サイバーセキュリティに関する法律・ガイドラインまとめ
法律
- 児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律
- 不正アクセス行為の禁止等に関する法律
- 犯罪捜査のための通信傍受に関する法律(通信傍受法)
- 高度情報通信ネットワーク社会形成基本法(IT基本法)
- 電子消費者契約及び電子承諾通知に関する民法の特例に関する法律
- 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(プロバイダ責任制限法)
- 特定電子メールの送信の適正化等に関する法律
- 有線電気通信法の一部を改正する法律(ワン切り問題対応)
- 個人情報の保護に関する法律
- 行政手続における特定の個人を識別するための番号の利用等に関する法律
- 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律
- インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律
- 携帯電話不正利用防止法
- 携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律
- 青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律
- 情報処理の高度化等に対処するための刑法等の一部を改正する法律(サイバー刑法)
- サイバーセキュリティ基本法
- 私事性的画像記録の提供被害防止法
- 電子署名及び認証業務に関する法律
条約
- 個人情報の自動処理における個人の保護に関する条約
- Convention on Cybercrime(サイバー犯罪に関する条約)
外務省の公開する日本語訳 http://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4a.pdf
JIPDECがGDPRの日本語訳を公開している。 https://www.jipdec.or.jp/sp/library/archives/gdpr.html その他にも弁護士さんがまとめている便利帳を参照するとよい。 http://informationlaw.jp/2016/10/24/eugdpr-eupdpd-website-information/ 日米における同類のルールに比べて厳格。私見だがGDPRで実は最も有用なのは用語の定義のところ。
プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告。1980年にできた歴史ある存在。日本では「OECDプライバシーガイドライン」とか、文書において定義された原則を指して「OECD8原則」と呼ばれる。2013年に改正された。多くの国内ガイドラインにおいて、この8原則を最上位の規程と位置づけている。日本語の訳はJIPDECが公開している。 https://www.jipdec.or.jp/sp/library/archives/oecd_guideline.html
規格
- ISO 27000シリーズ
- ISO/IEC 27001:2013(JIS Q 27001:2014)情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
リスクマネジメントにおける日本語ー英語の用語対応はこちらから引用すること。
-
- ISO/IEC 27001:2013(JIS Q 27002:2014)情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
- NIST SP 800シリーズ
読む前に、更新されているかどうかを確認するとよい。 https://www.nri-secure.co.jp/security/nist/index.html 日本語訳はIPAが公開している。 https://www.ipa.go.jp/security/publications/nist/index.html NRISecureでもそのうちいくつかの日本語訳を提供しているが、ログインIDを取得する必要があり不便。 https://www.nri-secure.co.jp/security/nist/index.html
ガイドライン
個人データ保護、プライバシー
データ消去
- 一般社団法人情報機器リユース・リサイクル協会
- 一般社団法人電子情報技術産業協会
- 一般社団法人コンピュータソフトウェア協会『データ消去証明ガイドブック』
2017年の発行。他のデータ消去関連の資料に比べて新しく、また対象機器を絞っていない。引用文献も多いのでまず最初に読むと良い。
電気通信事業者向け
- 総務省
- 通信四団体
- 安全・信頼性協議会
- 電気通信分野における情報セキュリティ確保に係る安全基準
- 情報通信審議会答申(H19.5.24)を踏まえた情報セキュリティの確保に関する基本指針、並びにネットワークの信頼性に関するガイドライン』
- プロバイダ責任制限法ガイドライン等検討協議会『プロバイダ責任制限法関係ガイドライン』
- ファイル共有ソフトを悪用した著作権侵害対策協議会『ファイル共有ソフトを悪用した著作権侵害への対応に関するガイドライン』
- 電気通信サービス向上推進協議会『電気通信サービスの広告表示に関する自主基準及びガイドライン』
- 安心ネットづくり促進協議会『DNSブロッキングによる児童ポルノ対策ガイドライン』
- 一般財団法人インターネットコンテンツセーフティ協会『児童ポルノサイトブロッキングに関するガイドブック』
- 一般社団法人テレコムサービス協会『インターネット接続サービス等に係る事業者の対応に関するガイドライン』
- 一般社団法人テレコムサービス協会MVNO委員会『MVNOにおける青少年へのフィルタリングサービスの加入奨励に関する指針(ガイドライン)』
その他特定業種向け
- 厚生労働省
- 水道分野における情報セキュリティガイドライン
- 医療情報システムの安全管理に関するガイドライン
- 国土交通省
- 経済産業省
- エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン
- 一般財団法人日本電気協会情報専門部会『電力制御システムセキュリティガイドライン』
- 日本電気技術規格委員会『スマートメーターシステムセキュリティガイドライン』
- 一般財団法人日本ガス協会『製造・供給に係る制御系システムのセキュリティ対策ガイドライン』
- 一般財団法人日本建設業連合会『建設現場における情報セキュリティガイドライン』
- 一般社団法人保健医療福祉情報システム工業会『リモートサービスセキュリティガイドライン』
- 文部科学省『教育情報セキュリティポリシーに関するガイドライン』
- サイバーセキュリティ戦略本部
- 政府機関の情報セキュリティ対策のための統一規範
- 政府機関の情報セキュリティ対策のための統一基準
- 政府機関等の情報セキュリティ対策の運用等に関する指針
- 府省庁対策基準策定のためのガイドライン
業界非依存
- 消費者庁『公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン』
- 総務省
- インターネット・ホットラインセンター『ホットライン運用ガイドライン』
- 一般社団法人セーファーインターネット協会『セーフライン運用ガイドライン』
- 経済産業省
- IPA
- CRYPTREC
- データベース・セキュリティ・コンソーシアム
- IPv6普及・高度化推進協議会セキュリティWG『IPv6対応セキュリティガイドライン』
- デジタル・フォレンジック研究会
- 一般社団法人重要生活機器連携セキュリティ協議会
リスクアセスメントのプロセスうちのリスク評価の手法について深掘りしている点が特徴的。
- GSMA IoT Security Guidelines & Assessment
- IoT推進コンソーシアム『IoTセキュリティガイドライン』
- フィッシング対策協議会
その他
- NATOCooperative Cyber Defense Centre of Excellence『Tallinn Manual』
- The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies
Child Online Protection Act- Children's Online Privacy Protection Act
参考文献
- 所管の法令・告示・通達等|電子政府の総合窓口e-Gov イーガブ
- https://www.ppc.go.jp/legal/policy/
- http://www.iajapan.org/hotline/link/law.html
- https://www.kantei.go.jp/jp/singi/it2/hourei/link.html
- http://www.telesa.or.jp/guideline
- http://www.jisa.or.jp/it_info/engineering/tabid/1103/Default.aspx
- http://www.meti.go.jp/policy/netsecurity/law_guidelines.htm
- http://www.mlit.go.jp/sogoseisaku/jouhouka/sosei_jouhouka9999.html
