内閣サイバーセキュリティセンター(NISC)、企業向け
「サイバーセキュリティ関係法令Q&Aハンドブック」を公表
――関連法令を「なるべく広範に網羅」し、全73問を原則ウェブ公開――
内閣官房の「内閣サイバーセキュリティセンター(NISC)」は3月2日、「サイバーセキュリティ関係法令Q&Aハンドブック」を作成し、NISCウェブサイトで無料公開したと発表した。PDFファイルをダウンロードできるようにして公開しており、冊子での配布は原則行っていない。
本ハンドブックは、企業が実施するサイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説するもの。平成30年7月27日閣議決定「サイバーセキュリティ戦略」により「企業がサイバーセキュリティ対策の実施において参照すべき法制度に関する整理を行う」とされたことを受けた取組みで、サイバーセキュリティ戦略本部(本部長・内閣官房長官)の普及啓発・人材育成専門調査会が同年10月10日、「サイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ」(主査・林紘一郎情報セキュリティ大学院大学名誉教授、副主査・岡村久道英知法律事務所弁護士/京都大学大学院医学研究科講師)を設置。翌31年2月8日に第1回会合を開いた同サブWGは、本年2月18日には第6回会合およびサブWGに設置した「タスクフォース」の会合を合同開催し、タスクフォースが起草した今般のハンドブックの「ドラフト」をサブWGに提出、サブWGにおいて取りまとめの審議を行った。
本ハンドブックについて、NISCは「企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです」と位置付けており、(ア)企業における平時のサイバーセキュリティ対策、(イ)インシデント発生時の対応に関する法令上の事項に加え、(ウ)情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等について、「可能な限り平易な表記で記述した」としている。サブWGの主査によると、「まず、サイバーセキュリティに関連すると思われる法令を、なるべく広範に網羅するよう努めた」ことが特徴の第1点。
前文・目次などを除いた本文299ページ建て、付録1・2および「関係者一覧」を合わせて全312ページ建ての本ハンドブックは、その名称のとおりQ&A形式により全73問で構成された。NISCの公表文によると、「主なトピックス」として次の13項目を網羅的に含ませている。(1)サイバーセキュリティ基本法関連、(2)会社法関連(内部統制システム等)、(3)個人情報保護法関連、(4)不正競争防止法関連、(5)労働法関連(秘密保持・競業避止等)、(6)情報通信ネットワーク関連(IoT 関連を含む)、(7)契約関連(電子署名、システム開発、クラウド等)、(8)資格等(情報処理安全確保支援士等)、(9)その他各論(リバースエンジニアリング、暗号、情報共有等)、(10)インシデント対応関連(デジタルフォレンジックを含む)、(11)民事訴訟手続、(12)刑事実体法(サイバー犯罪等)、(13)海外法令(GDPR 等)。
これらのうち、たとえば「会社法関連(内部統制システム等)」では、「Q3 内部統制システムとサイバーセキュリティとの関係」「Q4 サイバーセキュリティと取締役等の責任」「Q5 サイバーセキュリティ体制の適切性を担保するための監査等」「Q6 サイバーセキュリティと情報開示」といったQ&Aを設定。「Q3 内部統制システムとサイバーセキュリティとの関係」を仔細にみると、「1.概要」「2.解説」「3.参考資料」「4.裁判例」と4項目を建てたうえ、「2.解説」については、①内部統制システムの概念とサイバーセキュリティ、②会社法の内部統制システム、③取締役会が決定すべき事項、④企業集団における内部統制システム、⑤内部統制システムのモニタリング、⑥金融商品取引法の内部統制と、計6項目に及ぶ手厚い解説を施している(本ハンドブック16〜19ページ)。