ISMS(ISO27001)に関連する法令等の一覧
ISMSでは、組織の状況を把握するために「4.2 利害関係者のニーズ及び期待の理解」の要求事項(注記)にて、「利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含める場合がある。」と定めています。
また附属書Aの「情報セキュリティ管理策」では、「5.31 法令,規制及び契約上の要求事項」にて、「情報セキュリティに関連する法令,規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織の取組を特定し,文書化し,また,最新に保たなければならない。」とされ、その他、「5.32 知的財産権」や「5.34 プライバシー及び個人を特定できる情報(PII)の保護」などの法規制への順守が求められています。
なお、ISMSにおいて「法規制の特定」は、一度やって終わりではなく「最新に保つ」ことが重要です。これらの法令は改正されることが多いため、定期的な見直しを行うことがISMS運用の鍵となります。
目次
1. サイバーセキュリティ関連の法律・ガイドライン(総務省)
それでは、ISMSに関連する法規制とは、どのようなものがあるのでしょうか?
総務省が開設しているホームページ「国民のためのサイバーセキュリティサイト」の中でも「サイバーセキュリティ関連の法律・ガイドライン | 国民のためのサイバーセキュリティサイト」として紹介されています。
※上図は「サイバーセキュリティ関連の法律・ガイドライン | 国民のためのサイバーセキュリティサイト」(総務省)サイト
上記と合わせ関連する法規制を、以下に紹介いたしますのでご参考ください。
サイバーセキュリティ関係法令Q&Aハンドブック
国家サイバー統括室は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下)を作成しています。
これには、企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。あわせてご参考ください。
2. 情報セキュリティに関連する法令
以下は、情報セキュリティ関連の法律です。
サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定。
電気通信の健全な発達と国民の利便の確保を図るために制定された法律。電気通信事業に関する詳細な規定が盛り込まれており、第4条では「電気通信事業者の取扱中の通信を侵してはならない」旨の条文があり、通信の秘密が保護されています。また、第52条では端末設備の接続の技術基準が定められており、それを受けた端末設備等規則において、IoT機器のセキュリティ基準等について定められています。
電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務(電子署名を行った者を証明する業務)のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定。
テレビや携帯電話、アマチュア無線などさまざま場面で利用されている電波。この電波の公平かつ能率的な利用を確保するための法律で、無線局の開設や秘密の保護などについての取り決めが規定。
有線電気通信の設備や使用についての法律。秘密の保護や通信妨害について規定。
利用者の同意を得ずに広告、宣伝又は勧誘等を目的とした電子メールを送信する際の規定を定めた法律。法改正により、いわゆるオプトイン方式が導入・強化されており、取引関係以外においては、事前に電子メールの送信に同意した相手に対してのみ、広告、宣伝又は勧誘等を目的とした電子メールの送信が許可(制限)されています。
不正アクセス行為の禁止等に関する法律。不正アクセス行為や不正アクセス行為につながる識別符号(IDやパスワード等)の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律。
3. 知的財産権に関連する法令
以下の2つは「5.32 知的財産権」に関連する法律です。
4. 個人情報保護に関連する法令
次の2つは「5.34 プライバシー及び個人を特定できる情報(PII)の保護」に関連します。
個人情報の取扱いに関連する法律で、個人情報保護法とも呼ぶ。取扱件数に関係なく個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、事業者の遵守すべき義務等を定める法律。
国民一人ひとりに番号を割り振り、社会保障や納税に関する情報を一元的に管理する「共通番号(マイナンバー)制度」を導入するための法律。番号法(番号利用法)やマイナンバー法とも呼ばれる。
その他、上記以外にも個人情報保護に関連する法令等は、別途「プライバシーマークに関連する法令等の一覧」でも紹介していますので、そちらを参照ください。
5. 処罰関連
セキュリティ違反やサイバー犯罪に対して、刑事罰が科される可能性のある法律(条文)です。
刑法は、犯罪と刑罰に関する法律ですが、コンピュータやインターネットを利用した事件において、刑罰に該当した刑法の条文として、以下のようなものがあります。
- 第161条の2(電磁的記録不正作出及び供用)
- 第168条の2(不正指令電磁的記録作成等)
- 第168条の3(不正指令電磁的記録取得等)
- 第175条(わいせつ物頒布等)
- 第230条(名誉毀損)
- 第234条の2(電子計算機損壊等業務妨害)
- 第246条(詐欺)
- 第246条の2(電子計算機使用詐欺)
- 第250条(未遂罪):未遂であっても処罰の対象となる犯罪が含まれている
6. その他
ちなみに要求事項では、「関連する法令,規制」となっているため、その他、各業界や事業により適用される法令やガイドラインがあれば、関連するものを確認し、特定しておきましょう。
特定電気通信による情報の流通によって権利の侵害があった場合について、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示を請求する権利を定める法律。「プロバイダ責任制限法」として知られるが、SNS上での誹謗中傷対策を強化する改正により、2025年4月より「情報流通プラットフォーム対処法」へと改称・再編された。プラットフォーム事業者だけでなく、社内でのSNS利用や外部への情報発信規定を見直す際にも留意すべき法律です。
