刑法とは、簡単にいえば「罪」と「罰」を定めた法律です。刑法では、「罪刑法定主義が厳格にとられています。

刑法

刑法とは、「どんなことをすれl羽巳罪になり、どの程度の罰を受けるか」を法律であらかじめ定めたものです。「犯罪」と「罰則」があらかじめリストアップされていると考えると、わかりやすいかもしれません。

では、コンピュータ犯罪はどうでしょうか。従来の刑法典は現代のコンピュータ社会を想定して制定されたものではなく、コンピュータ犯罪でどんな処罰を受けるか規定がありませんでした。昭和62年に刑法が一部改正され、この改正部分を「コンピュータ犯罪防止法」と呼ぶことがあります。

電磁的記録とは

以前の刑法は、人間の目に見える紙媒体の「文書」を保護するための規定（文書偽造罪、文書毀棄罪など）は存在していましたが、フロッピーディスクやCD-Rに記録されたデジタルデータのように、目に見えない電磁的記録は刑法上の「文書」ではなく保護されていませんでした。しかし、「電磁的記録」といっても、人によって受けとめ方があります。法律では誤解のないように、あらかじめ用語を定義しておくのが一般的です。

そこで電磁的記録は、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの」と定義されています。

電磁的不正作出・同供用罪（161条の2）

「文書偽造罪」という犯罪は、経理の不正、脱税など文字どおり文書を偽造する犯罪です。また、「文書偽造罪」は公文書偽造罪と私文書偽造罪とに大別でき、公文書を偽造したほうが重く罰せられます。
一方、「電磁的記録不正作出・同供用罪」は、他人の業務を誤らせる目的で、人の権利義務または事実証明に関する電磁的記録を不正に作ったり、使用させた犯罪で、5年以下の懲役または5 0 万円以下の罰金が課されます。また、その不正な電磁的記録が、公務所（役所など）または公務員によって作られた場合は、10年以下の懲役または40万円以下の罰金に処せられます。該当する行為としては、次のようなものがあります。

• 嘘の入金データを端末から入力して、預金元帳ファイルに記辞する行為
• 偽造キャッシュカードを銀行のATMに差し込む行為
• キャッシュカードに他人の預金口座の預金番号、暗証番号などを印磁する行為
• 磁気ファイル化されている住民票などに嘘のデータを入力する行為

電磁的記録毀損糞罪

電磁的記録を毀棄（物理的損傷を与えたり、プログラムを改ざん・消去する等）した者は、それが公文書の場合は3ヶ月～年の懲役、権利義務に関する私文書の場合は5 年以下の懲役に処せられます。

電磁的不正証書原本不実記載・同行使罪（157、158条）

役所に嘘の申し出をすることにより（登記簿、戸籍簿などの公正証書の原本）に嘘の記載をしたり、使用した者は、5年以下の懲役または20万円以下の罰金が課されます。

コンピュータ使用詐欺罪（246条の2）

有名な「詐欺罪」は、人をだまして経済的に価値のある物を不法に手に入れ、利益を得る行為ですが、コンピュータを騙しても（犯罪にはなりません。

「コンピュータ使用詐欺罪」では、コンピュータに嘘の情報または不正な指令（コマンド、プログラムなど）を与えて、財産権の得失・変更に関する不実の電磁的記録を作ったり、嘘の電磁的記録を業務に使用させて財産上不法の利得を得たりした者は、10年以下の懲役に処せられます。
ただし「財産権の得喪・変更」に関する電磁的記録に限られるので、その他のデータについてはこの規定では保護されません。該当する行為としては、次のようなものがあります。

• オンライン化された銀行の預金元帳ファイルに、架空入金の記録を作成する行為
• 不正に入手したキャッシュカードを利用して、不正に預金を振り替えて債務を消滅させる行為
• 偽造テレホンカードを使って電話をかける行為（テレフォンカードを有価証券と考えると偽変造有価証券行使罪も成立する）

コンピュータ関連業務妨害罪（234条の2）

「威力業務妨害罪」という犯罪があります。これは、威力を用いて他人の業務を妨害するもので、オペレータなどの「人」を脅して業務を妨害した場合がこれに該当します。人に恐怖を覚えさせるなどの行為（威力）が要件になっているので、回線を切断してシステムを停止するような行為は、威力業務妨害罪に含まれません。そこで「コンピュータ関連業務妨害罪」に関する規定が新設されました。

「コンピュータ関連業務妨害罪」では、コンピュータもしくは電磁的記録を損壊したり、嘘の情報を入力したり、不正な指令を与えたりなどして、使用日的に反する動作をさせて業務を妨害した者は、5 年以下の懲役または1100万円以下の罰金が課されます。該当する行為としては、次のようなものがあります。

• コンピュータや記辞媒体を破壊する行為
• 製造工程を管理するコンピュータに嘘のデータを入力して、不良な製品を製造させる行為

セキュリティポリシーの作成後、業務に則したポリシーの適切な運用を実施しなければなりません。セキュリティポリシーは、ある時点で完結してしまうー時的なプロジェクトではなく、経理やマーケテイングのような組織として継続して行う活動であり、その運用lこは定期的かつ定量的な監査が必須になります。

定期的かつ量的なセキュリティ監査が必要

セキュリティの監査では、まずポリシーおよびそのほかのガイドライン、規則、規定についての遵守性評価を行います。環境の変化にポリシー自体が適応しているのかに重点を置き、ポリシーがシステムの目的・目標の達成に寄与しているかをチェックします。対コスト効果についても評価する必要があります。

各種セキュリティチェックサービスの導入も検討

常に進化しつづけるセキュリティの脅威に対応するには、セキュリティ専門のエンジニアが社内ネットワークを運用し、村処する必要があります。しかし、そのために新たに人材を配置するのは難しいことです。そこで最近、多くのセキュリティベンダーから提供されている「セキュリティチェックサービス」を利用するという選択肢も検討すべきです。
このサービスは外部から提供されるため、客観的かつ定量的にセキュリティ強度を評価することができ、希望すれば専門家による各種対処作業を受けられるといったメリットもあります。代表的なセキュリティチェックサービスは、以下の通りです。

1. セキュリティ検査サービス
   るサービスです。ISS（市販ツール）や独自のツールを使い、外部からあるいは内部の企業ネットワークの脆弱性について検査します0 実際の検査では、過去からの膨大なセキュリティホールのデータベースをもとに、ひとつずつチェックします。
2. キュリティ監視サービス
   社内ネットワークがインターネットなどを介して外部から不正なアクセスを受けていないかを24時間チェックし、管理者への報告やリアルタイムでセッションの切断を行うサービスです。ファイアウォールやサーバーなどのアクセスログを定期的に収集し、アクセス状況の統計や不正アクセスの状況を報告するものもあります。
3. セキュリティ診断サービス
   社内ネットワークにおけるシステムの運用管理やウイルス村策、アクセス制御、内部不正村策など、各種セキュリティホールとなり得る脆弱性について、セキュリティサービスベンダーが独自に作成したチェックシートを基に聞き取り調査あるいはアンケート調査により、診断を受けるサービスです。このサービスでは、セキュリティポリシーの遵守状況やセキュリティ製品の運用状況などにっいても、客観的に調査・診断できます。

セキュリティ教育と啓蒙活動

せっかく立派なセキュリティポリシーを作り上げても、全従業員に浸透していなければ意味がありません。そのためにも、従業員に対するセキュリティ教育と啓蒙活動が必要です。残念なことに、多くの企業では、業績や財務上の目標は毎日、毎月または四半期ごとにその成果を問われるのに対し、ポリシーや各種規定・規則に従う姿勢が問われる機会は、それよりはるかに少ないのが実情です。

そのため、定期的に行われる「研修プログラム」を導入するのが一番効果的です。この研修プログラムでは、「ウイルス感染の防止と対策」「電子メールの正しい使い方」「インターネット利用規定」「パスワードの正しい設定とネットワークの利用方法」「個人情報の保護」「企業機密の取り扱い」「公開情報と非公開情報」など、セキュリティに関する基本的な知識の習得のほかにも、企業の従業員が日常遭遇しやすい具体的な事例を提示し、自分ならどのような行動をするのかをディスカッションします。

この研修の目的は、一方的に正解を提示して盲目的な同意を得ることではなく、参加者の思考を刺激し、セキュリティの何たるかに目を向けるきっかけにすることです。そして、その延長線上にセキュリティポリシーがあることを意識させるのです。すべては教育から始まります0 社員数育がない情報セキュリティはありえません

メインフレーム環境でのセキュリティ対策は、守備範囲を限定することが可能したが、、情報技術の高度化・複雑化・大規模化により、状況はがらりと変わってしまいました。情報システムに対するビジネスの依存度が増加し、今や「情報資産への脅威」は「ビジネスヘの脅威」へと変化しています。

利便性とセキュリティ対策のバランス

ビジネスでは、安全対策を講じなければならない情報資産が膨大に存在します。また情報資産のどこから手をつければよいのか、優先順位を明確にしなければなりません。データベースによる情報資産の一括管理は、業務の効率（利便性）を著しく向上させましたが、情報漏洩によるリスクも拡大しています。

利便性とセキュリティ対策は、相反する関係にあることから、これらのバランスを取る必要があります。会社の情報資産を管理する上で最大のネックになるのが、情報資産が持つリスクに対する従業員の無知・無関心です。
無知・無関心は、内部不正の増大を招きます。従業員間の意思統一、教育・訓練プログラム、チェック体制の確立が必要です。情報資産に対する管理責任者も明確にしなければなりません。一般的な社内規定や規則（ガイドライン）だけでは、こういった環境変化には対処しきれないため、ルールに欠落が生じます。ルールの欠落を防ぐためには、包括的なセキュリティポリシーの採用が必要です。

ビジネス活動こおける判断・行動基準として

セキュリティポリシーは、日々のビジネス活動で重要な意味を持ちます。たとえば、万一、秘密情報が漏洩した場合、不正競争防止法という法律にょって保護を受けます。しかし、不正競争防止法は、どんなに技術上・営業上有用な情報であっても、客観的に秘密として「管理」されていなければ保護してもらえません。

このためには、セキュリティポリシーに秘密情報をどのように管理すべきかを言匿っておくことが大切です。このように法律の世界では、企業がその情報資産を「管理」していたか否かを問われる場面が多々あります。当然のことながら、大切なものとして管理していなければ、大切なものとして扱われません。

セキュリティポリシーは、あらゆる情報セキュリティ活動の中心となる「基盤」です。ビジネスの成功を目指す企業は、正しい方向性と管理を確立するためにセキュリティポリシーを備えなければなりません。企業がしっかりとしたセキュリティポリシーを持ち、それに基づいて従業員を管理することで、従業員がセキュリティの必要性について明確かつ具体的に「意識」できます。「セキュリティ意識」これが重要です。

従業員がセキュリティの必要性について意識できれば、業務を遂行する際の判断や行動において、セキュリティを考慮した的確な意思決定が行えます。逆に、セキュリティポリシーが明確にされていないと、その意思決定は場当たり的・対症療法的になり、一貫性を欠いたものになってしまいます。

セキュリティポリシーのポジティブな面

セキュリティポリシーは、オプション的な問題でも、ある時点で完結してしまう一時的なプロジェクトでもありません。経理やマーケテイングと同様に、組織として継続して行う日々進化する活動のひとつです。当然、企業はそのための予算とスタッフ・組織部署を割り当てる必要があります。

しかしセキュリティへの投資の考え方は、「利益にはならないけど、トラブルが起きると困るから… 」という視点で考えるため、残念ながら日本におけるセキュリティポリシーの立案状況は芳しくありません。この視点は間違いで、プラス面があることを認識すべきです。「あそこの情報セキュリティはとび抜けて優れているから」というように、優れたセキュリティを持つことで、取引先の信頼が向上し、企業の競争力も向上することを忘れてはなりません。

EDI接続とセキュリティポリシー

EC（電子商取引）やEDI（電子データ交換）が急速に拡大し、これに関連した新しい脅威が出現しています。ECやEDIのような外部とのネットワーク接続には、お互いのセキュリティレベルの合致が絶対に必要です。そのための指標になるのが、セキュリティポリシーです。

「御社とは、今後EDIを利用した取引に変更したい。こんなにすばらしいセキュリティポリシーをお持ちなら安心です」、将来、トップ同士の会談で、こんな会話がされるかもしれません。セキュリティポリシーに限らず、このようなセキュリティへの投資（プライバシーマークの取得なども）のポジティブな側面に焦点をあて、セキュリティに関連して何が実現できるのかまで視野を広げることが必要です。
視野を広げることで、いろいろな可能性が見えてきます。マネジメント層への説得も容易になるでしょう。セキュリティによって新しいことが可能になること、セキュリティは業務をスピードダウンさせるものではないということを十分に認識すべきです。