本連載「サイバーセキュリティ 経営者の視点」では前回まで、サイバーセキュリティについてリスクマネジメントの視点からの考察、CISO・セキュリティ部門の位置付け、役割についての考察、投資についての考え方の考察を行いました。今回は企業を取り巻くさまざまな法制度の中で、特にサイバーセキュリティとプライバシーに関するものについて考えてみたいと思います。
(北野 晴人 デロイト トーマツ サイバーセキュリティ先端研究所 主席研究員)

1.サイバーセキュリティに関連する法制度

 サイバーセキュリティに関連する法制度は、特にサイバーセキュリティに特化した法制度と、一般的な法制度をサイバーセキュリティの分野に適用するものがあります。前者は不正アクセス行為の禁止等に関する法律(以下、「不正アクセス禁止法」という)や不正指令電磁的記録に関する罪(以下、「ウイルス作成罪」という)などで、後者は不正競争防止法や威力業務妨害罪などがあります。

 いずれも何らかの不正行為等を行なった人を罰するための法律ですが、企業の側から見ればこれらの法律を使って身を守る必要があります。本稿では、これらの中で特に企業側で留意すべきと考えられるいくつかの点について説明します。

情報を適切に保護しておくこと

 各種の法制度は企業が適切に情報を保護していることを前提に、それを破った人を罰することが多いといえます。例えば不正アクセス禁止法はその条文に「アクセス制御機能を有する特定電子計算機に」とありますが、分かりやすく言えばパスワードなどの認証機能を使って、許可された人以外はアクセスできないようにしてあるコンピュータということになります。逆に考えると、正しく認証機能が実装されていないシステムや適切なアクセス制御が実施されていないシステムから情報が盗まれた場合などはこの法律が適用できなくなる可能性があるということです。

 また、こうした法制度は国際的な「サイバー犯罪に関する条約(Convention on Cybercrime、略称:サイバー犯罪条約)」の枠組みに沿って作られており、海外からの不正アクセスに対応するためにも、適切なセキュリティ機能の実装が求められます。今年(2017年)5月、世界的に大きな被害を出した「WannaCry」の感染拡大を見てもわかるようにサイバー攻撃に国境はありませんので、関連法制度も国際的な枠組みを視野に入れることも重要になります。