|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
|
|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
ネットワークセキュリティの最新動向
4.ネットワークセキュリティをめぐる法律や制度
小特集 4-1
国内のネットワークセキュリティ関連の法制度
Domestic Legal System about Network Security
abstract
企業や団体がネットワークセキュリティに関する対策を実施する場合には,関連する法令を遵守した形で実施する必要がある.関連法令には,情報セキュリティの実施を団体等に義務付けるものや攻撃者を処罰するものなど,様々な角度から情報セキュリティに関連するものが存在する.情報セキュリティとは全く異なる目的の法令との関係で,特定の情報セキュリティ対策が違法となる可能性についても留意する必要がある.このような観点から,関連法令を効果的に整理し得るのが排他的3分類の考え方である.排他的分類の考え方と,三つの各分類に属する法令におけるネットワークセキュリティの条項について紹介する.
キーワード:法令遵守,管理者責任,攻撃者責任,個人情報保護法,不正競争防止法
法制度の見地からセキュリティについて論じる場合,まずは,法令・ガイドラインとセキュリティの関係を整理することが必要である.(なお,本稿における「セキュリティ」とは情報セキュリティを意味する.)企業や研究機関等の団体(以下「事業者」と言う.)がセキュリティ対策を講じる場面を想定すると,仮にセキュリティ自体に関する十分な知識とリソースがあったとしても,講じようとする個々のセキュリティ対策が法令に違反しないかということが同時に課題となる.法令の求めるところに抵触しないセキュリティ対策を実施するためには,関連法令を洗い出すことのできるような整理の視点が重要である.
法令とセキュリティの関係の整理については,機密性(Confidentiality),完全性(Integrity),可用性(Availability)の区別に応じて法令を分類することが考えられる(注1).それぞれの区別に応じて関連法令との関係を見てみると,例えば機密性については,個人情報保護法が個人データの漏えいを防止するための安全管理措置を事業者に義務付けている(同法20条).また,不正競争防止法の営業秘密の保護は,営業秘密を不正に取得する者の民事・刑事の責任を定めている.完全性に関しては,データの不正作出・改ざんを行った者が不正アクセス禁止法違反で検挙されることがある.(ゲーム会社の従業員が仮想通貨を偽造して不正な利益を得た事案等が見られる.)可用性に関しては,電子計算機損壊等業務妨害罪が刑法に規定されており,大規模システム障害等について,ユーザ企業がベンダ企業に対して損害賠償を求める訴訟が存在する.
しかしながら,この分類方法による場合,ある法令の一つの条文が機密性,完全性,可用性の全てに関係することがあるため,重複が多く発生する.また,事業者がセキュリティの措置を講じる場合に確認すべき法令は,セキュリティの確保を義務付ける法令のみではないため,網羅性にも欠ける.
続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。
電子情報通信学会 - IEICE会誌はモバイルでお読みいただけます。
電子情報通信学会 - IEICE会誌アプリをダウンロード
