皆さまの会社でも、当たり前のように勤怠関連や販売管理のアプリケーションなど、最新IT技術や製品を導入し、活用していらっしゃると思います。
しかしIT技術の広がりと比例して、企業の個人情報の漏えいやコンピュータウイルス感染などによる被害も増加しています。

そうした状況を踏まえ、政府は2015年にサイバーセキュリティ基本法を施行しました。
自社のセキュリティ関連に対応しなければならない情報システム部門の方であれば、「サイバーセキュリティ基本法」という用語を聞いたことがあるでしょう。

しかしながら、、、
『サイバーセキュリティ基本法って、自社で気を付けるべきことがわからないんだよね...』
『調べても調べても、細かい法律の解説だから、あまり理解できない...』
こんなお悩みを持っている方もいらっしゃるのでは無いでしょうか？

そこで、本記事ではサイバーセキュリティ基本法とは何か？ならびに本法律で企業のセキュリティ担当に求められる役割を簡単に解説していきます。

サイバーセキュリティとは？

そもそも「サイバーセキュリティ」と聞いて皆さまは何を思い浮かべるでしょうか？
「情報セキュリティ」と「サイバーセキュリティ」の違いを詳しく説明できるでしょうか？

明確な定義がされておらず、諸説あるため異なる解説をしているところもありますが
「情報セキュリティ＞サイバーセキュリティ」
つまり、情報セキュリティという概念の一部にサイバーセキュリティがあると考えるのが一般的です。

情報セキュリティとは、情報の三要素である「機密性」「完全性」「可用性」を保持するための施策や考え方を指します。
これに対してサイバーセキュリティとは、上述した情報の三要素を妨げる原因を排除する施策や考え方を指します。

つまり、情報の三要素を保持（情報セキュリティ）するためには、阻害要因を排除（サイバーセキュリティ）するだけではなく、情報の取扱い方を定めたりといった別の施策も実施する必要があるため、情報セキュリティの方が上位概念と捉えられております。

サイバーセキュリティ基本法とは？

前章でサイバーセキュリティについて、振り返りを行いました。
そして近年増えているサイバー攻撃から日本国内にある情報の安全性を維持するための基本理念を定めた法律がサイバーセキュリティ基本法です。

本法律は以下の4点を目的とし、2014年（平成26年）に成立し、2015年（平成27年）1月から施行されております。
・経済社会の活力向上と持続的発展
・国民が安全で安心して暮らせる社会の実現
・国際社会の平和及び安全の確保
・日本の安全保障に寄与する

また、本法律が施行された背景として、日本におけるIT化、デジタル化が進むのに比例して、サイバー犯罪が増加していることが挙げられます。
実際に警察庁の発表でも、サイバー犯罪に分類される犯罪発生件数は2020年が9,875件、2021年が12,209件（暫定値）と約24%も急増しています。

※令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について

サイバーセキュリティ基本法の改正

サイバーセキュリティ基本法は施行から2022年時点で7年経過しましたが、サイバー犯罪の急増と社会情勢の変化に対応し、これまで2回改正されております。

▽2016年の法改正
法改正のきっかけは、日本年金機構で個人情報漏えい事件が発生したことです。
しかしながら当時の法律では対象範囲が中央省庁に限られていたため、日本年金機構のような独立行政法人は対象外でした。

このため、十分な調査対策ができず、同機構はサイバー攻撃を受け続けて個人情報流出の被害拡大を招きました。
この日本年金機構での情報漏えい事件を機に、以下2点が追加されました。

①国が行う不正な通信の監視、原因究明や調査などの対象範囲を独立行政法人や特殊法人も対象範囲に拡大しました
②対象範囲の拡大により監視や調査の業務量も増加したため、サイバーセキュリティ戦略本部の一部事務をIPA（独立行政法人 情報処理推進機構）などに委託できるようになりました。

▽2018年の法改正
法改正のきっかけは、韓国の平昌オリンピック開催に伴って数多くのサイバーテロが発生したことです。
世界レベルのイベントではロンドンオリンピックやリオデジャネイロオリンピックでもサイバー攻撃が多く発生した経緯があります。

これを踏まえて政府は2020年の東京オリンピックやパラリンピックの開催に備えるため、二度目の改正が行われ、以下2点が追加されました。

①官民が連携して情報共有を図るために「サイバーセキュリティ協議会」が創設されました。
②サイバーセキュリティ戦略本部において国内外の関係者に迅速な連絡を可能とする事務事項を定め、この事務の一部は秘密保持義務を定めた特定法人への委託も可能としています。

こういった2回の改正から、今後も現状の法律ではカバーできない範囲の事案が発生した、もしくは発生することが予測できる場合、法改正が行われる可能性があるため、注意する必要があります。

企業のセキュリティ担当が求められる役割

サイバーセキュリティ基本法では、政府機関だけでなく一般企業に対してもサイバーセキュリティの重要性が規定されています。

一般企業に求められるサイバーセキュリティの内容は以下の2つです。
・サイバーセキュリティの自主的な確保
・国や地方公共団体が行う施策への協力

・サイバーセキュリティの自主的な確保
一般企業は多くの情報を社内に保有しているため、外部からサイバー攻撃を受けた場合、被害が広がり社会に大きな影響を与える可能性があります。

そのため、一般企業は経営者だけでなく社員一人ひとりが高いセキュリティ意識を持つことが重要です。
サイバーセキュリティ基本法では、社内のセキュリティリテラシーを高めるための取り組みを一般企業に求めています。

※セキュリティリテラシーを高めるために実践すべきことはこちら

社内のセキュリティリテラシーがどのレベルなのかについて、セキュリティ担当が調査し把握することも重要です。
たとえば、標的型攻撃メール訓練（トラップメール）の活用や、OSINTを用いて実際にどの程度自社の情報が流出しているかの調査も必要となるでしょう。

※標的型攻撃メール訓練を実施した際の社内の反応についてはこちら
※情報漏えいの実態を調べるOSINTツールはこちら

自社のセキュリティリテラシーの現状を知り、その対策を行っていくことは、セキュリティ担当としては必須の業務となります。
しっかりとあるべき姿と現状のGAPを可視化し、その改善を行う施策を実施していきましょう。

・国や地方公共団体が行う施策への協力
同法では、一般企業に求めることとして「国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする」と記載されています。
すなわち政府はサイバーセキュリティ対策を日本全体で均一化することを推進しています。

これを実現するため、サイバーセキュリティの基本方針を策定する国や地方公共団体に一般企業は協力することを求められています。

企業のセキュリティ担当である皆さまは、たとえば、自治体が行うサイバーセキュリティ普及活動への積極的な参加を行う推進役を担ったり、サイバーセキュリティ強化施策の社内への推進活動や展開活動などを積極的に実施していく必要があるでしょう。
そのためには、国や自治体が行っている、またはこれから行う予定の取り組みについて、リアルタイムで情報を収集できるようにする仕組みが必要となります。

まとめ

今回、企業のセキュリティを担う情報システム部門の皆さまと、サイバーセキュリティ基本法との関わり方を紹介してきました、

IT技術の進化と比例して、サイバー攻撃に対するリスクが増大しているのが現状です。
そのため、企業のセキュリティとデジタル化の両面を担当する情報システム部門の皆さまの対応一つで、サイバー攻撃のリスクが大幅に増減します。

皆さまはセキュリティリスクを最小限に留めながら、同時に社内のIT化を進めなければならないため、非常に苦しい立場でしょう。
そのため、全社員のセキュリティリテラシーを向上させ、全社でセキュリティリスクを軽減していくことが望ましいのではないでしょうか。

社内のセキュリティリテラシー向上にむけて、何から手を付けて良いか分からないという方は、お気軽にご相談下さい。

■関連記事

・情報漏えい対策の基本！！ 当たり前のようで知らない情シスが行うべきこととは！？

・情報セキュリティの基本（cia）と3大脅威への対策とは

・情報漏洩どう防ぐ？テレワークにおける企業データの守り方！｜認証・認可

※この記事は、公開時点の情報をもとに作成しています。