情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格

知的財産権ですが、産業財産権と著作権に分けられます。産業財産権には、特許権、実用新案権、意匠権、商標権があります。情報処理技術者試験では、特に著作権法が問われます。
知的財産権
※各権利の解説は特許庁のサイト(https://www.jpo.go.jp/seido/s_gaiyou/chizai02.htm)から引用

1.著作権とは
著作権法では、著作権の定義として「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するものをいう」とあります。
分かりやすいのが、小説や音楽、絵画、建築などによる著作物があります。
情報セキュリティスペシャリスト試験_著作物

2.著作権で保護されるもの
過去問(H24秋FE午前)を解いてみましょう。 
問79 著作権法で保護されるものはどれか。
ア アルゴリズム
イ コンパイラのプログラム
ウ プログラム言語
エ プロトコル
正解は、イのコンパイラのプログラムです。これは、プログラム言語でかかれたプログラムそのものと考えてください。
プログラムとアルゴリズムは著作物とはみなされません。ですが、プログラム言語で作成したプログラムそのものは、著作物で保護されます。

3.ソフトウェアの著作権の帰属先は?
2つの観点で考えましょう。
観点A:会社の業務で開発したソフトウェアの著作権は誰の物?
観点B:ソフトウェア会社に開発を委託した場合の著作権は誰のもの?

どちらも、過去問をベースに考えます。

【観点A】(H23年秋IP)
問4 コンピュータプログラムに関する著作権の説明として,最も適切なものはどれか。
ア 改変が認められているフリーソフトウェアを改変した場合,改変部分も含めてその著作権は,別段の定めがない限り,元のフリーソフトウェアの著作者だけに帰属する。
イ 外部のソフトウェアハウスに委託して開発したプログラムの著作権は,別段の定めがない限り,委託元の会社に帰属する。
ウ 派遣社員が派遣先で,業務上,作成したプログラムの著作権は,別段の定めがない限り,派遣元の会社に帰属する。
エ 法人の発意に基づき,その法人の従業員が職務上作成するプログラムの著作権は,別段の定めがない限り,その法人が著作者となる。
正解は、エで、職務上作成するプログラムの著作権は、個人ではなく法人に帰属します。

【観点B】(平成23年春午前2問13)
問13 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき,著作権の原始的な帰属はどのようになるか。
ア 請負の場合は発注先に,派遣の場合は派遣先に帰属する。
イ 請負の場合は発注先に,派遣の場合は派遣元に帰属する。
ウ 請負の場合は発注元に,派遣の場合は派遣先に帰属する。
エ 請負の場合は発注元に,派遣の場合は派遣元に帰属する。
正解はアです。請負の場合は、開発作業が完全に発注先に任されているからです。一方、派遣の場合は、派遣された先の会社の責任で開発するので、著作権も保有することになります。

4.著作権の保護期間
(1)権利の成立
特許の場合は、出願して登録されてはじめて権利が認められます。ところが著作権は、「著作物を創作したときに著作権が発生(H27秋IP問1より)」します(無方式主義と言います)。

(2)権利の保護期間
特許の権利は出願から20年です。著作権はどうでしょうか。過去問(H23春PM午前2)を見ましょう。
問24 法人が作成し,公開,発売したソフトウェアの著作権の権利期間は公開から何年か。
ア 15  イ 20  ウ 30  エ 50
正解はエの50年です。ちなみに、個人の場合は、著作権者の死後50年です。

情報セキュリティ委員会に関して、明確な定義があるものはありません。情報セキュリティに関する全社的な意思決定をする機関と考えればいいでしょう。また、この委員会の委員長には、情報セキュリティを担当する役員がなるべきです。

経済産業省とIPAがまとめた資料で、以下のサイトには「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。」とあります。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
過去問(平成29年春期午前問39)では、「経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明」として、「企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの」とあります。

■H29春SG午前
問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策
イ 自社に出資している株主が行うセキュリティ対策
ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策
エ 自社の事業所近隣の地域社会が行うセキュリティ対策

正解はウです。

■H29秋SG午前
問1 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
ア 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,
 経営者レベルの権限をもたない者をCISOに任命する。
イ サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃につ
 いての情報を外部に一切提供しないよう命じる。
ウ サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切
 な予算の確保を指示する。
エ ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を
 実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握
 することを禁止する。

正解はウ

1.個人情報保護法とは
平成17年4月に始まった個人情報に関して、理解しましょう。個人情報保護法について、「組織における内部不正防止ガイドライン(http://www.ipa.go.jp/files/000044615.pdf)」の解説を引用します。
(1) 個人個人情報の保護に関する法律(個人情報保護法)
 個人情報の漏えいや不正利用等から、個人の権利利益を保護するために、個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委託先の監督義務等)を規定しています。この義務規定に事業者が違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が事業者に対し勧告、命令等の措置をとることができます。命令に従わなかった場合には、罰則の対象になります。
ここにありますよに、この法律は、「個人情報を取り扱う事業者の順守すべき義務を規定」しています。対象は「事業者」ですから、個人は対象になりません。
友達の連絡先を教えてからといって、少なくとも、個人情報保護法で罰せられることはありません。

2.法の目的
消費者庁のサイト(http://www.caa.go.jp/planning/kojin/)では、個人情報保護法に関して、「個人の権利利益を保護することを目的として、民間事業者の皆様が、個人情報を取り扱う上でのルールを定めています」と述べています。

ここにあるように、このように、「民間事業者」を対象とした法律であることが一つのポイントです。

3.個人情報保護法の対象
個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」です。すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外されます。 

4.「個人情報」の定義を確認しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ポイントは、「特定の個人を識別することができる」ことです。
情報セキュリティスペシャリスト試験_SE成子 


では、氏名だけでも個人情報?
法律の定義がかなりあいまいではありますが、氏名だけでも個人情報とされます。同姓同名が多いような名前であれば、個人を特定できるかはわかりません。ただ、剣持成子という名であれば、それほど多くはいないでしょうから、個人を特定できることもあるでしょう。つまり、特定できるのであれば個人情報です。
kojin
さて、上記の監視カメラで撮影した情報,会社名や所在地などの法人に関する情報はどうなのでしょうか。以下を確認ください。

5.個人情報に関するQ&A
消費者庁の以下のサイトがよくまとまっています。この中からいくつか抜粋します。
http://www.caa.go.jp/planning/kojin/pdf/gimon-kaitou.pdf

Q1.メールアドレスは、「個人情報」に該当しますか。

A1.ユーザー名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当します。一方、記号や文字がランダムに並べられているものなどは、個人情報には該当しません。

Q2.死者の情報は、個人情報保護法の保護の対象になりますか。

A2.生存する個人に限定されているので、対象外です。

Q3.カメラで撮影した映像は、「個人情報」に該当しますか。

A3.それによって特定の個人が識別できる場合には、「個人情報」に該当します

Q4.法人に関する情報は、「個人情報」に該当しますか。

A4.会社名や所在地は「個人情報」ではありません。しかし、法人情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」になります。

6.安全管理措置
過去問(H27秋IP問24)では、以下の記述があります。
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(http://www.meti.go.jp/press/2014/12/20141212002/20141212002.pdf)から引用すると、その具体的な内容は以下です。
①組織的安全管理措置
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。

②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。

④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。

過去問(H20秋SW)を解いてみましょう。
問77 経済産業省“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"の物理的安全管理措置に該当するものはどれか。
ア 個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。
イ 個人データの漏えいなどの事故が発生した場合の,代表者などへの報告連絡体制を整備する。
ウ 個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。
エ 個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。
アは人的安全管理措置、イは組織的安全管理措置、ウは技術的安全管理措置です。
正解はエです。

1.JIS Q 15001とは
JIS Q 15001は個人情報保護マネジメントシステムの要求事項です。JIS Q 15001が求める要求事項を満たしていれば、個人情報の取り扱いが適切と判断されます。

2.プライバシーマーク制度とは 
プライバシーマーク制度は、「事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度(平成17年SW午前問76)」で、1998年に運用が開始されました。この制度の内容は、OECDによる「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を包括しています。
この制度は、個人情報保護マネジメントシステムの要求事項であるJIS Q 15001に準拠している事業者を認定します。プライバシーマークを使用するためには、この要求事項を満たした上で、JIPDEC(日本情報処理開発協会)が指定する指定機関の審査に合格する必要があります。 

参考です、プライバシーマークは会社で一つの申請になります。この点は、事務所や業務単位で取得するISMSとは異なります。
情報セキュリティスペシャリスト試験を目指す女性SE

具体的に、どんな基準があるのですか?
プライバシーマークを取得する為のガイドラインとして、以下が公開されています。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

この中に記載されているチェック項目が、審査時のチェックリストとして審査員からチェックされます。例えば、P44の安全管理措置では、以下の記載があります。

2.5 個人情報へのアクセス記録
1)個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管している。
2)取得した記録について、漏えい、滅失及びき損から適切に保護している。
(上記URLより引用)

2016年1月から、国民一人ひとりに12ケタの番号が付与されるマイナンバー制度の運用が開始しました。
マイナンバーに関する法律が「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」です。この法律では、「特定個人情報」を「個人番号をその内容に含む個人情報」と定義しています。つまり、マイナンバーを含む個人情報が特定個人情報です。また、個人情報のガイドラインと同じく、特定個人情報の適正な取扱いの指針である「特定個人情報の適正な取扱いに関するガイドライン」が出されています。
情報セキュリティスペシャリスト試験を目指す女性SE 

個人情報保護法とはどういう関係ですか?
特定個人情報も個人情報ですから、個人情報保護法が適用されます。加えて、マイナンバーの漏えいは、普通の個人情報より危険です。例えば「山田太郎」という名前であれば、同姓同名がいるでしょう。しかし、12桁のマイナンバーは世の中に一つか存在しません。確実に個人を特定できるのです。そこで、マイナンバー法ではより厳格なルールが定められています。たとえば、個人情報保護法より重い4年以下の懲役などが規定されています。

個人情報以外に、プライバシーという言葉もあります。両者は共通するところもありますが、厳密には少し違います。例えば、私生活そのものであったり、日記や好きな人だったりという秘密がプライバシーです。
プライバシーを保護するために、その影響を評価するプロセスが「プライバシー影響アセスメント(PIA)」です。そのベースとなるのは、法律やガイドライン(プライバシー・フレームワーク)です。加えて、組織ごとに、プライバシーを守るためにどのような運用をするのかが大事になります。

企業は、個人情報をマーケティングや商品開発に活用するだけでなく、外部の企業に販売することもあります。たとえば、事前説明が不十分として話題になった一件ですが、2013年に、JR東日本がスイカの乗降履歴を、個人情報を匿名化した上で販売しました。
 2016年の改正個人情報保護法では、個人情報を匿名化すれば、本人の同意を得ずに第三者提供ができるようになりました。その際、個人が特定されないように、匿名化する必要があります。匿名化手法として、いくつかのデータを任意に抽出するサンプリングや、k人以上が存在するように(たとえば、住所の番地を消して市区町村までにすれば、複数人が存在する)k-匿名化する方法があります。

6b2fb508
セキュリティ違反には、厳しく対処するべきだと思いますが、法律がないと逮捕できないですね。
日本はどうなってますか?



残念ながらウイルスなどに対する法整備は遅れている。
また、罰則も厳しいとはいえないかもしれない。
企業においても、罰則をある程度厳しく設けないと、いけなくなってきているかもしれない。

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「国内では、ウイルスの作成・配付を罰するための法律が整備されていない(2011年3月現在) (中略)
警視庁は、2010年8月にパソコン内のファイルのデータをタコやイカの画像に書き換える破壊型ウイルス(通称:タコイカウイルス)を作成し、ファイル共用ソフトを用いて配付した会社員を器物損壊罪の容疑で逮捕した。しかし、裁判において被告側はウイルスの作成は認めたが器物損壊にあたらないとしており、器物損壊罪にあたるかどうかは、裁判所の判断にゆだねられている。」
0b330982

確かに、器物破損?って変な感じですね。




その通りで、ウイルス作成を罪に問う法律が現在はない。この会社員に関しては、以前にもウイルス作成をしたが、そのときは、「アニメキャラクターの無断使用による著作権法違反の罪(出典同じ)」で有罪としている。
 とはいえ、法整備は少しずつ進められている。同じ出典には、「政府は3月11日閣議で、改正案を決定した。改正案では、正当な理由なしにウイルスの作成や配付をした場合に3年以下の懲役または50万円以下の罰金を科すものとした。また、ウイルスの取得や保管をした場合も2年以下の懲役または30万円以下の罰金とした。」と述べられている。

このページのトップヘ