【ITパスポート】セキュリティ関連法規

　ITパスポートの「セキュリティ関連法規」に関するまとめです。

セキュリティ関連法規とは

　コンピューター犯罪の増加に伴いセキュリティ関連法規が重要視されるようになってきており、サイバーセキュリティ基本法や不正アクセス禁止法などが制定されています。

サイバーセキュリティ基本法

　サイバーセキュリティに関する施策を総合的かつ効率的に推進するために基本理念を定めて、国や地方公共団体の責務などを明確にし、基本的施策を定めた法律のことです。ここでいう責務には、国、地方公共団体、教育研究機関の責務だけでなく、「国民の努力」も規定されています。

不正アクセス禁止法

　不正アクセス行為による犯罪行為を取り締まるための法律です。

不正アクセス行為の前提条件

• ネットワークを通じて行なわれる行為
• 識別符号（IDやパスワードなど）によるアクセス制御機能を持つコンピューターである

主な犯罪行為

• 他人の識別符号を無断で利用する
• 不正アクセスをするために他人の識別符号を取得・保管する
• 他人の識別符号を不正に入力させる（フィッシング詐欺など）
• 他人の識別符号を他人に提供し、不正なアクセスを助長する

主な対策

• 識別符号の管理を徹底する
• セキュリティーホールを塞ぐ
• 適切なアクセス権を設定する
• 暗号化や電子署名を利用する

個人情報保護法

　生存する個人に関する情報であり、特定の個人を識別できる情報を個人情報といいます。この個人情報を利活用するにあたり、個人情報取扱事業者の守るべき義務などを定めた法律です。

個人情報取扱事業者から除外される事業者

• 国の機関
• 地方公共団体
• 独立行政法人等
• 地方独立行政法人

適用除外条件

• 報道機関が報道のために使う
• 学術研究機関等が学術研究のために使う
• 政治団体が政治活動のために使う

要配慮個人情報

　人種、信条、社会的身分、病歴、犯罪歴、犯罪によって被害を被った事実など、不当な差別や偏見につながりかねない個人情報のことをいいます。

匿名加工情報

　特定の個人を識別できないように個人情報を加工し、個人情報を復元できないようにした情報のことをいいます。購入履歴などを複数の事業者間で分野横断的に活用する、医療機関が保有する医療情報を臨床分野の発展に活用する、といったことが可能になります。

　これらの情報は、一定のルールの下で本人の同意が不要であったり、事業者間におけるデータの取引・連携などが可能となっていますが、匿名性を維持するために、加工の方法について情報を取得する、匿名加工情報を他の情報と照合するといった行為は禁止されています。

特定個人情報

　社会保障や納税に関する情報を一元管理することを目的とし、国民一人ひとりと企業や官公庁などの法人に一意の番号を割り当てる「マイナンバー制度」が導入されています。このマイナンバーを内容に含む個人情報を特定個人情報といいます。特定個人情報の取り扱いは慎重に行なわねばならず、本人の同意があったとしても目的外の利用は禁止されています。

　本記事は平成29年～令和3年までの過去問を参考に執筆していますが、この中には「特定個人情報」という文言で該当する問題は見当たりませんでした。マイナンバーの取り扱いに関する問題は出題されています。（後述の「実際に出題された問題」に掲載。）

特定電子メール法

　宣伝・広告を目的とした電子メールを、受信者の承諾なしに一方的に送信することを規制する法律です。迷惑メール防止法ともいいます。

プロバイダ責任制限法

　掲示板やSNSなどにおいて個人情報の流出や誹謗中傷などがあった場合に、プロバイダの免責（損害賠償責任の範囲制限）や個人情報の開示などについて定めた法律です。

プロバイダの免責（損害賠償責任の範囲制限）

　個人の権利が侵害されていることを知りながら対応しなかった場合などは免責の対象外となります。

個人情報の開示

　被害者が発信者の氏名等の開示を求めることができます。なお、個人情報の開示には発信者の同意が必要です。

不正指令電磁的記録に関する罪（ウイルス作成罪）

　悪用目的でマルウェア（悪意のあるソフトウェアの総称）を作成、提供、取得、保管などを禁止しています。

実際に出題された問題

※問題文の著作権は独立行政法人情報処理推進機構（IPA）に帰属します。

令和3年 問32

a～cのうち、サイバーセキュリティ基本法に規定されているものだけを全て挙げたものはどれか。

a,サイバーセキュリティに関して、国や地方公共団体が果たすべき責務
b,サイバーセキュリティに関して、国民が努力すべきこと
c,サイバーセキュリティに関する施策の推進についての基本理念

【ア】a、b
【イ】a、b、c
【ウ】a、c
【エ】b、c

【解説】サイバーセキュリティ基本法には、基本理念、国や地方公共団体の責務、国民の努力などが規定されているので、a～cは全て規定されているものということになります。

令和3年 問30

情報の取扱いに関する不適切な行為a～cのうち、不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。

a,オフィス内で拾った手帳に記載されていた他人の利用者IDとパスワードを無断で使って、自社のサーバにネットワークを介してログインし、格納されていた人事評価情報を閲覧した。
b,同僚が席を離れたときに、同僚のPCの画面に表示されていた、自分にはアクセスする権限のない人事評価情報を閲覧した。
c,部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し、自分のPCで人事評価情報を閲覧した。

【ア】a
【イ】a、b
【ウ】a、b、c
【エ】a、c

【解説】不正アクセス禁止法は、不正アクセス行為や不正なアクセス行為を助長することを禁止しています。
a,他人の識別符号（IDやパスワードなど）を無断で利用しているので不正アクセス禁止法で定められている禁止行為に該当します。
b,他人の識別符号を無断で利用したわけではありませんし、他人の識別符号を取得したわけでもないので、不正アクセス禁止法で定められている禁止行為には該当しません。
c,USBメモリは前提条件であるアクセス制御機能を持つコンピューターであることを満たしていません。

平成31年春期 問24

刑法には、コンピュータや電磁的記録を対象としたIT関連の行為を規制する条項がある。次の不適切な行為のうち、不正指令電磁的記録に関する罪に抵触する可能性があるものはどれか。

【ア】会社がライセンス購入したソフトウェアパッケージを、無断で個人所有のPCにインストールした。
【イ】キャンペーンに応募した人の個人情報を、応募者に無断で他の目的に利用した。
【ウ】正当な理由なく、他人のコンピュータの誤動作を引き起こすウイルスを収集し、自宅のPCに保管した。
【エ】他人のコンピュータにネットワーク経由でアクセスするためのIDとパスワードを、本人に無断で第三者に教えた。

【解説】不正指令電磁的記録に関する罪は通称「ウイルス作成罪」と呼ばれており、マルウェア（悪意のあるソフトウェアの総称）を作成、提供、取得、保管などを禁止しており、正当な理由なく保管する行為は不正指令電磁的記録に関する罪に抵触します。ちなみに他の選択肢は、
【ア】著作権法に違反する行為
【イ】個人情報保護法に違反する行為
【エ】不正アクセス禁止法に違反する行為
となります。

平成30年秋期 問25

次の事例のうち、個人情報保護法の規制の対象にならないものはどれか。

【ア】金融商品販売会社の社員が、有名大学の卒業生連絡網を入手し、利用目的を公表又は本人に通知することなく、電話で金融商品の勧誘をした。
【イ】自治会の会長が、高層マンション建築の反対署名活動で収集した署名者宛てに、自らが経営する商店の広告用チラシを送付した。
【ウ】自動車修理工場の社員が、故障車のレッカー移動の際に知った顧客情報を基に、後日、その顧客宅に代理店契約している衛星放送の勧誘に訪れた。
【エ】徘徊（はいかい）していた認知症の老人が所持していたクレジットカードを基に、警察が本人の身元を特定して老人を自宅に送り届けた。

【解説】特定した利用範囲以外のことに利用する場合は、あらかじめ本人の同意を得なければならないので、【ア】～【ウ】は全て規制対象になります。但し、法令に基づく場合や、人の生命・身体・財産の保護に必要で本人の同意取得が困難であるときなどは同意が不要となるため、【エ】は個人情報保護法による規制の対象外です。

平成30年春期 問9

A氏は、インターネット掲示板に投稿された情報が自身のプライバシを侵害したと判断したので、プロバイダ責任制限法に基づき、その掲示板を運営するX社に対して、投稿者であるB氏の発信者情報の開示を請求した。このとき、X社がプロバイダ責任制限法に基づいて行う対応として、適切なものはどれか。ここで、X社はA氏、B氏双方と連絡が取れるものとする。

【ア】A氏、B氏を交えた話合いの場を設けた上で開示しなければならない。
【イ】A氏との間で秘密保持契約を締結して開示しなければならない。
【ウ】開示するかどうか、B氏に意見を聴かなければならない。
【エ】無条件で直ちにA氏に開示しなければならない。

【解説】掲示板やSNSなどにおいて個人情報の流出や誹謗中傷などがあった場合に、プロバイダ責任制限法に基づき発信者情報の開示を請求することができますが、情報の開示には発信者の同意が必要となります。

平成30年春期 問8

企業におけるマイナンバーの取扱いに関する行為a～cのうち、マイナンバー法に照らして適切なものだけを全て挙げたものはどれか。

a,従業員から提供を受けたマイナンバーを人事評価情報の管理番号として利用する。
b,従業員から提供を受けたマイナンバーを税務署に提出する調書に記載する。
c,従業員からマイナンバーの提供を受けるときに、その番号が本人のものであることを確認する。

【ア】a、b
【イ】a、b、c
【ウ】b
【エ】b、c

【解説】マイナンバーは、「社会保障」、「税」、「災害対策」の法令で定められた手続のためだけに利用できるもので、その際には本人のものであることを確認するための措置をとらなくてはなりません。したがって、a,の人事評価情報の管理番号として利用することは不適切です。