サイバーセキュリティ基本法

これまで日本において、官民における統一的・横断的な情報セキュリティ対策の推進は、情報セキュリティ政策会議及び内閣官房情報セキュリティセンター（NISC）が担ってきた。これらの組織は、高度情報通信ネットワーク社会形成基本法（IT基本法）を根拠とする高度情報通信ネットワーク社会推進戦略本部（IT総合戦略本部）の本部令に基づいて、2005年に設置された。しかし、インターネットやその他の高度情報通信ネットワークの活用が進展するに伴い、世界的規模でサイバーセキュリティに対する脅威が深刻となっている（※１）。

このような中、「情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、（中略）サイバーセキュリティに関する施策を総合的かつ効果的に推進」（第1条）することを目的として、サイバーセキュリティ基本法が成立した。この法律において「サイバーセキュリティ」とは、電子データの漏えい、滅失又は毀損の防止など安全管理のために必要な措置と、情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていることと定義されている（第2条）。サイバーセキュリティの推進にあたっては、「サイバーセキュリティ戦略本部」を設置し、「サイバーセキュリティ戦略」を定めることとしている。これによって日本のサイバーセキュリティ推進体制は、IT総合戦略本部からサイバーセキュリティに関する機能をサイバーセキュリティ戦略本部に移管し、国家安全保障会議を合わせた3組織が緊密に連携する体制となる（図表）。また、「サイバーセキュリティ戦略」は、サイバーセキュリティに関する施策についての基本的な方針等を定めるもので、閣議の決定を必要とする（第12条）。

サイバーセキュリティに関する施策の推進は、国及び地方公共団体だけでなく、「重要社会基盤事業者」等の多様な主体と連携するとされている。この「重要社会基盤事業者」とは、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者」（第3条）とされており、具体的には「情報通信」「金融」「航空」「鉄道」「電力」「ガス」「政府・行政サービス（地方公共団体も含む）」「医療」「水道」「物流」「化学」「クレジット」「石油」といった各分野の事業者となる（※２）。この法律においては、いわゆる武力攻撃事態対処法（※３）に規定する「緊急事態」に相当するようなサイバー攻撃の可能性に言及しており、その法制上の措置について検討することとされている（附則第3条）。重要社会基盤事業者に対するサイバー攻撃は、「国及び国民の安全に重大な影響を及ぼす」（武力攻撃事態対処法第24条）ことも想定され、国家安全保障上もその対策の重要性が認識されている。

そのような脅威から国民生活及び経済活動の基盤を防御する能力の一層の強化を図るため、国は、研究開発の推進、人材の確保、教育・普及啓発、国際協力の推進などの施策を講じることとされている（第20条～第23条）。われわれ国民には、「サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払う」（第9条）という努力義務が課されている。

（※１）世界経済フォーラムの報告によると、サイバー攻撃（Cyber attacks）の顕在リスクは水危機（Water crises）や気候変動（Climate change）と同等程度であり、影響度は政情・社会不安（Political and social instability）や所得格差（Income disparity）と同等程度とされる。World Economic Forum, Global Risks 2014, Jan. 16th 2014

（※２）情報セキュリティ政策会議「重要インフラの情報セキュリティ対策に係る第３次行動計画」（平成26年5月19日）

（※３）「武力攻撃事態等における我が国の平和と独立並びに国及び国民の安全の確保に関する法律」（平成15年法律第79号）

（2014年12月24日掲載）