法制度対応/CSR 法制度対応/CSR記事一覧へ

[調査・レポート]

情報漏洩の責任所在は? 体制の適切さ担保の方法は?─NISCが「サイバーセキュリティ関係法令Q&Aハンドブック」を公開

2020年3月5日(木)IT Leaders編集部

内閣官房サイバーセキュリティセンター(NISC)は2020年3月2日、サイバーセキュリティ関連の法令をQ&A形式で解説した「サイバーセキュリティ関係法令Q&Aハンドブック」を公開した。企業のサイバーセキュリティ対策、インシデント発生時の対応、情報の取り扱いに関する法令と、その解説をまとめたものとなっている。

 サイバーセキュリティ関係法令Q&Aハンドブックは、経済産業省が2009年にまとめた「情報セキュリティ関連法令の要求事項集」を参考に、経済産業省以外の省庁に関わる法令も網羅したものとなっている。正規の手続きを経た法令だけでなく、事実上の規範となっているガイドラインや技術標準にも対応した。クラウドサービスやマイナンバー、IoT、GDPR(EU一般データ保護規制)などにも対応し、現時点での最新情報を盛り込んだ内容となっている。

 ハンドブックでは、サイバーセキュリティ基本法、個人情報の保護に関する法律(個人情報保護法)、電子署名及び認証業務に関する法律、情報処理の促進に関する法律、不正アクセス行為の禁止令に関する法律といった直接ITに関連した法令に加え、民法、刑法、労働基準法、会社法など一般的な法律についても取り上げている。

 全73の質問に対して概要、解説、参考資料、裁判例を示すという構成になっており、サイバーセキュリティのさまざまな事案・課題に対して、法的な側面から解・対策を示している。

 例えば、Q4は「サイバーセキュリティと取締役等の責任について。企業で情報漏洩や改竄が起こり、企業または第三者に損害が生じた場合、会社の役員(取締役、監査役)はどのような責任を問われ得るか」という質問である。

 その解としては、取締役や取締役会が決定したサイバーセキュリティ体制が適切でなかったため、情報漏洩が起こり企業に損害が生じた場合、体制の決定に関与した取締役は会社に対して任務懈怠(法律において実施すべき行為を行わずに放置すること)に基づく損害賠償責任に問われることもあるという。

 一般的に、外部からの攻撃によって情報漏洩が生じた場合、取締役が刑事責任を負うことはないが、漏洩情報が個人情報であった場合は、個人情報保護法に定める義務違反が認められると、経営者が刑事罰の対象となる可能性があるとしている。

 また、Q5は、「社内のサイバーセキュリティ体制が適切であることを担保するためにどのような方策を実施することが考えられるか」という質問となっている。

 具体的な方策としては、監査体制として内部統制システムに対する評価を行う仕組みとしての内部監査、社内の情報資産を対象とした情報セキュリティ監査、情報システム体系を対象としたシステム監査が必要となる。そのほか、内部通報制度、情報開示、 サイバーセキュリティ体制の実効性の担保を図るCSIRT(Computer Security Incident Response Team)の設置などを挙げている。

 Q6では、サイバーセキュリティに関する情報開示の方法を示している。情報漏洩などのセキュリティインシデントが経営上の重要課題として認識されるようになってきている。サイバーセキュリティに関する企業の情報を開示することは、企業の社会への説明責任を果たすことである。情報開示を行うことにより、経営上の重要課題としてセキュリティ対策に積極的に取り組んでいるとしてステークホルダーから正当に評価されることが期待できるとしている。

 既存の開示制度としては、事業報告、有価証券報告書、コーポレート・ガバナンスに関する報告書、適時開示などが挙げられる。任意の開示としては、情報セキュリティ報告書、CSR報告書、サステナビリティ報告書、情報セキュリティ基本方針などがある。開示方法に関しては、総務省が「サイバーセキュリティ対策方法開示の手引き」を公開している。

関連記事

Special

-PR-

情報漏洩の責任所在は? 体制の適切さ担保の方法は?─NISCが「サイバーセキュリティ関係法令Q&Aハンドブック」を公開内閣官房サイバーセキュリティセンター(NISC)は2020年3月2日、サイバーセキュリティ関連の法令をQ&A形式で解説した「サイバーセキュリティ関係法令Q&Aハンドブック」を公開した。企業のサイバーセキュリティ対策、インシデント発生時の対応、情報の取り扱いに関する法令と、その解説をまとめたものとなっている。

PAGE TOP