「セキュリティ用語の基礎知識」サイバーセキュリティ基本法だけじゃない ITに関連する法律を知ろう
昨今、もはやITは社会に不可欠な存在となっています。しかしITを悪用した犯罪や不適切な運用は、大きな被害を引き起こす恐れもあります。場合によっては社会問題に発展してしまうこともあるため、世界的にITに関連する法律は年々厳格化していく傾向にあります。もちろん日本も例外ではなく、サイバーセキュリティ基本法をはじめとして、セキュリティに関連する様々な法律があります。
今回はサイバーセキュリティに関連する法律のうち、基本法や情報管理などを定めた法律を6つ紹介します。
デジタル社会形成基本法
デジタル社会形成基本法は、日本におけるデジタル社会の形成について基本理念や施策策定の基本方針を定めた法律です。2021年9月1日に施行された6つのデジタル改革関連法の中核となる法律であり、同日に施行された関連法であるデジタル庁設置法に基づいて設置されたデジタル庁も注目されました。
「誰一人取り残されない、人に優しいデジタル化」というビジョンに沿って、国、自治体、そして民間企業の役割分担や責務を示し、それぞれが連携・協力しあってデジタル社会を形成していくことを目指しています。この連携・協力の中心となるのがデジタル庁です。
[2021年に可決されたデジタル改革関連法]
デジタル社会形成基本法
デジタル庁設置法
デジタル社会の形成を図るための関連法案の整備に関する法律
公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録に関する法律
預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律
地方公共団体情報システムの標準化に関する法律
IT基本法(※廃止)
高度情報通信ネットワーク社会形成基本法(通称、IT基本法)は、日本のIT戦略の基本理念や重点計画を定めた法律です。2000年7月内閣に情報通信技術戦略本部が設置され、2001年にIT基本法が施行されています。また、同法に基づいて政府のIT戦略「e-Japan戦略」も発表されています。
しかし施行されてから20年以上の時間が経過し、ITを取り巻く環境も大きく変化しました。そこでIT基本法を抜本的に見直した後継の法律として、前述したデジタル社会形成基本法およびデジタル改革関連法が可決・施行されたため、IT基本法は廃止されました。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、日本におけるサイバーセキュリティの基本理念などを定めた法律で、2014年に可決、2015年から施行されています。同法に基づいて内閣に「サイバーセキュリティ戦略本部」、内閣官房に「内閣サイバーセキュリティセンター(NISC)」を設置しています。
デジタル社会形成基本法と同じく基本法であり、より具体的なサイバーセキュリティ戦略はサイバーセキュリティ戦略本部の活動や、関連する法律に委ねられています。
年々巧妙化・多様化・大規模化しているサイバー犯罪に合わせ、同法は2014年と2018年に改正されています。
個人情報保護法
セキュリティに関連する法律として最も知られている法律の一つは、個人情報の保護に関する法律(通称、個人情報保護法)でしょう。同法は2005年に施行され、個人情報の取り扱いについて定めています。
ITの進化によって同法に規定されている範囲を超えたプライバシー侵害が見受けられるようになったことから、2017年5月には改正個人情報保護法が施行されました。
改正のポイントは個人情報の範囲に「マイナンバー」「指紋」「運転免許証番号」など個人を識別可能な個人識別符号が含まれるようになったことです。また、改正前は本人の同意があれば個人情報を第三者に提供することが可能でしたが、改正後は一部の例外を除いて禁止されました。
個人情報の管理面においては、トレーサビリティの確保も義務付けられています。情報漏洩が発生した際の対策として、個人情報をやり取りした日時や相手など追跡に必要な情報の記録が義務化されました。
また、改正前は個人情報を多く取り扱う大規模事業者にのみ個人情報保護の義務が適用されていましたが、改正後は小規模事業者(中小企業)にも課せられるようになりました。
マイナンバー法
行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(通称、マイナンバー法)で、行政手続きの効率化や国民の利便性を高めるため、すべての国民に識別番号(マイナンバー)を付与して管理・利用する法律です。
企業は従業員に代わって源泉所得税の算定と納付、住民税特別徴収税の納付、社会保険の手続きと保険料の納付などを行う必要があり、従業員のマイナンバーを取得して適切に保管する義務があります。
マイナンバーは高度な個人情報であることから、管理する企業側には高い情報セキュリティが求められています。漏洩した際の罰則も重くなっており、企業だけでなくマイナンバーの取扱者も処罰の対象となることがあります。管理に過失があったと認められた場合には、個人から損害賠償請求を受ける可能性もあります。
なお、マイナンバー法は2015年10月に施行された法律ですが、2021年9月にデジタル改革関連法が施行されたことによってマイナンバー法も改正されています。この改正では従業員が転職・退職した際、本人の同意があれば、特定個人情報を転職・退職前の企業から転職・再就職した企業へ提供できるようになりました。
電子署名法
電子署名及び認証業務に関する法律(通称、電子署名法)は、電子商取引などネットワークでやり取りされる電磁的記録(デジタルデータ)に対し、一定の条件を満たす電子署名が手書きの署名や押印と同等に通常することなどを定めた法律で、2001年4月に施行されました。
重要なポイントとしては「署名した本人を証明できること」「文書が改竄されていないことを証明できること」という条件を満たすことで、国から認められた認証機関による電子証明書を付与する必要があります。
なお、同法に関連する法律として、「e文書法(*1)」や「電帳法(電子帳簿保存法)」などが挙げられます。
その他、申請・届出などの行政手続きをオンライン化するための法律として、「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(通称、公的個人認証法)」があります。この法律はいわゆる行政手続きオンライン化関係三法(*2)のひとつで、オンラインで申請・届け出を行う際に必要となる電子証明書や認証機関などが定められています。
*1: e-文書法とは、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」と「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」の二つの法律をまとめた通称です。
*2: 「行政手続きオンライン化法(行政手続き等における情報通信の技術の利用に関する法律)」「整備法(行政手続き等における情報通信の技術の利用に関する法律の施行に伴う関連法律の整備等に関する法律)」「公的個人認証法(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律)」の3つの法律は、まとめて行政手続きオンライン化関係三法と呼ばれています。
まとめ
デジタル社会形成基本法は日本のデジタル戦略の基本理念を定めた法律
日本のサイバーセキュリティ戦略はサイバーセキュリティ戦略本部で検討される
マイナンバーの漏洩は罰則が重く、管理する企業には高いセキュリティ機能が求められる
