知っておきたいセキュリティ関連法規
- 2020/8/18
- 法令コラム
情報セキュリティの意識を高める上で、セキュリティ関連の法律や罪を知る、または社員に教育しておくことは重要です。情報セキュリティに関する法規は、サイバーセキュリティ基本法、個人情報保護法やマイナンバー方等沢山ありますが、その中でも特に社員にも関係があるものをピックアップしてみます。
不正アクセス禁止法
ネットワーク経由で、コンピュータへ不正にアクセスする行為、またはそれを助長する行為を処罰する法律です。具体的には
- 他人のID/パスワードを無断使用し、不正になりすましてアクセスする行為
- セキュリティホールを突いて、認証を行わずにアクセスする等の行為
- セキュリティホールを突いて、認証を行わずにアクセスする等の行為
- 不正アクセスを目的として他人のID・パスワードを入手する行為
など、アクセス制御を超えて権限のないコンピュータ、データにアクセスすることです。
また、被害がなくても不正アクセスをしただけ(故意に覗いただけ)、その目的でID/パスワードを集めただけといった場合でも処罰対象となります。
もし、偶然にセキュリティホールを見つけてしまった場合は、興味本位であれこれ余分なことはせず、社内ネットワークであれば情報システム部に、外部のサイトやネットサービスであればIPAへ情報提供しましょう。
以前、芸能人のSNSのアカウントを「推測」して不正ログインを行った人が逮捕されましたが、余分な好奇心を抱く前にIPAに届出を行うことをお勧めします。
個人情報保護法
個人情報を守るための法律で、2005年に制定された時点では、5000件以上の個人情報をデータベース等として保持し、事業に用いている事業者を「個人情報事業者」としていましたが、2017年の改正より人数に関係なく規制対象となりました。
つまり事実上ほとんどの事業者が以下のことを守る義務があります。
- 利用目的の特定
- 利用目的の制限(目的外利用の禁止)
- 適正な取得(オプトインで事前承諾を得る等)
- 利用目的の通知
- 開示・訂正・削除を求められた場合、原則として応じる
また、どこからが個人情報に当たるのか、といった認識も改正によって明確化が図られました。
このように、個人情報に関しては近年とても厳しくなっており、社内各部署で取り扱っている個人情報は取得~利用~破棄までどのようなサイクルになっているのか、誰がどの情報を取り扱っているのかを把握しておくことが重要です。
ちなみに2018年の個人情報漏えいによる想定損害賠償総額は、2,684億5743万円と報告されています。(JNSA 2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ より)
特定電子メール法
いわゆるスパムメール、広告などの迷惑メールを規制するための法律で、俗に迷惑メール防止法と言われることがあります。2002年に施行、2008年に改正されました。
- サービス・商品に関する広告または、そのサイトへ誘導するためのメール
- 送信元アドレスをなりすまして、サイトへ誘導しようとするメール
などがこれに該当しますが、「営業目的」かどうかが大きなポイントとなります。
特定電子メールを送る際は、送信者の氏名や住所、メールアドレスの表示義務、オプトイン規制(事前承諾なしで送らない)、送信元アドレスのなりすまし禁止とったルールがあり、違反メールを送ると処罰対象となります。
(詳しくは総務省が発行するガイドラインを御覧ください)
実際、未だに営業目的のメールは沢山届きますが、ユーザーの同意なしに広告宣伝メールを送ることは原則違法となりますので、十分注意してください。
業務上、広告宣伝メールを送る場合は、サイト上でメールアドレスを公表している団体、または営業活動を行っている個人のメールアドレスを選別して送ってください。
これらはオプトイン規制の例外となります。
※但し、公表メールアドレスと併せて営業目的のメールを拒否している旨の記載がある場合例外とはなりませんので注意してください。