Categories: 情SG試験

情報セキュリティマネジメント試験・試験に出る法律や刑法は?どこがポイント?よく出る用語と内容まとめ

情報セキュリティマネジメント試験には、セキュリティに関する法律や刑法のことが試験に出ます。よく出る法律や刑法、どういった内容が法に触れるのかその内容を抑えておきましょう!

サイバーセキュリティ基本法

2014年に制定された法律で、国のサイバーセキュリティについて基本理念や、国の責任を明らかにしているものです。

サイバーセキュリティ基本法のポイント

  • 内閣にサイバーセキュリティ戦略本部を置いている
  • 国民は基本理念にそって、サイバーセキュリティの重要性に関する関心と理解を深める
  • 国民はサイバーセキュリティの確保に必要な注意を払う要に努める

サイバーセキュリティ基本法に対する国民の姿勢は、努力義務になります

不正アクセス禁止法

不正アクセス禁止法では、ネットワークに勝手に入ること、アクセス制御されているモノや情報を不正にアクセスするために、情報を提供すること処罰の対象としています。

不正アクセス禁止法での処罰対象

(1)不正アクセス

不正アクセス禁止法では、実際に不正に情報にアクセスするだけでなく、不正アクセスをした、不正アクセスする人を助けた、こういったものも処罰の対象になります。

不正アクセス禁止法で処罰の対象となる例
  • 被害が出ていなくても、不正アクセスをした
  • 不正アクセス行為を助けた
  • 不正アクセスしようとしてID、パスワードを集めた
稼働中の人

不正アクセスして、情報をゲットしなくても、「しようとした人」「するのを助けた人」「しようと情報を集めた人」も処罰の対象です!

(2)不正アクセス行為

アクセス制御を超えて権限のないコンピュータ、情報にアクセスすることです。

不正アクセスの具体例
  • 他人のID、パスワードを盗んだり、不正に使ってその人になりすまして認証すること
  • 脆弱性をついて、不正にアクセスすること
  • 認証を不正に破ってネットワークに入り込み、情報を閲覧すること

個人情報保護法

個人情報保護法では、何が個人情報になるかがポイントです。 個人情報保護法での個人情報の定義を押さえておきましょう。

個人情報とは

名前、住所、メールアドレスなどそれ単体、または組み合わせることで個人がわかってしまうもの

※※生きている人に限定されます!※※

個人情報を守るための仕組み

(1)国内での規格

国内では、JIS Q 15001で個人情報保護に関するガイドラインが定められています。ガイドラインで定められていることは次のような内容です。

  • 個人情報保護方針の策定と公表 ・個人情報の特定とリスク分析
  • 個人情報の利用目的の明確化
  • 内部規定の作成、個人情報の適切な管理
  • 開示に関して本人の同意を得る
(2)国際的なもの

国際的なものには、OECDプライバシーガイドラインがあり、OECD8原則が定められています。

このOECD8原則が情報セキュリティマネジメント試験に出ます!

OECD8原則
  • 収集制限の原則
  • データ内容の原則
  • 目的明確化の原則
  • 利用制限の原則
  • 安全保護の原則
  • 公開の原則
  • 個人参加の原則 責任の原則

個人情報を扱える事業者

個人情報保護法は、2003年に成立し、2016年に改正されました。この改正時に個人情報を扱う事業者についての取り決めが行われました。

組織は経済活動を行う上で個人情報を扱います。個人情報を取り扱う事業者のことを個人情報事業者といいます。

個人情報事業者は、大切な個人情報を扱うので、義務がいろいろと課せられてますよ。これが試験に出る!

個人情報事業者の義務
  • 利用目的の特定
  • 利用目的の制限
  • 適正な取得
  • 利用目的の通知
  • 本人の権利に対しての対応
個人情報に関して本人の意思を伝える仕組み

個人情報事業者は、個人情報を勝手に集めたり、第3者に提供したりしてはいけません。本人の意思を汲んで個人情報を取り扱う必要があります。

  • オプトアウト:個人情報を第3者に提供してほしくない場合、拒否することを伝えること
  • オプトイン:第3者に提供するために、本人の同意を得る必要がある仕組み

「人種」「病歴」「信条」などは要配慮個人情報と言われ、オプトアウトでは提供できません。

電子メールで広告メールを送信する場合、許可をとってから送る「オプトイン方式」が原則です。

匿名化手法

個人情報データを扱う際、個人を特定できないようにするため削除、加工を行うことがあります。以下はその際に使われる匿名化の手法です。

サンプリング手法

もとのデータから一定の割合でランダムにデータを抽出する

k-匿名化

同じ保護属性の組み合わせをもつレコードがk個あるようにデータを加工する 匿名化手法を使って作られたデータのことを「匿名加工情報」といいます。

刑法

1987年、刑法の中にコンピュータ犯罪防止法が加えられました。次のことをしたら刑法にふれ、処罰の対象です。

  • コンピュータを物理的に壊す
  • 企業のWebページを不正に改ざんし、その会社の信用を壊す
  • 銀行のデータにアクセスして、不正な振り込みや送金をする
  • プリペイドカードやキャッシュカードを不正に作る
  • コンピュータウィルスを作る

まとめ・個人情報保護法、不正アクセス禁止法は鉄板

情報セキュリティマネジメント試験は「セキュリティ」に関する試験です。当然不正アクセス禁止法や、刑法が出てきます。情報を勝手に盗むこと、コンピューターや情報を破壊することは法に触れます。どういった行為が悪いのか、その行為はどの法律や刑法に触れるのかしっかり理解しておきましょう。

KadochuKadochu