サイバーセキュリティ基礎論 ―

サイバーセキュリティ基礎論
― IT社会を生き抜くために ―
3.法律を知る
法律を知る
•
•
•
•
•
•
•
•
•
•
刑法
不正アクセス行為の禁止等に関する法律
著作権法
電子署名及び認証業務に関する法律
特定電子メールの送信の適正化等に関する法律
有線電気通信法
電波法
個人情報保護法
クラウド利用と外国の法律
九州大学でのセキュリティに関する規定など
本日の講義の主な参照元
• http://ja.wikipedia.org
• http://www.ipa.go.jp
刑法
• 刑法(けいほう、明治40年法律第45号)は、犯罪に関する総則規
定および個別の犯罪の成立要件やこれに対する刑罰を定める
日本の法律。明治40年(1907年)4月24日に公布、明治41年
(1908年)10月1日に施行された。広義の「刑法」と区別するため、
刑法典とも呼ばれる。日本において、いわゆる六法を構成する
法律の一つであり、基本的法令である。ただし、すべての刑罰法
規が刑法において規定されているものではなく、刑事特別法な
いし特別刑法において規定されている犯罪も多い。
• 1987年の改正で、コンピュータ犯罪を防止するための3法が追加
• 電子計算機損壊等業務妨害罪
• 電磁的記録不正作出及び供用罪
• 電子計算機使用詐欺罪
• コンピュータやデータの破壊や改ざんには刑事罰が科せられる
不正アクセス行為の禁止等に関
する法律
• 不正アクセス行為の禁止等に関する法律(ふせい
アクセスこういのきんしとうにかんするほうりつ、平
成11年8月13日法律128号)は、インターネット等の
コンピュータネットワーク等での通信において、不
正アクセス行為とその助長行為を規制する日本の
法律。略称は不正アクセス禁止法など。
• 1999年(平成11年)8月13日公布、2000年(平成12
年)2月13日施行。最近改正は2013年(平成25年)
5月31日で、施行も同日。
不正アクセス行為の禁止等に関する法律
• 他人の識別符号を不正に取得する行為の禁止、処罰
• 不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはな
らない(4条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条1号)。
• 平成24年改正で新たに禁止された。
• 不正アクセス行為を助長する行為の禁止、処罰
• 何人も、業務その他正当な理由による場合を除いては、他人の識別符号(パスワード等)
を、アクセス管理者及び利用権者以外の者に提供してはならない(5条)。違反者は1年以
下の懲役又は50万円以下の罰金に処せられる(12条2号)。
• 平成24年改正で、どの特定電子計算機の特定利用に係るものであるかが明らかでない
識別符号を提供する行為も新たに禁止された。
• 他人の識別符号を不正に保管する行為の禁止、処罰
• 何人も、不正アクセス行為の用に供する目的で、不正に取得された他人の識別符号を保
管してはならない(6条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる
(12条3号)。
• 平成24年改正で新たに禁止された。
• 識別符号の入力を不正に要求する行為の禁止、処罰
• フィッシングサイト構築(7条1号)と電子メール送信(7条2号)によるフィッシング行為を禁
止する。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条4号)。
• 平成24年改正で新たに禁止された。
• アクセス管理者による防御措置
• アクセス管理者は、以下の措置を行う努力義務がある(8条)。罰則はない。
• 1.識別符号等の適切な管理
• 2.アクセス制御機能の検証および高度化
• 3.その他不正アクセス行為から防御するために必要な措置
著作権法
• 著作権法(ちょさくけんほう、昭和45年法5月6日律第48号)は、知
的財産権の一つである著作権の範囲と内容について定める日本
の法律である。
• ダウンロード違法化(ダウンロードいほうか)はこれまで合法だった、
違法にアップロードされたコンテンツのダウンロードを違法化するこ
とである。
• 2010年1月1日に施行された著作権法の改正により、音声及び映像に関して、
違法コンテンツと知りながらダウンロードする行為が違法となった。この改正
を機に、以後発売されたコンピュータゲームで、起動時に「ゲームソフトを複
製・アップロードすることは違法である」「(違法であることを知りながら)ダウ
ンロードするのは処罰の対象になる」旨の注意書きが表示されるようになっ
た。
• 違法ダウンロード刑事罰化
• 2010年1月1日に施行された改正案では違法コンテンツと知りつつダウン
ロードした場合の罰則は見送られたが、2012年5月ごろには、罰則を導入す
ることが検討されていた。
• 2012年6月20日、参議院文教科学委員会は、著作権法改正案を採決の結
果、全会一致で本会議に送付した。同日、参議院本会議において、ダウン
ロード刑事罰化をはじめとして、「アクセスコントロール技術を施したDVDや
ゲームソフトのリッピングの違法化」や「アクセスコントロール技術を解除す
る機器やソフトウェアの販売禁止」を盛り込んだ改正案を、賛成多数で可
決・成立した。同改正案は2012年10月1日に施行された。
電子署名及び認証業務に関する
法律
• 電子署名及び認証業務に関する法律(でんししょ
めいおよびにんしょうぎょうむにかんするほうりつ、
平成12年5月31日法律第102号)は、電子署名が
署名や押印と同等の法的効力を持つことを定めた
法律。略称は電子署名法(でんししょめいほう)。
2001年4月1日施行。
特定電子メールの送信の適正化
等に関する法律
• 特定電子メールの送信の適正化等に関する法律(とくていで
んしメールのそうしんのてきせいかとうにかんするほうりつ)は、
無差別かつ大量に短時間の内に送信される広告などといった
迷惑メールを規制し、インターネットなどを良好な環境に保つ
為に施行された、日本国における法律。
• 罰則
• 以下、主なものを挙げる。なお、平成20年法改正により、一部
の違反につき法人に対する罰金が大幅に引き上げられた。
• 1年以下の懲役又は100万円以下の罰金(法人は3000万円以下の罰
金)
• 送信者情報を偽った時(34条1号)
• 7条の規定に基づく措置命令(受信者の同意等の記録保存に関するものを
除く)に違反した場合(同条2号)
• 100万円以下の罰金
• 7条の規定に基づく措置命令(受信者の同意等の記録保存に関するものに
限る)に違反した場合(35条1号)
• 28条1項の規定に基づく報告・検査の拒否、もしくは虚偽の報告をした場合
(同条2号)
有線電気通信法
• 有線電気通信法(ゆうせんでんきつうしんほう)は、日本に
おける有線電気通信設備の設置や使用を規律する法律で
ある。
• 有線電気通信設備を設置しようとする者は、設置の工事の
開始の日の2週間前まで(工事を要しないときは、設置の
日から2週間以内)に、この法律に基づき、総務大臣に届け
出なければならない。
• ただし、事業用電気通信設備、同一構内又は同一建物内
に設置するもの、警察事務、消防事務、水防事務、航空保
安事務、海上保安事務、気象業務、鉄道事業、軌道事業、
電気事業、鉱業の業務を行う者が設置するものなど、一定
の設備については届け出を要しない。
電波法
• 電波法(でんぱほう、昭和25年5月2日法律第131
号)とは、電波の公平かつ能率的な利用を確保す
ることを目的とする法律である。
個人情報保護法
• 個人情報の保護に関する法律(こじんじょうほうのほごにかんするほう
りつ)は、個人情報の取扱いに関連する日本の法律。略称は個人情報
保護法。
• 2003年(平成15年)5月23日に成立し、一般企業に直接関わり罰則を
含む第4〜6章以外の規定は即日施行された。2年後の2005年(平成17
年)4月1日に全面施行した。
• 個人情報保護法および同施行令によって、5,000件以上の個人情報を
個人情報データベース等として所持し事業に用いている事業者は個人
情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告や
それに伴う改善措置に従わない等の適切な対処を行わなかった場合
は、事業者に対して刑事罰が科される。
• 個人情報を取り扱う事業者の遵守すべき義務を規定
• 個人情報
• 氏名、生年月日その他の記述により特定の個人の識別が可能な情報
• 本人の了解なしに個人情報の流用、売買、譲渡することを規制
クラウド利用と外国の法律
(経済産業省より)
• データの物理的保存場所がわからない場合がある
• 海外の大規模クラウド事業者が提供するサービスの場合、自分の
データがどの国に設置されたサーバに保存されているかを特定で
きない場合がある
• 法規制上の制約(後述)や、司法の実効性を考えた場合、国内の
サーバに保存することを確約する事業者を選択することも必要
• 米国愛国者法(USA Patriot Act)
• 2001年9月11日に発生した同時多発テロ事件を受け、捜査機関の
権限の拡大や国際マネーロンダリングの防止、国境警備、出入国
管理、テロ被害者への救済などについて規定
• テロリズムやコンピュータ詐欺及びコンピュータ濫用罪に関連する
有線通信や電子的通信を傍受する権限を明記するとともに、捜査
機関は金融機関やプロバイダの同意を得れば、裁判所の関与を
求めることなく操作を行うことができることを規定
• 米国サーバにデータを保存する場合は、政府機関の捜査権限が大きい
ことに留意が必要
• クラウドサービスを利用する場合、仮想的に分離された環境であっても、
他ユーザと物理的に同一のサーバ機器などを共有している場合がある
ため、他ユーザが捜査を受けることで、自社もシステム停止などの影響を
受けるリスクがある
九州大学でのセキュリティに関す
る規定など
• 九州大学セキュリティポリシ
• 九州大学倫理規定
• 企業コンプライアンス
• 企業コンプライアンス(きぎょうコンプライアンス、
corporation compliance)とは、コーポレートガバナンス
の基本原理の一つで、企業が法律や内規などのごく基
本的なルールに従って活動すること。ビジネスコンプラ
イアンスという場合もある。「コンプライアンス」は「企業
が法律に従うこと」に限られない「遵守」「応諾」「従順」
などを意味する語だが、以下では主にこの語を使う。
• 企業 = 九州大学
課題
• 九州大学のセキュリティポリシと倫理規定を探し、
読んでみましょう。
• 読んだ感想を書いてください。
• 九州大学のITに関する規定や、我が国のITに関す
る法律を知って、今後気をつけようと思うことを書
いてください。