(2)インターネット接続サービス等に係る事業者の対応に関するガイドライン
このガイドラインは、電気通信事業者の事業者団体である社団法人テレコムサービス協会により、その会員である電気通信事業者がインターネット接続サービス等の電気通信サービスを提供するにあたり、発生する諸問題に適切な対応をとることにより、利用者等の保護を図り、もってインターネット接続サービス等の健全な発展に資することを目的として平成10年2月に策定された。また、平成15年5月には、プロバイダ責任制限法及び関係ガイドライン、さらには特定電子メール法(迷惑メール規制法)等の法令が整備されたことに対応し、関係諸法令のもとでのガイドラインの考え方を明確にする改訂が行われた。
この中で、違法・有害情報が流通していることを知った場合には、インターネット接続サービス等の電気通信サービスを提供する電気通信事業者は、次のような措置を講じることができると規定している(第9条)。
・情報発信を止めるよう発信者に要求
・それでも発信を止めない場合、当該情報の削除等受信できない状態にする措置
・繰り返し行われる場合、発信者の利用停止・契約の解除
また、社団法人テレコムサービス協会は、このガイドラインを具体化したモデル契約約款「インターネット接続サービス契約約款モデル条項(α版)」を平成12年1月に策定し、周知を図っており、そのホームページにおいて公開している。
(3)インターネットにおけるアクセシブルなウェブコンテンツの作成方法に関する指針
障害者をはじめとしたすべての人が、情報通信の利便を享受できる「情報バリアフリー」な環境を実現するためには、障害がある人でもインターネットを通じて、必要とするページに容易にアクセスできることが重要であり、その際、これらの人々がアクセス可能なウェブのコンテンツとして、配慮されなければならない事項を示した指針である。
W3C(World Wide Web Consortium)のWAI(Web Accessibility Initiative)が1999年5月に勧告した「Web Content Accessibility Guideline 1.0」をもとに「『情報バリアフリー』環境の整備の在り方に関する研究会」(平成10年度郵政省・厚生省)が作成した。
【様々な形式に適切に変換できるコンテンツを作成するための指針】
1 音声や画像で表示されるコンテンツには代替手段を提供すること
2 色の情報だけに依存しないこと
3 マークアップ及びスタイルシートは適切に使用すること
4 自然言語の使用について明確にすること
5 適切に変換できるような表を作成すること
6 新しい技術を様々な形式に適切に変換できるページを保証すること
新しい技術に対応していない、又はその技術を使用していない場合でもページがアクセシブルであるようにする
7 時間の経過に伴って変化するコンテンツに対してユーザの制御を保証すること
8 ユーザインタフェースのアクセシビリティを保証すること
9 特定の装置(デバイス)に依存しない設計であること
10 臨時の対応策を利用すること
11 インターネットの技術標準及び指針を使用すること
【理解が可能でナビゲーションが可能なコンテンツを作成するための指針】
12 文脈やページの構成等の情報を提供すること
13 ナビゲーションの仕組みを明確に提供すること
14 ドキュメントは明確かつ簡潔であること
|
|
(2)情報セキュリティに関する法令・条例・指針等
(1)不正アクセス禁止法
平成12年2月13日に施行された法律で、正式名称は「不正アクセス行為の禁止等に関する法律」(平成11年法律第128号)である。不正アクセス行為ならびにそれを助長する行為を禁止し(第3条・第4条)、また、アクセス管理者には防御措置への努力を求めている(第5条)。
ア 対象となる行為
不正アクセス行為とは、アクセスを制限する機能を持つコンピュータに対し、電気通信回線を通じて、不正な手段でアクセスし、制限されている特定利用ができる状態にする行為のことである。ID、パスワードの盗用ばかりでなく、セキュリティホールやウィルスその他の方法によるハッキングも不正アクセス行為として対象に織り込まれている。
また、不正アクセス行為を助長する行為とは、ID、パスワードなどの識別符号によってアクセス制御を行っているコンピュータを不正利用できるよう、利用権者以外の者にその識別符号を教えることである。
イ 制定の背景
コンピュータが社会で広く活用されていく一方で、コンピュータ犯罪も増加してきた。
昭和62年に刑法が改正されて、電磁的記録不正作出及び供用(第161条の2)、電子計算機損壊等業務妨害(第234条の2)、公用文書等毀棄(第258条)、私用文書等毀棄(第259条)が追加・改正され、不正アクセス行為を通じて行った行為に刑事罰を加えることができるようになった。しかし、ID、パスワードを盗むことには罰則がなかった。
インターネットが普及してくると、他人のID、パスワードや、不正アクセスツールなどの公開が行われるようになってきたことから、本法が立法化された。
ウ プロバイダヘの影響
アクセスログの保管義務が見送られたため、プロバイダには、アクセス管理者として、アクセス制御、識別符号の適切な管理、不正アクセス行為から防御する措置をするよう努力することのみが規定されている。
(2)情報セキュリティ関連の主な基準
情報セキュリティに関するわが国の主な基準は以下の通りである。
図表2-4 情報セキュリティ関連の主な基準
基準名 |
目的・内容等 |
情報通信ネットワーク安全・信頼性基準
(昭和62年郵政省告示第73号、
平成14年一部改正) |
情報通信ネットワークのうち社会的に重要なもの又はそれに準ずるものを対象とし、その安全・信頼性対策の指標としての基準を定めることにより、安全・信頼性対策の普及を促進し、もって情報通信ネットワークの健全な発展に寄与することを目的とする。設備等基準と管理基準からなり、配慮すべき事項として「情報セキュリティポリシー策定のための指針」「危機管理計画策定のための指針」が示されている。 |
情報システム安全対策基準
(平成7年通商産業省告示第518号、
平成9年告示第536号(最終改正)) |
情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの |
コンピュータ不正アクセス対策基準
(平成8年通商産業省告示第362号、
平成9年告示第534号(改定)、
平成12年告示第950号(最終改定)) |
コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの |
コンピュータウイルス対策基準
(平成7年通商産業省告示第429号、
平成9年告示第535号(改定)、
平成12年告示第952号(最終改定)) |
コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策をとりまとめたもの |
システム監査基準
(昭和60年公表、平成8年改正) |
情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資するため、システム監査に当たって必要な事項を網羅的に示したもの |
ソフトウェア管理ガイドライン
(平成7年公表) |
ソフトウェアの違法複製等を防止するため、法人、団体等を対象として、ソフトウェアを使用するに当たって実行されるべき事項をとりまとめたもの |
情報システム安全対策指針
(平成9年9月18目制定
国家公安委員会告示第9号、
平成11年11月22日一部改正
国家公安委員会告示第19号) |
情報システムの関係者に対し、情報システムに係る犯罪、不正行為、個人情報の漏えい、災害等による被害を未然に防止し、又は最小限に抑えるために講ずべき対策及び犯罪発生時における警察との連携を確保するための措置を示すことにより、国民生活の安全を確保し、情報社会における秩序を維持することを目的とする指針 |
|
資料:各種資料より作成
(3)情報セキュリティに関する規格
情報セキュリティ管理対策の国際標準化は、英国規格協会のBS7799に始まる。BS7799のパート1は「セキュリティ管理実施基準」であるが、平成12年9月にISO/IEC17799:2000として国際規格化された。これを受け、わが国でもJIS化の作業も進められ、対応規格としてJIS
X 5080:2002「情報セキュリティマネジメントの実践のための規範」が平成14年2月に制定された。
管理分野は、「セキュリティポリシー」「セキュリティ組織」「資産の識別管理」「人的セキュリティ」「物理的・環境的セキュリティ」「運用・通信のセキュリティ」「システムの開発保守」「アクセス管理」「業務継続計画」「準拠」の10分野に及ぶ。
現在、このJIS X 5080:2002に立脚する制度としては、2002年4月に経済産業省の関係団体である日本情報処理開発協会によって開始された「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」と、平成15年4月に経済産業省によって開始された情報セキュリティ監査制度」の2つがある。前者がマネジメントシステム全体が審査対象となるのに対して、後者は特定のテーマに絞って監査を受けることも可能であり、内部監査にも使いやすいといった違いがある。
|