TOP情報セキュリティ> 情報セキュリティ管理に関連する制度や法律などの動向
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第2回:情報セキュリティ管理に関連する規格・法制など(後編)
 著者:みずほ情報総研   牛尾 浩平   2006/5/31
1   2  3  次のページ
情報セキュリティ管理に関連する制度や法律などの動向

   今回も第1回に引き続き、情報セキュリティ管理に関連する制度や法律などの動向を整理する。そして、企業は今後どのような取り組みを行っていくべきかを解説する。
刑法(コンピュータ犯罪防止法)

   従来の刑法では、物理的な現実の世界において、人が人に対する直接的な行為を前提としていたため、コンピュータや電子データに対する行為については対象となりにくいという課題があった。

   そこで1987年に刑法改正が行なわれ、従来の刑法では対象とならなかったコンピュータ犯罪についても、処罰の対象とできるようにした。例えば次の条文がある。

第234条の2(電子計算機損壊等業務妨害)
 コンピュータや電子データの破壊や、虚偽情報や不正な指令を与えることなどにより、コンピュータに本来の目的とは異なる動作をさせ、人の業務を妨害した場合は罰せられる。


不正アクセス禁止法

   不正アクセス禁止法は2000年2月に施行された法律である。これは、不正アクセス行為を禁止することでコンピュータ犯罪を未然に防ぎ、アクセス制御による安全維持をはかることが目的である。処罰の際には、コンピュータに適切な不正アクセス対策が施されていることを前提としており、次のような特徴がある。

  • 刑法(コンピュータ犯罪防止法)では実際に被害がなければ処罰の対象とはならなかったのに対し、被害の有無に関わらず、不正と認識される行為を行なった時点で処罰の対象となることがある
  • 自らの不正アクセスの禁止だけでなく、ユーザIDやパスワードを他人に知らせることなどによる不正アクセスを助長する行為についても禁止されている

表1:不正アクセス禁止法における制限事項の例
不正競争防止法

   日本の産業競争力低下の防止や知的財産の創造や保護体制の強化、ITの浸透、人材の流動化、経済のクローバル化による営業秘密をめぐるトラブル増加の抑制などの必要性を背景に、2003年以降に不正競争防止法が改正されている。

   2003年の改正(2004年1月1日施行)では、営業秘密の侵害に関する刑事罰の導入(他人の営業秘密を不正に取得・使用・開示した者に対する処罰規定)や、ネットワーク化への対応(他人の商品表示を不正に使用した商品を、電気通信回線を通じて提供する行為が、不正競争行為に該当することなどを明確化)などを柱としている。

   ただし、組織が保護管理したい情報を営業秘密として明確に管理することを前提としている(表2)。

秘密管理性
アクセスできる者を制限したり、秘密情報である旨の表示をしたりすることにより、客観的に秘密として管理されていると認められる状態にあること。
有用性
当該情報自身が客観的に事業活動に利用されていたり、利用されることによって、経費の節約、経営効率の改善などに役立つものであること。しかし現実に利用されていなくともよい。
非公知性
保有者の管理下以外では一般的に入手ができない状態にあること。

表2:不正競争防止法における営業秘密とは
参考:経済産業省 知的財産政策室「平成17年改正不正競争防止法の概要」

   また、不正競争防止法改正に関連し、「知的財産の取得・管理指針」「営業秘密管理指針」「技術流出防止指針」が経済産業省によって提示されている。続いて2005年の改正では、外国企業や退職者が絡んだ営業秘密侵害が深刻になっていることを踏まえて、次の観点などから規制が強化されている。

  • 従来は、営業情報の取得地がどこであるかに関らず、日本国内での不正使用・開示行為が処罰の対象であった。改正後は、日本国内で管理されている営業秘密については、使用・開示場所に関らず処罰の対象とする
  • 従来は、在職中に入手した営業秘密を退職後に使用・開示する行為は、営業秘密を媒体によって持ち出し、国内で開示する場合以外は不可罰であった。改正後は、営業秘密の使用・開示の申し込み、あるいは競合他社などからの請託を受け、使用・開示した退職者(元従業員)も処罰の対象とする

表3:2005年の改正における規制強化の観点
1   2  3  次のページ

みずほ情報総研 牛尾 浩平氏
 著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第2回:情報セキュリティ管理に関連する規格・法制など(後編)
情報セキュリティ管理に関連する制度や法律などの動向
  SOX法
  企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには