今話題の「サイバーセキュリティ基本法」とは？

2014年11月18日

2014年11月6日に成立したサイバーセキュリティ基本法が一般企業へ与える影響はあるのか。最新情報が手に入る参加費無料のフォーラムの案内も加えてご紹介します。

法案成立までの流れ

「サイバーセキュリティ基本法」成立を推進した内閣官房情報セキュリティーセンター（以下、NISC）の母体となった、内閣官房情報セキュリティ対策推進室の設立は平成12年（2000年）2月まで遡ります。

内閣官房情報セキュリティ対策推進室の設置目的は「関係行政機関相互の緊密な連携の下、官民における情報セキュリティ対策の推進を図るため、高度情報通信社会推進本部に情報セキュリティ対策推進会議（以下「推進会議」という。）を設ける。」といった内容で、要するにインターネットが一般に普及してきて、セキュリティ対策をしっかりと行う必要があるので、日本国一丸となって対応するためにみんなで話し合いましょう。といった具合です。

ちょうど平成12年というと、2000年11月29日に高度情報通信ネットワーク社会形成基本法（以下、IT基本法）が成立した年です。IT基本法は広く国民がインターネットの利便性を享受するために、官民一体となって普及に努めましょうといった内容ですが、今回成立したサイバーセキュリティ基本法はIT基本法の中に明記していた第二十二条の「高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、高度情報通信ネットワークの安全性及び信頼性の確保、個人情報の保護その他国民が高度情報通信ネットワークを安心して利用することができるようにするために必要な措置が講じられなければならない。」を別途法案化した形となっています。

つまり、インターネットを普及させる法案の整備とともにそのリスクに対する法案も準備を進めていたということなのです。

法案成立による企業への影響

NISC設立の経緯とIT基本法に関する話はここまでとして、2014年11月6日に成立した「サイバーセキュリティ基本法」は今後の企業に対してどのような影響をもたらすのでしょうか。

具体的に法案を読み解くと

① 「国又は地方公共団体」
② 「重要社会基盤事業者」
③ 「サイバー関連事業者」

「教育研究機関」を除くと、サイバーセキュリティ基本法は3つの主体に責務を課しています。

まず「国又は地方公共団体」はIT基本法と同様にイニシアチブをとってセキュリティ対策を推進させる「責務」があります。（第四条、第五条）

次に「重要社会基盤事業者」は自主的かつ積極的にサイバーセキュリティの確保に努めること。また、「国又は地方公共団体」に協力するように努める必要があります。（第六条）

そして「サイバー関連事業者」は事業活動上において自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、「国又は地方公共団体」に協力することが求められています。（第七条）




と、ここをさらっと読み飛ばしそうになりますが、使用されている文言に違和感があります。

第七条の条文をよく読むと「サイバー関連事業者（インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。）その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。」

サイバー関連事業者に関する長い括弧の説明文のすぐ後ろに「その他の事業者」という主体が隠されています。これはつまり、インターネットを利用している全事業者に対する責務が明記されている。ということでしょうか。

いやいや、後ろの第十五条では「国は、中小企業者その他の民間事業者及び大学その他の教育研究機関が有する知的財産に関する情報が我が国の国際競争力の強化にとって重要であることに鑑み、これらの者が自発的に行うサイバーセキュリティに対する取組が促進されるよう、サイバーセキュリティの重要性に関する関心と理解の増進、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うことその他の必要な施策を講ずるものとする。」

といったように「中小企業者その他の民間事業者」といった主体を明記しています。そのため、全ての企業に対して責務は課せられていなくて、その他の企業はサイバーセキュリティを促進する自発的な取組が求められているだけと考えるともできるかもしれません。

そこで、法令用語の使用方法を調べてみると、「その他」と「その他の」の使い方の違いがあるようです。一般的な用法として、

① 「AとBその他C」の場合、A+B+C

② 「AとBその他のC」の場合、A ⊆ C, B ⊆ C

がありました。
⇒法令の用字・用語

今回のサイバーセキュリティ基本法を改めて読むとそれぞれ「その他の」という表現が用いられています。
そのため、


・第七条
サイバー関連事業者 ⊆ その他の事業者
⇒サイバー関連事業者でない国内全ての事業者も含む

・第十五条
中小企業者 ⊆ その他の民間事業者
⇒中小企業者でない国内全ての民間事業者も含む

となります。


結局、日本に存在している法人全部が対象ですよ。といった法律なのでしょうか？？

百聞は一見に如かず。今回のサイバーセキュリティ基本法に関連したWEBリスクに関連するフォーラムが開催されますので、最新の情報を収集してみてはいかがでしょうか。

お申し込みは↓↓


NRAフォーラム2014～インターネットに潜む情報漏洩リスク～


総務省、経済産業省、警察庁が後援する一般社団法人ニューメディアリスク協会の年次フォーラムです。今回は法案成立に携わった内閣官房情報セキュリティーセンター副センター長の谷脇氏もパネリストとして登壇する予定です。

WEBリスクにおける今後の課題

2013年に発生した政府機関へのサイバーアタックは、前年比約5倍の508万件にまで増加しています。これは約6秒に1度攻撃が行われている計算です。今回のサイバーセキュリティ基本法は何はともあれ、官だけではなく、民間企業や国民全員に対してサイバーセキュリティに対する責務や努力目標を盛り込んだという点で非常に先進的な法律だと言えます。今後の2020年の東京オリンピック・パラリンピック開催に向けて日本国内のインフラがサイバー攻撃を受けてインシデントが発生するなんて事態にならないためにも、インターネット上のリスクを国民全員が再認識することが求められています。


※重要社会基盤事業者…
国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者をいう。（第三条）
※サイバー関連事業者…
インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。（第七条）