関する法律は多岐にわたります。
日本だけでなく、海外でも同じように法律の整備が進んでいるため、法に則ったセキュリティ対策を取るためには、様々な側面から企業活動を考える必要があります。
効率的に社内の情報セキュリティを強化するためには、以下に説明するような、情報セキュリティに関する制度を利用することがおすすめです。

情報セキュリティに関する制度

情報セキュリティに関する制度は様々ありますが、ここではその中から代表して、3つをご紹介します。

① PCI　DSS（Payment　Card　Industry　Data　Security　Standard）

PCI DSSとは、クレジットカード情報を取り扱う事業者が、カード情報の流出や不正利用を防止するために遵守すべき基準のことです。
主に、情報の保管・取り扱い、ネットワークのセキュリティ管理、セキュリティ対策の実施などが求められます。遵守により、情報漏洩や不正利用による被害を防止し、クレジットカード事業者や加盟店、カード利用者の信頼性を確保することができます。PCI DSSは、PCIセキュリティスタンダード協議会によって策定されています。

②プライバシーマーク（Ｐマーク）

プライバシーマークとは、個人情報保護に関する法令や規範に適合していることを示すマークのことです。
情報を提供する事業者が、個人情報の適切な管理を行っていることを第三者に証明するために、JIPDECが認定を行っています。プライバシーマークを取得するには、個人情報の取り扱いに関する規程の整備や監査、従業員の教育などが必要です。
プライバシーマークを持つ企業は個人情報の適切な取り扱いが期待できるため、消費者が安心できる取引に繋がります。

③ ISMS（情報セキュリティマネジメントシステム）

ISMS（Information Security Management System）とは、情報セキュリティの管理体制を構築し、維持・改善するための仕組みのことです。情報セキュリティポリシーや運用手順書を策定し、情報セキュリティに関するリスクマネジメントを行うことで、情報資産を適切に保護することができます。
ISMSの導入により、情報漏洩や不正アクセスなどの被害を未然に防止することができるため、企業や組織において情報セキュリティの重要性が高まっています。また、国際標準規格であるISO/IEC 27001がISMSに関する要件を定めています。

まとめ

情報セキュリティ関連の法律について解説してきました。
企業活動を進めるうえで、法律を正しく理解することは必要不可欠です。法律を正しく理解していないことで、知らないうちに違法なことをしているということが起こりかねません。

そのようなことが起きないようにするためにも、情報セキュリティに関する制度の利用がおすすめです。特にプライバシーマークは、企業間取引だけでなく、消費者に対しても知名度が高いため、取得する企業が増えてきています。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）取得支援のノウハウがございます。
プライバシーマークの取得や、担当者教育の実施にお悩みの企業様・ご担当者様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。