トップ > セキュリティインサイト > サイバーセキュリティ基本法とは?法改正の要点・企業が取るべき対策を含めて解説

サイバーセキュリティ基本法とは?法改正の要点・企業が取るべき対策を含めて解説

サイバーセキュリティ基本法の概要・要点・法改正の内容から実務への影響までをわかりやすく解説。企業・自治体が取り組むべき実践的対策も紹介します。

セキュリティインサイト ピックアップ

巧妙化するサイバー攻撃から情報資産を守るには、「形だけの対策」から「実効性ある防御」へ進化が必要です。あなたの組織の防御態勢は十分に整備されていますか?

2015年に施行された「サイバーセキュリティ基本法」は、複数回の法改正を重ね、国内の企業や自治体のデジタル防衛の要となっています。

当記事では、サイバーセキュリティ基本法の概要、最新の法改正ポイント、企業・自治体が今すぐ取り組むべき実践的対策、効果的なセキュリティツールまで幅広く解説します。

 

サイバーセキュリティ基本法とは?概要・適用対象・制定の背景を解説

サイバーセキュリティ基本法は、2015年に施行された日本初の包括的なサイバー対策に関する法律です。サイバー攻撃の脅威が拡大するなか、国の安全・経済基盤・国民の信頼を守ることを目的としています。

同法は5章と38条から構成され、サイバーセキュリティに関する施策を総合的かつ効率的に推進するための基本理念や基礎事項、国・地方公共団体・事業者・国民の責務、国の体制整備を定めています。

この法律は、技術対策だけでなく、組織や意識の面でも日本全体の対応力を底上げする点に意義があります。

 

適用対象

サイバーセキュリティ基本法は、デジタル社会を守るために幅広い組織や個人を対象としています。適用される主な対象は以下の通りです。

 

  • 国の行政機関
  • 独立行政法人・特殊法人・認可法人
  • 地方公共団体
  • 重要インフラ事業者
  • 民間事業者
  • 教育研究機関
  • 国民

 

同法では、直接的な規制対象は国の機関や重要インフラ事業者が中心となりますが、民間企業や個人にも責務や努力義務が設けられているのが特徴です。

インターネットが社会基盤となった現代において、官民一体となってサイバーセキュリティを確保することを目指しています。

 

制定背景

サイバーセキュリティ基本法が制定されたのには、以下のような背景があります。

 

  • 国際的なサイバー攻撃・脅威の深刻化
    国家機関や企業を標的とした攻撃が相次ぎ、重要なインフラが脅かされる事態も発生するなど、サイバー攻撃や脅威が深刻化したことが大きく影響しています。
  • 国内での情報漏えい事件多発
    国内では官公庁や地方自治体において、不適切な情報管理による情報漏えい事件が相次ぐなど、国家レベルでの制度的な枠組みが必要となったことも大きな理由です。
  • NISC(内閣官房情報セキュリティセンター)の設置
    国家としての対応力を強化するためのNISCが設置され、これを機にサイバーセキュリティ基本法が制定されました。

 

サイバーセキュリティ基本法の主な改正内容

サイバーセキュリティ基本法は、社会情勢やサイバー脅威の変化に対応するため、複数回の重要な改正が行われてきました。ここでは、その主な改正内容について時系列で解説します。

 

2016年(平成28年)改正

2016年の改正では、サイバー攻撃への備えを強化するために制度が見直されました。NISCの調査対象が中央省庁に限られていたため、2015年に発生した日本年金機構の個人情報漏えい事件への対応ができなかったことが発端です。

主な改正内容は以下の通りです。

 

  • NISCの調査権限・調査範囲を強化
    特殊法人や独立行政法人も調査対象に加え、対応範囲が拡大
  • 業務委託の柔軟化
    サイバーセキュリティ戦略本部の一部事務を外部機関に委託可能に
  • 専門人材の育成制度を創設
    国家資格「情報処理安全確保支援士」が新設され、セキュリティ対策の実行力を強化

 

これらの見直しにより、官民一体でのより広範なセキュリティ対策が可能となりました。

 

2018年(平成30年)改正

2018年の改正は、2020年の東京オリンピック・パラリンピックに向けて、国際的な注目が集まる中、日本ではサイバー攻撃のリスクが急速に高まったことが契機です。

主な改正点は次の通りです。

 

  • サイバーセキュリティ協議会の創設
    官民の多様な組織が連携し、情報共有や対策協議を行う枠組みを設置
  • 迅速な情報連携体制の強化
    国内外の関係者とリアルタイムで連携できる仕組みを整備
  • 外部法人等への委託の柔軟化
    戦略本部の業務の一部を外部の専門機関に委託可能となり、対応の柔軟性が向上

 

これらの改正により、官民一体となったより機動力のあるサイバー対策が実現しました。

 

2022年(令和4年)改正

2022年のサイバーセキュリティ基本法改正では、自治体の事故多発をはじめとしたサイバー攻撃の増加を契機に、幅広い分野での対策が強化されました。

主な改正点は以下の通りです。

 

  • 地方自治体の法的責任明記
    努力義務から、明確な責任を負う立場へと変更
  • 重要インフラ事業者の責務強化
    電力・交通・金融などの事業者に対し、安全対策の責務を強化
  • 戦略本部の権限拡大
    指導・助言・基準作成など対応範囲が拡大
  • 官民連携と情報共有体制の整備
    攻撃への対応を迅速化する仕組みを構築
  • リスク評価と報告体制の義務化
    インシデント発生時の対応手順を法的に整備

 

この改正により、社会全体での防御体制が一層強化されました。

 

地方自治法改正と新たな義務

2024年6月に行われた地方自治法の改正は、地方自治体の情報セキュリティ体制を大きく強化する内容となりました。主な改正点は以下の通りです。

 

  • 情報システム管理責任者の設置を義務化
    幹部職員を責任者に任命し、責任の所在を明確化
  • セキュリティポリシーの策定・更新を義務化
    適切なセキュリティ方針の制定、継続的な見直しを義務付け
  • 説明責任の強化
    システムの整備・運用・監査の説明責任を義務化
  • 現場任せの管理体制からの脱却
    経営層が直接関与し、法的責任を持つ体制へと移行
  • システム標準化・共同利用の推進
    情報システムの標準化・共同利用の義務を明記

 

これらの改正は、サイバーセキュリティ基本法の改正と連動している部分も多く、責任体制の明確化と統一的な管理水準の向上が実現されつつあります。

 

企業・自治体が取るべきセキュリティ対策

ここまで解説してきたサイバーセキュリティ基本法改正・地方自治体法改正を踏まえ、企業・自治体が取るべき具体的なセキュリティ対策を以下に解説します。

 

対策9か条の周知・徹底

以下の「対策9か条」とは、政府が示した企業・自治体・個人が実施すべきセキュリティ行動指針です。

 

  • OSやソフトウェアは常に最新の状態にする
  • パスワードは長く複雑にし、使い回さない
  • 多要素認証を利用する
  • 偽メールや偽サイトに騙されないよう注意する
  • メールの添付ファイルやリンクに注意する
  • スマホやPCの画面ロックを利用する
  • 大切な情報はバックアップしておく
  • 外出先での紛失・盗難・覗き見に注意する
  • 困った時は一人で悩まず相談する

出典:サイバーセキュリティ対策9か条|NISC

 

対策9か条はかつては努力義務とされていましたが、近年では官公庁・自治体・BtoG企業にとっては、遵守していない場合は取引や入札ができないレベルまで重要性が高まっています。

上記を徹底することで、多くのサイバー攻撃や情報漏えいの被害を未然に防ぐことができるため、セキュリティ対策の基本として従業員に周知・徹底しておくことが重要です。

 

経営層主導のガバナンス強化・方針策定

サイバー攻撃が企業経営に深刻な影響を与える現在においては、情報セキュリティ対策は現場任せにするのではなく、経営層がリーダーシップを発揮し、先陣を切って推進していくことが重要です。

具体的には、経営層がITガバナンスや情報セキュリティに関する実行責任と説明責任を負い、セキュリティ方針の策定と組織体制の整備を行います。セキュリティ基本方針の策定後は、全従業員に周知徹底を行うことも忘れてはなりません。

また、ガバナンス・方針は一度策定して終わりではなく、PDCAサイクルを回して常にブラッシュアップし続けることが重要です。

このように経営層が本気で取り組むことで、セキュリティ重視の組織文化が根付き、実効性のある情報セキュリティ対策が可能となります。

 

情報資産の把握とリスク評価

効果的な情報セキュリティ対策を進めるには、まず情報資産を正確に把握し、リスクを評価することが必須です。企業や自治体が扱うデータは「デジタル資産」であり、保護すべき対象を明確化することが出発点となります。

施策は、以下のような流れで進めるのがおすすめです。

 

  1. 情報機器・業務システム・保有データなどを一覧化し、情報資産を整理・把握
  2. 各情報資産について「機密性」「完全性」「可用性」の観点でリスクを評価
  3. 評価結果をもとに対策の優先順位を決定

 

情報資産の状況は変化し続けるため、サイクルを定期的に繰り返すことで、セキュリティ事故を未然に防ぐことができます。

 

技術的・人的・物理的な多層防御を展開

多層防御とは、「入口」「内部」「出口」といった複数の段階でセキュリティ対策を重ね、より強固な防御体制を目指す施策です。現代の高度化・複雑化したサイバー攻撃に対応するための基本戦略となります。

主な取り組みは以下の3点です。

 

  • 技術的対策
    ファイアウォール・暗号化・アクセス制御などを組み合わせ、不正な侵入を検知・遮断
  • 人的対策
    従業員への教育や訓練を通じ、ヒューマンエラーや内部不正のリスクを低減
  • 物理的対策
    入退室管理・監視体制の強化・物理的なアクセス制限などで、不正な物理アクセスを防止

 

このように、多層防御では複数の対策を重ねることで、容易に突破されない「防御の層」を築きます。

 

サイバーセキュリティ対策には「D.AMO」がおすすめ

サイバー攻撃の脅威増大に対応するため、サイバーセキュリティ基本法は複数回の改正を重ね、適用範囲と実効性を強化してきました。地方自治法の改正により、管理体制の底上げも全国的に加速しています。

ペンタセキュリティのデータ暗号化プラットフォーム「D.AMO」であれば、多様なシステム環境およびあらゆるレイヤーに対し高度な暗号化対策を実装することが可能です。

「守るべき情報資産」に対する対策は信頼性にも直結するため、サイバーセキュリティ対策を強化したい企業や自治体の方は、ぜひ検討してみることをおすすめします。

関連記事
#サイバーセキュリティ基本法 #改正

PentaSecurity


コメントを書く