ISO27001における法的要求事項とは

ISO27001 を取得するにあたっては、規格 が求める要求事項の他に法律で求められる要求事項——つまり法的要求事項 についても注意しておく必要があります。

では、一体どのような法律に注意すべきなのでしょうか？ 今回は、ISMSにおける法的要求事項に該当する法令に関してご紹介していきたいと思います。

改正個人情報保護法

改正個人情報保護法は、2005年に施行された個人情報保護法を2017年に改正したものです。背景としては、近年のテクノロジーの進歩によって従来の個人情報保護法ではカバーしきれない部分が出てきたというものがあります。

改正個人情報保護法での改正のポイントは以下の3つです。

• 個人情報の定義
• 小規模事業者への法律の適用
• トレーサビリティの義務

個人情報の定義

改正個人情報保護法では、個人情報の定義が変更されました。従来の生年月日や氏名に加えて、マイナンバー、指紋や声紋、運転免許証の番号など、ある特定の個人を識別することができる「個人識別符号」というものが個人情報に追加されたのです。

こういった情報は改正前には本人の同意無しに第三者に情報を提供することが可能でしたが、改正後は第三者への情報提供ができなくなりましたので、注意しましょう。

小規模事業者への適用

改正前の個人情報保護法は個人情報を多く取り扱う大規模な事業者のみに適用されるものでしたが、5000人以下の個人情報を取り扱う小規模な事業者に関しても個人情報保護の義務を果たす必要が出てきました。

トレーサビリティの義務

トレーサビリティとは、情報が追跡可能な状態であることを指します。要するに、個人情報が漏洩した場合にどのような状況で流出し、どこに情報が渡ってしまったのかということを記録しておく必要があるということです。

マイナンバー法

次に2016年に施行されたマイナンバー法についても注意が必要です。企業は労働者のマイナンバーを保管していると思いますが、マイナンバーは個人を特定することができる高度な情報であるため、それを管理する企業はしっかりとした情報セキュリティが求められます。

近年はセキュリティ対策が甘い中小企業が保有するマイナンバーを狙ったサイバー犯罪もあるため、法令遵守した上で自主的なセキュリティ強化に取り組む必要もあるかもしれません。

電子署名及び認証業務に関する法律

インターネットというものが私達の生活に広く普及し始め、電子署名というものが拡がってきました。——例えばクレジットカード決済も電子署名で決済可能であったり、企業と交わす契約書類などの電子化であったりもしますね。

こういった電子署名の取扱について定められた法律が電子署名及び認証業務に関する法律です。

「電子署名及び認証業務に関する法律」では、電子署名のされた「電磁気的記録（つまり、署名データ）」が手書きの署名や押印の付された文章と同じように扱われるということが定められています。——同様に、企業はこれを同等のものとして扱う必要があり、その署名が他社や第三者によって改変されない状態を保つ必要があります。

不正アクセス行為の禁止等に関する法律

会員登録が必要や、個人情報を取り扱うWEBサービスを提供する場合、IDやパスワードの入力を求めることが通常です。しかし、他社や他人のID・パスワードを入力してサービスを不正に利用しようとする組織や個人がいる可能性があります。

こういった不正アクセスをすることはもちろん、企業は簡単に不正アクセスがされないように、それを扶助する行為を行ってはならないということがこの法律では定められています。

例えば繰り返しIDやパスワードが入力できる場合、どこかのタイミングで不正アクセスが成功してしまう可能性があります。——こういった不正アクセスを防ぐセキュリティ体制というものが必要になるでしょう。

まとめ

ITの技術が進歩するに従って、情報セキュリティに関連する法令というのは整備されていきます。法律というのは、どうしても泥縄式になってしまうため、「法令が出てからでは遅い」というのが正直なところですが、さらにその後を追いかけるようなことは避けるべきでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。