サイバーセキュリティの定義

サイバーセキュリティ基本法の定義に よると、

「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

ということになります。

この概念をどう位置づけるかということになります。

まず、現代における「サイバーオペレーション」などで議論されている実際にサイバー的な手法から引き起こされる実害の問題というのは、定義の外になっているということがいえます。(この点は、ITリサーチ・アートで、今後、細かく分析していくことにします)

まずは、コンピュータセキュリティの議論の、アクセス制御のなされたシステムのCIAを問題にしているということはいえるでしょう。

普通だと、機密性、インテグリティ、可用性を定義に使うところでしょうが、「情報の漏えい、滅失又は毀損の防止」を定義にもちいるところが、フェイントです。機密性だと、単なるハッキングでもアクセス制御侵害になるのですが、アクセスのみでは、基本法の対象にならないのか、とつっこまれるところです。あとは、改竄がはいってこないんですけど、というグチも聞けそうです。

ここで、逆に「セキュリティ」はセキュリティだと開き直って「安全性及び信頼性の確保のために必要な措置」ということで、セキュリティ措置がほどこされている仕組みの保護がうたわれます。これは、これで、上の思いつきのような定義を風呂敷のように包むものということができるでしょう。

経済産業省では、いまのところ、情報システム安全対策基準の定義が包括的でしょうか。「情報システム安全対策基準」では、「情報システムの機密性、保全性及び可用性を確保することを目的として」います。このようなほうがすっきりしているような気がします。議員立法としても、そのマッチングをみていてもいいかと思います。

総務省的にも、通信の信頼性として、漏洩の防止と否認防止性の確保を定義にいれても、いいかと思います。

議員立法だからといって、各省庁のいままでの行いとのマッチングがとれてなくてもいいのかなあ、と思ったりします。

頼まれたら、会社のロビイングの相当フィーの額をお支払いいただければ、コメントと改正のサジェストはいたします。議員さんには、厳しいのでしょうけど、日本の法律がそのようなレベルでいいのかという話は残り そうです。

 

 

 

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook