サイバーセキュリティは国や企業にとって非常に大きな脅威の一つです。
ひとたびサイバー攻撃の被害に遭えば、甚大な影響が生じるおそれがあります。

そこで設けられているのが、「サイバーセキュリティ基本法」です。

サイバーセキュリティ基本法とはどのような法律なのでしょうか？
また、企業はサイバーセキュリティに関して、どのような対策を講じればよいのでしょうか？

今回は、サイバーセキュリティ基本法の概要や基本理念、企業が講じるべきサイバーセキュリティ対策などについて、弁護士がくわしく解説します。

記事を監修した弁護士

Authense法律事務所記事監修チーム

Authense法律事務所の弁護士が監修、法律問題や事例についてわかりやすく解説しています。Authense法律事務所は、「すべての依頼者に最良のサービスを」をミッションとして、ご依頼者の期待を超える弁護士サービスを追求いたします。どうぞお気軽にご相談ください。
＜メディア関係者の方＞取材等に関するお問い合わせはこちら

サイバーセキュリティ基本法とは

サイバーセキュリティ基本法とは、サイバーセキュリティに関する施策を総合的かつ効率的に推進するために基本理念を定めた法律です。

国の責務などを明らかにするとともに、サイバーセキュリティ戦略の策定など施策の基本となる事項などが規定されています。
一方で、企業の具体的な義務や罰則などが定められたものではありません。

サイバーセキュリティ基本法の位置づけは、国土交通省の資料に掲載されている図が参考となります。※1

このように、サイバーセキュリティ基本法は「基本法」の名のとおり、具体的な戦略や指針、ガイドラインなどを定める際の基本となるものです。

サイバーセキュリティ基本法の制定背景

サイバーセキュリティ基本法は、2015年に制定された比較的新しい法律です。
サイバーセキュリティ基本法が制定された背景には、官庁や民間企業へのサイバー攻撃が増加したことが挙げられます。

サイバー攻撃にはシステム障害や機密情報の漏洩などのリスクが伴い、すべての企業や官庁にとって他人事ではありません。
そこで、サーバーセキュリティを強化し、サイバー攻撃のリスクに官民が一体となり適切に対応するために、サイバーセキュリティ基本法が制定されました。

なお、サイバーセキュリティ基本法の制定前にも、ネットワーク社会を前提とした法律として「高度情報通信ネットワーク社会形成基本法（通称：IT基本法）」が制定されていました。
しかし、ITにまつわる事態の流れは速く、時代にそぐわなくなってきたことなどを受け、IT基本法は2021年に廃止されています。

そのIT基本法の後継として「デジタル社会形成基本法」が制定され、これはサイバーセキュリティ基本法とともに現行の法律です。

サイバーセキュリティ基本法の基本理念

サイバーセキュリティ基本法では、基本理念が定められています。
ここでは、サイバーセキュリティ基本法の6つの基本理念の概要をそれぞれ解説します。

情報の自由な流通の確保を基本に、官民が連携し積極的に対応すること

1つ目は、情報の自由な流通の確保を基本に、官民が連携し積極的に対応することです。
条文では、次のように規定されています（サイバーセキュリティ基本法3条1項）。

• サイバーセキュリティに関する施策の推進は、インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用による情報の自由な流通の確保が、これを通じた表現の自由の享有、イノベーションの創出、経済社会の活力の向上等にとって重要であることに鑑み、サイバーセキュリティに対する脅威に対して、国、地方公共団体、重要社会基盤事業者（国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者をいう。以下同じ。）等の多様な主体の連携により、積極的に対応することを旨として、行われなければならない。

非常に長いものの、ここで述べているのは、次の内容です。

前提として、インターネットなどの高度情報通信ネットワークの整備や情報通信技術の活用による情報の自由な流通の確保は、次の点などで重要です。

1. これを通じた表現の自由の享有
2. イノベーションの創出
3. 経済社会の活力の向上

そのため、セキュリティ面でリスクがあるからといって、インターネットの利用を制限したり情報の自由な流通を妨げたりすることは現実的ではありません。
これを踏まえ、サイバーセキュリティに関する施策の推進は次の者などが連携をして積極的に対応すべきです。

• 国
• 地方公共団体
• 重要社会基盤事業者

なお、「重要社会基盤事業者」をる「重要インフラ事業者」ともいい、主要な電気通信事業者や銀行、信用金庫、主要な空港・空港ビル事業者、小規模なものを除く医療機関、主要なクレジットカード会社、主要な石油精製・元売事業者などがこれに該当するとされています。※2

国民がサイバーセキュリティに関する認識を深め、脅威に対応すること

2つ目は、国民がサイバーセキュリティに関する認識を深め、脅威に対応することです（同2項）。

強靭なサイバーセキュリティ体制の構築や被害からの迅速な復旧は、国や一部の事業者だけの取り組みで実現できるものではありません。
そこで、国民一人ひとりがサイバーセキュリティに関する認識を深め、自発的に対応することが重要です。

サイバーセキュリティ基本法ではこれを促し、積極的に推進することとされています。

高度情報通信ネットワークの整備とITの活用で活力ある経済社会を構築すること

3つ目は、高度情報通信ネットワークの整備とITの活用で活力ある経済社会を構築することです（同3項）。

サイバーセキュリティに関する施策の推進は、「インターネットなどの高度情報通信ネットワークの整備」と「情報通信技術の活用」による活力ある経済社会を構築するための取り組みを積極的に推進することを旨として、行われなければならないとされています。
1つ目の理念と重なる部分もあるものの、リスクだけに目を向けるのではなく、高度情報通信ネットワークの整備とIT活用による活力ある経済社会の構築の推進も重視すべきということです。

国際的な秩序形成等のために先導的な役割を担い、国際的協調の下に実施すること

4つ目は、国際的な秩序形成等のために先導的な役割を担い、国際的協調の下に実施することです（同4項）。

サイバーセキュリティに対する脅威への対応は日本独自の問題ではなく、国際社会にとって共通の課題です。
そして、日本の経済社会は国際的な密接な相互依存関係の中で営まれています。
これらを踏まえ、サイバーセキュリティに関する施策の推進においては国際的な秩序の形成と発展のために先導的な役割を担い、国際的協調の下で行われなければならないとされています。

デジタル社会形成基本法の基本理念に配慮すること

5つ目は、デジタル社会形成基本法の基本理念に配慮することです（同5項）。

デジタル社会形成基本法は、デジタル社会の形成に関する基本理念などを定めた法律です。
先ほど解説したように、IT基本の後継として誕生しました。

サイバーセキュリティ対策もデジタル社会形成の一環であることから、サイバーセキュリティに関する施策の推進はデジタル社会形成基本法の基本理念に配慮して行うこととされています。

国民の権利を不当に侵害しないこと

6つ目は、国民の権利を不当に侵害しないことです（同6項）。
サイバーセキュリティに関する施策の推進に当たっては、国民の権利を不当に侵害しないように留意しなければなりません。

サイバーセキュリティ基本法改正の歴史

サイバーセキュリティ基本法は、制定以来2回の改正がされています。
また、2021年には計画の策定がされました。
ここでは、各改正のポイントについて解説します。

2016年改正

2016年の改正では、内閣サイバーセキュリティセンターの権限強化がなされたほか、サイバーセキュリティ戦略本部が担う事務の一部を、「独立行政法人情報処理推進機構（IPA）」などに委託できることとなりました。
また、サイバーセキュリティ対策を推進する人材の国家資格である「情報処理安全確保支援士（登録セキスペ）」が創設されています。
この改正は、日本年金機構の情報ネットワークに標的型攻撃がなされ、情報漏洩が生じた事件が発端となっています。

2018年改正

2018年の改正では、サイバーセキュリティ協議会が創設されました。
これは、官民のさまざまな主体が相互連携のうえ対策へ向けた協議を行うことを目的とした協議会です。
また、国内外の関係者と迅速に連携をとるための対策も講じられています。

この開催は、2020年東京オリンピック・パラリンピック開催へ備えて行われました。

2021年計画策定

2021年は改正ではないものの、以後3年間におけるサイバーセキュリティに関する施策の目標と実施方針を示す年次計画（「サイバーセキュリティ 2021」）が策定されました。※3
「サイバーセキュリティ 2021」は、次の2部から構成されています。

• 1部：サイバーセキュリティに関する情勢
• 2部：我が国のサイバーセキュリティ政策

サイバーセキュリティ対策で企業は何をすべき？

サイバーセキュリティ対策基本法はサイバーセキュリティ対策に関する基本理念を定めた法律であり、企業の具体的な義務や罰則などを定めたものではありません。
しかし、サイバー攻撃が頻発している昨今、すべての企業はサイバーセキュリティ対策と無縁でいることはできないでしょう。

サイバー攻撃の被害に遭うと、機密情報や個人情報が漏洩の機器にさらされることとなるばかりか、復旧に多大なコストを要したり事業が正常に営めず多大な機会損失が生じたりするおそれもあります。

では、企業はサイバー攻撃に備えて、どのような対策を講じればよいのでしょうか？
最後に、企業が講じるべき主なサイバーセキュリティ対策について解説します。

ガイドラインを確認する

1つ目は、関連するガイドラインを確認することです。

サイバーセキュリティに関するガイドラインは、業種ごとに多く公開されています。
主なガイドラインは、次のとおりです。

• サイバーセキュリティ経営ガイドライン（経済産業省）
• 金融分野におけるサイバーセキュリティに関するガイドライン（金融庁）
• 医療情報システムの安全管理に関するガイドライン（厚生労働省）

まずは自社に関連するガイドラインを見つけ、内容を確認することをおすすめします。
このようなガイドラインを確認する専門の部署などがない場合などには、弁護士などへ相談のうえ、具体的に自社が何をすべきかアドバイスを受けることも一つの方法でしょう。

セキュリティソフトやOSを最新に保つ

2つ目は、セキュリティソフトやOSなどを最新状態に保つことです。

サイバーセキュリティ対策の基本の一つに、セキュリティソフトやOSの最新化が挙げられます。
最新状態に保っていなければ脆弱性が突かれ、サイバー攻撃を防げない可能性が高くなるためです。

機密情報にアクセスできる従業員を制限する

3つ目は、機密情報にアクセスできる従業員を限定したうえで、パスワード管理も徹底することです。

機密情報にアクセスできる者が多ければ多いほど、情報漏洩のリスクが高くなります。
セキュリティの観点からは、従業員であれば誰もが簡単に機密情報にアクセスできる状態は好ましくありません。

サイバーセキュリティを強化するためには、機密情報へのアクセス権を持つ従業員を限定したうえで、パスワード管理を徹底すべきでしょう。

アクセスログを残すなど不正の抑止力となる対策を講じる

4つ目は、不正の抑止力となる対策を講じることです。

機密情報の漏洩は外部からのサイバー攻撃などで行われる場合もあれば、残念なことに従業員など内部から行われる場合もあります。
企業はセキュリティ対策として、アクセスログを残したり機密情報を管理する部屋の入退室情報を記録したりするなど、不正の抑止力となる対策を講じることも重要です。

従業員研修を実施する

5つ目は、従業員研修を実施することです。

従業員のセキュリティ意識が低いと、不審なリンクをクリックしてしまったりパスワードを使いまわして漏えいさせてしまったりするなど、脅威が生じるおそれが高くなります。
サーバーセキュリティ対策は経営陣だけで行うものではなく、全社が一丸となって行わなければなりません。

従業員のセキュリティ意識を高めるため、定期的に従業員研修を実施するとよいでしょう。

まとめ

サイバーセキュリティ基本法の概要や基本理念、企業が講じるべきサイバーセキュリティ対策などについて解説しました。

サイバーセキュリティ基本法は、サイバーセキュリティ対策に関する基本理念などを定めた法律です。
企業への直接的な義務や罰則などは定められていないものの、日本におけるサイバーセキュリティ対策の考え方や方向性を理解するため、一読するとよいでしょう。
また、企業は自社に関連するガイドラインを確認し、サイバーセキュリティの脅威に備えることをおすすめします。

Authense法律事務所では、企業法務に特化した専門チームを設けており、企業のサイバーセキュリティ対策にまつわる体制整備や規程策定などをサポートしています。
ガイドラインを踏まえたサイバーセキュリティ対策を講じたい場合は、Authense法律事務所までお気軽にご相談ください。