セキュリティ

サイバーセキュリティ関係法令Q&Aハンドブックとは? 経営者・情シス担当者が押さえるべき要点を解説

#法令遵守#サイバーセキュリティ基本法#個人情報保護法#NISC#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「サイバーセキュリティ対策は技術の話であって、法律はあまり関係ないのでは?」——そう考えている経営者やIT担当者は少なくありません。しかし実際には、個人情報の漏えい時の報告義務、取締役の善管注意義務、営業秘密の管理要件など、セキュリティと法律は密接に結びついています。

内閣官房内閣サイバーセキュリティセンター(NISC)が公開している「サイバーセキュリティ関係法令Q&Aハンドブック」は、こうしたセキュリティに関わる法令をQ&A形式で87問にわたり解説した資料です。2020年3月にVer1.0が公開され、2023年9月にVer2.0へ改訂されました。2025年1月には商事法務から書籍版も刊行されています。

本記事では、このハンドブックの全体像を紹介した上で、中小企業の経営者やIT担当者が特に把握しておくべきポイントを解説します。

ハンドブックの位置づけと対象読者

このハンドブックは、サイバーセキュリティ対策を進める上で「どの法律が」「どの場面で」関わってくるのかを整理するために作られたものです。NISCの委託のもと、弁護士・法学者などの専門家チームが執筆しており、法令の条文を実務に即した形で解説しています。

対象として想定されているのは、企業の法務部門、経営層、経営層をサポートするIT部門やセキュリティ部門の担当者です。ただし、法律の専門家でなくても理解できるよう平易な記述を心がけたとされており、中小企業のIT担当者にとっても有用な内容になっています。

なお、本ハンドブックは2023年1月1日時点の法令を基準としています。個人情報保護法については令和5年4月1日施行の改正法が基準です。法改正が続く分野でもあるため、最新の状況と合わせて参照することが重要です。

全87問の構成 ― 14のテーマ領域

ハンドブックは全87問で構成されており、14のテーマ領域に分かれています。Ver1.0の73問から14問が追加され、ランサムウェア対応やサイバー保険、重要インフラ規制など、近年注目度の高いトピックが拡充されました。

全体の構成は以下のとおりです。

1. サイバーセキュリティ基本法(Q1〜Q2)

サイバーセキュリティの法的定義と、サイバーセキュリティ基本法の概要を解説しています。サイバーセキュリティ基本法は2014年に制定された法律で、「情報」「情報システム」「情報通信ネットワーク」の3つを対象とした「サイバーセキュリティ」の定義を置いています。

ただし、この法律は基本法であり、民間企業に直接的な義務を課すものではありません。実務上は、個人情報保護法や不正競争防止法といった個別の法令が企業の具体的な義務を規定しています。

2. 会社法と経営者責任(Q3〜Q6)

会社法に基づく内部統制システムとサイバーセキュリティの関係を解説しています。取締役には善管注意義務の一環としてサイバーセキュリティ体制を構築する義務があり、セキュリティインシデントが発生した場合に体制の不備があれば損害賠償責任を問われる可能性があります。

中小企業の経営者にとって見落としがちなのは、この責任は「攻撃を100%防げなかったこと」ではなく、「合理的な対策を講じていたかどうか」が問われる点です。適切な体制整備と監査の仕組みを持つことが、経営者自身のリスク低減にもつながります。

3. インシデント対応と報告義務(Q7〜Q9)

サイバーセキュリティインシデントが発生した際に、どの機関に何を報告しなければならないかを整理しています。Ver2.0で拡充されたパートの一つです。

個人情報保護法では、個人データの漏えい等が発生した場合に個人情報保護委員会への報告と本人への通知が義務づけられています。報告は「速報」(発覚後おおむね3〜5日以内)と「確報」(30日以内、不正アクセス等は60日以内)の2段階で求められます。

金融商品取引法上の適時開示義務がある上場企業はもちろんですが、非上場の中小企業でも個人情報保護法上の報告義務は適用されます。「うちは上場していないから関係ない」という認識は危険です。

4. 個人情報保護法(Q10〜Q19)

個人データの安全管理措置を軸に、委託先の監督、クラウドサービスの利用、マイナンバーの取扱いなど幅広い論点を扱っています。

中小企業が特に注意すべきは以下の3点です。

第一に、クラウドサービスの利用と個人情報保護法の関係です(Q12)。SaaSにデータを預ける行為が「第三者提供」に該当するか「委託」に該当するかで法的な取扱いが変わります。海外にサーバーがあるサービスを利用する場合は、外国にある第三者への提供に関する規制も考慮が必要です。

第二に、委託先の監督義務です(Q11)。個人データの取扱いを外部に委託する場合、委託元は委託先が安全管理措置を適切に講じているかどうかを監督する義務を負います。SaaS利用、BPO委託、IT運用の外注など、多くの中小企業が該当するテーマです。

第三に、マイナンバーの取扱いです(Q18)。特定個人情報であるマイナンバーには個人情報保護法よりも厳格な規制が適用されます。取得・利用・保管・廃棄の各段階で安全管理措置を講じる必要があります。

5. 不正競争防止法と営業秘密(Q20〜Q25)

自社の技術情報や顧客リストを「営業秘密」として法的に保護してもらうための要件と、サイバーセキュリティ対策との関係を解説しています。

営業秘密として法的保護を受けるには、秘密管理性・有用性・非公知性の3つの要件を満たす必要があります。このうち秘密管理性は「その情報が秘密であると客観的に認識できる程度の管理がなされていること」を意味し、アクセス権限の設定や「秘」の表示など、技術的・組織的な管理措置が求められます。

つまり、営業秘密として守りたい情報があるなら、セキュリティ対策は単なるリスク回避にとどまらず、法的保護の前提条件でもあるということです。

6. 労働法とセキュリティ(Q26〜Q34)

従業員に対するセキュリティ上の義務づけ、BYOD(私物端末の業務利用)、テレワーク、退職時の秘密保持・競業避止義務など、人的セキュリティに関する法的論点を幅広く取り上げています。

就業規則や誓約書でセキュリティに関するルールを定める際の留意点(Q26)、従業員のメールやPC操作をモニタリングする場合のプライバシー保護との兼ね合い(Q27)、テレワーク環境でのセキュリティ確保(Q29)など、中小企業でもすぐに直面する実務的な論点が多く含まれています。

特にQ32〜Q34の退職後の秘密保持・競業避止については、IT人材の流動性が高い現在、技術情報や顧客情報の持ち出しを防止する観点から重要性が増しています。

7. 情報通信・IoT・重要インフラ(Q35〜Q42)

電気通信事業法に基づく規制、IoT機器のセキュリティ、重要インフラ分野の規律など、業界固有のテーマを扱っています。

Ver2.0で新たに追加されたQ41では、14の重要インフラ分野(情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油)における安全管理や事故報告の規律を解説しています。取引先が重要インフラ事業者に該当する場合、サプライチェーンの一員として自社にも求められる対策水準が高まる可能性がある点に留意が必要です。

8. 契約とサイバーセキュリティ(Q43〜Q47)

電子契約、データ取引、システム開発ベンダの責任、クラウドサービスの利用契約、サプライチェーン・リスクなど、契約関連の法的論点を解説しています。

Q45のシステム開発ベンダの責任は、ITベンダーに開発を委託している中小企業にとって重要なテーマです。SQLインジェクションなどの脆弱性が放置されたシステムから情報漏えいが発生した場合、ベンダ側に重過失があれば損害賠償責任が認められた裁判例があります。

Q47のサプライチェーン・リスク対策も見逃せません。大企業のサプライチェーンに組み込まれた中小企業がサイバー攻撃の踏み台にされるケースが増えており、取引先からセキュリティ対策の要求水準が引き上げられる傾向にあります。

9. 資格・認証制度(Q48〜Q51)

情報処理安全確保支援士(登録セキスペ)やDX認定制度、ISO/IEC 27001、NIST SP800シリーズなど、セキュリティに関する資格・認証・規格を解説しています。

10. 各論(Q52〜Q59)

リバースエンジニアリング、暗号、輸出管理、情報共有の仕組み、脅威インテリジェンス、データ消去など、実務上遭遇し得る個別テーマを幅広くカバーしています。

Q59のデータ消去・機器廃棄に関する解説は、PCの入れ替えや廃棄を日常的に行う中小企業にとって実務的に重要です。個人情報保護法上の安全管理措置として、データ消去や機器廃棄の方法についても適切な手順を踏む必要があります。

11. インシデント対応の実務(Q60〜Q69)

メールの誤送信、データ漏えい時の損害賠償額の算定、ランサムウェア対応、サイバー保険、デジタル・フォレンジックなど、インシデント発生後の具体的な対応と法的論点を解説しています。

Q64のランサムウェア対応はVer2.0で新設されたもので、身代金の支払いに関する法的リスク(テロ資金提供処罰法との関係)や、取締役の経営判断としての善管注意義務など、実務で直面し得る難しい判断に関する法的な視点を提供しています。

Q65のサイバー保険も新設のテーマです。インシデント対応にかかる費用(フォレンジック調査、法律相談、顧客への通知、損害賠償)は中小企業にとって大きな負担になり得るため、サイバー保険への加入は検討に値します。

12. 民事訴訟手続(Q70〜Q75)

デジタルデータの証拠利用、営業秘密の立証、民事訴訟における秘密情報の取扱いなど、訴訟に発展した場合の手続上の論点を解説しています。

13. 刑事法(Q76〜Q83)

不正プログラム(ウイルス罪)、不正アクセス、フィッシングなど、サイバー犯罪に関する刑事法の規定を解説しています。自社がサイバー攻撃の被害者となった場合に、どのような刑事罰が適用され得るかを知っておくことは、捜査機関への被害届提出や告訴の判断に役立ちます。

14. 海外法令(Q84〜Q87)

GDPR(EU一般データ保護規則)、米国のCCPA/CPRA、中国のデータ安全法・ネットワーク安全法など、主要な海外法令を概説しています。海外拠点や海外顧客を持つ企業はもちろん、海外のクラウドサービスを利用している企業にも関わり得るテーマです。

中小企業が最優先で確認すべき10のQ

87問すべてを通読するのが理想ですが、まずは以下の10問を優先的に確認することをおすすめします。

経営判断に直結するもの:

  • Q4(取締役の責任):セキュリティ対策の不備が経営者の個人責任に発展し得る
  • Q64(ランサムウェア対応):身代金支払いの法的リスクと経営判断
  • Q65(サイバー保険):インシデント対応費用のリスクヘッジ

インシデント発生時に必要な知識:

  • Q7〜Q8(当局報告):漏えい発生時の報告義務と報告先
  • Q9(インシデントレスポンス):関係者への対応の全体像
  • Q66(デジタル・フォレンジック):証拠保全の重要性

日常運用で関わるもの:

  • Q10(安全管理措置):個人情報保護法が求めるセキュリティの水準
  • Q12(クラウドと個人情報保護法):SaaS利用時の法的整理
  • Q20(営業秘密の要件):秘密情報を法的に守るための管理要件
  • Q47(サプライチェーン・リスク):取引先から求められるセキュリティ水準

ハンドブックの入手方法

本ハンドブックは、国家サイバー統括室(NCO、旧NISC)のWebサイトからPDF版を無料でダウンロードできます。Ver2.0はHTML版も公開されており、ブラウザ上で各Qに直接アクセスすることも可能です。

また、2025年1月に商事法務から書籍版(税込4,400円)が刊行されています。PDF版と内容は同一ですが、B5版の書籍として手元に置いておきたい場合は書籍版も選択肢になるでしょう。

まとめ ― 法令を知ることはセキュリティ対策の出発点

サイバーセキュリティ関係法令Q&Aハンドブックは、セキュリティ対策の「法的な根拠」を体系的に理解するための資料です。技術的な対策と法的な対策は車の両輪であり、どちらかだけでは十分なセキュリティ体制は構築できません。

特に中小企業では、セキュリティ投資の必要性を経営層に説明する場面が多いはずです。「法律で求められている」「取締役の責任が問われ得る」という法的な視点は、予算確保の強力な根拠になります。

まずは上記で挙げた10問から読み始めて、自社に関わる法的リスクの全体像を把握することから始めてみてはいかがでしょうか。

情シス365では、セキュリティポリシーの策定からインシデント対応体制の整備まで、中小企業のセキュリティ対策を包括的に支援しています。法令対応を含めたセキュリティ体制の見直しをご検討の際は、お気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談