IT & Information security Journal

  1. UNITIS
  2. セキュリティと法律

セキュリティと法律

データの取扱いや情報セキュリティに対して社会的な関心が高まる近年、企業には「サイバー」に関わる法令への正しい理解が欠かせません。 企業のIT・情報セキュリティ担当者には、個人情報保護法、不正アクセス禁止法、不正競争防止法、著作権法、特許法、迷惑メール防止法、プロバイダ責任制限法、サイバーセキュリティ基本法などの関連法令に加えて、DX(デジタルトランスフォーメーション)、コンプライアンス、リスクマネジメント、データ関連契約、プライバシーポリシーなどに関する幅広い知識が求められます。

記事一覧

73件見つかりました

マネーフォワードのGitHubから個人情報漏洩 法的対応・補償・教訓を弁護士…

家計・資産管理アプリ「マネーフォワード ME」などを提供するマネーフォワードは5月1日、ソフトウェア開発やシステム管理で活用されるソースコード管理サービス「GitHub」への認証情報が漏洩したと発表しました 1 。それに伴い、第三者による不正アクセスが発生し、GitHub内でプログラムの設計図を格納する「リポジトリ」がコピーされたこと、ファイル内に記載していたソースコードや個人情報の一部が流出した可能性があることなどを伝えています。 また、同社は5月1日、「顧客の金融情報を含む情報漏えいは確認されておらず、サービスの安全運営に支障はない」とした一方で、「各提携金融機関との安全性の確認を万全なものとする」ため、銀行口座連携機能を一時的に停止しました。その後の5月12日、安全確認が完了した金融機関から順次連携を再開しています 2 が、個人向け・法人向けを問わず有料サービスの利用者にも多大な影響がおよび、事態の重さが改めて浮き彫りとなっています。 こうした事態が発生した場合、企業はどのような法的責任を問われる可能性があるのでしょうか。また、同様の開発用サービスを利用する企業のセキュリティ担当者は、平時から何を注視し、万が一の際にどう立ち振る舞うべきなのでしょうか。企業のセキュリティ事案を専門として扱う、牛島総合法律事務所 影島 広泰弁護士に、本件の論点と企業が備えるべきリスク管理の要諦を聞きました。

BeRealなどのSNSで相次ぐ従業員の情報漏えい、法的責任や必要な初動対策を…

西日本シティ銀行は4月30日、自社の従業員がインターネットに画像や動画を投稿した件について謝罪しました 1 。 5月12日の同社続報によると、個人顧客8人に関する情報および法人19社の名称が外部から閲覧可能な状態になっており、対象の顧客に対して個別にお詫び、説明を進めているとしています 2 。 今回の情報流出の背景には、若年層を中心に流行するSNS「BeReal」があります。同アプリでは1日1回不特定の時間に通知が届き、2分以内に撮影、投稿を迫られます。実際に「X」では、同行従業員のBeReal投稿と思われる、「下期業務目標」などが映った動画を複数確認できます。 また、岩見沢市立総合病院 3 や仙台市内の小学校 4 なども、従業員や委託職員のSNS投稿についての謝罪を発表しています。機密情報がSNSに投稿されてしまう事案は後を絶ちませんが、自社で発生した場合、どのような法的責任を負い、どう対応すべきでしょうか。長瀨 佑志弁護士に聞きました。

委託先にセキュリティ対策を求めるうえで留意すべき法令は? 取適法、独禁…

サプライチェーン全体のサイバーセキュリティを確保することは、発注側企業における重要な経営課題になっています。もっとも、委託先企業にセキュリティ対策を求めることが、取引上の力関係を背景とした押し付けとなり、取適法(旧下請法)や独占禁止法に違反することのないように注意する必要があります。 本稿では、発注側企業の立場から「委託先に対してどの程度までセキュリティ対策を要請することが許されるのか」「委託先との交渉をどのように行うべきか」「非協力的な委託先にはどのように対処すべきか」といった、委託先にセキュリティ対策を要請するうえでの法的な問題点と実務上の対応策について解説します。 なお、本稿では、ある企業Aが他社Bに何らかの業務を広い意味で委託する場合について、Aを発注側企業、Bを委託先企業と呼称することとします。

小坂 光矢

小坂 光矢

牛島総合法律事務所 弁護士

サイバー法令は「リスクマネジメントのツール」 海外サイバー規制動向とセ…

サイバー被害が世界的に増加の一途をたどるなか、世界各国は、被害の予防や拡大防止のための措置をとることを求めて、様々な規制を打ち出しています。こうした規制は、海外に子会社や関連会社などを持つ企業はもちろん、海外企業と取引のある企業にも関係し得るものですが、セキュリティ部門やシステム部門、法務部門といった関連部門は、どのような観点に注意し、どんな対応をとるべきなのでしょうか。 本記事では、グローバルでのサイバー規制の動向や、特筆すべき具体的な法令、セキュリティ実務への影響や活用のポイントなどについて、海外のサイバー規制事情に詳しく、企業のインシデント対応もサポートしている、ベーカー&マッケンジー法律事務所(外国法共同事業)の吉田 武史弁護士、髙橋 彩弁護士に聞きました。

セキュリティインシデント報告一元化の概要と企業実務への影響 スケジュー…

サイバー攻撃は、近年複雑化、巧妙化しており、報道される事案も多いところです。そうしたなか、政府は2025年7月に発足した「国家サイバー統括室」を中心に、サイバー攻撃による被害に遭った企業や団体などの負担軽減等を目的として、複数の政府機関に対するセキュリティインシデント報告の一元化に向けた取組みを進めています。 本記事では、現行のセキュリティインシデント報告制度の概要、報告一元化の内容およびスケジュール、民間事業者への影響、今後の課題と期待等について解説します。

蔦 大輔

蔦 大輔

森・濱田松本法律事務所外国法共同事業 弁護士

IoT機器の製品セキュリティとメーカーがとるべき法的対応実務

セキュリティ被害等の有事における利害関係者・当局対応

近年、IoT機器の普及が進んでおり、今後もその傾向は続くものと予想されます。もっとも、IoT機器は、インターネットに接続されているためにサイバー攻撃等を受けるリスクがあり、そうしたリスクに対する有事および平時における対応について理解を深めておくことが重要です。 そこで本連載では、IoT機器の製品セキュリティと法的対応実務について、場面に応じて必要となる対応等を解説します。 第1回の本稿では、IoT機器に潜むセキュリティリスクの具体的な内容を簡単に説明した後に、IoT機器メーカーが、サイバー攻撃等によるインシデントが発生した場合にとるべき有事の法的対応について解説します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

JC-STAR制度の概要とセキュリティ業務への影響(対象製品、レベル、時期等…

IoT機器のセキュリティレベルを可視化する「JC-STAR」制度がスタートし、2025年3月から一部運用が始まりました。この制度には4段階のレベルが設けられており、各レベルへの適合が認められた製品には、二次元バーコード付きの適合ラベルが付与されます。 本記事では、JC-STAR制度の意義・目的や対象となるIoT製品を整理したうえで、認証取得の流れや実務ポイントについて弁護士が解説します。また、IoT製品ベンダーのみならず、IoT製品を調達・利用する企業にとっての実務上のメリットも紹介します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

「セキュリティ対策評価制度」中間とりまとめの概要とセキュリティ実務へ…

2025年4月14日、「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する中間とりまとめが、経済産業省が設置する産業サイバーセキュリティ研究会から公表されました 1。 本制度は、サプライチェーンを構成する企業のセキュリティ対策状況を可視化し、評価するための仕組み作りを目指すものです。本制度の運用が開始されれば、サプライチェーン全体でのセキュリティ水準の向上が期待できます。 本記事では、中間とりまとめで明らかにされた制度の概要や今後のスケジュール、そして本制度が企業のセキュリティ実務に及ぼす影響などを解説します。

小坂 光矢

小坂 光矢

牛島総合法律事務所 弁護士

「個人情報の漏えい対応だけではない」セキュリティインシデントの対応フ…

近年、委託先企業がランサムウェア攻撃に遭うケースが相次いでいます。ランサムウェア攻撃により、個人情報が漏えいしたおそれがある場合には、個人情報保護法に則った対応が求められますが、TMI総合法律事務所 パートナーで、TMIプライバシー&セキュリティコンサルティング株式会社 取締役の寺門 峻佑弁護士は「個人情報の漏えい対応だけを考えて、セキュリティインシデントに対応していてはいけない」と指摘します。 ランサムウェアによるセキュリティインシデントが発生してしまった場合、どのような対応を、どんな順番で取るべきなのか。2024年12月10日に、寺門弁護士がセキュリティインシデント発生時の全体的な対応フローを解説した講演の模様を紹介します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

能動的サイバー防御関連法の概要と民間企業への影響 一般企業、基幹イン…

増大するサイバー攻撃の脅威に対し、積極的に対応していくための「能動的サイバー防御」に関する法律(以下本稿において「能動的サイバー防御法」といいます)が、2025年5月16日、同年の通常国会で成立しました。 能動的サイバー防御法は、大きく分けて、①官民連携、②通信情報の利用、③アクセス・無害化、④組織・体制整備の4つから構成されます。本稿では、特に①②にフォーカスし、民間企業(基幹インフラ事業者、電気通信事業者、ITベンダーなど)に求められる対応について解説します。

蔦 大輔

蔦 大輔

森・濱田松本法律事務所外国法共同事業 弁護士

日本企業がとるべきサイバーレジリエンス法の対応実務

サイバーレジリエンス法における義務の内容と具体策

2024年10月10日に欧州理事会で採択され、同年12月10日に発効したサイバーレジリエンス法(Cyber Resilience Act、以下「CRA」といいます)は、EU市場で流通するデジタル製品をサイバーセキュリティの観点から規制するためのEUの規則で、日本企業にも適用される場合があります。 CRAは、製造業者に対して、主に、必須サイバーセキュリティ要件の充足やサイバーセキュリティリスク評価の実施・文書化、当局へのインシデント報告等の義務を課しています。 輸入業者や流通業者には、報告義務のほか、CRAに適合した対象製品のみをEU市場で流通させることが主に求められ、取り扱う対象製品の製造業者がCRA上の義務を果たしているかどうかを確認する必要があります。 本稿では、CRAに関して製造業者、輸入業者および流通業者が遵守すべき義務や対応方法について解説します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

日本企業がとるべきサイバーレジリエンス法の対応実務

サイバーレジリエンス法における報告義務の内容と具体策

EUのサイバーレジリエンス法(Cyber Resilience Act、以下「CRA」といいます)は、原則として2027年12月11日から適用が開始しますが、当局やユーザへの脆弱性・インシデントの報告・通知義務(以下単に「報告義務」といいます)に関しては、2026年9月11日から適用が開始します 1。 また、CRAの下では、原則として、2027年12月11日以降に市場におかれた対象製品(CRAの適用を受けるデジタル製品をいいます 2。以下同様です)のみが適用を受けますが、報告義務に関しては、EU市場におかれた対象製品である限り、2027年12月11日より前に供給されたものであったとしても、報告義務の適用を受けます 3。 本稿では、このように他の義務と比べて早期の対応が必要になる報告義務の内容や対応方法について解説します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

日本企業がとるべきサイバーレジリエンス法の対応実務

サイバーレジリエンス法の概要と具体策(対象製品、罰則、義務、スケジュ…

デジタル製品を介したサイバー攻撃が近年劇的に増加するなか、EU市場で流通するデジタル製品をサイバーセキュリティの観点から規制するEUの規則「サイバーレジリエンス法(Cyber Resilience Act)」が2024年12月10日に発効しました。 本連載では、サイバーレジリエンス法について、日本企業への影響や、必要となる対応等を解説します。 本稿では、サイバーレジリエンス法の概要や日本企業への影響、サイバーレジリエンス法が課すこととなる義務、今後のスケジュール、企業がとるべき対応アプローチなど、サイバーレジリエンス法への対応に関する全体像を解説します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

委託先・クラウドベンダーのセキュリティ体制の監督手法

2024年は、企業の業務委託先におけるセキュリティインシデントが相次ぎました。2024年7月には、情報処理サービスを受託する企業がランサムウェア攻撃を受け、多くの委託元企業の個人情報が漏えいしたことが報じられています。情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」でも「サプライチェーンの弱点を悪用した攻撃」が6年連続でランクインしており、2024年には2位に位置づけられるなど、サプライチェーンを念頭に置いたセキュリティ体制の構築は急務となっています。委託元にあたる企業はどのような事前策をとるべきなのでしょうか。 2024年7月に開催された「Security Innovation Conference 〜情報漏えいから自社を守る方法〜」では、データ活用におけるプライバシー保護とセキュリティに専門特化したコンサルティングファーム、TMIプライバシー&セキュリティコンサルティングの代表を務める大井哲也弁護士が、「委託先からの情報漏えい事案と委託先の情報セキュリティ体制の監督手法」と題して講演。委託の形態にあわせた管理・監督の実務と法的対応について解説しました。

2024上期のセキュリティ事件・動向を弁護士4名が解説 -「サイバーセキュリ…

2024年もランサムウェアを用いた攻撃はとどまることがなく、大手動画配信サービスや会計事務所をはじめとした多くの組織で、事業停止や情報漏えいといった被害が発生しました。なかでも、被害企業の委託先にまで影響が及ぶケースが増加しており、委託先の選定や管理、監督の重要性も高まっています。 2024年9月13日に開催されたオンラインセミナー「法的視点から見る2024年上期のサイバーセキュリティ重要トピックと、内部者による企業情報の持ち出しに関する実務対応 – サイバーセキュリティ法務に詳しい弁護士4名が徹底議論 第3弾」では、サイバーセキュリティ法務に精通した4名の弁護士が、豊富な実務経験をもとに最新のセキュリティ動向を分析。2024年上期の傾向を踏まえ、サイバーセキュリティにおける近時の重要課題について議論しました。

SaaS導入・運用の実務と法律上の注意点

外部送信規律とは?SaaS導入の際に注意すべきクッキー規制

自社のサイトやアプリに外部ベンダが提供するSaaSを導入するに際して、ベンダからクッキー用タグの設置や、SDKの組込みが必要である旨の説明を受けた場合に、その適否や必要な措置を検討することなく実施してしまっている例が見られます。 しかし、ユーザーの端末からベンダに対して、クッキーIDをはじめとした情報が送信されることに関して、電気通信事業法の外部送信規律(「日本版クッキー規制」などと呼ばれることもあります)の遵守が必要になる点には注意が必要です。サイト運営者やアプリ提供者は、自らに外部送信規律の適用があるかを判断し、適用される場合には、必要な措置を講じなければなりません。 本稿では、SaaSの利用に際してクッキーが用いられる場合に、サイト運営者やアプリ提供者が検討・対応すべき点について解説します。

鈴木 翔平

鈴木 翔平

TMI総合法律事務所 弁護士

SaaS導入・運用の実務と法律上の注意点

クラウドサービス導入時のセキュリティ審査のポイント – 責任共有モ…

近年、業務におけるクラウドサービスの利用が進んでいる一方で、クラウドサービスに関わるセキュリティインシデントが後を絶ちません。2023年6月には社労士向けのクラウドサービス「社労夢」を提供する株式会社エムケイシステムがランサムウェア被害に遭ったことにより、サービス停止を余儀なくされ、また、2024年3月にはワークスタイルテック株式会社が提供する労務管理クラウドサービス「WelcomeHR」について、同社のクラウドストレージに対するアクセス権限の誤設定により約15万人分の個人データが漏えいしたことが報じられました。 クラウドサービスをセキュリティ上安全に利用するためには、どのような考えを念頭におくべきなのか。本記事では、信頼できるクラウドサービスの選定方法や、利用に際する設定上の注意点等について解説します。

大井 哲也

大井 哲也

TMI総合法律事務所 弁護士
TOP