サイバーセキュリティ基本法とは？

サイバーセキュリティ基本法ってご存知ですか？インターネットが普及するにつれ、生活が便利になると同時に、不正アクセスによる情報窃取や漏洩、改竄などの問題も深刻化しています。こうした不正アクセスによって、個人情報だけでなく、企業の機密情報や国の安全保障に関わるような重要情報なども漏洩する危険性が高まっているということです。そういう事態を想定して、国を挙げて情報の安全性確保を実施していくための基本理念を定めたものが「サイバーセキュリティ基本法」です。

サイバーセキュリティ基本法は2014年に成立し、2015年1月から施行されている法律です。日本の情報安全対策の中心を担う重要な法律であり、その本部として内閣に「サイバーセキュリティ戦略本部」が設置されました。ここに至った理由の一つとして、2000年に発生した各省庁のウェブサイト改竄事件によって、従来の縦割り型の対策では進化する攻撃に対抗できないことが明らかになったことが挙げられます。その結果、2005年に「内閣官房情報セキュリティセンター(NISC)」が設立されるとともに、情報セキュリティ対策会議も内閣官房長官を議長として政府内に設置されました。

以降、NISCは日本の情報安全対策で重要な役割を果たしてきたのですが、インターネットの攻撃はその後も激化する一方で、その手法も多様化し、規模も大きく拡大しています。さらに、2013年に東京オリンピックの開催が決まったことで、情報安全体制を一層強化する必要があるとの声が高まりました。その結果、同法が成立したわけです。

サイバーセキュリティ基本法とは何かということを理解するにおいて、まず、「基本法」とは何かということを押さえておきましょう。基本法とは、国政や国の制度に関する基本方針を示すとともに、その方針に沿うように各施策を定めて個別に法律で遂行されるようにしたものということです。要は、憲法の理念に則って、それと個別の法律をつなぐ役割を果たす法律と考えてよいでしょう。つまり、個々の情報安全対策を講じる際に、それらの上位にある基本となるべき重要な法律ということです。

この法律の目的は、国民が安心・安全に暮らせる社会を実現すること、経済の向上と持続的な発展、さらに、日本の安全保障に寄与するとともに、国際社会の平和と安全の確保にも寄与することなどと定められています。インターネットの攻撃は世界規模で脅威が高まっているため、日本も国を挙げて総合的な対策を推進していこうというものです。そのため、その対象は行政機関のみならず、電気やガスのようなインフラ事業者、教育研究機関、その他の民間事業者も挙げられており情報安全対策において一般企業が果たす役目やそれを担う人材の教育などについても触れられています。

組織的体制もこの法律によって強化されました。「サイバーセキュリティ戦略本部」という本部長に内閣官房長官を据えた組織が設立されています。これは、以前に設立された情報セキュリティ対策会議が、会議よりもさらに大きな権限を持つに至ったということです。その役割は、情報安全対策の戦略案を作成するとともに、政府機関の防御施策を評価したり各省庁の施策を総合的に調査したりといったもので、具体的な対策に対して各機関に勧告できる権限を持ちます。このため、情報安全対策を国家レベルで推進できる体制が整いました。

また、内閣官房情報セキュリティセンター(NISC)も組織が改組され、アルファベットの略称はそのままに日本名を「内閣サイバーセキュリティセンター」と改めて、サイバーセキュリティ戦略本部とも大きなかかわりを持ちつつ、さらに権限を強めています。

上記のような経緯で成立したサイバーセキュリティ基本法ですが、これまでに二度改正されています。多様化する攻撃の脅威や社会情勢の変化を加味した結果です。

一度目の改正は2016年で、この時は日本年金機構の個人情報漏洩が背景にあります。この時点ですでに法律はありましたが、NISCが原因を究明しようにも、同センターの調査可能な権限が中央省庁内に限られていたことで、事件の原因を十分に調査するまでに至らず、そのせいで、さらに事態を悪化させてしまったのが理由です。そこで、NISCの持つ権限をより強くするために法改正を行い、調査対象を中央省庁だけでなく特殊法人や独立行政法人まで拡大しました。それに伴って増大する業務の負担を軽減するために、情報処理推進機構に一部の業務を委託できる規定も設けられています。また、「情報処理安全確保支援士」という新しい国家資格も2016年の法改正に伴って新設されました。

二度目の改正は2018年です。この年の平昌オリンピックでインターネットテロが数多く発生したことと、それ以前のリオデジャネイロオリンピックやロンドンオリンピックでも多くの攻撃があったことを踏まえて、2020年の東京オリンピックで官民連携の情報安全対策を取れるようにと改正されました。具体的には、「サイバーセキュリティ協議会」という、情報安全対策の推進に必要な協議を行う組織を設置するというもので、2019年4月の改正法の施行とともに発足しています。

この協議会では、国家の関係機関だけでなく、重要インフラ事業者、地方公共団体やその共助組織などに属する趣旨に賛同した人によって構成され、構成員同士の情報共有を安全かつ円滑にできるように遵守事項を法定化しているのが特徴です。罰則があることで強い守秘義務が生まれ、未確証の脅威情報を分析したり、対策情報を共有したりといったことがスピーディーに行えるようになっています。こうした取り組みを官民連携で行うのは世界的にも珍しいとのことです。

2018年には、サイバーセキュリティ基本法のもと、「サイバーセキュリティ戦略」という3カ年の行動計画が決定されました。2015年からも同様の計画が実施されていましたが、それが終了するに当たり、過去3年間での攻撃の脅威や社会情勢の変化を鑑みて、新しく今後3年間の基本戦略を制定したわけです。基本は2015年の戦略で掲げられた、法の支配、自律性、開放性、自由な情報流通の確保、それに、多様な主体が連携することを今後も堅持していくというものですが、さらに、国民が安心・安全に暮らせる社会の実現という目的達成に向けての具体的な施策も明らかにされました。たとえば、AI、IoT、ブロックチェーン、VRなどの最新技術を活用しながら、中小企業の情報安全対策も支援するなどとしています。

サイバーセキュリティ基本法について、その成立の経緯やその後の改正も含めて詳しく見てきました。国の定めた基本方針ですので、詳細な部分まで民間企業の一般社員が精通しておく必要はないとも言えます。もちろん情報処理安全確保支援士資格の取得を目指すのなら押さえておくべき法律ですが、情報社会の進展に伴い、また新たな政策や決まりが次々と生まれてくるのではないでしょうか。(2020年現在)

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。