サイバーセキュリティ基本法とは?
「サイバーセキュリティ基本法」とは、2014年10月に策定された、議員立法によって定められた法律です。日本政府としてのサイバーセキュリティに対する基本理念を固め、今後のサイバーセキュリティに関する施策の基盤を作り上げました。
この法律が主眼として据えている内容は3つあります。
内閣官房に内閣サイバーセキュリティセンター(NISC)を設立
NISCとは日本政府が組織した、国に属する機関が情報流出などのセキュリティに関する事件を起こした際に中心となって調査を進める組織です。
「サイバーセキュリティとは何か」を明確に定義
これにより、どのような脅威にさらされているかを明確化することになりました。
日本政府が目指すサイバーセキュリティ戦略を策定
基本となる事項や指針、そして責任の所在が明確になることで、実際にサイバー攻撃を受けた時の方針が決定され、今後の国の方針が策定されていくことになりました。
この法律はサイバーセキュリティに関して、憲法と個別の法律・政令・条例等の間を埋める基本法として策定・施行されることとなりました。
サイバーセキュリティ基本法改正の経緯
しかし、この基本法では十分に補うことのできないセキュリティ事件が起こります。施行の翌年2015年5月、日本年金機構で125万件という莫大な数の個人情報漏洩が発生したのです。
当初のサイバーセキュリティ基本法ではNISCは【中央省庁・独立行政法人の監査】、もしくは【中央省庁のみの原因究明調査・監視(GSOC)】が可能でした。
しかし、特殊法人である日本年金機構はそのどちらにも該当しません。そのためNISCは原因究明調査すら行うことができませんでした。
その事件を経て、政府はサイバーセキュリティ基本法を一部改正しました。
改正された内容は主に2つ。
内閣サイバーセキュリティセンター(NISC)の権限強化
NISCの監査・原因究明調査・監視の対象を中央省庁・独立行政法人および日本年金機構を含む9つの特殊法人・認可法人まで拡大しました。
情報処理推進機構(IPA)への委託
24時間専門家が常駐することが難しかったNISCの業務の一部を、情報処理推進機構(IPA)へ委託することでした。
最後に
サイバーセキュリティ基本法は、あくまで国が定めた基本的な指針です。
情報社会は日進月歩なので、これからさまざまな法律や政令・条例等が増えていくことでしょう。
一介のエンジニアが法律の隅から隅まで勉強をする必要はないかもしれません。
しかし、「情報処理安全確保支援士」のような国家資格をとりたい方は、一度は目を通しておくべきでしょう。