セキュリティ対応に関するルールづくりは、通常の社内でのルール作りと法律上でルールを作る場合は、ちょっと考え方は違います。
今回はセキュリティ対策を政策など、全体で進める場合の進め方について何回かに分けて、私案をまとめてみたいと思います。
まず本論に先立ち、社内でのセキュリティ統制であれば、以下のような3ステップをイメージするとします。
①ポリシーや規約をまとめる。必要に応じてなぜこのルールが必要なのか、対象となるリスクを明示しておく。
②各組織で個別にセキュリティ推進を待つ。必要に応じて第2ラインが必要な支援を行う。
③監査権限を持つ組織が、独立して監査を行い、第3者視点での支援を行う。
- 何のための取り組みなのか?関係者はだれか?
- 施策を進める上で、どんな法律的なルールが必要になるのか。(現在のルールや規制が、セキュリティ対策上、何が障壁になっているのか)
- 施策を推進する中で、事業運営の透明性を示しつつ、関係者への理解と巻き込みを推進
例えば、セキュリティ対策の場合、組織外の人向けのセキュリティ対策を進めようとすると、通信の秘密が障壁になることがあります。
通信の秘密についての説明資料があります。
https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2018/kaizoku/benkyoukai/siryou4.pdf
まず日本国憲法第21条2項で検閲の禁止の中で、通信の秘密に言及されています。
つまり、サイバー対策を進めるにあたり、通信事業者を枠組みに加えると非常に対策が進みそうなのですが、特定の通信に通常通信との明確な区別がなければ、サイバー攻撃も通信の一部として、日本の法律の規定の中では、憲法並びに電気通信事業法の中で通信の秘密を侵していないことを明示する必要があります。
しかし、いくらこれでは、何もセキュリティ対策が進まないのではないかとのことから、上記の法律の違法性が阻却される例が規定されています。(違法性が阻却されるだけで、業務でも無ければ、褒めてもらえるようになると、もう少しみんなのモチベーションが上がるように思うのですが。)
この、通信の秘密への対応は、サイバー対策に通信事業者を加えるときの、対策を検討する前提条件というか、環境条件のように考えていただければいいと思います。
ここまでが、基本的な枠組みなので、次からは、具体的な事例に即して、考えを整理してみたいと思います。