IOT時代におけるサイバーセキュリティの法律と対策

サイバーセキュリティが重要になっている

現代社会では、どんな企業や個人でもなんらかの形で必ずネットワークにつながっています。

IOT技術も、どんどん普及し、我々の私生活やビジネスでも、様々な面でインターネットとつながっています。

一方で、そのような状況は、いつどのような形でサイバー攻撃を受けるか分からないという状況でもあります。

ここで問題になるのが、サイバーセキュリティに関する法律問題です。

具体的には、以下の２つが挙げられます。

1. サイバー攻撃等を行った側の責任
2. サイバー攻撃等を受ける側の責任

日本の法律としては、2016年10月からサイバーセキュリティ基本法が施行されています(2018年12月改正法成立)。

同法に基づきサイバーセキュリティ戦略も閣議決定されており、内閣サイバーセキュリティセンター(NISC)がサイバーセキュリティ政策に関する総合調整等を行っていますが、具体的な施策レベルの対応についてはまだ十分とはいえません。

サイバー攻撃を行った側の責任

サイバー攻撃等を直接行った者は、民事上の責任を負うことは当然ですが、刑事上の責任も負います。

不正アクセス禁止法でも禁止されていますし、不正アクセスにより営業秘密を取得した場合には不正競争防止法違反、刑法(電磁的記録不正作出及び供用、不正指令電磁的記録作成・取得, 電子計算機使用詐欺など)などにより処罰されることになります。

もっとも、サイバー攻繋は海外からの攻撃(あるいは海外のサイトを踏み台とした攻略)が中心であり、攻撃の痕跡から犯人を特定することは技術的に困難であることが多いのが現状です。

また当該犯罪行為を裁判所において立証することは、専門的知識が必要であるだけでなく、立証のための方法論が確立していないこともあり、現状では非常に難しいのが現実です。

サイバー攻撃の目的が情報を盗み出すことにある場合、その情報自体に非常に価値があることが多いと考えられますが、日本の刑法においては基本的に「情報」を盗み出すことは「窃盗」には該当しないとされています。

サイバー攻撃の侵入を許した側の責任

IoTの世界でサイバー攻撃を受けた場合、直接攻撃を受けてシステムに侵入された者だけが被害者になるのではありません。

その被害者とネットワークでつながっている第三者も被害者になるのです。そのような場合には、以下の事業者も、責任を負う可能性があります。

• セキュリティが不十分な IoT機器を製造したメーカー
• そのような IoT機器を特に対策も取らずに使用を継続したユーザー
• 安全でない通信サービスを提供したネットワーク事業者
• 新型ウイルスを検知できないアンチウイルスソフトのベンダー
• サイバー攻撃の兆候を見逃した企業のシステム管理者
• サイバー攻撃を受けた際に適切な対応を取れなかった経営者

サイバー攻撃を受けた場合の経営者の責任

サイバー攻撃を受けると企業には重大な金銭的被害やイメージの低下などの関連被害が発生します。

そのような損害が発生した企業の経営陣は、サイバーセキュリティ対策が不十分であったことが善管注意義務違反を構成するとして、株主代表訴訟等により株主などから法的責任を追及されるリスクがあります。

なお、経済産業省は、企業経営者ために、 「サイバーセキュリティ経営ガイドライン」を公表しています。

• サイバー攻驚から企業を守る視点で経営者が認識する必要のある 「3原則」
• 経営者が情報セキュリティ対策を実施する上での資任者となる担当幹部に指示すべき「重要10項目」

ＩＯＴ事業者には、セキュリティ対策が義務化

IoT機器のセキュリティについては、総務省が電気通信事業法に基づく端末機器の技術基準を定める省令が改正され、2020年4月から IoT機器向けの一定のセキュリティ対策が義務化されることになります。

このように、サイバー攻撃におけるセキュリティ対策は、必須のものになっていきますので、事業者としては、注意するようにしましょう！