ストラテジ系 > 大分類9 企業と法務 > 中分類23 法務 > 2.セキュリティ関連法規
【目標】
□ 我が国のサイバーセキュリティに関する施策の基本となる事項などを定めたサイバーセキュリティ基本法の考え方を修得し,適用する。
□ 不正アクセス禁止法の考え方を修得し,適用する。
□ コンピュータを利用した不法行為に関する刑法の考え方を修得し,適用する。
□ 個人情報保護・プライバシー保護の考え方,手法・技法を修得し,適用する。
□ 電子署名及び認証業務などに関する法律の考え方を修得し,適用する。
□ プロバイダ責任制限法の考え方を修得し,適用する。
(1)サイバーセキュリティ基本法
サイバーセキュリティ基本法とは、国のサイバーセキュリティに関する施策の推進に関する基本理念や国の責務などを定めた法律で、2015年に施行されました。
サイバーセキュリティ基本法において、サイバーセキュリティとは「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。」とされ、その推進のために内閣にサイバーセキュリティ戦略本部を設置することが定められています。
過去問 平成27年秋期 問79
サイバーセキュリティ基本法において,サイバーセキュリティの対象として規定されている情報の説明はどれか。
ア.外交,国家安全に関する機密情報に限られる。
イ.公共機関で処理される対象の手書きの書類に限られる。
ウ.個人の属性を含むプライバシー情報に限られる。
エ.電磁的方式によって,記録,発信,伝送,受信される情報に限られる。
解答:エ
(2)不正アクセス禁止法
サイバー犯罪についての処罰は基本的には刑法で裁かれますが、刑法はデータの改ざん、消去など具体的な被害が起こった際の行為しか処罰の対象にしていません。ネットワークへの侵入、アクセス制御のための符号(パスワードやID)の提供など、より広く犯罪の対象としているのが不正アクセス禁止法です。
過去問 令和4年春期 問78
不正アクセス禁止法で規定されている,”不正アクセス行為を助長する行為の禁止”規定によって規制される行為はどれか。
ア.業務その他正当な理由なく,他人の利用者IDとパスワードを正規の利用者及びシステム管理者以外の者に提供する。
イ.他人の利用者IDとパスワードを不正に入手する目的で,フィッシングサイトを開設する。
ウ.不正アクセスの目的で,他人の利用者IDとパスワードを不正に入手する。
エ.不正アクセスの目的で,不正に入手した他人の利用者IDとパスワードをPCに保管する。
解答:ア
本問で問われているのは「不正アクセス行為を助長する行為の禁止」の規定であり、これは「IDやパスワードを他人に提供する」旨の選択肢であるアが正しいです。尚、助長禁止の規定は第5条で規定されています。
他の選択肢も不正アクセス禁止法に規定されている不正行為です。
イ.他人の利用者IDとパスワードを不正に入手する目的で,フィッシングサイトを開設する。
→識別符号の入力を不正に要求する行為の禁止(7条)
ウ.不正アクセスの目的で,他人の利用者IDとパスワードを不正に入手する。
→他人の識別符号を不正に取得する行為の禁止(4条)
エ.不正アクセスの目的で,不正に入手した他人の利用者IDとパスワードをPCに保管する。
→他人の識別符号を不正に保管する行為の禁止(6条)
過去問 平成22年春期 問80
不正アクセス禁止法において,処罰の対象となる行為はどれか。
ア.Webサイトで使用している他人のID・パスワードを無断で第三者に教える行為
イ.個人が開設しているアクセス制御機能のないWebサイトに対する侵害行為
ウ.コンピュータウイルスを添付した電子メールをメールサーバに送信する行為
エ.ネットワーク接続されていないスタンドアロンのコンピュータに対する侵害行為
解答:ア
過去問 平成21年秋期 問78
利用権限をもたない第三者が,他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律はどれか。
ア.刑法
イ.通信傍受法
ウ.電気通信事業法
エ.不正アクセス禁止法
解答:エ
(3)刑法
不正アクセス禁止法で解説した通り、コンピュータにおいて実際の被害が起こった場合は刑法によって裁かれることになります。具体的には次のような罪があります。
- 不正指令電磁的記録に関する罪(ウイルス作成罪)
刑法168条の2及び168条の3に規定がある罪で、ウイルス作成罪については3年以下の懲役又は50万円以下の罰金が科されることが規定されています。世界的なコンピュータウイルスの流行への対応にするため2011年の法改正で追加されました。
- 電子計算機使用詐欺罪
刑法246条の2に規定がある罪で、コンピュータに虚偽の情報を入力等をして財産上の利益を得る犯罪です。詐欺罪の1種であり、懲役10年以下の罰則が適用されます。
- 電子計算機損壊等業務妨害罪
刑法第234条の2に規定がある罪で、サイバー攻撃などによってコンピュータを損壊したり業務を妨害したりした場合に科される罪です。5年以下の懲役又は100万円以下の罰金が科されます。
- 電磁的記録不正作出及び供用罪
刑法161条の2第3項に規定がある罪で、公的な効力のあるデータの改ざん等をした場合に科される罪です。5年以下の懲役または50万円以下の罰金が科されます。
- 支払用カード電磁的記録不正作出等罪
クレジットカードなどの決済用カードに関するサイバー犯罪です。10年以下の懲役または100万円以下の罰金が科されます。
過去問 令和3年秋期 問78
企業が業務で使用しているコンピュータに,記憶媒体を介してマルウェアを侵入させ,そのコンピュータの記憶内容を消去した者を処罰の対象とする法律はどれか。
ア.刑法
イ.製造物責任法
ウ.不正アクセス禁止法
エ.プロバイダ責任制限法
解答:ア
過去問 平成30年春期 問79、平成27年秋期 問80
企業のWebサイトに接続してWebページを改ざんし,システムの使用目的に反する動作をさせて業務を妨害する行為を処罰の対象とする法律はどれか。
ア.刑法
イ.特定商取引法
ウ.不正競争防止法
エ.プロバイダ責任制限法
解答:ア
過去問 平成29年春期 問79
コンピュータウイルスを作成する行為を処罰の対象とする法律はどれか。
ア.刑法
イ.不正アクセス禁止法
ウ.不正競争防止法
エ.プロバイダ責任制限法
過去問 平成27年秋期 問80
企業のWebサイトに接続してWebページを改ざんし,システムの使用目的に反する動作をさせて業務を妨害する行為を処罰の対象とする法律はどれか。
ア.刑法
イ.特定商取引法
ウ.不正競争防止法
エ.プロバイダ責任制限法
解答:ア
(4)個人情報保護法,マイナンバー法
① 個人情報保護・プライバシー保護に関する法規・ガイドライン
個人情報とは、個人情報保護法によると「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」(法2条)とされています。個人情報を守る法律としては「個人情報保護法(個人情報の保護に関する法律)」やがありますが、施行規則などの関連法規やその内容を具体的に規定しその指針を示している「個人情報の保護に関する法律についてのガイドライン」や、1970年代にOECD(経済協力開発機構)が採択したガイドラインである「OECDプライバシーガイドライン(OECD8原則)」、EU内での個人情報保護のための法律である一般データ保護規則(General Data Protection Regulation:GDPR)など複数あります。
歴史的な成り立ちなど深追いするときりがないのですが、現行の個人情報保護法を中心に基本的な考え方を押さえておく必要があります。
過去問① 平成28年春期 問79
個人情報保護法で保護される個人情報の条件はどれか。
ア.企業が管理している顧客に関する情報に限られる。
イ.個人が秘密にしているプライバシーに関する情報に限られる。
ウ.生存している個人に関する情報に限られる。
エ.日本国籍を有する個人に関する情報に限られる。
解答:ウ
要配慮個人情報
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(法2条3項)とされています。
過去問② 平成31年春期 問78
個人情報のうち,個人情報保護法における要配慮個人情報に該当するものはどれか。
ア.個人情報の取得時に,本人が取扱いの配慮を申告することによって設定される情報
イ.個人に割り当てられた,運転免許証,クレジットカードなどの番号
ウ.生存する個人に関する,個人を特定するために用いられる勤務先や住所などの情報
エ.本人の病歴,犯罪の経歴など不当な差別や不利益を生じさせるおそれのある情報
解答:エ
匿名加工情報
匿名加工情報とは、記載の削除などの措置を講じて「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(法2条6項)をいいます。個人情報を保護しつつ事業者間で情報の連携を行うために平成29年の法改正により導入されたものです。
匿名加工情報は本人の承諾は不要となっているため、通常の個人情報に比べ利活用が活発に行えるようになっていますが、適切に加工したうえで安全管理措置を講じることが必要で、その情報を第三者に提供する場合は一定の方法で公表する必要があります。
過去問③ 令和5年秋期 問79
匿名加工情報取扱事業者が,適正な匿名加工を行った匿名加工情報を第三者提供する際の義務として,個人情報保護法に規定されているものはどれか。
ア.第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表しなければならない。
イ.第三者へ提供した場合は、速やかに個人情報保護委員会へ提供した内容を報告しなければならない。
ウ.第三者への提供の手段は、ハードコピーなどの物理的な媒体を用いることに限られる。
エ.匿名加工情報であっても,第三者提供を行う際には事前に本人の承諾が必要である。
解答:ア
マイナンバー法
マイナンバー法(行政手続における特定の個人を識別する場目の番号の利用等に関する法律)は、マイナンバー(個人番号)を国民全員に割り振り、社会保障や納税などの情報を一元的に管理するための法律です。現在政府はマイナンバーカードの普及を推進しており、話題となっている制度です。
過去問 令和2年秋期 問79
マイナンバー法の個人番号を取り扱う事業者が特定個人情報の提供をすることができる場合はどれか。
ア.A社からグループ企業であるB社に転籍した従業員の特定個人情報について,B社での給与所得の源泉徴収票の提出目的で,A社がB社から提出を求められた場合
イ.A社の従業員がB社に出向した際に,A社の従業員の業務成績を引き継ぐために,個人番号を業務成績に付加して提出するように,A社がB社から求められた場合
ウ.事業者が,営業活動情報を管理するシステムを導入する際に,営業担当者のマスタ情報として使用する目的でシステムを導入するベンダーから提出を求められた場合
エ.事業者が,個人情報保護委員会による特定個人情報の取扱いに関する立入検査を実施された際,同委員会から資料の提出を求められた場合
解答:エ
過去問 平成28年秋期 問79
国の個人情報保護委員会が制定した”特定個人情報の適正な取扱いに関するガイドライン(事業者編)”は,特定個人情報に関する安全管理措置を,組織的安全管理措置,人的安全管理措置,物理的安全管理措置及び技術的安全管理措置に分けて例示している。組織的安全管理措置に該当するものはどれか。
ア.事務取扱担当者に対して,特定個人情報の適正な取扱いを周知徹底するための教育を行う。
イ.特定個人情報が記録された電子媒体を取扱区域の外へ持ち出す場合,容易に個人番号が判明しない措置を実施する。
ウ.特定個人情報の取扱状況が分かる記録を保存する。
エ.特定個人情報を取り扱う情報システムを,外部からの不正アクセスから保護する仕組みを導入し,適切に運用する。
解答:ウ
② 個人情報保護・プライバシー保護に関する手法・技法
(5)電子署名及び認証業務に関する法律
(6)プロバイダ責任制限法
(7)特定電子メール法
(8)情報セキュリティに関する基準
