ハンドブックの概要
「サイバーセキュリティ関連法令ハンドブック」は、内閣サイバーセキュリティセンター(NISC)が公開する、サイバーセキュリティに関連する法令・ガイドラインを体系的に整理した資料です。企業のセキュリティ担当者、法務担当者、経営者が、サイバーセキュリティに関する法的義務と権利を理解するための参考資料として活用されています。
サイバーセキュリティ基本法
2014年に成立したサイバーセキュリティ基本法は、日本のサイバーセキュリティ政策の基本方針を定める法律です。
- サイバーセキュリティ戦略の策定
- サイバーセキュリティ戦略本部の設置
- 国、地方公共団体、重要インフラ事業者、民間事業者、教育研究機関等の責務
- NISC(内閣サイバーセキュリティセンター)の機能強化
主要な関連法令
| 法令 | 概要 | 企業への影響 |
|---|---|---|
| 個人情報保護法 | 個人情報の取扱いに関する基本法 | 個人データの安全管理措置義務、漏洩時の報告義務(72時間以内) |
| 不正アクセス禁止法 | 他人のID/パスワードを無断使用する行為等を禁止 | アクセス管理者としてアクセス制御の適切な運用義務 |
| 不正競争防止法 | 営業秘密の不正取得・使用・開示を禁止 | 営業秘密の3要件(秘密管理性・有用性・非公知性)の確保 |
| 電気通信事業法 | 通信の秘密の保護、通信障害の報告義務 | 電気通信事業者としてのセキュリティ義務 |
| マイナンバー法 | 特定個人情報の適正な取扱い | 安全管理措置の実施義務(→ マイナンバー法解説) |
| 経済安全保障推進法 | 基幹インフラの安定的な提供の確保 | 特定重要設備の導入・維持管理に関する事前審査 |
企業の義務
- 安全管理措置:個人情報保護法、マイナンバー法で個人データ・特定個人情報の安全管理措置が義務
- 漏洩報告:個人情報保護委員会への漏洩等報告(速報3〜5日以内、確報30日以内)
- アクセス管理:不正アクセス禁止法で「アクセス管理者」としての管理義務
- 営業秘密の管理:不正競争防止法で保護を受けるための「秘密管理性」の維持
- 通報・報告:業種別規制法(銀行法、保険業法等)に基づくインシデント報告義務
インシデント発生時の法的義務
| 義務 | 根拠法 | 期限 |
|---|---|---|
| 個人情報保護委員会への報告 | 個人情報保護法 | 速報:3〜5日以内、確報:30日以内 |
| 本人への通知 | 個人情報保護法 | 速やかに |
| 監督官庁への報告 | 業種別規制法 | 法令により異なる |
| 警察への届出 | 不正アクセス禁止法等 | 発覚後速やかに |
まとめ
サイバーセキュリティに関連する法令は多岐にわたりますが、企業が最低限押さえるべきは「個人情報保護法」「不正アクセス禁止法」「不正競争防止法」の3つです。インシデント発生時の報告義務(72時間ルール)に備え、事前に報告体制を整備しておくことが重要です。