2020.09.17| オンラインジャーナル
会社存亡に関わるサイバーセキュリティをデジタル刑法学者が紐解く特別寄稿:組織内弁護士とサイバーセキュリティ
2. サイバーセキュリティとは?
サイバーセキュリティはサイバーセキュリティ基本法でも定義されている概念ですが,概ね情報セキュリティと同様に理解されています。情報セキュリティは,JIS 27000:2019 2.28によれば,情報の機密性,完全性及び可用性を維持すること,と定義されており,サイバーセキュリティ基本法上の定義と実質的に類似しています。
JISにおいては,機密性,完全性及び可用性の定義もなされていますが,これらを法的観点から捉えなおすとすれば,(もう少し包括的な定義もあり得るかもしれませんが,)①機密性とはデータが読み込まれないこと,②完全性とは情報の不可変更性や真正性,③可用性とは使用可能性だと理解することが可能でしょう(この点については西貝吉晃「情報刑法・序説」太田勝造編著『AI時代の法学入門』255-258頁(弘文堂,2020)も参照)。
電子文書の利用が浸透していけば,データの改ざん等に対する対応も,これからより一層重要になってくるでしょう(②の保護)。さらに,企業のサーバをダウンさせようとする攻撃に対する対処も従前と同様,重要です(③の保護)。同時に,企業が有している秘密の保護ないし管理も機密性の保護の観点から無視できません(①の保護)。
ここでは,機密性の保護との関係で,その捕捉範囲を勘違いしやすい不正アクセス禁止法に焦点を当てつつ,不正競争防止法上の営業秘密の保護との関係も考えつつ,情報の保護や管理のあり方を考えたいと思います。
3. 情報とはそもそも何か?
ここで,管理の対象となる情報とは何でしょうか?現在,我が国の法令は,様々な制度趣旨に基づいて,多様な観点から情報を保護しています。それぞれの法律の制度趣旨を踏まえつつ,それらの規制範囲の棲分けを考える道具概念を構築できるのなら,それは有用でしょう。
ここで,まず,民法,刑法といった基本法は,原則として情報の保護を間接的に行ってきているに留まります。例えば刑法においては,直接には物=有体物(例えば企業秘密が記載されたノート)を保護することによって,情報(企業秘密そのもの)を間接的に保護してきたわけです。このような評価が情報と物とを別次元で捉えるものであって,有体物か?非有体物としての情報か?といった二分論ではないことにお気づきでしょうか。
次に,サイバーセキュリティに関連する法制度を考える際にはデジタルデータの特徴を知っておくことが重要です。コンピュータで迅速に処理可能なデジタルデータは劣化なしの完全なコピーの容易性,改ざんの容易性といった技術的特性を有し,これが我々の社会・業務・生活に高度な利便性をもたらしたと同時に,情報の漏えいや改ざんについての重大な危険をも発生させています。こうしたデジタルデータに関しては,ルールさえ決めておけばどんな情報もデジタル化され得る,といわれることがあります。ここから,情報とは,データの意味や内容(コンテンツ)であって,データ(表現)それ自体とは異なることを学べます。
三分法の提案から不正アクセス禁止法等の分析へ>