情報セキュリティに関する法律やガイドラインは数多くあり、ビジネスに携わる人が押さえておくべき規制は1つや2つでは収まりません。
有名どころでは個人情報保護法が該当しますが、IT基本法(高度情報通信ネットワーク社会形成基本法)、サイバーセキュリティ基本法、クラウドサービス利用のための情報セキュリティガイドライン、営業秘密管理指針など、名前を聞いただけでギョッとしてしまうものがいくつもあります。
そしてこれからも増えていくことでしょう。
本記事ではいくつかピックアップして概要をご紹介します。関連するガイドラインや法律はいくつか押さえておけば芋づる式に見つかるので、個人情報保護法以外の名前を2つか3つ、覚えましょう(笑)
Table of Contents
IT基本法(高度情報通信ネットワーク社会形成基本法)
IT社会形成に向けて、国が定める基本理念であったり、施策の基本方針、国や地方公共団体の責務について定めた法律です。
経済構造改革の推進、産業の国際競争力強化、国民生活の豊かさの実現といった攻めの姿勢が趣旨・目的の一つですが、情報セキュリティに関する基本法という側面もあります。
すべての国民が情報通信技術の恵沢を享受できる社会の実現
第三条 高度情報通信ネットワーク社会の形成は、すべての国民が、インターネットその他の高度情報通信ネットワークを容易にかつ主体的に利用する機会を有し、その利用の機会を通じて個々の能力を創造的かつ最大限に発揮することが可能となり、もって情報通信技術の恵沢をあまねく享受できる社会が実現されることを旨として、行われなければならない。
https://www.kantei.go.jp/jp/singi/it2/hourei/honbun.html
国及び地方公共団体と民間との役割分担
第七条 高度情報通信ネットワーク社会の形成に当たっては、民間が主導的役割を担うことを原則とし、国及び地方公共団体は、公正な競争の促進、規制の見直し等高度情報通信ネットワーク社会の形成を阻害する要因の解消その他の民間の活力が十分に発揮されるための環境整備等を中心とした施策を行うものとする。
https://www.kantei.go.jp/jp/singi/it2/hourei/honbun.html
(高度情報通信ネットワーク社会推進戦略本部の)所掌事務等
第二十六条 本部は、次に掲げる事務(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二十五条第一項に掲げる事務のうちサイバーセキュリティに関する施策で重要なものの実施の推進に関するものを除く。)をつかさどる。
一 高度情報通信ネットワーク社会の形成に関する重点計画(以下「重点計画」という。)を作成し、及びその実施を推進すること。
二 官民データ活用推進基本法(平成二十八年法律第百三号)第八条第一項に規定する官民データ活用推進基本計画の案の作成及び実施の推進に関すること。
三 前号に掲げるもののほか、官民データ活用推進基本法第二条第一項に規定する官民データ(以下この号において「官民データ」という。)の適正かつ効果的な活用の推進に関する施策で重要なものの企画に関する調査審議、施策の評価その他の官民データの適正かつ効果的な活用の推進に関する施策で重要なものの実施の推進及び総合調整に関すること。
四 前三号に掲げるもののほか、高度情報通信ネットワーク社会の形成に関する施策で重要なものの企画に関して審議し、及びその施策の実施を推進すること。
https://www.kantei.go.jp/jp/singi/it2/hourei/honbun.html
サイバーセキュリティ基本法
サイバーセキュリティに関する国の基本理念を定め、国の責務等を明らかにする、という意味ではIT基本法と似たようなものですね。
IT基本法で示されている、サイバーセキュリティ基本法の第二十五条第一項とはどんなものでしょうか。
サイバーセキュリティ戦略本部(設置)
第二十五条 サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣に、サイバーセキュリティ戦略本部(以下「本部」という。)を置く。
https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
がびーん。
古いですか?そうですか。
法律なんてこんなもんです。たらい回しといってはかわいそうですが、細かいことは会議で決めよう!ということですね。議事録って大事。
クラウドサービス利用のための情報セキュリティガイドライン
経産省作成のガイドラインです。
このガイドラインは、
JIS Q 27002(実践のための規範)に示された一般的原則の上に立ちながら、全面的にクラウドサービスを利用するという特殊な場合を想定するもの
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
とされています。
といっても、小難しい話はほとんど書かれておらず、読んでみたら当たり前のことが書かれています。
会社勤めの方なら、「そういえば、あの契約書はそういうことだったのか」と思い当たるものがいくつかあるかもしれません。
例えば、人的資源のセキュリティの項にはこんなことが書かれています。
8.1.3 雇用条件
管理策
従業員,契約相手及び第三者の利用者は,契約上の義務の一部として,情報セキュリティに関する,これらの者の責任及び組織の責任を記載した雇用契約書に同意し,署名することが望ましい。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
8.2.3 懲戒手続
管理策
セキュリティ違反を犯した従業員に対する正式な懲戒手続を備えることが望ましい。
クラウドサービスの関連情報
クラウド事業者は,クラウドサービスに携わる者を懲戒した場合に,利用者に情報セキュリティ上の影響がある場合は,懲戒の内容を連絡する必要があることに留意する。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
ガイドライン上は、クラウド利用者とクラウド事業者というように区別して表現されています。
懲戒手続の整備に関しては、利用者か事業者かといった区別はされていないので、双方に求められているといえるでしょう。
クラウドサービスの提供者側がセキュリティ違反を犯して懲戒処分になった場合は、なぜ懲戒になったのかを利用者側に連絡するのは当然といえば当然です。
こんなことまでガイドラインで明示されているんですね。
営業秘密管理指針
不正競争防止法上の営業秘密保護に関する説明であったり、営業秘密保護のための管理の在り方について示している指針です。
法律の文章をそのまま実務に当てはめるのは難しいため、この指針が参考になります。
本指針の位置づけ
- 本指針は、経済産業省が、不正競争防止法を所管し、また、TRIPS 協定など通商協定を所掌する行政の立場から、企業実務において課題となってきた営業秘密の定義等(不正競争防止法による保護を受けるための要件など)について、イノベーションの推進、海外の動向や国内外の裁判例(日本における最高裁判所の判例は改訂時点で存在しない)等を踏まえて、一つの考え方を示すものであり、法的拘束力を持つものではない。
- したがって、当然のことながら、不正競争防止法に関する個別事案の解決は、最終的には、裁判所において、個別の具体的状況に応じ、他の考慮事項とともに総合的に判断されるものである。
https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
不正競争防止法における営業秘密の定義
不正競争防止法(以下、「法」という。)第2条第6項は、営業秘密を
①秘密として管理されている[秘密管理性]
②生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報[有用性]であって、
③公然と知られていないもの[非公知性]と定義しており、この三要件全てを満たすことが法に基づく保護を受けるために必要となる。
https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
秘密管理措置の具体例
秘密管理性を満たすかどうかの基準として、秘密管理措置が取られているかどうかがポイントになります。
その秘密管理措置について、具体的な場合分けをしてそれぞれについて示しているので、なかなか面白いですよ。
- 紙媒体の場合
- 電子媒体の場合
- 物件に営業秘密が化体している場合
- 媒体が利用されない場合
- 複数の媒体で同一の営業秘密を管理する場合
営業秘密を企業内外で共有する場合の秘密管理性の考え方
企業内(支店、営業所等)、企業外(子会社、関連会社、取引先、業務委託先、フランチャイジー等)と営業秘密を共有する場合についても、整理して考え方を説明してくれています。
とても丁寧です。
まとめ
情報セキュリティについて、学ぶ機会は度々あるかと思いますが、「クラウドサービス利用のための情報セキュリティガイドライン」や「営業秘密管理指針」に目を通すと新たな発見があるかもしれません。
ビジネスに携わる方はぜひご一読を。下手な書籍を買うよりも勉強になりますよ。文字数もそこまで多くありませんし。