1.     サイバーセキュリティ法とは

　

　サイバーセキュリティ法とは、データ三法[1]の中で基本法に位置付けられ、ネットワーク運行やデータの安全などを全面的に規定する法律です。

2.     対象者の定義

　

　サイバーセキュリティ法は、主として次の主体に対しサイバー空間の安全に関する各種の規制を規定しています。

　重要情報インフラの運営者については、ある企業が重要情報インフラ運営者に該当する場合、当局から通知がくるようになっていますので、個別に通知がないのであれば、重要情報インフラの運営者に該当しないと理解して問題ありません。

3.     ネットワーク運営者の義務

(1)   全体の整理

•          ネットワークセキュリティ等級保護制度に従い、セキュリティに関する各種措置を実施する義務（法21条）
•          ネットワークセキュリティに関する緊急対応策を制定する義務（法25条）
•          公安機関、国家安全機関が国家の安全を維持する活動を行う場合や犯罪捜査を行う場合に技術サポートの提供や協力をする義務（法28条）
•          ユーザー情報の秘密保護義務、情報保護制度を確立する義務（法40条）
•          ユーザーの個人情報を収集・使用する場合、収集・使用に係る規定を公開し、個人情報の収集・使用の目的、方法、範囲を明示する義務（法41条）
•          収集した個人情報を漏えい、改ざん、破損してはならず、また、同意を得ずに第三者に個人情報を提供してはならない義務（法42条）
•          情報の是正を求められた場合に、措置を講じて削除等する義務（法43条）
•          情報セキュリティに関する苦情申立て及び通報の制度を確立する義務（法49条）
 
　上記は、ネットワーク運営者に関する主な規制を整理したものですが、特に積極的な事前措置が求められるのは、法21条とサイバーセキュリティ等級保護制度です。

(2)   法21条

　法21条は、ネットワーク運営者の安全保護義務を規定し、1号から5号を定めています。本条柱書にあるとおり、前提として、自社の情報システムに関してサイバーセキュリティ等級を把握しなければなりません。専門機関に依頼し、等級認定を受けることが必要です。

(3)   サイバーセキュリティ等級認定

　サイバーセキュリティ等級認定とは、データが改ざん、漏えい、喪失、損壊に遭遇した場合について、国家の安全、社会秩序、公共利益、公民、法人その他の組織の合法的権益を侵害する程度に応じて、ネットワークの安全レベルを分類し、これを認定するものです。下表のとおり、最も軽い1級から最も重い5級に区別されます。この等級によって、具体的な安全保護義務の内容も変わることから、法21条の前提となっているということです。
 
　2級以上の場合は、等級認定確定後、公安機関に届出をしなければならないとされ（情報セキュリティ等級保護管理弁法15条）、さらに、3級以上の場合は、専門機関による審査を受け、その上で、届出をするとされています（同法18条）。
 
　等級認定に応じて、法21条の履行として何をどこまで実施すべきかを検討することになりますが、特に技術的な措置については、専門業者のサポートを得る必要があります。

[1] サイバーセキュリティ法、データセキュリティ法、個人情報保護法の三法の総称を指す。

著作者情報

IP FORWARD 法律特許事務所
日本国弁護士　前田　堅豪