トップ > ITガバナンス > 【専門家が徹底解説】日本のサイバーセキュリティ法規・ガイドライン総まとめ|情シス担当者が押さえるべきポイント

【専門家が徹底解説】日本のサイバーセキュリティ法規・ガイドライン総まとめ|情シス担当者が押さえるべきポイント

ITガバナンス サイバーセキュリティ 法律・ガイドライン 組織内規定・ルール
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

こんにちは、企業の情シスでセキュリティ担当をしている城咲子です。CISSP、登録セキスペとして、日々巧妙化するサイバー攻撃と向き合っています。

「うちの会社のセキュリティ規定、今のままで本当に大丈夫…?」 「新しい法律やガイドラインが出てるけど、正直キャッチアップしきれていない…」

情シス担当者であれば、一度はこんな不安を感じたことがあるのではないでしょうか。サイバーセキュリティ対策は、もはやIT部門だけの問題ではなく、経営層を巻き込んだ全社的な取り組みが不可欠です。そして、その取り組みの根幹となるのが、国が定める法律や各省庁・業界団体が示すガイドラインです。

今回は、日本における主要なサイバーセキュリティ関連法規とガイドラインを網羅的に整理し、私たち情シス担当者が実務で押さえるべきポイントは何か、という視点で徹底的に解説していきます。自社の社内規定を見直し、現代の脅威に対応するための具体的な指針を得るための一助となれば幸いです。

なぜ今、サイバーセキュリティ法規・ガイドラインの理解が重要なのか?

デジタル化の進展は、私たちのビジネスに大きな恩恵をもたらす一方で、サイバー攻撃のリスクを飛躍的に増大させました。特に、ランサムウェア攻撃による事業停止や、取引先を踏み台にされるサプライチェーン攻撃は、企業規模を問わず深刻な脅威となっています。

このような状況下で、国は企業に対して適切なセキュリティ対策を求める法制度やガイドラインの整備を進めています。これらは単なる「努力目標」ではなく、違反した場合には法的な責任や罰則を問われる可能性があり、顧客や取引先からの信頼を失うことにも直結します。

サイバーセキュリティを「コスト」ではなく「事業継続に不可欠な投資」と捉え、法的要求事項を正しく理解し、自社の対策に落とし込むことが、私たち情シス担当者に課せられた重要なミッションなのです。

より具体的なITガバナンスやコンプライアンス遵守の実践方法については、こちらの記事で詳しく解説していますので、併せてご覧ください。

【情シス担当者必見】ITガバナンスとコンプライアンス遵守のための実践ガイド

【大枠を掴む】日本の主要サイバーセキュリティ関連法規

まずは、日本のサイバーセキュリティ対策の根幹をなす5つの主要な法律について、その目的とポイントを見ていきましょう。

1. サイバーセキュリティ基本法:国の基本方針を定める法律

この法律は、日本のサイバーセキュリティ政策全体の「憲法」のようなものです。国の基本理念や責務を定め、重要インフラ(金融、医療、電力など14分野)の防護について言及しています。

私たち情シス担当者が押さえるべきポイント:

  • 最近の重要な法改正(サイバーセキュリティ強化法)を理解する サイバーセキュリティ基本法は脅威の変化に対応するため度々改正されていますが、特に情シス担当者として押さえておくべきなのが、2018年に施行された通称「サイバーセキュリティ強化法」です。これは2020年の東京オリンピック・パラリンピック開催を見据え、官民の連携を抜本的に強化するために行われました。主なポイントは以下の通りです。
  • 官民連携の強化(サイバーセキュリティ協議会の創設): 国、地方公共団体、重要インフラ事業者、セキュリティベンダーなどが脅威情報を迅速に共有するための公式な枠組みが作られました。これにより、これまで縦割りになりがちだった情報が共有され、社会全体で攻撃に対応する体制が強化されています。
  • 国の機関等のセキュリティ強化: 国の行政機関が情報システムを調達する際に、セキュリティリスクの評価が義務付けられました。これにより、政府に納入される製品やサービスのセキュリティ水準が向上し、結果として民間企業が利用する製品の品質向上にも繋がっています。

  • 情報処理安全確保支援士(登録セキスペ)の活用: 私が保有している登録セキスペのような専門人材の活用が、法律でより明確に位置づけられました。これは、専門家の知見を社会全体で活かしていくという国の強い意志の表れでもあります。

  • 自社が重要インフラ事業者に該当する場合、またはそのサプライチェーンに含まれる場合は、国が求める高いレベルの対策が求められることを認識する必要があります。

  • サイバーセキュリティが国家レベルの経営課題として位置づけられている、という大きな流れを理解することが重要です。

2. 不正アクセス禁止法:具体的な不正行為を取り締まる法律

他人のID・パスワードを盗んだり、システムの脆弱性を突いたりして、許可なくコンピュータに侵入する「不正アクセス行為」そのものを禁止する法律です。

私たち情シス担当者が押さえるべきポイント:

  • 単に不正アクセスするだけでなく、ID・パスワードを不正に取得・保管する行為や、フィッシングサイトを公開する行為も罰則の対象です。
  • 従業員へのセキュリティ教育(フィッシング対策、パスワード管理の徹底)や、多要素認証(MFA)の導入といった技術的対策が、この法律への準拠に直結します。

3. 個人情報保護法:情報の「安全管理」を義務付ける法律

個人のプライバシーを守りつつ、個人情報の適正な利活用を目指す法律です。私たち情シス担当者にとって、最も身近で重要な法律の一つと言えるでしょう。

私たち情シス担当者が押さえるべきポイント: - 「安全管理措置」を講じる義務が課せられています。これは「組織的」「人的」「物理的」「技術的」の4つの側面から対策を講じる必要があり、セキュリティ規定の根幹となります。 - 万が一、個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されています。インシデント発生時の対応フローを明確に定めておくことが不可欠です。 - 委託先の監督責任も明記されており、サプライチェーン全体の情報管理体制が問われます。

4. 電気通信事業法:通信インフラの安全性を守る法律

通信の秘密を守り、電気通信設備の安全を確保するための法律です。特に近年、IoT機器の普及に伴い、その重要性が増しています。

私たち情シス担当者が押さえるべきポイント:

  • 通信の秘密の保護が厳格に定められています。業務上、通信ログなどを扱う際は、その取り扱いに細心の注意が必要です。
  • IoT機器に関するセキュリティ基準が定められています。自社でIoT製品を開発・導入する際は、アクセス制御やソフトウェア更新機能といった要件を満たす必要があります。

5. 刑法:悪質なサイバー犯罪を罰する法律

サイバーセキュリティ法制の最後の砦となるのが刑法です。ウイルスを作成・提供したり、サーバーをダウンさせて業務を妨害したり、不正なプログラムで金銭をだまし取ったりする行為が処罰の対象となります。

私たち情シス担当者が押さえるべきポイント:

  • ウイルス作成・提供・保管罪など、マルウェアに関する具体的な犯罪が定義されています。
  • 従業員による内部不正も、これらの罪に問われる可能性があります。情報セキュリティポリシーの徹底と、内部不正防止策の構築が重要です。
  • 被害に遭った際に、証拠を保全し、警察と連携するための体制を整えておくことも大切です。

【実務の指針】各省庁・業界団体による主要ガイドライン

法律が「何をすべきか」の骨子を示すものだとすれば、ガイドラインは「どのようにすべきか」という具体的な手引きを示してくれます。ここでは、特に重要なガイドラインをピックアップして解説します。

経済産業省・IPA:経営と現場をつなぐ最重要ガイドライン

サイバーセキュリティ経営ガイドライン

  • 目的: 経営者がリーダーシップを発揮し、サイバーセキュリティ対策を推進するための指針。
  • ポイント: 「経営者が認識すべき3原則」と、CISO(最高情報セキュリティ責任者)等に指示すべき「重要10項目」で構成されています。サプライチェーン全体での対策の重要性を強調しており、自社だけでなく取引先のセキュリティ対策にも目を向けることを求めています。これは全情シス担当者が熟読すべきバイブルです。

中小企業の情報セキュリティ対策ガイドライン

  • 目的: セキュリティ専任担当者がいない中小企業でも実践可能な対策を解説。
  • ポイント: テレワークの安全な実施方法や、インシデント発生時のハンドブックなど、実践的なツールが提供されています。自社の対策だけでなく、取引先の中小企業にセキュリティ強化を依頼する際の参考資料としても活用できます。

総務省:テレワークやクラウド利用の安全を確保

テレワークセキュリティガイドライン

  • 目的: テレワーク導入企業が直面するセキュリティ課題への対応策を提示。
  • ポイント: 従来のオフィスとは異なるリスク(公共Wi-Fiの利用、私物端末の利用など)に対応するための具体的なチェックリストが用意されています。

クラウドサービスの安全利用に関するガイドライン

  • 目的: クラウドサービスを導入する際のセキュリティリスク管理基準を提示。
  • ポイント: AWS、Azure、Google Cloudなどを利用する際に、データ保護やアクセス管理をどう設定すべきか、という実践的な内容が含まれています。

金融庁・FISC:金融機関に求められる高水準の対策

金融分野におけるサイバーセキュリティに関するガイドライン

  • 目的: サイバー攻撃の標的になりやすい金融機関のセキュリティ強化を促進。
  • ポイント: 「ガバナンス」「特定」「防御」「検知」「対応」「復旧」「サードパーティリスク管理」という7つの着眼点から、網羅的な対策を求めています。金融機関でなくとも、高度なセキュリティ体制を構築する上で非常に参考になります。

その他、特定分野の重要ガイドライン

  • 厚生労働省(医療分野): 医療情報は特に機微な「要配慮個人情報」であるため、非常に厳格な安全管理が求められます。
  • 国土交通省(重要インフラ分野): 航空、鉄道、物流など、国家の基盤となるインフラのサイバーセキュリティ確保を目的としています。
  • 個人情報保護委員会(全分野): 個人情報保護法の解釈をQ&A形式で詳細に解説しており、実務上の疑問点を解決する上で不可欠です。
  • 日本証券業協会(証券分野): インターネット取引における不正アクセス防止に特化しています。
  • 日本電気協会(電力分野): 電力制御システム(OT)という専門性の高い領域のセキュリティをカバーしています。

私たちが直面するサイバーセキュリティの現状と課題

法整備やガイドラインの充実は進んでいますが、それを上回るスピードで脅威は進化しています。私たちが今、直面している課題を正しく認識しましょう。

  • 攻撃の巧妙化: 身代金を要求するだけでなく、データを暴露すると脅す「二重脅迫型ランサムウェア」や、セキュリティの弱い取引先を経由して侵入する「サプライチェーン攻撃」が主流になっています。
  • DX推進と新たなリスク: クラウドやIoTの活用は、攻撃対象領域(アタックサーフェス)の拡大を意味します。DXとセキュリティは常に一体で考えなければなりません。
  • テレワーク環境の定着: 従来の「境界型防御」が通用しなくなり、従業員一人ひとりのデバイス(エンドポイント)とID管理の重要性が増しています。
  • 深刻な人材不足: 高度な専門知識を持つセキュリティ人材は圧倒的に不足しており、外部サービスの活用や社内での人材育成が急務です。
  • 新技術(AI・量子コンピュータ)の台頭: AIが悪用されれば攻撃が自動化・高度化し、量子コンピュータが実用化されれば現在の暗号技術が無力化される未来が予測されています。

国の新たな動き:「サイバー対処能力強化法」と能動的サイバー防御

サイバーセキュリティを取り巻く環境は、国の法整備の面でも大きく動いています。特に注目すべきが、2024年5月に成立し、2025年度から施行される通称「サイバー対処能力強化法」です。

この法律の最大のポイントは、「能動的サイバー防御」が導入される点にあります。

これまで、日本のサイバーセキュリティ対策は、ファイアウォールで攻撃を防ぐなど、自組織を守る「受け身」の防御が基本でした。しかし、この法律によって、政府は国家の安全保障を脅かすような重大なサイバー攻撃に対し、その被害が発生する前段階で、より踏み込んだ対処が可能になります。

具体的には、攻撃に悪用されるおそれのある国内外のサーバーに対し、平時から偵察を行ったり、実際に攻撃が始まった際には攻撃元のサーバーに侵入して無害化(マルウェアの除去など)したりすることが想定されています。

私たち情シス担当者への影響は?

「政府が攻撃元に侵入するなら、うちは何もしなくていいの?」と思うかもしれませんが、それは大きな誤解です。私たちへの影響は、むしろ非常に大きいと言えます。

  • 民間企業が能動的サイバー防御を直接行うわけではありません。 あくまで実施主体は政府です。
  • しかし、自社のサーバーが攻撃者に乗っ取られ、「踏み台」として悪用された場合、政府による調査や無害化の対象となる可能性があります。
  • これは、自社のセキュリティ対策を徹底し、攻撃者に悪用させないことが、自社を守るだけでなく、社会インフラ全体を守ることに繋がるという、より高いレベルでの責任を意味します。
  • この法律の存在は、サイバー攻撃がもはや単なる犯罪ではなく、国家の安全保障を揺るがす行為であると国が明確に位置づけた証拠です。この認識を経営層と共有することが、これまで以上に重要になります。

私たち情シス担当者としては、この国の大きな動きを注視しつつ、改めて自社のセキュリティ体制の重要性を認識し、対策を強化していく必要があります。

まとめ:社内規定見直しと継続的な改善に向けて

ここまで、日本のサイバーセキュリティを取り巻く法規とガイドライン、そして現状の課題について概観してきました。情報量が多かったと思いますが、重要なのはこれらの知識を自社のセキュリティ規定に反映させ、実効性のある対策として定着させることです。

最後に、今回の内容を踏まえ、社内規定見直しのための提言をまとめます。

  1. 経営層のコミットメントを明記する: サイバーセキュリティを経営課題と位置づけ、経営層の役割と責任を規定に盛り込みましょう。「サイバーセキュリティ経営ガイドライン」が最高の参考書になります。

  2. サプライチェーン管理を義務化する: 自社だけでなく、委託先や取引先のセキュリティ対策を評価し、契約書にセキュリティ要件を盛り込むプロセスを規定化しましょう。

  3. インシデント対応体制とBCPを連携させる: 個人情報漏えい時の報告義務などを遵守するため、CSIRTを中心とした具体的なインシデント対応計画を策定し、事業継続計画(BCP)と統合させましょう。特にランサムウェアを想定した復旧訓練は必須です。

  4. 人材育成と全従業員への教育を継続する: 専門人材の育成計画と、全従業員を対象とした継続的なセキュリティ教育(特にフィッシング対策)の実施を義務付けましょう。

サイバーセキュリティ対策に「これで完璧」というゴールはありません。脅威の変化や法改正に対応し、自社の規定を常に見直し、改善していくこと。それこそが、私たち情シスセキュリティ担当者に求められる最も重要な姿勢なのだと、私は考えています。