「サイバーセキュリティ基本法」について|サイバーセキュリティ.com

「サイバーセキュリティ基本法」について



「サイバーセキュリティ基本法」は、我が国のサイバーセキュリティ施策の基礎となる法律です。これは一般に考えられているよりも重要、かつ既に実効を上げている法律です。その重要度合がわかるのは、施行までのスピード感。

2014年11月26日 可決
2015年01月09日 施行
2015年02月10日 第一回サイバーセキュリティ戦略本部会合
2016年04月15日 改正法案可決

「最近の国会は、TPPだ安保法案だと審議が進まない」と言われているのは、どこの国の話?と言わんばかりです。

日本年金機構漏えい事件もこの法律が発見した

この法律の効果で皆さんご存じなのが、年金機構の個人情報漏えい事件です。

本法成立前は、サイバーセキュリティ対策も「縦割り行政」で、各省庁が独自に管理するものでした。この法律の成立により、国の機関は一括して、内閣サイバーセキュリティセンター(NISC)が監視できるようになったのです。

そして、その直後の5月。厚生労働省との怪しいデータの動きをNISCが検知し、年金機構の感染発覚に至ったものです。

監視対象外だったために漏洩を防げず…

ところが、年金機構は国の機関ではなく、特殊法人です。NISCの監視対象から外れており、直接年金機構に指導・是正を指示することができませんでした。NISCの指示は、厚生労働省を経由してタイムラグが発生。それが原因で、攻撃者のデータ抜き取りのタイミングに間に合いませんでした。直接NISCがスピーディに年金機構に指示できれば、あの漏えい事件は未然に防げたのです。

その反省が今年の改正法に盛り込まれます。監視可能な対象に特殊法人・認可法人を含めること、IPA等外部組織に委託を可能とすること、等です。

改正法では監視対象範囲が広すぎる?

ただ、特殊法人・認可法人は結構幅広いんですよね。NHKやNTT、商工会議所なども該当します。最初は年金機構だけをイメージしていますが、文面には「一部」とか「年金機構」とか指定されていませんから、法律上これらの組織とのデータのやりとりは、セキュリティ監査の名の下、国がチェック可能となります。

こういった点は本来、国会や国民の間で議論が必要だと思うのですが、突っ込んだ議論の為されぬまま、可決されてしまいました。ただし、已むに已まれぬ事情もあります。

国際戦略としてのサイバーセキュリティ基本法

それは、昨今の国際事情が影響しています。例えば安保法案関係で、米軍と共同歩調をとる必要があったとすれば(法案自体の是非論は置いて)、当然、米軍と日本の間で情報の共有が発生します。ですが、米軍の立場からしたら、日本には自分たちと同等のサイバーセキュリティ体制を採って貰わないと、怖くて情報提供できませんよね。同盟国に情報提供した途端、自らが守ってきた情報が漏えいしてしまうのですから。軍事行動なら国民の生命に関わります。

知財や価格決定プロセス等が絡んでくるTPPも同様。企業の存続も左右しかねません。ボーダレスなこの時代、国際水準のサイバーセキュリティ体制を構築するのは、国家戦略上、必要不可欠なのです。サイバーセキュリティ体制の信頼がなければ、海外から重要な情報が提供されなくなります。国家間だけでなく、企業間でもそれは同じ。

だからこそ、政府・企業・国民がサイバーセキュリティに関心を持ち、大至急パラダイムシフトを起こさなければ、世界から取り残されてしまう。その危機感の表れが、サイバーセキュリティ基本法の素早い成立と、施行、改正なのです。

次回は、サイバーセキュリティ基本法を受けて、国の方針・戦略を纏める「サイバーセキュリティ戦略本部」について解説します。


SNSでもご購読できます。