セキュリティに関する3つの法律

サイバーセキュリティ基本法

サイバーセキュリティ基本法は、日本におけるサイバーセキュリティ関連の根拠法であり、日本が取り組む各種セキュリティ関連施策の根拠となります。この法律の対象範囲は『「電磁的方式』によって「記録され、又は発信され、伝送され、若しくは受信される情報」」と定義されています(第一章·第二条)。

不正アクセス行為の禁止等に関する法律

不正アクセス行為の禁止等に関する法律(略称:不正アクセス禁止法)は、情報システムへのネットワーク経由の不正ログインや、正規サイトのなりすましによってID やパスワードを窃取したり、窃取したIDとパスワードを保存したり、IDとパスワードを用いることなく不正に認証·認可(p.34) の仕組みをバイパスするようなことを禁止する法律です。たとえば、フィッシングサイト (p.91) を開設して他者から不正にIDとパスワードを窃取することや、窃取·保存したIDとパスワードの組を他者に提供することなどは、いずれもこの法律に違反する行為であり、罪に問われます。ただし、容易に推測される ID、パスワードを外部から入力し、攻撃に悪用される懸念のある loT 機器を特定することは、別の法律により、特定の機関に許可されることがあります。

不正指令電磁的記録に関する罪

不正指令電磁的記録に関する罪は、コンピューターウイルスの作成や保管に関する罪の分類です。2011年の刑法改正で追加されました。上記の不正アクセス禁止法の場合は新たな法律として整備されましたが、「不正指令電磁的記録に関する罪」は、刑法に対する条文の追加によって対応されました。具体的には、検証目的などの正当な理由がないのにコンピューターウイルスを作成する行為や、他者へ譲渡すること、また他者へ感染させる行為などを禁止する内容になっています。

個人情報とマイナンバー

個人情報

個人情報は、その名のとおり、個人を特定する情報です。「氏名」「生年月日」「住所」「性別」の4つは、個人情報の中でも「基本4情報」とも呼ばれます。事業者に対して個人情報の適切な保護を求める法律が、「個人情報の保護に関する法律」(略称:個人情報保護法)です。この法律は2003年5月23日に成立し2005年4月1日に全面施行されました。なお、個人情報には、基本4情報の他に、「亜配慮個人情報(機微情報)」と呼ばれる、「人に知られたくない情報(病歴·思想.資産など)」も含まれます。そして、基本的には、要配慮個人情報のほうが、基本4情報よりも厳格に管理することが求められます。その他、EU 圏の個人情報については、EU一般データ保護指令(GDPR)に準拠した管理も求められます。

マイナンバー(個人番号)

マイナンバーは、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(通称:マイナンバー法)に基づいて、日本に住民登録があるすべての個人に付与される12桁の番号です。一般的には「マイナンバー」といわれますが、正式名称は「個人番号」です。なお、マイナンバーは個人と紐付いている番号なので、当然、個人情報のうちの1つといえそうですが、実は個人情報ではありません。マイナンバーは法律で用途が規定されているため、個人情報の枠組みで取り扱うと不具合が生じることから、個人情報とは別の「特定個人情報」として扱われます。「個人情報」と「特定個人情報」は、情報の性質が異なるため、同列に扱うことはできません。個人情報は、個人情報の所有者(本人)から同意を得た事業者が、同意を得た範囲で利用できますが、特定個人情報は、利用可能な分野がマイナンバー法で定められています。具体的には「納税」 「社会保障」「災害」関連の行政手続でしか使用できません。また、個人情報の漏えいに関しては、法律上の罰則規定はありませんが、特定個人情報(マイナンバー)の漏えいに関しては罰側規定があります。