「サイバーセキュリティ関係法令Q&Aハンドブック」全文を公開 NISC:セキュリティ対策時に参照すべき法制度を網羅
内閣サイバーセキュリティセンターは「サイバーセキュリティ関係法令Q&Aハンドブック」を発表した。参照すべき関係法令をQ&A方式で解説。同センターのWebサイトで全文を公開している。
内閣サイバーセキュリティセンター(NISC)は2020年3月2日、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説した「サイバーセキュリティ関係法令Q&Aハンドブック」(以下、本書)を発表した。
企業における平時のサイバーセキュリティ対策およびインシデント発生時の対応に関する法令上の事項に加え、情報の取り扱いに関する法令や情勢の変化などに伴い生じる法的課題を記述している。
本書は、2018年7月に閣議決定されたサイバーセキュリティ戦略において、「企業がサイバーセキュリティ対策の実施において参照すべき法制度に関する整理を行う」としたことを背景に、サイバーセキュリティ戦略本部普及啓発・人材育成専門調査会が、サイバーセキュリティ関係法令の調査検討などを目的としたサブワーキンググループを設置し作成した。
サブワーキンググループの主査を務めた、情報セキュリティ大学院大学名誉教授の林紘一郎氏は、本書の特徴を3つ挙げる。1つ目は、サイバーセキュリティに関連すると思われる法令を、なるべく広範に網羅するよう努めたこと。本書は関係省庁の協力のもと幅広く関連事項を収録している。
2つ目は、法令の最新版を集めたこと。ITの展開は早いので、法的な対応もそれに従わざるを得ない。「ソフトロー」と呼ばれるガイドラインや技術標準などが、事実上の規範となっている場合があるが、一般にはいつ改定されたかが分かりにくい。本書の編集作業により、現時点での最新情報を記述した。
3つ目は、「法令」だけでなく、その「解説」も重視したこと。サブワーキンググループの下にさらに「タスクフォース」を設け、弁護士を中心に解説を記述した。
本書で取り上げている主なトピックスは、以下の通り。
1. サイバーセキュリティ基本法関連
2. 会社法関連(内部統制システムなど)
3. 個人情報保護法関連
4. 不正競争防止法関連
5. 労働法関連(秘密保持・競業避止など)
6. 情報通信ネットワーク関連(IoT関連を含む)
7. 契約関連(電子署名、システム開発、クラウドなど)
8. 資格等(情報処理安全確保支援士など)
9. その他各論(リバースエンジニアリング、暗号、情報共有など)
10. インシデント対応関連(デジタルフォレンジックを含む)
11. 民事訴訟手続
12. 刑事実体法(サイバー犯罪など)
13. 海外法令(GDPRなど)
セキュリティ対策について契約に記載がない場合の提供義務範囲とは?
本書が掲載している内容を幾つか紹介する。
「情報流出に関するシステム開発ベンダーの責任」の項目では、「システム開発ベンダーは、個人情報等を取り扱うWebシステムの開発に際して、開発当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供する義務を負うか。契約内容に記載されていない場合についてはどうか」という質問に答える形で、概要、解説、参考資料、裁判例を記述している。
解説には、次のように書かれている。
開発する情報システムの性質にもよるが、個人データ等を取り扱うウェブシステムについては、個人データ等の流出を防ぐために、必要なセキュリティ対策を施したプログラムの提供が契約上の債務の内容となる。システム開発の業務委託契約書や発注仕様にセキュリティ対策について記述されていない場合でも、既知の代表的なセキュリティ攻撃手法について、行政機関が対策の必要性及び対策の具体的方法を公表している場合、これに従ったプログラムの提供をしなければシステム開発ベンダーが債務不履行責任を問われ得る(東京地判平成 26 年 1 月 23 日判時 2221 号 71 頁)。もっとも、行政機関が単に「望ましい」と指摘するにすぎないセキュリティ対策については、契約で特別に合意していなくとも当然に実施すべきものではない。
個人情報漏えい時の平均想定損害賠償額は1人当たり2万9768円
「データ漏えい時の損害賠償額の算定」の項目における、「重要なデータなどの漏えいが起こった場合の損害賠償額はどのように算出されるのか」という質問には、4つの裁判例を示し、以下のように解説している。
個人情報漏えい事案において精神的損害の金額が争われる場合、被害者らのプライバシー侵害の程度、すなわち、a)漏えいした個人情報の内容とb)漏えいの態様によって、損害額が変動すると考えられる。
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の「2018年情報セキュリティインシデントに関する調査結果〜個人情報漏えい編〜(速報版)」は、2018年データに基づく個人情報漏えい時における 1 人当たりの平均想定損害賠償額につき2万9768円、同一件当たり平均想定損害賠償額につき6億3767万円との試算を公表している。
林氏は「本書に掲載したものは、現時点で解釈まで含めて一定の方向性が出ている法令を主な対象としており、重要性が高いとしても未確定な部分があるものについては、次回以降の改訂に際しての課題」としており、実務者からの次回改訂版への要望を求めている。
本書には「サイバーセキュリティ関係法令・ガイドライン調査結果」が付録として掲載されており、法律や規則、告示、ガイドライン、指針、手引きなどを収録。掲載しているURLも記述しており、サイバーセキュリティ関係法令に関わる実務者にはなくてはならないものになるだろう。
本書はPDFで配布しており、NISCのWebサイトからダウンロードできる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
セキュリティでも「AI」「機械学習」は活用すべきだ――ただし、多層防御の“層”の一つとして
ESETのエンジニアに、「AI/機械学習でどう顧客を守るのか」「特にエンドポイントに近いコンポーネントにおいてAIや機械学習をどう活用しているのか」を聞いた。
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。
2019年のサイバー脅威には3つの変化があった――取引先のセキュリティ対策確認で何を聞けばいい?
Sophosのチーフ・リサーチ・サイエンティストに、2019年のサイバー脅威、3つの変化と2020年に注意すべき傾向を聞いた。