「サイバーセキュリティ関係法令Q＆Aハンドブック」全文を公開　NISC：セキュリティ対策時に参照すべき法制度を網羅

内閣サイバーセキュリティセンターは「サイバーセキュリティ関係法令Q＆Aハンドブック」を発表した。参照すべき関係法令をQ＆A方式で解説。同センターのWebサイトで全文を公開している。

　内閣サイバーセキュリティセンター（NISC）は2020年3月2日、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説した「サイバーセキュリティ関係法令Q&Aハンドブック」（以下、本書）を発表した。

　企業における平時のサイバーセキュリティ対策およびインシデント発生時の対応に関する法令上の事項に加え、情報の取り扱いに関する法令や情勢の変化などに伴い生じる法的課題を記述している。

　本書は、2018年7月に閣議決定されたサイバーセキュリティ戦略において、「企業がサイバーセキュリティ対策の実施において参照すべき法制度に関する整理を行う」としたことを背景に、サイバーセキュリティ戦略本部普及啓発・人材育成専門調査会が、サイバーセキュリティ関係法令の調査検討などを目的としたサブワーキンググループを設置し作成した。

　サブワーキンググループの主査を務めた、情報セキュリティ大学院大学名誉教授の林紘一郎氏は、本書の特徴を3つ挙げる。1つ目は、サイバーセキュリティに関連すると思われる法令を、なるべく広範に網羅するよう努めたこと。本書は関係省庁の協力のもと幅広く関連事項を収録している。

　2つ目は、法令の最新版を集めたこと。ITの展開は早いので、法的な対応もそれに従わざるを得ない。「ソフトロー」と呼ばれるガイドラインや技術標準などが、事実上の規範となっている場合があるが、一般にはいつ改定されたかが分かりにくい。本書の編集作業により、現時点での最新情報を記述した。

　3つ目は、「法令」だけでなく、その「解説」も重視したこと。サブワーキンググループの下にさらに「タスクフォース」を設け、弁護士を中心に解説を記述した。

　本書で取り上げている主なトピックスは、以下の通り。

1. サイバーセキュリティ基本法関連
2. 会社法関連（内部統制システムなど）
3. 個人情報保護法関連
4. 不正競争防止法関連
5. 労働法関連（秘密保持・競業避止など）
6. 情報通信ネットワーク関連（IoT関連を含む）
7. 契約関連（電子署名、システム開発、クラウドなど）
8. 資格等（情報処理安全確保支援士など）
9. その他各論（リバースエンジニアリング、暗号、情報共有など）
10. インシデント対応関連（デジタルフォレンジックを含む）
11. 民事訴訟手続
12. 刑事実体法（サイバー犯罪など）
13. 海外法令（GDPRなど）

セキュリティ対策について契約に記載がない場合の提供義務範囲とは？

　本書が掲載している内容を幾つか紹介する。

　「情報流出に関するシステム開発ベンダーの責任」の項目では、「システム開発ベンダーは、個人情報等を取り扱うWebシステムの開発に際して、開発当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供する義務を負うか。契約内容に記載されていない場合についてはどうか」という質問に答える形で、概要、解説、参考資料、裁判例を記述している。

　解説には、次のように書かれている。