Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

企業の経営者が必ず知っておくべき、情報セキュリティ関連の法律・制度とは?

印刷

数多く存在する情報セキュリティ関連の法律・制度

ITが社会へ普及するとともに、それを悪用した犯罪やサイバー攻撃、あるいは過失による情報漏えい事故などが多発しています。こうした状況に対処するため、我が国では犯罪を規制するための法律や、サイバー攻撃から企業を守るための制度が策定されており、これらを遵守することで、脅威のリスクから企業を遠ざけることができます。これらは企業や顧客を守るためのものであり、経営層はその内容について今一度よく理解しておく必要があります。

では、企業が守るべき情報セキュリティ関連の法律・制度には、どのようなものがあるのでしょうか。ここでは、「国が定めるセキュリティの法律」「プライバシーの保護および事業者に対する規制を定めた法律」「サイバー犯罪やサイバー攻撃を取り締まる法律」「情報セキュリティに関する制度」「その他」に分けて、それぞれ解説します。

経営者は抑えておきたい、国が定める情報セキュリティの法律

まずは、国家戦略や方針などを定めた法律です。主に国としての取り組みや政策に関連する法律ですが、企業の経営者であれば一度は目を通しておくことをお勧めします。

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定するものです。

高度情報通信ネットワーク社会形成基本法(IT基本法)

高度情報通信ネットワーク社会の形成に関し、基本理念及び施策の策定に係る基本方針を定め、国や地方公共団体の責務を明らかにしています。それとともに、高度情報通信ネットワーク社会推進戦略本部を設置して、重点計画の作成について定めることで、高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に推進することを目的としています。

電子署名認証法

電子署名認証に関わる法律には、「電子署名及び認証業務に関する法律」や「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(公的個人認証法)」があります。前者は、電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務(電子署名を行った者を証明する業務)のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定するものとしています。後者は行政手続オンライン化関係三法のひとつで、自治体向けのものです。

個人情報保護など、事業継続リスクに直結する重要な法律

次に、プライバシーの保護および事業者に対する規制を定めた法律です。企業が特に意識する必要のある法律といえます。仮に個人情報が漏えいした場合、法律による罰則に加えて企業イメージのダウンや多額の損害賠償の発生など計り知れないダメージを生み、企業の事業継続に影響を及ぼす可能性すらあります。

個人情報保護法

正式には「個人情報の保護に関する法律」と呼ばれるもので、2005年に成立しました。全ての事業者に対し、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにすることなどを定めており、入手した個人情報の管理や追跡(トレーサビリティ)、利活用のための匿名化なども定義されています。

個人情報保護法は3年に一度改正され、次回は2020年です。この改正で企業の経営者が留意すべきなのが、新たに盛り込まれる予定の「個人情報の利用停止を企業に請求できる権利」です。これは昨今問題となっているIT企業によるデータの不正利用などを受けたもので、企業は同意を得て取得した個人情報であっても、個人から利用停止を要請されたり、情報開示の請求があれば対応する「義務」を負います。これによって企業は、個人からのデータ利用停止の要請に対応する窓口や停止の自動化などへの対応が必要となる可能性があります。

マイナンバー法・番号法

正式には「行政手続における特定の個人を識別するための番号の利用等に関する法律」という長い名前の法律です。日本国民全員に割り振られているマイナンバーは、税金をはじめ幅広く活用されていく予定ですが、その取得や保管、活用などについて定義されており、正当な理由なく特定個人情報ファイルを提供した場合には、個人情報保護法よりも重い罰則が課せられます。