4-3. 関連法令
4-3-1. 個人情報保護法
インターネットが普及し、ネットショッピングなど、さまざまなサービスの利用を通して個人情報のやり取りが当たり前になった現在、個人情報の保護は人々にとって身近なテーマとなりました。企業にとって、個人情報は事業へ有効に活用することのできるものですが、漏えいなどの事故が起きた場合、社会的な信用の失墜に直結するため、事業経営に及ぼす影響は非常に大きいです。
そのため、消費者や取引先から預かっている個人情報を適切に取扱うことは、企業の権利や利益を守ることにつながる非常に重要な取り組みとなります。ここでは、サイバーセキュリティに関連する法令として、個人情報保護法について説明します。
インターネットの普及や情報技術の進歩などを背景として、個人の権利や利益を守ることを目的として「個人情報保護法」(正式名称:個人情報の保護に関する法律)が平成17年4月に全面施行されました。施行後も、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、今までに3度の改正が行われています。
個人情報保護法では、どのような情報が個人情報になるのか、個人の権利や利益を守るためには個人情報をどのように取扱わなければいけないのかなどが規定されています。
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報のことを指します。これには他の情報と容易に照合でき、それにより特定の個人を識別できるものも含まれます。
サイバーセキュリティ戦略とは、国家レベルでサイバーセキュリティの確保に取り組むための基本的な方針や目標を定めたものです。日本においては、内閣サイバーセキュリティセンター(NISC)が、サイバーセキュリティ戦略の策定や実施に関する総合調整役を担っています。現行のサイバーセキュリティ戦略は、令和3年9月28日に閣議決定され、「今後3年間に執るべき諸施策の目標や実施方針を示す」ものとされています。この戦略に基づき、政府はサイバーセキュリティの確保に向けた取組を進めています。
・利用目的を特定して、その範囲内で利用する。
・利用目的を通知または公表する。
・漏えいなどが生じないように、安全に管理する。
・従業者や委託先にも安全管理を徹底する。
・第三者に提供する場合は、あらかじめ本人から同意を得る。
・第三者に提供した場合、提供を受けた場合は一定事項を記録する。
・本人から開示などの請求があった場合はこれに対応する。
・苦情に適切かつ迅速に対応する。
個人情報保護法の罰則規定
令和4年4月施行の法改正により、法令違反に対する罰則が強化されました。法人に対しては、
個人情報保護委員会の措置命令に違反したり、個人情報データベースを不正流用したりした場合1億円以下、報告義務違反の場合50万円以下の罰金となっています。
4-3-2. GDPR
GDPR(EU一般データ保護規則)とは、個人データの保護とプライバシーの権利を強化するために、欧州連合(EU)加盟国に適用される重要な法令です。EUで活動する企業だけではなく、EU加盟国の居住者の個人データを取扱う企業は、企業規模に関係なく、GDPRが適用されるため、GDPRを理解し遵守することが必要です。以下では、GDPRの概要および日本企業の関わりについて説明します。
EUで策定された新しい個人情報保護の枠組みであり、個人データ保護やその取扱いについて詳細に定められた欧州経済領域内の各国に適用される法令のことです。欧州経済領域内で取得した「個人データ」を「処理」し、欧州経済領域外の第三国に「移転」するために満たすべき要件が定められています。GDPRの特徴として、インターネット上で収集できる個人データのほとんどが保護対象となっています。
GDPRはEU内で適用される法令ですが、支店など物理的な拠点をEU内に持っていなくても、インターネットを利用して日本からEU域内に商品販売やサービス提供、情報収集を行っている企業にもGDPRが適用されます。また、ターゲティング広告を配置した自社サイトに対して、EU域内からアクセスがあった際もGDPRの適用対象となる可能性があります。GDPRに違反した場合はかなり重い制裁金が課されるため、適切な対策が求められます。
GDPRでは、Cookieが「個人情報」とみなされるため、WebサイトでCookieを利用する際は、Webサイト閲覧者からCookie取得の同意を得る仕組みを構築することが必要です。Cookieについての本人の同意を取得するには、企業とユーザーとの間で個人データの利用における同意の実施・管理を行うツール(CMP)を導入することが推奨されています。
4-3-3. その他関連法令
そのほか、サイバーセキュリティに関連する法令の例を紹介します。
事業者間の不正競争の防止を目的の1つとしており、ブランドの表示の盗用、商品の形態模倣などとともに、営業秘密や限定データの不正取得・使用などを規制している。
プログラムを含む著作物の保護と複製権をはじめとする著作権などについて規定している。
サイバー空間における活動の基盤となるインターネットサービスなどの電気通信事業に関する諸規定や、通信の秘密などを規定している。
デジタルデータの流通と情報処理の円滑な利用のため、電子署名や認証業務の法的な取扱いを定めている。
情報処理の高度利用促進を目的とした法律で、情報処理安全確保支援士や情報処理技術者試験に関する規定、サイバーセキュリティに関する調査や講習を行っているIPAの業務範囲などに関する規定を含んでいる。
NICTの業務においてサイバーセキュリティに関する研究開発など、国や自治体の従業員を対象とする演習の「CYDER」の実施を定めるとともに、時限的な業務として
IoT機器の調査を行う「NOTICE」に関する規定を措置している。
不正指令電磁的記録に関する罪(いわゆるウイルス罪)をはじめとするサイバー犯罪を処罰する規定を含む刑罰が規定されている。
不正ログインといった
不正アクセス行為や、いわゆるフィッシング行為を処罰する旨が規定されている。
これらの関連法令を解説した資料として「サイバーセキュリティ関係法定Q&Aハンドブック」があります。可能な限り平易な表記で記述されており、効率的・効果的なセキュリティ対策・法令遵守を促進するために、参考になります。
