「情報セキュリティ基本法」制定を求める日弁連意見書

2003(平成15)年7月18日
日本弁護士連合会


本意見書について

第1.意見の趣旨

日弁連は、政府の施策として、→別紙の条文案からなる「情報セキュリティ基本法」の制定を求める。


第2.意見の理由

1.政府はe-Japan 構想に基づき、電子政府及び電子自治体の構築を急いでおり、その一環として昨年8月5日より、住民基本台帳ネットワーク(以下「住基ネット」という。)を稼働させている。住基ネットは、国民に統一番号を付すとともに、住民の個人情報を管理している各地方自治体から住民の基本6情報(以下「本人確認情報」という。)を財団法人地方自治情報センターに集め、これを更に国の行政機関に提供する点で、国民の個人情報保護に重大な懸念の残る制度である。


2.その後政府は昨年12月6日、行政手続のオンライン化を目的とした「行政手続等における情報通信の技術の利用に関する法律」、住基ネット上の本人確認情報の国の行政機関に対する提供先を、住民基本台帳法で定められた93事務から264事務に拡大する内容を含む「行政手続等における情報通信の技術の利用に関する法律」の施行に伴う関係法律の整備等に関する法律案(以下「関係法律整備法案」という。)及び、住基ネット上の本人確認情報を公的認証サービスの基盤として使う内容を含む、「電子署名に係る地方公共団体の認証業務に関する法律案」(以下「公的個人認証法案」という。)を可決、成立させた。


関係法律整備法案は、プライバシー侵害の危険性が指摘されている住基ネットによる本人確認情報の提供につき、その必要性について十分な吟味をすることなく拡大させるものであり、また、公的個人認証法案は公的個人認証サービスの実現のために、この住基ネットの稼働を前提としている点で、大きな誤りを犯していると言わざるを得ない(2002年11月29日付日本弁護士連合会情報問題対策委員会意見書「いわゆる『行政手続オンライン化関連三法案』に対する意見」)。


3.日弁連は、平成14年10月11日に郡山で開催された第45回人権擁護大会第二分科会で、「プライバシーがなくなる日」とシンポジウムを開催し、題して電子政府、電子自治体及び住基ネットの稼働にまつわるプライバシー侵害の危険性を指摘し、自己情報コントロール権を情報主権として確立すべきことを提言するとともに、コンピュータネットワーク社会において人びとが安心して暮らせるように、国及び地方自治体が収集・管理する個人情報の分散管理を意識的に進めるとともに、統一的なセキュリティ基本法を定めることを求めた。


4.その後日弁連は国及び地方自治体のセキュリティ確保のための制度を更に検討し、別紙に定める情報セキュリティ基本法の法文案をとりまとめた。


5.よって日弁連は、かかる条文案からなる情報セキュリティ基本法の制定を政府に求めるものである。


以上


別紙

「情報セキュリティ基本法」案の概要

(目的)

高度情報通信ネットワーク社会形成基本法第22条(高度情報通信ネットワークの安全性の確保等)に基づき、国及び地方公共団体等の電磁的に記録された情報資産に対する情報セキュリティを確保するため、国に対しては、国が用いる情報システムに関する情報セキュリティの確保に関する施策を行う責務を負うのみならず、地方公共団体が法令にもとづき用いるべき情報システムに関する情報セキュリティの確保に関する基本的施策を策定してこれを実施する責務を負い、これにもとづき地方公共団体がセキュリティの確保に関する施策を行うための資源を提供する責務を負うことを明らかにし、国および地方公共団体に対しては、相互の連携により、国の施策及び地方公共団体がその特性を生かした自主的な施策、特に情報セキュリティポリシーの策定、不正アクセス対策の実施等の具体的な責務を定めることによって、世界最高水準の情報セキュリティ技術の形成を促進し、情報セキュリティを確保するための教育及び学習を振興するとともに、情報セキュリティを担う専門的な知識又は技術を有する創造的な人材を育成し、もって国民及び住民の基本的人権を擁護し、高度情報通信ネットワーク社会の安全性を確保することを目的とする。


(内容)

  1. 情報セキュリティの確保に関する国及び地方公共団体の責務を定める(第2章)。国は、法令にもとづき国及び地方公共団体が用いるべき情報システム及びこれによって取り扱われる情報に関するセキュリティ対策の最高責任を負い、これら全体についての情報セキュリティの確保に関する施策を策定し、及び実施についての責務、特に人的、物的資源を保障する責務を負う。なお、この権限行使にあたっては、地方自治の本旨に鑑み、地方公共団体が、国との適切な役割分担を踏まえ、その特性に応じた施策を行うことを妨げず、国及び地方公共団体は、相互に連携して情報セキュリティの確保に関する施策を実施するものとする。
  2. 国及び地方公共団体の情報セキュリティ対策は、情報の提供者である国民及び住民の情報コントロール権を擁護し、情報公開法で不開示とされる個人のプライバシーに関する情報の機密の保持を確保しつつ、国及び地方公共団体の情報資産のセキュリティを確保するものでなければならない、との情報セキュリティ対策の基本理念を定める(第3章第7条1項)。
  3. ネットワークに接続されている情報システムは、常に、盗聴、侵入、破壊、改ざん等の脅威にさらされていることから、国民及び住民に対して、ネットワークを通じて正確な情報及び安定的な行政サービスを提供することを確保するため、国及び地方公共団体等の情報セキュリティポリシーを策定し、継続的かつ不断の努力によってセキュリティの水準を向上させるべき責務を定める(第3章第7条2項)。
  4. 情報セキュリティの確保に関する国および地方公共団体の施策の実施につき、法制上又は財政上の措置を講じるべき国の責務を定める(第8条)。
  5. 国が情報セキュリティ施策の実施につき講じるべきものとして、(1)世界最高水準の情報セキュリティ技術の形成を促進するため、研究開発その他の必要な措置、(2)情報セキュリティを確保するための教育及び学習を振興するとともに、情報セキュリティを担う専門的な知識又は技術を有する創造的な人材を育成するために必要な処置、(3)個人情報の保護その他国民の権利及び利益が不当に侵害されないようにするために必要な措置などを定める(第9条)。
  6. 国及び地方公共団体の情報セキュリティ対策を迅速に推進するため、内閣に設置すべき情報セキュリティ対策本部の所掌事務および組織等を定める(第4章)。
  7. 国及び地方公共団体は、内閣総理大臣の指定する情報セキュリティ取扱事業者に対して、セキュリティ確保に関する業務の全部又は一部を委託することができる旨定めるとともに、指定情報セキュリティ取扱事業者の責務等を定める(第6章)。
  8. セキュリティ対策に関する適切な情報セキュリティ監査を行うため、政令で別に定める情報セキュリティ管理基準及び監査基準にもとづく適切な情報セキュリティ監査を行うべき国及び地方公共団体の責務を定め、併せて適切な外部監査を実施する制度的保障として、情報セキュリティを行う情報セキュリティ対策本部とは別に、情報セキュリティ監査院につき定める(第7章)。

以上


(参考)高度情報通信ネットワーク社会形成基本法

(高度情報通信ネットワークの安全性の確保等)


第二十二条
高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、高度情報通信ネットワークの安全性及び信頼性の確保、個人情報の保護その他国民が高度情報通信ネットワークを安心して利用することができるようにするために必要な措置が講じられなければならない。

情報セキュリティ基本法案

第一章 総則

(目的)

(ア) この法律は、国及び地方公共団体の情報資産に対する情報セキュリティを確保し、もって国民及び住民の基本的人権を擁護し、高度情報通信ネットワーク社会の安全性を確保することを目的とする。


(定義)

(イ) この法律において「情報」とは、国及び地方公共団体の事業に必要な情報のうち電磁的に記録されたものをいう。


2 「情報セキュリティ」とは、情報の機密性、完全性及び可用性の維持をいう。


3 「情報システム」とは、ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの及び情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)をいう。


4 「情報セキュリティポリシー」とは国及び地方公共団体の情報システムを、想定された脅威から保護する方策についての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を定める情報セキュリティ基本方針及び情報セキュリティ対策基準からなる規定であって、情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたものをいう。


(情報セキュリティの対象範囲)

(ウ) 情報セキュリティの対象範囲は、情報システム及びこれに記録される情報並びにこれに接するすべての者とする。


第二章 国及び地方公共団体の責務

(国の責務)

(エ) 国は、情報セキュリティの確保に関する施策を策定し、及び実施する責務を有する。


(地方公共団体の責務)

(オ) 地方公共団体は、情報セキュリティの確保に関し、国との適切な役割分担を踏まえて、自主的な施策を策定しこれを実施する責務を有する。


(国及び地方公共団体の連携)

(カ) 国及び地方公共団体は、情報セキュリティの確保に関する施策が適切に実施されるよう、相互に連携を図らなければならない。


第三章 情報セキュリティ対策

(基本理念)

(キ) 国及び地方公共団体の情報セキュリティ対策は、情報の提供者である国民及び住民の情報コントロール権を擁護し、情報公開法で不開示とされる個人のプライバシーに関する情報の機密の保持を確保しつつ、国及び地方公共団体の情報資産のセキュリティを確保するものでなければならない。


2 国及び地方公共団体は、ネットワークに接続されている情報システムは、常に、盗聴、侵入、破壊、改ざん等の脅威にさらされていることを認識し、国民及び住民に対して、ネットワークを通じて正確な情報及び安定的な行政サービスを提供することを確保するため、以下の内容を含む情報セキュリティポリシーを策定し継続的かつ不断の努力によってセキュリティの水準を向上させなければならない。


  1. 国及び地方公共団体は、その定める情報セキュリティポリシーに基づく総合的・体系的な対策の推進を図る。その際、国及び地方公共団体は、電子政府及び電子自治体の基盤としてふさわしいセキュリティ水準を達成することを目標として、計画的に必要な措置を順次講ずるものとする。
  2. 国の各省庁は、その地方支分部局、所管の特殊法人等の情報セキュリティ水準の向上に努めるものとする。
  3. 国及び地方公共団体は、不正アクセスやコンピュータウイルス等が生じた場合における緊急対処及び情報セキュリティ関連の人材育成並びに研究開発等の課題について、国及び地方公共団体間の協力・連携等の体制を確立・強化し、全体としてセキュリティ水準の向上を図るものとする。
  4. 国及び地方公共団体は、不正アクセス行為の禁止等に関する法律に定めるアクセス管理者による防御措置を実施すること等により、他の情報システムに対する攻撃に政府の情報システムが悪用されることを防止するものとする。
  5. 国及び地方公共団体は、情報システムにおけるセキュリティ水準の向上のため民間との相互の情報交換を緊密にする等、官民の協力・連携を図るものとする。

3 国及び地方公共団体は、情報セキュリティポリシーを定期的に評価し、必要があれば更新することとし、少なくとも策定後1年を目途に更新の必要性の有無を検討するものとする


第四章 国の情報セキュリティ施策

(法制上の措置等)

(ク) 国は、国及び地方公共団体が情報セキュリティの確保に関する施策を実施するため必要な法制上又は財政上の措置その他の措置を講じなければならない。


(政府の情報セキュリティ施策にあたり考慮すべき事項)

(ケ) 国が情報セキュリティの確保に関する施策を策定するに当たっては、以下に定める措定が講じられなければならない。


  1. 世界最高水準の情報セキュリティ技術の形成を促進するため、研究開発その他の必要な措置。
  2. 情報セキュリティを確保するための教育及び学習を振興するとともに、情報セキュリティを担う専門的な知識又は技術を有する創造的な人材を育成するために必要な処置。
  3. 個人情報の保護その他国民の権利及び利益が不当に侵害されないようにするために必要な措置。
  4. 高度情報通信ネットワークが世界的規模で展開していることにかんがみ、情報セキュリティ及びこれを利用した電子商取引その他の社会経済活動に関する、国際的な規格、準則等の整備に向けた取組、研究開発のための国際的な連携及び開発途上地域に対する技術協力その他の国際協力を積極的に行うために必要な措置。

(統計等の作成及び公表)

(コ) 国は、情報セキュリティの確保に資する資料を作成し、インターネットの利用その他適切な方法により随時公表しなければならない。


(国民の理解を深めるための措置)

(サ) 国は、広報活動等を通じて、情報セキュリティに関する国民の理解を深めるよう必要な措置を講ずるものとする


第五章 情報セキュリティ対策本部

(設置)

(シ) 国及び地方公共団体の情報セキュリティ対策を迅速に推進するため、内閣に情報セキュリティ対策本部を置く。


(所掌事務)

(ス) 本部は、次に掲げる事務をつかさどる。


  1. 情報セキュリティに関する重点計画(以下「重点計画」という。)を作成し、その実施を推進すること。
  2. 前号に掲げるもののほか、情報セキュリティに関する施策で重要なものの企画に関して審議し、その施策の実施を推進すること。

(組織)

(セ) 本部は、情報セキュリティ対策本部長、情報セキュリティ対策副本部長及び情報セキュリティ対策本部員をもって組織する。


(情報セキュリティ対策本部長)

(ソ) 本部の長は、情報セキュリティ対策本部長(以下「本部長」という。)とし、内閣総理大臣をもって充てる。


2 本部長は、本部の事務を総括し、本部の職員を指揮監督する。


(情報セキュリティ対策副本部長)

(タ) 本部に、情報セキュリティ対策副本部長(以下「副本部長」という。)を置き、国務大臣をもって充てる。


2 副本部長は、本部長の職務を助ける。


(情報セキュリティ対策本部員)

(チ) 本部に、情報セキュリティ対策本部員(以下「本部員」という。)を置く。


2 本部員は、次に掲げる者をもって充てる。


  1. 本部長及び副本部長以外のすべての国務大臣
  2. 情報セキュリティに関し優れた識見を有する者のうちから、内閣総理大臣が任命する者

(資料の提出その他の協力)

(ツ) 本部は、その所掌事務を遂行するため必要があると認めるときは、関係行政 機関、地方公共団体及び独立行政法人(独立行政法人通則法 (平成十一年法律第百三号)第二条第一項 に規定する独立行政法人をいう。)の長並びに特殊法人(法律により直接に設立された法人又は特別の法律により特別の設立行為をもって設立された法人であって、総務省設置法 (平成十一年法律第九十一号)第四条第十五号の規定の適用を受けるものをいう。)の代表者に対して、資料の提出、意見の開陳、説明その他必要な協力を求めることができる。


2 本部は、その所掌事務を遂行するため特に必要があると認めるときは、前項に規定する者以外の者に対しても、必要な協力を依頼することができる。


3 本条の適用については、住民基本台帳法上の指定情報処理機関は地方公共団体とみなす。


(事務)

(テ) 本部に関する事務は、内閣官房において処理し、命を受けて内閣官房副長官補が掌理する。


(主任の大臣)

(ト) 本部に係る事項については、内閣法 (昭和二十二年法律第五号)にいう主任の大臣は、内閣総理大臣とする。


(政令への委任)

(ナ) この法律に定めるもののほか、本部に関し必要な事項は、政令で定める。


(重点計画)

(ニ) 本部は、この章の定めるところにより、重点計画を作成しなければならない。


2 重点計画は、次に掲げる事項について定めるものとする。


  1. 情報セキュリティのために政府が迅速かつ重点的に実施すべき施策に関する基本的な方針
  2. 世界最高水準の情報セキュリティの促進に関し政府が迅速かつ重点的に講ずべき施策
  3. 教育及び学習の振興並びに人材の育成に関し政府が迅速かつ重点的に講ずべき施策
  4. 情報セキュリティに関する専門家資格を有する人材の適切な配置に関し政府が迅速かつ重点的に講ずべき施策
  5. 前各号に定めるもののほか、情報セキュリティに関する施策を政府が迅速かつ重点的に推進するために必要な事項

3 重点計画に定める施策については、原則として、当該施策の具体的な目標及びその達成の期間を定めるものとする。


4 本部は、第一項の規定により重点計画を作成したときは、遅滞なく、これをインターネットの利用その他適切な方法により公表しなければならない。


5 本部は、適時に、第三項の規定により定める目標の達成状況を調査し、その結果をインターネットの利用その他適切な方法により公表しなければならない。


6 第四項の規定は、重点計画の変更について準用する。


第六章 外部委託

(セキュリティ対策事業の外部委託)

(ヌ) 国及び地方公共団体は、政令で定めた基準に従って内閣総理大臣の指定する情報セキュリティ取扱事業者(以下「指定情報セキュリティ取扱事業者」という)に対して、セキュリティ確保に関する業務の全部又は一部を委託することができる。


(報告)

(ネ) 指定情報セキュリティ取扱事業者は、毎年少なくとも1回、受託した情報セキュリティの確保に関する業務の状況について、内閣府令で定めるところにより、報告書を作成し、これを公表しなければならない。


(情報セキュリティ取扱事業者の指定条件)

(ノ) 内閣総理大臣は、指定情報セキュリティ取扱事業者の申請をした者が、次のいずれかに該当するときは、第二十三条の規定による指定をしてはならない。


  1. 禁錮以上の刑に処せられた者。
  2. 政令の定めるところにより指定を取り消され、その取消しの日から起算して2年を経過しない者であること。
  3. その役員のうちに、第2号に該当する者があること。
  4. 成年被後見人又は被保佐人。
  5. 破産者であつて復権を得ない者。

2 内閣総理大臣は、第二十三条の規定による指定をしたときは、当該指定情報セキュリティ取扱事業者の名称及び主たる事務所の所在地並びに当該指定をした日を公示しなければならない。


  1. 指定情報セキュリティ取扱事業者は、その名称又は主たる事務所の所在地を変更しようとするときは、変更しようとする日の2週間前までに、その旨を総務大臣に届け出なければならない。
  2. 内閣総理大臣は、前項の規定による届出があつたときは、その旨を公示しなければならない。

3 指定情報セキュリティ取扱事業者の役員若しくは職員又はこれらの職にあつた者は、受託された業務に関して知り得た秘密を漏らしてはならない。


  1. 指定情報セキュリティ取扱事業者は、受託された業務を、さらに第三者に対して委託してはならない。
  2. 指定情報セキュリティ取扱事業者の業務に従事する指定情報セキュリティ取扱事業者の役員及び職員は、刑法(明治40年法律第45号)その他の罰則の適用については、法令により公務に従事する職員とみなす。

4 指定情報セキュリティ取扱事業者は、内閣府令で定める情報セキュリティの確保に関する事項について情報セキュリティ管理規程を定め、内閣総理大臣の認可を受けなければならない。これを変更しようとするときも、同様とする。


  1. 指定情報セキュリティ取扱事業者は、前号後段の規定により情報セキュリティ管理規程を変更しようとするときは、内閣総理大臣の意見を聴かなければならない。
  2. 内閣総理大臣は、第一項の規定により認可をした情報セキュリティ管理規程が情報セキュリティの確保に関する業務の適正かつ確実な実施上不適当となつたと認めるときは、指定情報セキュリティ取扱事業者に対し、これを変更すべきことを命ずることができる。

5 内閣総理大臣は、情報セキュリティの確保に関する業務の適正な実施を確保するため必要があると認めるときは、指定情報セキュリティ取扱事業者に対し、情報セキュリティの確保に関する業務の実施に関し監督上必要な命令をすることができる。


(指定の取消)

(ハ) 内閣総理大臣は、指定情報処理事業者が、本法の定める命令に従わないときは、政令の定めるところにより、その指定を取り消す。


第七章 情報セキュリティ監査

(情報セキュリティ監査)

(ヒ) 国及び地方公共団体は、政令で別に定める情報セキュリティ管理基準及び監査基準にもとづく適切な情報セキュリティ監査を行わなければならない。


(情報セキュリティ監査院)

(フ) 前条に定める監査を行うため、別に定める法律により、情報セキュリティ監査院を設置する。


2 情報セキュリティ監査院は、政令で別に定める情報セキュリティ監査企業台帳に登載された者の中から政令の定めるところにより内閣総理大臣の指定する情報セキュリティ監査取扱事業者(以下「指定情報セキュリティ監査取扱事業者」という)に対して、セキュリティ監査に関する業務の全部又は一部を委託することができる。


附則

この法律は、平成十五年 月 日から施行する。


2 政府は、この法律の施行後三年以内に、この法律の施行の状況について検討を加え、その結果に基づいて必要な措置を講ずるものとする。