サイバーセキュリティ基本法とは?内容や改訂の経緯などを解説
こんにちは。Wakka Inc.メディア編集部です。
多くの企業において、サイバーセキュリティの強化は重大な課題です。
近年では大企業が大規模なサイバー攻撃を受ける事件が急増し、サイバーセキュリティの重要性はますます高まっています。
このような状況もあり、国はサイバーセキュリティの施策を統合的に推進するために、サイバーセキュリティ基本法を制定しました。
しかし、比較的新しく制定された法律であるため、内容をよく理解できていない方もいるのではないでしょうか。
本記事ではサイバーセキュリティ基本法について、内容や制定された経緯などについて解説します。
DXプロジェクトに関わる経営者・リーダー層の方へ
失敗しない社内体制の構築から開発リソース確保までを網羅して解説しています。
【基礎知識】サイバーセキュリティ基本法とは
本章ではサイバーセキュリティ基本法の基礎知識について解説します。
サイバーセキュリティ基本法の理念や制定された背景を知れば、内容を理解しやすくなるので、ぜひ参考にしてください。
サイバーセキュリティ基本法の目的
サイバーセキュリティ基本法の目的は、第一条で以下のように記載されています。
この法律は、インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、同法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。
一部中略して引用:サイバーセキュリティ基本法第一章第一条|e-GOV 法令検索
上記のように、サイバーセキュリティ基本法は世界的に深刻化しているサイバー攻撃に備え、高度なセキュリティの確保を目的としています。
サイバーセキュリティ基本法の理念
サイバーセキュリティ基本法の理念は以下の通りです。
- サイバーセキュリティに対する脅威に対して、国、地方公共団体、重要社会基盤事業者等の多様な主体の連携により、積極的に対応する
- サイバーセキュリティに関する認識を深め、自発的に対応することを促すとともに、サイバーセキュリティに対する脅威による被害を防ぎ、かつ、被害から迅速に復旧できる強靱じんな体制を構築するための取組を積極的に推進する
- インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用による活力ある経済社会を構築するための取組を積極的に推進する
- サイバーセキュリティに対する脅威への対応が国際社会にとって共通の課題であり、かつ、我が国の経済社会が国際的な密接な相互依存関係の中で営まれていることに鑑み、サイバーセキュリティに関する国際的な秩序の形成及び発展のために先導的な役割を担う
- デジタル社会形成基本法の基本理念に配慮して行われなければならない。
- 国民の権利を不当に侵害しないように留意しなければならない。
要約して引用:サイバーセキュリティ基本法第一章第三条|e-GOV 法令検索
サイバーセキュリティ基本法の理念は、国際的な視野で制定されていることがわかります。
サイバーセキュリティ基本法の対象
サイバーセキュリティ基本法の対象は多岐に渡ります。
サイバーセキュリティ基本法は、サイバーセキュリティを強化し、施策を推進するうえで、国や自治体だけでなく、教育機関・重要インフラの事業者・民間事業者などの連携を重視している点が特徴です。
加えて、一般事業者が果たすべき責務についても記載しており、官民一体となったセキュリティ強化を推進することを明記しています。
サイバーセキュリティ基本法が制定された背景
サイバーセキュリティ基本法が制定された背景には、世界的に増加するサイバー攻撃が関連しています。
以前より、サイバー攻撃によって政府や企業が所有する機密情報が漏洩したり、サービスに深刻な損害が発生する事件が頻発していました。
日本においても例外ではなく、年金機構のような公的機関や大企業がサイバー攻撃を受けたケースは少なくありません。
そのため、官民問わずサイバーセキュリティの重要性が注目され、サイバーセキュリティ基本法が2015年から施行されるようになりました。
DX進め方ガイドブック
>DXプロジェクトを検討している担当者の方に向けて、失敗しない社内体制の構築から開発リソース確保までを網羅して解説しています。
サイバーセキュリティ基本法の内容
サイバーセキュリティ基本法の内容は、大別すると以下の3つに分かれます。
- サイバーセキュリティ戦略
- 基本的施策
- サイバーセキュリティ戦略本部
それぞれの内容について、順番に解説します。
サイバーセキュリティ基本法の概要 ー重要インフラ防護に関する戦略・指針等ー|国土交通省
サイバーセキュリティ戦略
サイバーセキュリティ戦略は、サイバーセキュリティ基本法における中核であり、基本的な計画として策定されるものです。
国内外へ向けたサイバーセキュリティに対する日本の立場を明確にし、各施策の目標や基本的方針を示すことを目的としています。
なお、サイバーセキュリティ戦略は3年ごとに改定されるため、定期的な内容の確認が必要です。
基本的施策
基本的施策では、政府の役割や責務・サイバーセキュリティ強化に必要な施策の推進・相談機関の設置・人材の確保・産業の振興や競争力の強化などについて定められています。
基本的施策は仔細まで策定されており、官民問わず、サイバーセキュリティ強化のために実施すべき施策や果たすべき責務について記載されている点が特徴です。
サイバーセキュリティ戦略本部
サイバーセキュリティ戦略本部は内閣に設置される機関です。
行動計画や安全基準等策定方針を作成し、各施策を効果的に推進することが目的としています。
サイバーセキュリティ戦略本部は各省庁に横断的に権限を行使できる機関であり、本部長は内閣官房長官が兼任します。
サイバーセキュリティ基本法の改定
サイバーセキュリティ基本法はこれまで2度改定されてきました。
改定された内容は以下の通りです。
| 改定された年 | 改定された主な内容 | 改定された背景 |
| 2016年 | ・NISCの調査対象を独立行政法人や特殊法人まで拡大・国家資格「情報処理安全確保支援士」の創設設置・一部事務のIPAへの委託 | 2015年に発生した日本年金機構へのサイバー攻撃 |
| 2018年 | ・サイバーセキュリティ協議会の設置 | 東京オリンピックへ向けたサイバーセキュリティ強化 |
2016年の改定では、サイバー攻撃による日本年金機構の個人情報流出事件を受け、NISC(内閣サイバーセキュリティセンター)の権限強化が図られました。
当時の改定では、新たな国家資格が設置されたほか、業務量が増えたことにより、IPA(独立行政法人情報処理推進機構)への業務委託も実施されています。
2018年度の改定では、東京オリンピックへ向けたサイバーセキュリティ強化の一環として、サイバーセキュリティ協議会の設置が定められました。
サイバーセキュリティ協議会は情報や対策のスピーディーな共有を目的とした組織であり、官民を問わずさまざまな立場の人材で構成されています。
企業に求められるサイバーセキュリティ対策4つ
本章では、サイバーセキュリティ基本法を踏まえ、企業が取り組むべき対策を解説します。
コストをかけずに実践できるものもあるので、ぜひ参考にしてください。
自主的なサイバーセキュリティの徹底
自主的なサイバーセキュリティの徹底は、サイバー攻撃を防ぐうえでもっとも基本的な取り組みです。
自社でできるサイバーセキュリティ強化の施策には、以下のようなものがあります。
- セキュリティ対策ソフトの導入
- OSやシステムの定期的なアップデート
- パスワードの強化と厳重な管理
- VPNの活用
上記の施策は、コストがかかるものばかりではありません。
普段使用しているパスワードを安全性が高いものにしたり、使用しているOSやシステムの定期的なアップデートを実施したりするなど、日常的な業務の範囲で実践できます。
これらのような取り組みを実践するだけでも、セキュリティの強度は向上します。
また、セキュリティ対策ソフトは自社の状況や業務に適したものを導入しましょう。
ソフトによっては維持費がかかりやすいものもあるため、長期的に利用できるように、コストパフォーマンスが高いものを選ぶ必要があります。
サイバーセキュリティに関する規定の作成
社内に向けたサイバーセキュリティに関する規定の作成も、重要な施策です。
SNSの使用・バックアップの推奨・位置情報の共有の制限など、日々の業務で気を付けるべきポイントを明記すれば、従業員が方針をスムーズに理解できます。
また、規定の策定に合わせて、サイバーセキュリティ経営ガイドラインを共有しましょう。
サイバーセキュリティ経営ガイドラインとは、経済産業省が策定したものであり、サイバーセキュリティに関する基本的な事柄を学べます。
内部・外部の監査による課題の明確化
内部・外部の監査による課題の明確化も積極的に実践しましょう。
どれだけ対策を講じても、新たな課題が生じたり、問題点が見つかったりする可能性はあります。
そのため、内部の担当部署はもちろん、外部の関連団体に依頼して監査を行い、課題を明確化すれば、サイバーセキュリティのさらなる強化が図れます。
加えて、政府が定めているサイバーセキュリティの基準を維持するうえでも、政府や公共団体への協力も積極的に行いましょう。
従業員のリテラシー向上
サイバーセキュリティ強化にあたって、従業員のリテラシー向上は欠かせません。
サイバー攻撃の基礎的な知識がなければ、ささいな操作ミスで深刻な被害をもたらす恐れがあります。
リテラシー向上を目指すために、従業員にマルウェアやランサムウェアなどの知識や、日ごろから注意すべきポイントを学ぶ機会を設けましょう。
従業員がサイバーセキュリティに対して高い意識を持つだけでも、サイバー攻撃による被害を未然に防止できる可能性が高まります。
サイバーセキュリティ基本法を知って最適な対策を実施しよう
サイバーセキュリティ基本法は、昨今頻発するサイバー攻撃に備え、サイバーセキュリティの強化を求める法律です。
サイバーセキュリティ基本法が対象とする範囲は広く、官民一体となった対策が求められています。
サイバーセキュリティ基本法は今後も重要性を増していくことが予測されます。
自社のセキュリティを見直し、リスクに備えましょう。
