大きく分けて情報セキュリティの本質は二つある。 それは「情報の流通が安全・確実に行われること」と「有意義な情報が他人に不正に使用されない」ことである。 前者では「発信した情報が確実に目的地に到達する」こと、「流通する情報が改ざんされていない」こと、「情報の流通経路が明確になる」ことがあげられる。つまり、「情報の安全な流通を妨げる」ことを規制することが目的である。

　後者は「情報の正当な権利者が保護される」こと、「情報流通により人の権利侵害が生じない」ことがあげられる。これは知的財産権に関する法律が主である。 今現在においてはインターネットという情報流通環境では現在の法律で対応できないことが多い。そのため、新しい法律として不正アクセス禁止法、電子署名法、認証法、プロバイダー責任法、迷惑メール規正法が立法された。 社会に求められ早急に立法化したがまだいろいろと課題が残る法律がある。

　まず不正アクセス禁止法では他人のコンピュータに不正にハッキングすること自体が犯罪である。日本では情報一般は保護されていないのに、住居侵入のようにコンピュータに不正にアクセスすること自体が犯罪となってしまう。 昨年11月に署名されたサイバー犯罪条約の国内法化の問題では、この条約が国内法化されるとハッキングツールやウィルスプログラムを作ること自体が犯罪になり、研究行為が行えなくなってしまう。刑事手続きの証拠として取り上げるために他人のネットワークのデータまでも取り出され、個人情報が覗かれる危険性も指摘される。 その他には情報の不正使用に対する諸法制として新しいコンテンツ保護と昔からの個人情報保護や企業秘密の保護、著作権法などがある。情報ネットワークではコンテンツが重要であり、有意義な情報が他人に利用されないことが必要である。

　もう少し大きく社会的に見ると個人情報保護制度とプライバシーとの関係がある。個人情報保護と聞くとプライバシーの保護を思い浮かべるが、実際のところ個人情報保護法ではプライバシーの考え方については触れられていない。個人情報保護法は「基本原則」と「個人情報取扱事業者の義務」の2つで構成されている。5つの基本原則として「利用目的の制限」、「適正な取得」、「正確性の確保」、「安全性の確保」、「透明性の確保」があります。今国会では表現の自由と知る権利で対立していて、マスコミは「適正な取得」と「透明性の確保」の2つだけを取り上げ、反発し表現の自由を侵害するものだと声高に主張している。 5000人以上の個人情報を扱う事業者を個人情報取扱事業者と定めており、これでは日本全国でかなりの団体が個人情報取扱事業者に含まれ政府の関与を受けることになる。これでは、個人情報を保護することより、事業者を規制することの側面が強くなってしまう。それでは本末転倒となるので、個人情報が漏洩した場合社会に甚大な被害をもたらす企業を中心に個人情報取扱事業者と定める方が好ましいと思う。さらに付け加えると個人情報保護法は民間も対象にしているが、個人情報のデータを多く持っている行政機関の方がまず先なのではないかと思う。

　行政に関しては住民基本台帳ネットワークの問題があげられる。住民基本台帳ネットワークシステムは、日本国内に住む国民全員に11桁の番号(住民票コード)を割り当て、国民の個人情報を統一的に管理、本人確認情報を提供しようとするシステムである。問題としては、統一番号が自分の知らないところで使われているかもしれない危険性やセキュリティに関する権限が不明確であること、各市町村の個別事情に即した費用対効果が全く検討されておらず、民間委託費用、セキュリティに関する費用、万が一の際の賠償費用が考慮されていないこと、公務員が個人情報に自由にアクセスできるという不安等がある。しかし、この法案は法の整備が整わぬまま8月施行されてしまう予定である。 不正競争防止法についてはドメインネームの保護や営業秘密の保護がある。例えば、個人が企業への営利目的での不正ドメインネーム取得等があげられる。

　私の感想としては法律を立法化するのが遅れがちだと感じました。確かに技術的な側面もある法律は問題点の洗い出しや検討も含まれるので時間はかかるが、他国はもうすでに実施しているものもある。先ほども述べたように不正アクセス禁止法や住民基本台帳ネットワークの問題を考えると、法律関係者だけでは決定することができず、業界との関わりも不可欠だと思う。さらに、コンピュータを利用している割合として圧倒的に多いユーザや民間の人などの実態から情報業界、法律関係者へと意見を押し上げていくことも必要だと思う。

セコムトラストネット株式会社
TS事業部 ソリューション推進部
技術推進グループ
鈴木 昭正