[情報セキュリティマネジメント試験]関連法規・その1(サイバーセキュリティ基本法・不正アクセス禁止法)[無料講座・例題付き！]

2021年5月21日2021年8月27日

今回からは情報セキュリティマネジメント試験におけるセキュリティ関連法規について学習していきます。

くろん

ところで、もし不正にアクセスした場合って、何か罰則とかあるにゃ？？

モナ

それは不正アクセス禁止法などの関連法規で決められているニャ！

1. 関連法規・その1
2. 関連法規(その1)・例題
- 2.1. 問題
- 2.2. 解説(クリックで展開)
3. 関連法規(その1)・まとめ

関連法規・その1

ITの進展に伴って、多くの情報セキュリティに関する法律が制定されてきました。

情報セキュリティに関わる方は法令遵守のためにも、情報セキュリティ関連法規も押さえておく必要があります。

サイバーセキュリティ基本法

サイバーセキュリティ基本法は国家レベルでサイバーセキュリティ対策を強化する体制を構築するための法律です。

サイバーセキュリティ戦略本部を内閣に設置し、政府や行政機関のサイバーセキュリティ対策を指揮しています。

対象者毎に別途、責務を規定しています。

国・地方公共団体(都道府県・市町村)：サイバーセキュリティの施策を策定・実施する責務がある
重要社会基盤事業者・サイバー関連事業者：サイバーセキュリティの確保に努める
国民：サイバーセキュリティの確保に必要な注意を払う

サイバーセキュリティ基本法が制定され、それより前と比較すると以下の点でサイバーセキュリティ戦略本部の権限が強化されました。

政府の推進体制の強化

日本のサイバーセキュリティ分野の司令塔を担うため、サイバーセキュリティ戦略本部と、その事務処理を行う内閣サイバーセキュリティセンター(NISC)を設置する。

各省庁への権限

従来は各省庁が自主的な監査を行っていた。

NISC設置後はNISCが各省庁の監査(ペネトレーションテストやマネジメント監査)を行う。

基本戦略

基本法に基づき、サイバーセキュリティ戦略へと格上げされました。

基本法とは

国政に重要なウエイトを占める分野について、国の制度・政策・対策に関する基本方針を明示する
親法として他の法律に対して優位的な地位にあり、行政上の施策の方向付けや他の法律、行政を指導・誘導する
従来の憲法→法律→命令から、最近では憲法→基本法→法律→命令といった法体系になりつつある

といった特徴があります。

キュー

要するに法律の根底となる、基礎的な大本の法律ってことやな

カズ

他にも中小企業基本法とか、男女共同参画社会基本法とか聞いたことある人多いんじゃないかな？

刑法

刑法でも情報セキュリティやコンピュータに関する罪が記載されています。

罪名	法律・条文	例
不正指令電磁的記録に関する罪	刑法168条の2、168条の3 (引用：Wikipedia)	マルウェアを作成する
電子計算機機使用詐欺罪	刑法246条の2 (引用：Wikipedia)	なりすましをするデータを改ざんする
電子計算機損壊等業務妨害罪	刑法234条の2 (引用：コトバンク)	コンピュータやデータを破壊し、業務を妨害する
電磁的記録不正作出及び供用罪	刑法161条の2 (引用：コトバンク)	データを偽装する偽装データを利用する
支払用カード電磁的記録不正作出等罪	刑法162条の2,163条の5 (引用：法務省)	クレジットカードやキャッシュカードを偽造する

不正アクセス禁止法

不正アクセス禁止法では、ネットワーク経由でコンピュータへの不正アクセスに対する行為やそれを助長する行為を処罰する法律です。

この法律を適用するためにはユーザIDやパスワードの設定を適切にしなければいけません。

刑法ではデータの改ざんや消去を対象としていましたが、不正アクセス禁止法ではネットワークやコンピュータへの侵入を処罰の対象としています。

具体的な不正アクセスの例は以下の通りです。

他人のIDやPWを無断で使用し不正アクセスする行為
セキュリティホールを狙った攻撃
他人のパスワードを許可なく第三者に教える行為

カズ

ほとんどパスワード絡みだね

関連法規(その1)・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

サイバーセキュリティ基本法において，サイバーセキュリティの対象として規定されている情報の説明はどれか。(AP H.27/秋)

ア　外交，国家安全に関する機密情報に限られる。
イ　公共機関で処理される対象の手書きの書類に限られる。
ウ　個人の属性を含むプライバシー情報に限られる。
エ　電磁的方式によって，記録，発信，伝送，受信される情報に限られる。

問2

記憶媒体を介して，企業で使用されているコンピュータにマルウェアを侵入させ，そのコンピュータの記憶内容を消去した者を処罰の対象とする法律はどれか。(H.30/春)

ア　刑法
イ　製造物責任法
ウ　不正アクセス禁止法
エ　プロバイダ責任制限法

問3

不正アクセス禁止法による処罰の対象となる行為はどれか。(H.28/秋)

ア　推測が容易であるために，悪意のある攻撃者に侵入される原因となった，パスワードの実例を，情報セキュリティに関するセミナの資料に掲載した。
イ　ネットサーフィンを行ったところ，意図せずに他人の利用者IDとパスワードをダウンロードしてしまい，PC上に保管してしまった。
ウ　標的とする人物の親族になりすまし，不正に現金を振り込ませる目的で，振込先の口座番号を指定した電子メールを送付した。
エ　不正アクセスを行う目的で他人の利用者ID，パスワードを取得したが，これまでに不正アクセスは行っていない。

解説(クリックで展開)

問1

正解：エ

サイバーセキュリティ基本法は、日本国におけるサイバーセキュリティに関する施策の推進にあたっての基本理念、及び国及び地方公共団体の責務等を明らかにし、サイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めた法律です。

この法律の第2条においてサイバーセキュリティの対象となる情報は「電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報」と定義され、サイバーセキュリティとは「それらの情報の安全性・信頼性を確保するために必要な措置が講じられ、適切に維持されていること」と規定されています。

これより、エが正解です。

問2

正解：ア

業務で使用するコンピュータやデータを破壊するなどのコンピュータや電磁的記録を破壊して業務を妨害する行為は、刑法234条の2「電子計算機損壊等業務妨害罪」による処罰の対象になります。

また、この事例ではコンピュータウイルスを使用しているため、同じく刑法の168条の2及び168条の3「不正指令電磁的記録に関する罪」(通称、ウイルス作成罪)による処罰の対象にもなります。

ア　刑法

→説明の通りです。したがって正解です。

イ　製造物責任法

→製造物責任法(PL法)は、製造物の欠陥によって人の生命や身体、財産に被害が生じた場合に製造業者の損害賠償の責任について定めることです。したがって誤りです。

ウ　不正アクセス禁止法

→不正アクセス禁止法は、IDやPWを不正に取得してアクセスしたり、それを助長したりする行為を規制する法律です。したがって誤りです。

エ　プロバイダ責任制限法

→プロバイダ責任制限法は、インターネットでウェブページや電子掲示板などへ投稿するような、不特定多数の者が閲覧する通信について、プロバイダ等の「損害賠償責任の制限」および、それらの通信で損害を被った者に与えられる「発信者情報の開示請求権」を定めた法律です。したがって誤りです。

これより、アが正解です。

問3

正解：エ

不正アクセス禁止法では、インターネットなどのネットワークの通信における不正アクセスとそれを助長する行為を規制する法律です。
例えば

不正アクセス目的で、他人のID・パスワードを取得すること(第4条)
業務その他正当な理由による場合を除いて、他人のID・パスワードを第三者に提供すること(第5条)
不正アクセス目的で、不正に取得された他人のID・パスワードを保管すること(第6条)

などが挙げられます。

ア　推測が容易であるために，悪意のある攻撃者に侵入される原因となった，パスワードの実例を，情報セキュリティに関するセミナの資料に掲載した。

→本来であればパスワードを資料に掲載して配布することは禁止です。しかしこの例では教育目的であり、業務その他正当な理由に該当するので不正アクセス禁止法には該当しません。したがって誤りです。

イ　ネットサーフィンを行ったところ，意図せずに他人の利用者IDとパスワードをダウンロードしてしまい，PC上に保管してしまった。

→不正アクセス目的で他人のID・パスワードを取得した場合不正アクセス禁止法に該当します。しかし今回は「意図せず」とあるので該当しません。したがって誤りです。

ウ　標的とする人物の親族になりすまし，不正に現金を振り込ませる目的で，振込先の口座番号を指定した電子メールを送付した。

→認証を通していないので不正アクセス禁止法には該当しません。このケースでは刑法に該当し処罰されます。したがって誤りです。

エ　不正アクセスを行う目的で他人の利用者ID，パスワードを取得したが，これまでに不正アクセスは行っていない。

→不正アクセス目的で他社のIDやパスワードを取得した場合、それを利用していなくても不正アクセスに該当します。したがって正解です。