知っておきたいセキュリティ関連法規

情報セキュリティの意識を高める上で、セキュリティ関連の法律や罪を知る、または社員に教育しておくことは重要です。情報セキュリティに関する法規は、サイバーセキュリティ基本法、個人情報保護法やマイナンバー方等沢山ありますが、その中でも特に社員にも関係があるものをピックアップしてみます。

1.不正アクセス禁止法

ネットワーク経由で、コンピュータへ不正にアクセスする行為、またはそれを助長する行為を処罰する法律です。具体的には

  1. 他人のID/パスワードを無断使用し、不正になりすましてアクセスする行為。
  2. セキュリティホールを突いて、認証を行わずにアクセスする等の行為。
  3. 他人のアカウントを許可なく第三者に教える行為。
  4. 不正アクセスを目的として他人のID・パスワードを入手する行為。

など、アクセス制御を超えて権限のないコンピュータ、データにアクセスすることです。
また、被害がなくても不正アクセスをしただけ(故意に覗いただけ)、その目的でID/パスワードを集めただけといった場合でも処罰対象となります。

もし、偶然にセキュリティホールを見つけてしまった場合は、興味本位であれこれ余分なことはせず、社内ネットワークであれば情報システム部に、外部のサイトやネットサービスであればIPAへ情報提供しましょう。

IPA (届出・相談・情報提供)サイト(外部)

以前、芸能人のSNSのアカウントを「推測」して不正ログインを行った人が逮捕されましたが、余分な好奇心を抱く前にIPAに届出を行うことをお勧めします。

2.個人情報保護法

個人情報を守るための法律で、2005年に制定された時点では、5000件以上の個人情報をデータベース等として保持し、事業に用いている事業者を「個人情報事業者」としていましたが、2017年の改正より人数に関係なく規制対象となりました。

つまり事実上ほとんどの事業者が以下のことを守る義務があります。

  1. 利用目的の特定
  2. 利用目的の制限(目的外利用の禁止)
  3. 適正な取得(オプトインで事前承諾を得る等)
  4. 利用目的の通知
  5. 開示・訂正・削除を求められた場合、原則として応じる

また、どこからが個人情報に当たるのか、といった認識も改正によって明確化が図られました。

種類 定義
個人情報 特定の個人を識別できる情報 氏名、電話番号、メールアドレス、顔写真
他の情報と照会することで、容易に個人を識別できる情報 個人と紐づくサイトの行動履歴や購入履歴(クッキー等)
個人識別符号 身体的特徴などをデータ化したもの DNA、指紋、声紋、虹彩
行政機関などが個人に振り分けた符号 パスポート番号、免許証番号、マイナンバー等
要配慮個人情報 差別や偏見とならないよう取扱いに配慮が必要な個人情報 人種、宗教、病歴、犯罪歴

このように、個人情報に関しては近年とても厳しくなっており、社内各部署で取り扱っている個人情報は取得~利用~破棄までどのようなサイクルになっているのか、誰がどの情報を取り扱っているのかを把握しておくことが重要です。

ちなみに2018年の個人情報漏えいによる想定損害賠償総額は、2,684億5743万円と報告されています。(JNSA 2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ より)

3.特定電子メール法

いわゆるスパムメール、広告などの迷惑メールを規制するための法律で、俗に迷惑メール防止法と言われることがあります。

2002年に施行、2008年に改正されました。

  1. サービス・商品に関する広告または、そのサイトへ誘導するためのメール
  2. 送信元アドレスをなりすまして、サイトへ誘導しようとするメール

などがこれに該当しますが、「営業目的」かどうかが大きなポイントとなります。

特定電子メールを送る際は、送信者の氏名や住所、メールアドレスの表示義務、オプトイン規制(事前承諾なしで送らない)、送信元アドレスのなりすまし禁止とったルールがあり、違反メールを送ると処罰対象となります。

(詳しくは総務省が発行するガイドラインを御覧ください)

実際、未だに営業目的のメールは沢山届きますが、ユーザーの同意なしに広告宣伝メールを送ることは原則違法となりますので、十分注意してください。

業務上、広告宣伝メールを送る場合は、サイト上でメールアドレスを公表している団体、または営業活動を行っている個人のメールアドレスを選別して送ってください。
これらはオプトイン規制の例外となります。

(但し、公表メールアドレスと併せて営業目的のメールを拒否している旨の記載がある場合例外とはなりませんので注意してください。)

今回のまとめ

2020年の東京オリンピックを前に、不正アクセスや次回ご紹介する不正指令電磁的記録に関する罪(ウィルス作成罪)等、世間は今までになくピリピリしたムードになっています。
実際、摘発の対象となる線引きが警視庁、各県警等で曖昧なものとなっており、自分が知らぬ間に犯罪者になってしまわない為にも、セキュリティに関する法規は社員レベルでもある程度認知した方が良いと思います。

筆者もサイトのアクセス状況を解析していた際に、WEBメールらしきリンクを見つけクリックしたところ、某フリーメールのそのユーザーにログインした状態でページが表示されたことがあり、大急ぎでIPAに届け出ました。

しばらくしてそのフリーメールのサービスが改善されたとIPAから連絡があり、原因はシステム自体のバグだったようですが、実際「ちょっとだけ中を覗いてみたいな・・・」という念に駆られたものです。

自分は今回のような法規を知っていたので抑制できましたが、知らなかったら覗いてしまったかもしれません。人なんて弱いものです。

次回は「セキュリティ関連法規」の続きで「刑法」をご紹介します。

pen