ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISMS(ISO27001)に関連する法令等の一覧

09.26.2019 (update10.17.2019)
お役立ちサイト.  3,681 views

ISMSでは、組織の状況を把握するために「4.2 利害関係者のニーズ及び期待の理解」の要求事項(注記)にて、「利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。」と定めれ、附属書Aの「管理目的及び管理策」では、「A.18 順守」にて、「情報セキュリティに関連する法的,規制又は契約上の義務に対する違反,及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。」目的で、法規制への順守が求められています。

なお、これらの法律は、「A.18.1.1 適用法令及び契約上の要求事項の特定」にてあるよう、「…関連する法令,規制…を,明確に特定し,文書化し,また,最新に保たなければならない。」とあります。

それでは、ISMSに関連する法規制とは、どのようなものがあるのでしょうか?

総務省が開設しているホームページ「国民のための情報セキュリティサイト」の中でも「情報セキュリティ関連の法律・ガイドライン|基礎知識」として紹介されています。(下図)

※上図は「情報セキュリティ関連の法律・ガイドライン|基礎知識|総務省」サイト

上記と合わせ関連する法規性を、以下に紹介いたしますのでご参考ください。

情報セキュリティに関連する法令

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定。

電気通信事業法

電気通信の健全な発達と国民の利便の確保を図るために制定された法律。電気通信事業に関する詳細な規定が盛り込まれており、第4条では「電気通信事業者の取扱中の通信を侵してはならない」旨の条文があり、通信の秘密が保護されています。

電子署名及び認証業務に関する法律

電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務(電子署名を行った者を証明する業務)のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定。

電波法

テレビや携帯電話、アマチュア無線などさまざま場面で利用されている電波。この電波の公平かつ能率的な利用を確保するための法律で、無線局の開設や秘密の保護などについての取り決めが規定。

有線電気通信法

有線電気通信の設備や使用についての法律。秘密の保護や通信妨害について規定。

特定電子メールの送信の適正化等に関する法律

利用者の同意を得ずに広告、宣伝又は勧誘等を目的とした電子メールを送信する際の規定を定めた法律。平成20年12月1日に施行された改正では、取引関係以外においては、事前に電子メールの送信に同意した相手に対してのみ、広告、宣伝又は勧誘等を目的とした電子メールの送信を許可する方式(オプトイン方式)が導入。

不正アクセス行為の禁止等に関する法律

不正アクセス行為の禁止等に関する法律。不正アクセス行為や不正アクセス行為につながる識別符号(IDやパスワード等)の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律。

知的財産権に関連する法令

以下の2つは「A.18.1.2 知的財産権」に関連する法律になりますね。

著作権法

著作物などに関する著作者等の権利を保護するための法律。

不正競争防止法

企業が競合他社や個人に対して、不正な手段による競争の差し止めや損害賠償請求をできるよう認めた法律。

個人情報保護に関連する法令

次の2つは「A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護」に関連しますね。

個人情報の保護に関する法律

個人情報の取扱いに関連する法律で、個人情報保護法とも呼ぶ。取扱件数に関係なく個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、事業者の遵守すべき義務等を定める法律。

行政手続における特定の個人を識別するための番号の利用等に関する法律

国民一人ひとりに番号を割り振り、社会保障や納税に関する情報を一元的に管理する「共通番号(マイナンバー)制度」を導入するための法律。番号法やマイナンバー法とも呼ばれる。
その他、上記以外にも個人情報保護に関連する法令等は、別途「プライバシーマークに関連する法令等の一覧」でも紹介していますので、そちらを参照ください。

地方公共団体の個人情報保護条例

都道府県庁や市町村役場、教育委員会、公立学校、公立病院等における個人情報の取扱いについては、各地方公共団体が策定する個人情報保護条例が適用されます。

処罰関連

セキュリティ違反や犯行による処罰が関連する法律です。

刑法

刑法は、犯罪と刑罰に関する法律ですが、コンピュータやインターネットを利用した事件において、刑罰に該当した刑法の条文として、以下のようなものがあります。

第161条の2 電磁的記録不正作出及び供用「…事務処理を誤らせる目的で、…電磁的記録を不正に作った者は、…」

第168条の2 不正指令電磁的記録作成等「…電子計算機における実行の用に供する目的で、…電磁的記録その他の記録を作成し、又は提供した者は、…」(3 不正指令電磁的記録取得等「…電磁的記録その他の記録を取得し、又は保管した者は、…」)

第175条 わいせつ物頒布等「わいせつな文書、図画その他の物を頒布し、販売し、又は公然と陳列した者は、…」

第230条 名誉毀損「…人の名誉を毀損した者は、…」

第234条の2 電子計算機損壊等業務妨害「…電子計算機に使用目的に沿うべき動作をさせず…業務を妨害した者は、…」

第246条 詐欺「人を欺いて財物を交付させた者は、…」 など

その他

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律

特定電気通信による情報の流通によって権利の侵害があった場合について、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示を請求する権利を定める法律。「プロバイダ責任制限法」または「プロバイダ責任法」とも呼ばれる。

ちなみに要求事項では、「関連する法令,規制」となっているため、その他、各業界や事業により適用される法令やガイドラインがあれば、関連するものを確認し、特定しておきましょう。