情報セキュリティ関連規格の整理(法令関連の規格)
情報セキュリティ関連規格の分類(再掲)
当記事では、下表の「法令関連の規格」に分類される情報セキュリティ関連規格を説明します。
情報セキュリティの法令関連の規格とは?
法令関連の規格とは、日本国政府が定める法令に従い国の機関が法令を遵守するために作成した規格(ガイドライン)となります。特定の業務を行う上で実施すべき事項が定められており、公的機関より準拠することが求められることになります。また、公的機関以外の機関が作成しているが、実態としては同様の扱いとなっている規格についても当記事にてご説明いたします。
政府機関等のサイバーセキュリティ対策のための統一基準群
政府のサイバーセッキュリティ対策を担うNISCが公開している規格で、国の行政機関や独立行政法人等が遵守する必要がある規格となります。名称が長い為、一般的には「統一基準」と呼んでいます。政府機関系だけが対象となりますが、政府関連の委託や関連業務を行う場合には、当該規格に遵守する必要があることから民間企業においても影響があります。下記のNISCのホームページで公開されています。
また、上記は国の行政機関や独立行政法人等が対象であり地方公共団体向けには総務省から下記の規格が公開されています。
FISC安全対策基準
FISCとは、金融情報システムセンターであり金融機関が集まっていろいろやっている自主機関で政府関連の機関ではありません。この機関が作成しているのが「FISC安全対策基準」と呼ばれている規格で金融系のシステムを構築・運用する場合のスタンダードとなっています。
政府機関ではないですが、金融庁等は、当該規格を使用して監査を行う場合もあり、金融業務を行う上では遵守することが必須となる規格となります。政府機関ではないことから無料での公開を行なっておらず、FISCの会員となるか、一般メンバーとして購入する必要があります。
一般的には、「安対基準(あんたいきじゅん)」または単に「安対(あんたい)」と呼んでいます。
個人情報取扱業者等に係るガイドライン
個人情報保護法を遵守する必要があることから法令に則して具体的に実施すべき内容等を取りまとめた規格となります。当該規格を遵守していない場合には、個人情報保護法に違反することになることから刑事罰が課せられる場合があります。ガイドラインは全般について記載した「通則編」と「外国にある第三者への提供」など一部の事業者が特に関連する別冊にて構成されており、下記の個人情報保護委員会のホームページより入手可能です。
また、ガイドラインに記載されていない個人情報の取り扱いに関して判断が困る場合には下記のQ&A等も参考となります。
さらに、業種毎にさらに細かいガイドラインも存在しており「金融」、「医療」等については当該ガイドラインも参考とする必要があります。
海外政府等で関連する規格
日本国内で業務が完結している場合は、国内の規格のみを対象としていれば良いですが海外での業務を行う場合や海外の企業とやり取りを行う場合に関連する可能性がある代表的な規格を記載します。
海外の個人情報保護法に該当する法律(GDPR/CCPA等)
日本の個人情報保護法と同様に、それぞれの国には個人情報保護法に該当する法律が存在しています。そのため、それぞれの国での個人情報保護法を遵守する必要がありますが、それぞれの国で法律の内容が微妙に異なっており注意が必要です。また、特に個人情報を越境させる場合(例:ヨーロッパで収集した個人情報をアメリカのデータセンターで処理する)には、複数の法律が噛み合って複雑となります。
このあたりのコストが高く、GDPR等は多額の罰金が発生することもあり、例えばYahoo!Japanはヨーロッパでのポータルへのアクセスを遮断しているなど事例も存在しています。
インターネットには国境はありませんが、一方で各国の法制度には違いがあり、広い枠組みでの個人情報保護制度ができると大変ありがたいですが、難しいのが現状です。各国の法制度は、ある程度個人情報保護委員会がまとめていますのでご参照ください。
NIST SP 800-171
アメリカのNISTが発行している規格であり、アメリカの防衛省と取引を行う場合に準拠が求められる規格となります。また、日本の自衛隊でも防衛省(自衛隊)でも同様の規格を策定する動きがあり、おそらくNIST SP800-171等を参考に規格が作成されることから国内の防衛産業に関わる業種については意識していた方が良い規格です。