改正サイバー法の成立
2016/04/21   コンプライアンス, 法改正, 個人情報保護法, その他

サイバー法とは…

サイバー法とは、サイバーセキュリティに関する施策を総合的かつ効果的に推進することを目的とし、政府のサイバーセキュリティ戦略を担ってきた「情報セキュリティ政策会議」を格上げする形で、サイバーセキュリティ戦略本部を設置することを定めた法律です。この法律により、「情報セキュリティ政策会議」の事務局だった内閣官房情報セキュリティセンターも、内閣サイバーセキュリティセンター（「National center of Incident readiness and Strategy for Cybersecurity」、略称は「NISC」）に改組されることになりました。サイバー法の狙いは、従来、内閣官房情報セキュリティセンターでは、省庁に対するサイバー攻撃に対処する役割を十分に果たせていないという声を受けて、NISCに対する権限の強化をした点にあります。

改正の経緯

サイバー法では、サイバーセキュリティ戦略を、政府の基本的な計画として「定めなければならない」とされており、サイバー法に沿って策定作業が進んでいました。しかし、2015年6月1日に日本年金機構でサイバー攻撃による個人情報流出が判明しました。この流出は、NISCによるセキュリティ評価・監査が特殊法人にまでに及ばなかったことが事態悪化の遠因になったとされています。このような経緯をふまえて、NISCが行うセキュリティ評価・監査の対象範囲を、行政機関（中央省庁）から独立行政法人や特殊法人にも拡大する規定を盛り込んだ形となりました。

改正サイバー法の具体的内容

現在の法律では、監査の対象は、中央省庁及び独立行政法人のみとされ、また原因究明調査及び監視は中央省庁に限定されていました。改正後の法律では、監査、原因究明調査、監視の対象を中央省庁、独立行政法人、特殊法人・認可法人に拡大されます。また、監視等の対象拡大による業務量増大に備えるため、一部事務を情報処理推進機構（IPA）に委託することになります。この事務に従事するIPAの役職員は「みなし公務員」としての扱いを受け、守秘義務などを課されることになります。

国家資格の新設

今回の改正に伴い、「情報処理の促進に関する法律」の改正もされています。サイバーセキュリティに関する助言を行う国家資格「情報処理安全確保支援士」が新設されます。試験事務はIPAが行いますが、情報処理安全確保支援士は、IPAが実施している現行の情報処理技術者試験とは別格に位置付けられています。政府機関や企業等のセキュリティ対策強化に向けて、専門人材の確保・育成が重要でありますが、国全体で不足しているため、新設される情報処理安全確保支援士がこれを補う存在になると期待されています。

コメント

今回の改正の目的は、監視の対象を中央省庁のみならず、独立行政法人や特殊法人にも拡大する点にあります。現在の法律では、NISCは厚生労働省に対しても指導権限がありますが、厚労省所管の特殊法人であり、独立的に運営されている日本年金機構に対して、NISCがどこまで介入できるかという点は、法令上曖昧でした。その結果、日本年金機構の個人情報流失事件の自体を悪化させることになりました。サイバー法は国の機関を対象とする法律でありますが、現在一般企業を対象とする法律は整備されていません。国家機関のみならず企業であっても、サイバー攻撃を受ければ、個人情報の流出や企業イメージの低下など甚大な損害が生じる可能性はあります。ただし、サイバー攻撃を行うものに対する罰則規定はありますが、攻撃を事前に防ぐような対策を義務付ける法律はありません。サイバー攻撃を受けてしまう前に、企業の対策ができているか、もう一度見直してみたらいかがでしょうか。